Active Directory

1 - INTRODUÇÃO Quando falamos de Serviços de diretórios, devemos antes saber o que é este componente e o que difere de outros modelos. Para darmos continuidade ao nosso aprendizado, começaremos com a teoria para no decorrer, demonstrar o funcionamento e configurações em um ambiente Active Directory.

Muitos ainda utilizam o ambiente de grupos de trabalhos, talvez por desconhecimento das economias que os serviço de diretórios proporcionam para as empresas. Vejamos como funciona um ambiente sem Active Directory.

No caso acima, expressamos um ambiente extremamente simples, sem qualquer conectividade externa. Cada estação de trabalho representa o seu único meio de trabalho, havendo falhas, todo um grupo de usuários será afetada, causando a perda de produtividade.

Neste modelo, podemos constatar os seguintes pontos:

• dificuldade no gerenciamento e segurança das estações de trabalho: cada alteração na configuração deverá ser efetuada em cada estação. Supomos que essa alteração consuma 5 minutos de 1 operador, multiplique pela quantidade de estações e você verá o tempo de uma simples alteração ser reportada.

• ausência de serviço de validação de acesso: autorização, autenticação e auditoria. Esses 3 pilares são encarregadas de dizer quem e quando poderá acessar um recurso e se o acesso foi realizado da maneira correta.

• dificuldade de crescimento: as informações estão em várias estações, dificultando o processo de localização, backup/restore e tráfego das mesmas.

Resumindo, ambientes workgroups são inseguros, improdutivos e instáveis.

A informação é um ativo das empresas e o diferencial entre as concorrentes é maneira que estas são analisadas. Os processadores evoluíram, as informações cresceram e o mercado não espera. Na medida em que o ambiente computacional cresce nas empresas, a demanda por agilidade e segurança.

A centralização de informações de maneira ordenada facilita administração de ambientes grandes e extremamente complexos. O Active Directory é o serviço de diretórios para ambiente Microsoft Windows capaz de gerenciar todos os seus ativos de maneira segura, centralizada/descentralizada (dependendo do estrutura organizacional de sua corporação). Na figura abaixo, estaremos dando uma primeira visão deste modelo:

Podemos notar que neste ambiente existe uma relação de heranças, possibilitando a organização de uma empresa. As alterações poderão ser repassadas de maneira clara e sem a necessidade de intervenção humana. A organização da empresa passa a ser expressa de maneira clara, facilitando a localização e integração dos dados.

O AD (como é conhecido por muitos) não é o sucessor dos famosos domínios do NT4 e nem foi criado baseado no mesmo. O AD é um produto lançado em conjunto com o Microsoft Windows 2000 e que acompanha toda a gama de produtos da Microsoft, tanto que ele deve ser instalado após configuração do Windows 2000/2003 Server.

O Active Directory possibilita a união de várias empresas facilitando a unificação dos dados e os projetos de integração. Existem milhares de formas de expressar o ambiente Microsoft Active Directory. Veja o exemplo:

Resumindo, o Active Directory é um serviço de diretórios poderoso, que permite o crescimento de maneira ordenada e saudável de toda sua rede. Vejamos algumas características:

• suporte LDAP nativo facilitando a integração com produtos de terceiros(Linux, Netware); • integrado com todos os produtos Microsoft (Exchange, SQL, SMS, MOM, ISA, Visual Studio); • gerenciamento centralizado ou descentralizado (de acordo com a necessidade da empresa); • maior capacidade de armazenamento de objetos; • integrado e dependente do serviço de DNS; • segurança em nível de objeto, com possibilidade de delegação de direitos (afinal, cadastrar usuário é algo que outras pessoas

podem fazer); • distribuição de softwares de forma centralizada;

Baseados nesses dois cenários podemos criar a seguinte comparação de esforços:

» Não estamos considerando deslocamento em nenhum destes cenários » Existem n tarefas que são desempenhadas diariamente nas empresas.

O quadro nos mostrou um índice de retrabalho de 5,7 vezes menor em um ambiente baseado em solução Microsoft. No final de um ano, você poderá apresentar aos diretores da empresa o ROI deste produto.

Para podermos instalar este serviço de diretório, antes de tudo, é necessário uma estratégia. Muitos analistas acham o processo de promoção de um servidor para Domain Controller algo rápido, fácil e sem impacto na infra-estrutura. Caso o domínio seja criado de maneira errônea, toda sua rede será impactada, causando perda de segurança, desempenho de rede, gerenciamento (guardem essa palavra, management). A melhor situação seria a criação de um ambiente de simulação para implantação. Profissionais de alta competência necessitarão estar envolvidos nesta fase. Neste ambiente você colocará a prova de fogo as situações que o AD infrentará ao longo dos anos, afinal você não está investindo em algo para durar 1 ano.

Existem muitas outras situações que devem ser abobadadas no projeto, tais como:

• qual a visão da minha empresa para os próximos anos? • teremos fusões ou unificações? • novas unidades serão criadas?

• terei usuários remotos acessando meus recursos internos? • quem serão os responsáveis pela administração? • qual será o meu sistema cliente? Que benefícios terei utilizando o meu parque? • utilizarei outros produtos Microsoft? • qual será a minha conexão com a internet? • utilizarei serviços Web para alavancar o foco da minha empresa?

Existem ainda os questionamentos de outros setores das empresas, ligados diretamente a valores:

Qual o meu custo por objeto criado no AD? Nenhum, o AD possibilita a criação de quantos objetos forem necessários.Teste em laboratórios já simularam ambientes com mais de 10 milhões de objetos.

Qual a necessidade de hardware para instalação? Dependerá do ambiente que você quer administrar. Veja por outro lado, quanto mais você poder centralizar os seus ativos, melhor será a administração dos mesmos.

Quais os sistemas clientes suportados? Podem fazer parte do domínio:

- Windows NT4 Server/Workstation; - Windows 2000 Professional/ Server/Advanced/Datacenter; - Windows Server 2003 Web/Standard/Enterprise/Datacenter;

Tenho como integrar como o meu ambiente Microsoft Windows NT4? Sim. O ideal é fazer a migração de seu domínio NT4 para o Active Directory na medida do possível, possibilitando a redução do TCO na sua empresa.

Tenho como integrar outros sistemas operacionais? Sim. A linguagem LDAP é aberta a uma série de outros softwares existentes no mercado, ou seja, pode ser integrado com ambientes Linux/Unix.

2 – COMPONENTES DO ACTIVE DIRECTORY Anteriormente vimos as diferenças dos ambientes com workgroup e os benefícios do Active Directory nas empresas. Agora veremos quais os objetos e componentes que fazem parte do AD. Para podermos implantar ou gerenciar um ambiente como o Active Directory, é necessário sabermos quais os seus componentes e qual a função de cada um deles em nossa rede.

Conforme escrito anteriormente, os retornos sobre os investimentos de TI estão relacionados diretamente a implantação dos produtos. Qualquer que seja a implantação é necessária à análise e testes para logo após asua implantação. Lembre-se tempo é dinheiro e é justamente isso que o AD irá lhe proporcionar: economia.

Para facilitar o seu aprendizado, leve em consideração que o Active Directory é um banco de dados onde permite a inserção, alteração, exclusão, criação de regras como em qualquer outro banco de dados. Quando você cadastrar um objeto de forma equicada, essa informação poderá ser interpretada de n maneiras por outros administradores de redes.

Existem 2 tipos de topologias que devem ser configuradas sempre:

Topologia Lógica: corresponde aos objetos existentes em todo Active Directory, organizando-os e definindo políticas específicas, delimitados de maneira lógica. Para lembrar de maneira mais fácil, a console Active Directory Users and Computers gerencia esse estrutura.

Topologia Física: representa a topologia de rede adotada pela empresa. Dessa maneira, o AD cria a topologia ideal para replicação dos dados de maneira eficiente. Outra função é prover o serviço de autenticação de maneira mais rápido, baseado na rede onde a estação está localizada, otimizando a banda. Para memorizar, as consoles o Active Directory Sites and Services e Active Directory Domains and Trusts são algumas das ferramentas para gerenciamento dessa topologia.

Vejamos agora os componentes da infraestrutura lógica e física que fazem parte do Active Directory:

Floresta: é o conjunto de árvores na empresa, delimitando e empregando diretivas no ambiente em relação às versões dos controladores de domínio. Através das florestas podem ser efetuadas relações de confiança para compartilhamento de dados com outras empresas. A floresta delimita a segurança das informações contidas no AD, tornando o Schema único(veremos o que é isso). Através da funcionalidade da Floresta, estaremos determinando se o domínio suportará a renomeação dos domínios (recurso existente apenas com Windows Server 2003).

Árvore: conjunto de domínios com contigüidade de nome, formando uma hierarquia;

Domínio: é um conjunto de objetos que delimitam de maneira administrativa o acesso aos objetos, delegando gerenciamento e funções para uma localidade ou setor.

Sites: representa a localidade ou região onde os recursos de rede estão localizados, facilitando o processo de logon dos usuários. Levando em consideração o exemplo abaixo, os usuários do site de São Paulo devem tentar validar seus usuários no site local, evitando o consumo de banda entre as localidades.

Unidades Organizacionais: utilizado para organização física dos objetos. As OU´s podem ser utilizadas para separar objetos em comum para aplicação de diretivas de grupos (GPO´s).

Domain Controller: servidor encarregado da autenticação dos usuários, replicação dos dados entre outros DC´s. Este servidor é responsável pela comunicação com outros domínios da empresa. Para haver um serviço de diretório, é necessário pelo menos um Domain Controller em sua rede.

Servidores Membros: são todos os outros servidores que não são Domain Controller, ou seja, servidores de aplicações tais como: File and Print Sharing, SQL Server, Exchange Server, Isa Server, Metaframe, etc. A Microsoft recomenda que sempre que possível, sejam separados os servidores de aplicação dos servidores de autenticação. Com isso, o ambiente se tornará mais estável e fácil de administrá-lo.

Contas de Computador: em ambientes workgroup ou ainda em ambientes NT, não existias a presença desses contas. O fato é que era extremamente simples a inclusão de novas estações de trabalho, causando assim uma desorganização generalizada. Podem existir contas de computadores que executem os seguintes sistemas operacionais: Windows NT, Windows 2000, Windows XP, Windows Server 2003 e posteriores (até o presente momento não existem informações de que essas contas venham a desaparecer). Você poderá separar as suas estações de trabalho levando em consideração a região, departamento, função, etc.

Contas de Usuários: todo usuário que irá acessar o ambiente necessita de um usuário para verificação de suas credenciais. Conforme comentado anteriormente, você quer ter certeza de que os usuários que terão acesso aos recursos em sua rede nos horários, locais e meios acertados com a Diretoria da empresa. Tanto no AD do Windows 2000 e Windows Server 2003, existe a possibilidade de garantir que as senhas serão complexas. No 2000, isso não vinha configurado por padrão, no 2003 já vem como uma série restrições.

O cadastro de um usuário não significa apenas completar os campos nome e sobrenome. Nos próximos tutoriais, veremos que podemos cadastrar muitos outros dados nem sempre utilizados, mas que no momento de integração com outras ferramentas, serão importantes. Vejamos algumas informações do cadastro de um usuário:

Grupos de usuários: assim como as contas de usuários, devemos detalhar o máximo possível a real necessidade de cada objeto no AD. Os grupos de usuários são a forma mais simplifica de atribuir permissões ou direitos de maneira ágil, rápida e centralizada. Muitos grupos já acompanham o sistema operacional como: administrators, power users, backup operators. Porêm, alguns grupos só existem após a instalação do AD: Enterprise Admins, Domain Admins, Schema Admins. Vejamos um exemplo:

Pasta Compartilhada: como estamos falando de gerenciamento, os compartilhamentos podem ser disponibilizados direto no AD, centralizando para o gerenciamento do seu ambiente.

Políticas de grupo (GPO): esse é o recurso que mais diferencia o Active Directory de outros serviços de diretório para ambiente Microsoft. As Group Policies (GPO) são responsáveis pela delimitação de direitos de contas de computadores e usuários. Através delas são possíveis:

* distribuir softwares; * definir políticas de segurança; * membros de grupos; * restrições de aplicações; * padronização de ambientes;

Reduzindo os poderes dos usuários em sua infra-estrutura, você estará agindo diretamente nos maiores causadores de problemas, focando os objetivos da empresa com inovações tecnológicas.

Zonas DNS: conforme comentado, o AD utiliza o serviço de DNS para comunicação. É possível a criação de zonas DNS que serão replicadas em conjunto com o Active Directory. Todos os registros são replicados de tempos em tempos, sem a necessidade da criação de zonas primárias e secundárias, existentes em outros sistemas operacionais.

Estes são os principais objetos do Active Directory. Mas, se esses objetos ficam em um banco de dados, como funcionam os dados armazenados no mesmo? Para responder essa pergunta, teremos que aprender a diferencia de dois outros itens que compõem o AD: classes de objetos e atributos.

Classes de objetos: é o conjunto de atributos que forma um objeto. Para facilitar o seu conhecimento, lembre o que é um atributo. No exemplo abaixo vemos a classe user, que corresponde aos dados do objeto usuário.

Atributos: são as especificações, descrições necessárias para que sejam criados os objetos, ou seja, são os campos criados para a Microsoft para armazenar de forma ordenada os dados no AD. Veja o exemplo abaixo:

Todos esses dados ficam armazenados em partições do Active Directory. Outras classes de objetos e atributos podem ser criadas para integração de suas aplicações, porêm, tenha cuidado ao criá-las, pois após a criação estes dados não poderão ser removidos, apenas desativados. Veja agora como fica o cadastro de um usuário no banco de dados do Active Directory:

Podemos notar os atributos que estão cadastrados para esse objeto. Para visualizaras informações de atributos de classes você deverá utilizar as ferramentas ADSI Edit e Active Directory Schema. Todas essas são consoles MMC que podem ser instalados no Windows 2000 ou Windows Server 2003. O que podemos notar é que todos os objetos listados, em comum existem um campo destinado à segurança do objeto. Isto significa que baseado no seu ambiente, é possível dizer quais usuários terão poderes sobre cada objeto, tornando mais fácil a delegação do seu ambiente. Outro ponto importante de ser ressaltado é que essas informações são idênticas tanto para ambientes do Windows 2000 ou Windows Server 2003.

3 – INSTALANDO O ACTIVE DIRECTORY Requisitos para instalação do Active Directory

Conforme anteriormente, nós vimos alguns pontos necessários para começarmos a instalação o Active Directory. Caso você não tenha lido-os, recomendo que leia para melhor absorção do conteúdo.

Antes de instalarmos o AD em um servidor, precisamos verificar se possuímos os requisitos mínimos em nossa rede. Para a instalação é necessário no mínimo:

» Sistema Operacional Windows Server 2003 (todas, exceto Web Edition que só pode fazer parte do domínio) recomenda-se a

versão mais atual para evitar migrações futuras. Pode ser instalado em um servidor existente com Windows 2000 Server, mas isso fica a critério do analista no momento do design de sua infra-estrutura.

» 250MB de espaço em disco um ponto muito importante, este disco deverá ter o sistema de arquivos NTFS, caso não será

possível a instalação. Você poderá também fazer a conversão do seu disco para NTFS sem necessidade de reinstalação. Lembrando que conforme forem sendo adicionados objetos em sua floresta, será necessário mais espaço em disco.

» Privilégios de administrador caso seja um novo domínio/floresta a ser criado é necessário que você pertença ao grupo

administrators local do servidor. » TCP/IP com DNS dois pontos muito importantes: um adaptador de rede com endereço IP fixo, ou seja, sem configurações via

DHCP; serviço de DNS Microsoft Windows ou com suporte a registros de recursos (lembrando que o AD é baseado em DNS, não necessitando do WINS). Você poderia fazendo a configurando com serviços de DNS de outras empresas, desde que os mesmos aceitem esses recursos.

» CD de instalação do Windows afinal de algum lugar devem vir os arquivos de instalação. : ) Se você atende a esses requisitos, vamos ao momento tão esperado: a criação da nova Floresta, Árvore e Domínio. Sempre alertamos que antes de qualquer implantação é necessário planejamento para construção do seu ambiente da melhor

maneira para a sua empresa. Como a instalação possui uma série de passos, estaremos criando dois tutoriais para explicação. Procedimento para instalação do primeiro controlador de domínio na rede: OBS: » Todos os passos dos tutoriais serão executados em servidor Windows Server 2003 Standard. O processo de instalação

poderá ser efetuado em outra versão, porêm algumas telas aparecerão diferentes necessitando a intuição do analista responsável pela instalação.

» Recomendo que sempre seja efetuado um estudo com uma empresa antes da instalação do Active Directory. 1) Clique em Iniciar (Start) > Executar (Run) e digite dcpromo e pressione next. Será exibida a seguinte tela. Diferente do Windows

NT, é necessário a instalação dessa aplicação. No Windows NT, bastava você dizer qual seria o domínio e o mesmo era criado de maneira extremamente simples e insegura.

2) Na próxima tela será apresentada a tela de aviso de compatibilidade com outros sistemas operacionais, assim como os próprios da Microsoft. O Windows Server 2003 já vem configurado para aceitar apenas conexões seguras e que venham assinadas digitalmente (é possível a desativação desse recurso conforme necessidade, pois faz parte de uma GPO criada durante a instalação, porêm você terá uma perda na segurança de sua rede). Pressione Next.

3) Como estamos criando um novo domínio, selecione a primeira opção. Esta opção vale também para situação de criação de

domínios filhos. Após pressione next. Outro ponto importante é que caso você possua algum arquivo com recurso de EFS ativado, estes arquivos serão decriptados e

deverão ser encriptados novamente depois, pois os usuários locais são excluídos, deixando apenas os usuários do domínio.

4) Como estamos criando um novo domínio e uma nova floresta selecione a primeira opção e pressione next. Podemos ainda criar

um domínio filho ou ainda uma nova árvore de domínios em uma floresta já existente. Esses assuntos estarão vendo em outros momentos para simulação de ambientes complexos.

5) Neste momento será solicitado o nome dns na qual o Active Directory será conhecido. Como este é o primeiro domínio na floresta,

ele será responsável por toda a relação de herança. Digite o nome completo do domínio, no meu caso será empresa.local (um domínio que não será publicado na internet). No momento que você pressionar next, o instalador enviará uma solicitação para o servidor de DNS configurado para verificar se esse domínio já não existe. Caso já exista, será veiculada a informação solicitando a alteração do domínio.

6) Na próxima tela será exibida a primeira porção do domínio DNS como sugestão para o nome netbios do domínio. Isso será

utilizado para os clientes que não utilizam DNS para localização de recursos (Windows 9x/Windows NT). Caso você queira alterar, digite o nome e pressione next. No momento que você der continuidade, o servidor fará novamente uma consulta na rede para verificar se existe algum domínio netbios igual ao solicitado.

7) Lembra-se do que falamos referente o AD ser um banco de dados? Pois é, nesta tela é apresentada a solicitação do local onde

serão armazenados os dados e os arquivos de log. Caso você tenha planejado um domínio com milhões de objetos, utilize discos que possibilitam uma ótima velocidade de leitura e gravação. Caso seja um serviço de missão crítica, utilize algum serviço de redundância de discos (RAID 1, 5, 0+1). Isso ficará a seu critério.

8) Todos os arquivos necessários para autenticação, scripts, gpos devem ficar disponíveis para todos os usuários. A Microsoft já

recomenda a pasta conforme na figura para armazenamento desses dados. O conteúdo dessa pasta será replicado com todos os DC´s membros do mesmo domínio, para garantir as mesmas configurações independente de onde você se conecte. Pressione next.

9) Como eu ainda não havia instalado ainda um serviço de dns na minha rede, foi exibida essa tela. Recomendo sempre que seja

instalado o serviço de DNS da Microsoft para controle do ambiente, facilitando o gerenciamento dos analistas, sem a necessidade da intervenção de analistas de outras plataformas. Selecione a segunda opção e pressione next.

10) Um ponto crucial para construção de seu domínio é a versão dos sistemas operacionais que estarão presentes nos

controladores de domínio e servidores membros (não se destina as estações que farão parte). Caso você terá servidores Windows 2000 Server, selecione a primeira opção, caso contrário, marque a segunda opção. Após a instalação é possível a alteração desta opção.

11) Outro ponto muito importante é a senha do Administrador para recuperação dos serviços de diretórios (esta senha é totalmente independente da atual do administrador local) no caso de um desastre. Recomendo que essa senha seja armazenada (assim como outras senhas de usuários privilegiados) em algum tipo de mídia em um cofre. Lembre, mais vale um pássaro na mão do que dois voando, ou seja, a informação é um ativo e necessita estar segura.

12) Nesta tela será exibido um resumo de tudo que será efetuado, caso algo esteja em desacordo, pressione back para efetuar a alteração. Até este momento nenhuma configuração foi efetuada no servidor. Somente após pressionar next é que o show dará início.

13) Aguarde a configuração do seu ambiente. Neste momento será efetuada uma série de alterações que estaremos vendo nos próximos tutoriais. Neste momento poderá ser solicitado o local dos discos de instalação do Active Directory.

14) Caso a sua instalação tenha ocorrido com sucesso, aparecerá a seguinte tela. Reinicie o computador e verifique a tela de autenticação aparecerá o domínio no qual você deseja efetuar logon.

Caso você utilize outros sistemas operacionais (Linux, Unix) que possam ser integrados ao Active Directory, é o momento para projetar a unificação da base de dados dos usuários. Quanto mais você poder centralizar os seus cadastros mais simples será o gerenciamento das contas, maior será a segurança.

4 – A IMPORTÂNCIA DE UM CONTROLADOR DE DOMÍNIO ADICIONAL

Com as empresas cada vez mais dependentes da tecnologia para continuidade do seu negócio, estamos mais dependentes de um ambiente computacional integro e tolerante a falhas, pois sistema parado significa prejuízo no bolso. Mas estando falando de computadores, estamos sujeitos a falhas e paradas, certo? Errado.

Falaremos sobre a importância de um controlador de domínio adicional na sua empresa, cujo ambiente seja baseado em Active Directory como gerenciador de recursos de redes.

Um controlador de domínio adicional fornece confiabilidade, desempenho e tolerância a falhas para uma empresa, visto que você terá uma redundância total de contas de usuários, computadores e afins.

Em um ambiente Windows 2000, 2003 e 2008 cada controlador de domínio contém uma cópia completa do seu próprio diretório de partição, permitindo assim que o DC adicional assuma o ambiente de forma transparente para os usuários, permitindo uma janela de tempo para que o Controlador seja recuperado, e na pior das hipóteses, o DC adicional poderá ser transformado no principal através de algumas manobras nele.

Sendo assim, para obter um sistema tolerante a falhas com o Active Directory, tenha pelo menos um Controlador de Domínio Adicional na sua empresa, ou seu negocio pode parar. Mão na massa!

Sabendo sobre a importância, segue um tutorial de como promover um controlador de domínio adicional

Note que um domínio sem controladores adicionais possui apenas um controlador na unidade organizacional Domain Controllers

No Servidor que será promovido à Controlador de Domínio Adicional execute o comando dcpromo

Essa é apenas a tela de boas vindas, clique em avançar. Clique em Next

Clique em Next

Nessa tela você deve escolher controlador de domínio adicional para um domínio existente

Especifique o nome do administrador do domínio e ou usuário com privilégio suficiente, coloque a senha e o nome do domínio

Adicione novamente o nome do domínio

Nessa tela o wizard aponta onde será armazenado o database e log do Active Directory

Localização da pasta sysvol, clique em next

Digite a senha do modo de restauração -> Anote e clique em next

Tela do sumário, clique em Próximo

Observe se o processo não apresentará erros

Ao concluir a duplicação dos dados o wizard apresenta a tela de finish

Reinicie o servidor membro, que nesse próximo restart ele passará a ser um controlador de dominio adicional

Note agora que na OU Domain Controllers o novo DC aparecerá

Como o objetivo de possuir um DC adicional é manter redundância do serviço, abra o Active directory sites e services, vá em NTDS Settings do novo servidor de DC e clique em propriedades

Marque a opção Global Catalog e clique em ok. O novo DC será promovido a Catalogo Global em 5 minutos e a partir desse momente seu Active Directory está redundante.