Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Conceitos do Active Diretory

on

  • 1,109 views

Conceitos sobre Windows Server 2008 e Active Directory

Conceitos sobre Windows Server 2008 e Active Directory

Statistics

Views

Total Views
1,109
Views on SlideShare
1,109
Embed Views
0

Actions

Likes
0
Downloads
196
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Conceitos do Active Diretory Conceitos do Active Diretory Presentation Transcript

  • Sistemas Operacionais de Redes Proprietários
 MS Windows Server 2008 Active Directory Prof. Pedro Clarindo da Silva Neto
  • Active Directory Serviços de Diretório do Windows Server. Um serviço de diretórios é um serviço de rede. O qual identifica todos os recursos disponíveis em uma rede, mantendo informações sobre estes dispositivos (contas de usuários, grupos, computadores, recursos, políticas de segurança, etc) em um banco de dados e torna estes recursos disponíveis para usuários e aplicações. BATTISTI, Júlio; SANTANA, Fabiano Prof. Pedro Clarindo da Silva Neto
  • Active Directory O Active Directory (AD) é um serviço de diretório nas redes Windows 2000, 2003 e 2008. Serviço de diretório é um conjunto de Atributos sobre recursos e serviços existentes na rede, isso significa que é uma maneira de organizar e simplificar o acesso aos recursos de sua rede centralizando-os; Bem como, reforçar a segurança e dar proteção aos objetos da database contra intrusos, ou controlar acessos dos usuários internos da rede. O Active Directory mantém dados como contas de usuários, impressoras,grupos,computadores, servidores,recursos de rede, etc. Ele pode ser totalmente escalonável, aumentando conforme a nossa necessidade. Adaptado de Microsoft TechNet Prof. Pedro Clarindo da Silva Neto
  • Active Directory O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter uma senha para acessar o sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e várias outras senhas, com a utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os recursos disponíveis na rede. O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos, membros dos grupos, senhas, contas de computadores, relações de confiança, informações sobre o d o m í n i o , u n i d a d e s o rg a n i z a c i o n a i s , e t c , f i c a m armazenados no banco de dados do AD. Prof. Pedro Clarindo da Silva Neto
  • Active Diretory Além de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários serviços, como: autenticação dos usuários, replicação do seu banco de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da segurança utilizando GPO, entre outros serviços. Esses recursos tornam a administração do AD bem mais fácil, sendo possível administrar todos os recursos disponíveis na rede centralizadamente. Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão efetuar o logon. Quando o usuário efetua logon, o AD verifica se as informações fornecidas pelos usuários são válidas e faz a autenticação, caso essas informações sejam válidas. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Nota de rodapé: ! — Nome oficial do Active Directory: Active Directory Domain Services – ADDS. — Surgiu a partir do MS Windows Server 2000. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Elementos que compõe a estrutura lógica e mantem em funcionamento o AD: — Domínios — Árvores — Florestas — Relações de Confiança — Objetos do AD — UO ou OU ou Unidades Organizacionais — Schema — Sites Prof. Pedro Clarindo da Silva Neto
  • Active Directory Webmail Servidor de aceso à rede Sistema RH Sistema
 Fianceiro Cada um com login e senhas diferentes e procedimentos de autenticação e segurança distintos. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Cada ambiente possui um banco de dados para cadastro de usuário, senha e outras informações. Este banco de dados é um exemplo de Diretório. Para cada diretório o usuário possui uma senha. Ou seja, um diretório é um banco de dados, com informações sobre usuários, senhas e outros elementos necessários ao funcionamento do sistema. O AD é um exemplo de Diretório. No AD ficam armazenadas informações como usuários, senhas, contas de computadores e outras informações necessárias para uma rede MS Windows Server. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Nas diversas tecnologias que empresas de médio e grande porte utilizam hoje em dia, uma área para autenticação é exigida por praticamente todos os sistemas, o que pode muitas vezes ocasionar uma variada quantidade de cadastro de utilizadores replicados entre os sistemas. Como exemplo daquele utilizador que tem muitos "logins" e "senhas" para acesso aos sistemas da empresa e toda semana precisa lembrar ou alterar alguma informação de seu cadastro. Ex: login e senha para acesso a máquina, a rede, ao e-mail, ao sistema de gestão, sistema de documentos, etc. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Desta forma o usuário fica confuso e a equipe de TI simplesmente perde tempo com o serviço repetitivo e de suporte. Um servidor de diretórios como o Open LDAP ou MS Active Directory recebe esta autenticação dos muitos sistemas; o protocolo LDAP serve justamente para outras aplicações quaisquer da empresa se conectarem e consultarem um servidor de diretórios. Prof. Pedro Clarindo da Silva Neto
  • Active Directory O Active Directory (AD) é uma implementação de serviço de diretório no protocolo LDAP (Lightweight Directory Access Protocol) que armazena informações sobre objetos em uma rede e disponibiliza essas informações a usuários e administradores desta rede. (Pense no AD como um banco de dados hierárquico orientado a objetos que representa todos os seus recursos de rede.) Prof. Pedro Clarindo da Silva Neto
  • Active Directory O LDAP é um protocolo para atualizar e pesquisar diretórios rodando sobre TCP/IP e segue o modelo de árvore de nós, onde cada nó representa um conjunto de atributo com seus valores. O LDAP é uma alternativa ao DAP - Directory Access Protocol . Prof. Pedro Clarindo da Silva Neto
  • Active Directory A idéia é, além de centralizar a autenticação em uma rede baseada no MS Windows Server, centralizar a autenticação e demais recursos em todos os serviços oferecidos pela rede. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Nome: José da Silva Login:jsilva Senha: ******** Setor: Financeiro Telefone: 555-4545 Email: jsilva@domain.com Funcionário José mudou de setor, como isso refletiria na rede e nos sistemas? Prof. Pedro Clarindo da Silva Neto
  • Active Directory Workgroups – Grupos de Trabalho ! Cada servidor é independente do outro, ou seja, não compar tilham uma lista de usuários, grupos, e outras informações . Cada servidor tem uma lista de usuários e grupos. Servidor01 Servidor02 Servidor03 Prof. Pedro Clarindo da Silva Neto
  • Active Directory Workgroups – Grupos de Trabalho Usuários jsilva maria pedro paulo Servidor01 Usuários Jsilva pedro mauro Servidor02 Usuários Jsilva pedro Mauro luis Servidor03 Exemplos de acesso: paulo tenta acessar recursos do Servidor01 – OK paulo tenta acessar recursos do Servidor02 – FAIL ! pedro altera sua senha, mas somente no Servidor01 – os demais ficam com a senha antiga. pedro tenta acessar recursos do Servidor01 com a nova senha – OK pedro tenta acessar recursos do Servidor02 com a nova senha – FAIL Prof. Pedro Clarindo da Silva Neto
  • Active Directory Diretório – Domínio Base de usuários única, todos os servidores da rede compartilham a mesma base de usuários. O que ocorre na prática é que todos os servidores contêm uma cópia da base de informações do diretório. Alterações efetuadas em um dos servidores é replicada (repassada) para os demais servidores da rede, para que todos fiquem com uma cópia idêntica da base de dados do diretório. Todos os servidores tem acesso à mesma base de dados, todos compartilham o mesmo diretório com as mesmas informações sobre usuários, senhas, grupos de usuários, políticas de segurança e assim por diante. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Diretório – Domínio ! Usuários jsilva maria pedro paulo luis Servidor01 Servidor02 Servidor03 Exemplos de acesso: paulo tenta acessar recursos do Servidor01 – OK paulo tenta acessar recursos do Servidor02 – OK ! pedro altera sua senha, mas somente no Servidor01 – a senha é replicada na base. pedro tenta acessar recursos do Servidor01 com a nova senha – OK pedro tenta acessar recursos do Servidor02 com a nova senha – OK Prof. Pedro Clarindo da Silva Neto
  • Active Directory Domínio No Windows Server 2008, o conjunto de servidores, estação de trabalho, bem como as informações do diretório, é que formam uma unidade conhecida como Domínio. Todos os servidores que contêm uma cópia da base de dados do Active Directory fazem parte do domínio. As estações de trabalho podem ser configuradas para fazerem parte do domínio, cada estação de trabalho que faz parte do domínio tem uma conta de computador criada no domínio, que tem o mesmo nome do computador. Estação de trabalho: financeiro01 Conta de computador na base do AD: financeiro01 Prof. Pedro Clarindo da Silva Neto
  • Active Directory Domínio Domínios diferentes possuem permissões de acesso e segurança diferentes. Um administrador do Domínio A tem acesso aos recursos deste e somente deste Domínio. Uma política de segurança implementada no Domínio B só serve para este domínio. Um domínio é um agrupamento lógico de contas e recursos, os quais compar tilham políticas de segurança. As informações sobre os diversos elementeos do domínio (contas de usuário, contas de computador, etc..) estão contidas do banco de dados do AD. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Domínio Em um domínio baseado em AD e no Windows Server 2008 é possível ter 2 tipos de Servidores: Controladores de Domínio – DC (Domain Controllers) Servidores Membro – Member Servers A criação de contas de usuários, grupos de usuários e outros elementos, além de alterações nas contas, políticas de segurança entre outras ações do AD podem ser feitas em qualquer DC que serão replicadas para os demais DCs. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Domínio Nos servidores membros PODEM ser criadas contas de usuários e grupos (Contas Locais), mas serão válidas somente nesse servidor membro. Isso não é recomendado pois dificulta a administração. Os servidores membros, como parte integrante do domínio não possuem uma cópia da lista de usuários e grupos do AD, porém tem acesso a lista. Com isso, podem ser atribuidas permissões para acesso aos ser vidores membros. Ex: Acessar uma pasta compartilhada que está no servidor membro. Isso pode ser feito também em uma estação de trabalho que está no AD. Prof. Pedro Clarindo da Silva Neto
  • Active Directory AD - Possui além de um banco de dados com informações sobre elementos (objetos) que compõe o domínio, o AD também disponibiliza uma série de serviços que executam, dentre várias outras, as seguintes funções: — Replicação entre os DC; — Autenticação; — Pesquisa de objetos na base de dados; — Interface de programação para acesso aos objetos do diretório. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Os recursos de segurança são integrados com o AD através do mecanismo de logon (informar nome de usuário e senha ou cartões inteligentes, certifiados digitais, etc...), para acesso aos recursos de rede. Durante o logon, o AD verifica se as informações estão corretas e e libera o aceso aos recursos para os quais o usuário tem permissão de acesso. logon ifica o Ver nha suário e se Nome de u Estação de trabalho membro do AD Active Diretory Prof. Pedro Clarindo da Silva Neto
  • Active Directory Os recursos disponíveis através do AD são organizados de uma maneira hierárquica, através do uso de Domínios. Uma rede com AD pode ser formada por um ou mais domínios. Todos os DC possuem o AD instalado. O AD utiliza o DNS como serviço de nomeação de recursos e de resolução de nomes. Um dos prérequisitos para instalação do AD é ter o DNS instalado e corretamente configurado. Isso pode ser feito pelo próprio assistente de instalação do AD. Prof. Pedro Clarindo da Silva Neto
  • Active Directory To d o s o s d o m í n i o s p o s s u e m a s s e g u i n t e s características: — Todos os objetos de uma rede (contas de usuários, grupos, impressoras, políticas de segurança, etc…) fazem parte de um único domínio. Cada domínio armazena informações sobre objetos do seu próprio domínio. — Cada domínio possui suas próprias políticas de segurança, ou seja, não existe herança de políticas de segurança entre domínio diferentes. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Árvore de domínios – são diversos domínios relacionados através de relações de confiança, criadas e mantidas automaticamente pelo AD. É um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server 2008, os quais “compartilham um espaço de nome”. Pai plc.ifmt.edu.br Filho ifmt.edu.br cba.ifmt.edu.br cas.ifmt.edu.br Pai compras.plc.ifmt.edu.br Filho ensino.plc.ifmt.edu.br Info.cba.ifmt.edu.br Prof. Pedro Clarindo da Silva Neto
  • Active Directory Unidade Organizacional – é uma divisão que pode ser u t i l i z a d a p a ra o rg a n i z a r o s o b j e t o s d e u m determinado domínio em um agrupamento lógico para efeitos de administração. Cada domínio pode i m p l e m e n t a r a s u a h i e ra rq u i a d e U n i d a d e s Organizacionais, independentemente dos demais domínios, isto é, os diversos domínios que formam uma árvore não precisam ter a mesma estrutura hierárquica de unidades organizacionais. Com o uso de Unidades Oraganizacionais é possível dar permissões para um usuário somente para os recursos (usuários, grupo, computadore, etc…) contidos naquela OU. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Contas de usuários – Todo usuário que quer ter acesso aos recursos dos computadores do domínio (pastas compartilhadas, impressoras compartilhadas, etc..) deve ser cadastrado no AD. Cadastrar o usuário significa criar uma conta de usuário e uma senha. Ao cadastrar um usuário, outras informações como seção, nome completo, endereço, telefone, etc, podem ser cadastradas. Uma conta de usuário é um objeto do Active Directory, o qual contém diversas informações sobre o usuário. Uma vez criada a conta em um DC é replicada para os demais DCs do domínio. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Contas de computador – Todas estações de trabalho com SO Microsoft , e que fazem parte do domínio, devem ter uma conta de computador no AD. Servidores, sejam Members Servers ou DCs, rodando So de servidor Microsoft também tem contas de computador no AD. A conta pode ser criada antes de adicionar o computador ao domínio ou no momento que o computador é configurado para entrar no domínio. A conta de computador deve ter o mesmo nome do computador na rede. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário – É uma coleção de contas de usuários. Facilita a administração e a atribuição de permissões para acesso a recursos como: pastas compar tilhadas, impressoras remotas, serviços d i r e t o s , e t c . . . A o i nv é s d e d a r p e r m i s s ã o individualmente para cada um dos usuários que necessitem acessar determinado recurso, cria-se um grupo, inclui os usuários no grupo e atribui permissões para o grupo. Para que um usuário tenha permissão ao recurso basta adicioná-lo ao grupo, pois todos os usuários de um determinado grupo herdam as permissões dos grupos aos quais pertence. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário grupo Contabilidade com permissões grupo de usuários Contabilidade pasta compartilhada com acesso para o grupo Contabilidade Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário ✤São uma coleção de contas de usuários; ✤Os membros de um grupo herdam as permissões atribuidas ao grupo; ✤Os usuários podem ser membros de vários grupos; ✤Grupos podem ser membros de outros Grupos; ✤Contas de computadores podem ser membros de um grupo. ✤Os grupos são classificados de acordo com diferentes critérios, tais como: tipo, escopo e visibilidade. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao tipo: Grupos de segurança - normalmente utilizados para atribuir permissões de acesso aos recursos da rede. Ex: Criar um grupo Contabilidade, o qual conterá todas as contas dos funcionários do departamento contabilidade, e será utilizado para atribuir permissões de acesso a uma pasta compartilhada. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao tipo: Grupos de distribuição - utilizados para funções não relacionadas com se gurança (atribuições de permissões). Normalmente são utilizados em conjunto com servidores de email ou de programas aptos a trabalhar com o AD. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo O escopo de um grupo determina em que partes do domínio ou de uma floresta de domínio o grupo é visível, ou seja, pode sre utilizado para receber permissões de acesso aos recursos da rede. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Grupo universal São grupos que podem ser utilizados em qualquer parte de um domínio ou da árvore de domínios e podem conter membros, grupos e usuários de quaisquer domínio. Pode conter contas de usuários, outros grupos universais e grupos globais de qualquer domínio. Pode ser membro de grupos locais do domínio ou grupos universais de qualquer domínio. Pode receber permissões para recursos localizados em qualquer domínio. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Quando se deve utilizar Grupo Universal - quando se deseja consolidar diversos grupos globais. Você pode fazer isso criando um grupo universal e adicionando os diversos grupos globais como membros do grupo Universal. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Grupo global - é global quandoos locais onde ele pode receber permissões de acesso, ou seja, um grupo Global pode receber permissões de acesso em recursos (pastas compartilhadas, impressoras, etc) de qualquer domínio. Em resumo: Pode conter contas de usuários e grupos globais do mesmo domínio , ou seja, somente pode conter membros do domínio no qual o grupo é criado. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Grupo global - Pode ser membro de grupos universais e grupos locais do domínio, de qualquer domínio. Pode ser membro de qualquer Grupo Global do mesmo domínio. Pode receber permissões para recursos localizados em qualquer domínio. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Quando se deve utilizar Grupo Global para o gerenciamento dos objetos que sofrem alterações contantemente, quase que diariamente, tais como contas de usuários e de computadores. As alterações feitas em um Grupo Global são replicadas somente dentro do domínio onde foi criado o grupo Global, e não através de toda a árvore de domínios. Com isso, o volume de replicação é reduzido, o que permite a utilização de Grupos Globais para a administração de objetos que mudam frequentemente. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Grupo Local - são grupos que somente podem receber permissões para os recursos do domínio onde foram criados, porém podem ter como membros grupos e usuários de outros domínios. Podem conter membros de qualquer domínio. Somente pode receber permissões para recursos no domínio no qual o grupo foi criado. Pode conter contas de usuários, grupos universais e grupos globais de qualquer domínio. e outros grupos Locais do próprio domínio. Pode ser membro de Grupos Locais do próprio domínio. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Classificação quanto ao escopo Quando se deve utilizar Grupo Local - são utilizados para atribuir permissões de acesso aos recursos da rede. Prof. Pedro Clarindo da Silva Neto
  • Active Directory Grupos de usuário Grupos Locais Estratégia recomendada pela Microsoft: •Criar as contas de usuários; •Adicionar as contas de usuários a grupos Globais; •Adicionar os grupos globais ou Universais como membros dos grupos locais; •Atribuir permissões de acesso para os grupos Locais. Prof. Pedro Clarindo da Silva Neto
  • Active Directory abc.com prod.abc.com vendas.abc.com euro.vendas.abc.com asia.vendas.abc.com amer.prod.abc.com eua.prod.abc.com Prof. Pedro Clarindo da Silva Neto
  • Active Directory Continua.... Prof. Pedro Clarindo da Silva Neto