Active Directory Designer

Active Directory Designer

(Parte 1 de 13)

Windows® 2000 Server Sistema operacional para servidor

Considerações sobre o design e a implantação do Active DirectoryÒ

Documento técnico Resumo

O WindowsÒ 2000 Server oferece diversos recursos e tecnologias que devem ser seriamente analisados ao se projetar e implantar o Windows 2000 como infra-estrutura e elemento funcional de uma organização. Este documento analisa o design do espaço de nome de DNS, o design do espaço de nome do Active Directory, o planejamento da segurança e as considerações das Diretivas de grupo.

© 1999 Microsoft Corporation. Todos os direitos reservados.

As informações contidas neste documento representam a visão atual da Microsoft Corporation com relação às questões discutidas até a data da publicação. Como a Microsoft deve responder a condições mutáveis de mercado, este documento não deve ser interpretado como um compromisso da parte da Microsoft e a Microsoft não pode garantir a exatidão das informações apresentadas após a data da publicação.

Este documento técnico tem propósitos unicamente informativos. A MICROSOFT NÃO DÁ GARANTIAS EXPRESSAS OU IMPLÍCITAS NESTE DOCUMENTO.

Microsoft, BackOffice, a logomarca BackOffice, MS-DOS, Outlook, Windows e Windows NT são marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros países.

Os nomes de outros produtos ou de empresas mencionados neste documento são marcas comerciais de seus respectivos proprietários.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • EUA 1098

Revisão técnica por Francisco Baddini – Seminar Group Microsoft Brasil

COMPONENTES DO ACTIVE DIRECTORY5
Domínios5
Unidades organizacionais6
Domínio em oposição à UO8
Considerações sobre o design da UO9
ÁRVORES E FLORESTAS10
Árvores10
Florestas12
Revisão14
ESPAÇO DE NOME E HIERARQUIA DE UO14
Design do espaço de nome de DNS14
Vantagens e desvantagens dos dois modelos17
Requisitos de DNS18
Recomendações de DNS18
Zonas e domínios de DNS adicionais19
Revisão20
INTRODUÇÃO AOS DIVERSOS MÉTODOS DE DESIGN E SUAS IMPLICAÇÕES20
Domínio raiz21
Geográfico21
Político26
Geo-político29
Político-geográfico31
Funcional34
A SITUAÇÃO SE COMPLICA: CONSIDERAÇÕES PARA SITES35
Local do controlador de domínio36
Determinando onde colocar os controladores de domínio e catálogos globais36
Fronteiras dos sites37
Replicação de site37
Links de site41
Pontes de link de site43
Criação da topologia45
Localizando os serviços46
Campos de ação do site47
Revisão49
SEGURANÇA49
Funções do servidor50
Diretivas de segurança do Active Directory52
Direitos e permissões52
Herança53
Controle de acesso53
Administração delegada5
Infra-estrutura da chave pública58
Propriedades de segurança59
Componentes de segurança da chave pública60
Criptografia e chaves públicas61
Certificados62
Serviços de certificado62
IPSec65
Kerberos70
Planejamento de Kerberos76
Revisão76
GRUPOS76
Estruturas de segurança7
Utilização de grupos7

Documento técnico ? Plataforma Windows PÁGINA 4

Prefácio

Há diversas formas de se analisar o design e a implantação do Windows 2000 e do Active Directory. Nesta minuta, vamos tentar instigar a imaginação do engenheiro de sistemas e de outros que precisam analisar o campo de ação e o planejamento do design e da implantação. Como tal, este documento não vai abordar situações que envolvam o uso do Windows 2000 e do Active Directory. Em vez disso, este documento vai tentar apresentar informações essenciais a serem usadas ao se considerar o design e implantação do Windows 2000.

O documento está organizado por tópicos, e o fluxo lógico usado ao se elaborar as seções de tópicos é:

· Active Directory e componentes relacionados: Uma análise das florestas, domínios e unidades organizacionais. Analisaremos a finalidade, definição e uso desses elementos.

• Design do espaço de nome de DNS: Uma análise do design do espaço de nome de DNS único e de espaços para nome de DNS separados. As vantagens e desvantagens de cada design e algumas recomendações básicas sobre como cada um deles pode ajudar a organização.

• Design do espaço de nome do Active Directory: Uma análise de cinco modelos diferentes de designs de espaço de nome, as características de cada um e como cada um se encaixa na estrutura de uma organização.

• Sites: Uma análise de como os sites funcionam, sua finalidade e como afetam o design do espaço de nome e a estrutura dos domínios do Windows 2000.

• Segurança: Um exame dos fundamentos da segurança e de como ela afeta o design do ambiente do Windows 2000.

• Grupos: Uma análise sobre a introdução de novos tipos de grupos, o planejamento de como esses grupos são usados e por que se deve analisar com tanto cuidado o seu uso.

Neste documento: Utilização de figuras

As figuras usadas freqüentemente neste documento representam domínios do Windows 2000 e unidades organizacionais (UOs). Os símbolos preferidos usados para ilustrar esses componentes são geralmente um triângulo para um domínio e um círculo para uma UO.

Domínio

Essas representações são usadas quando a análise concentra-se exclusivamente em árvores e florestas. Infelizmente, não é possível empregar esses símbolos em designs de árvores complexas. Portanto, na maioria das figuras que representam estruturas de árvores, retângulos arredondados são usados para representar domínios e triângulos são usados para representar UOs.

Documento técnico ? Plataforma Windows PÁGINA 5

Domínio

UO Supermercado.com

O uso destes símbolos deve ser evidente quando exibidos no contexto das análises. Componentes do Active Directory

Há diversos componentes do Active Directory que devem ser bem compreendidos para que possam ser usados corretamente. Os domínios e unidades organizacionais são os elementos básicos do Active Directory e vão definir tanto a estrutura como a funcionalidade. A maneira em que os domínios são organizados em árvores e florestas também vai determinar o tom das diretivas administrativas e da interoperabilidade entre as diversas áreas de uma organização.

Esta seção apresenta esses componentes do ponto de vista da sua arquitetura. As suas finalidades e utilização serão analisados posteriormente neste documento.

Domínios

Os domínios representam uma partição lógica do Active Directory que serve tanto para a segurança quanto para a replicação de diretórios. Os domínios estão diretamente relacionados ao espaço de nome de DNS e são, de fato, endereçados através do DNS.

Todos os objetos da rede existem dentro de um domínio, e cada domínio contém um conjunto completo dos seus objetos dentro do Naming Context (NC, contexto de denominação) do domínio. Teoricamente, um diretório de domínio pode conter até dez milhões de objetos.

Os domínios fornecem um limite para a segurança e um campo de ação para a replicação do NC do domínio. Nenhuma das diretivas e configurações de segurança, como direitos administrativos, diretivas de segurança e Access Control Lists (ACLs, listas de controle de acesso), passa de um domínio para outro. O administrador do domínio tem direitos absolutos para definir diretivas somente dentro desse domínio.

O uso específico dos domínios deriva-se da sua função. Geralmente, os domínios são criados para fornecer um campo de ação para autoridade administrativa ou para reter as informações replicadas como parte do NC do domínio. Para exemplificar essa última situação, geralmente os domínios são confinados a limites geográficos para garantir a otimização da rede.

Sempre que possível, deve-se evitar a criação de domínios para refletir grupos de divisões. Às vezes, pode ser necessário estabelecer domínios por motivos políticos, mas isso fará

Documento técnico ? Plataforma Windows PÁGINA 6 parte de uma estratégia maior.

Exceto durante a migração e consolidação, nunca se deve criar domínios para servirem como host de recursos. Estes eram conhecidos como domínios de recursos no Windows NT 4.0 e não são mais necessários nem desejáveis no ambiente do Windows 2000.

Ter muitos domínios aumenta de forma significativa os custos administrativos indiretos relacionados ao gerenciamento do Active Directory. Como regra básica de design, deve-se sempre iniciar com um número mínimo de domínios e só acrescentar outros domínios visando atender a critérios específicos.

Unidades organizacionais

As unidades organizacionais (UOs) do Active Directory são um conceito completamente novo para os administradores do Windows NT. Apesar disso, as UOs são uma inovação bem-vinda e garantem uma enorme flexibilidade. Espera-se que as UOs desempenhem um papel importante na consolidação do domínio de recursos durante as migrações do Windows NT 4.0 para o Windows 2000.

Delegação da administração

As UOs permitem a delegação granular das tarefas administrativas. Isso possibilita o emprego inteligente do controle administrativo em diversos níveis, permitindo que os usuários, computadores e outros objetos sejam reunidos em uma UO e que a administração dessa UO seja delegada ao administrador adequado.

Campo de ação das diretivas

As Diretivas de grupo podem ser aplicadas em sites, domínios e unidades organizacionais e filtradas com base na associação ao grupo. Desses, as UOs são provavelmente o recipiente mais funcional que pode aceitar diretivas.

Embora a partição para objetos das diretivas de grupo seja, na verdade, o domínio, as UOs também podem ser consideradas como partições para diretivas. Dependendo da finalidade da UO criada, o emprego das diretivas pode refletir regras comerciais, mandatos políticos técnicos ou automação de tarefas.

Por exemplo, podem ser criadas UOs separadas para funcionários de horário integral e funcionários contratados. Pode-se criar uma diretiva específica para cada classe de funcionários e aplicá-la a UOs individuais.

Considerações sobre a UO

As estruturas da UO devem ser benéficas e significativas. Como a estrutura de diretórios é exposta aos usuários, deve-se evitar UOs arbitrárias. Em outras palavras, não crie uma estrutura só pela estrutura.

(Parte 1 de 13)

Comentários