Profissional 5 estrelas

Windows Server 2008 Active Directory, configuration 1 Estrela

Helio Panissa Jr
MCP Brasil.com Microsoft MVP helio.panissa@mcpbrasil.com

Agenda
Objetivo Viso geral
AD DS AD LDS AD CS AD RMS AD FS

Viso geral do AD DS
O que um servio de diretrios? O que o AD DS? Como o AD DS funciona? Componentes da estrutura lgica do AD DS Componentes da estrutura fsica do AD DS Ferramentas de gerenciamento do AD DS

O que um servio de diretrio?

O servio de diretrio o repositrio de informaes sobre objetos da rede e tambm o servio que permite que essa informao seja utilizada. Gerenciamento centralizado Gerenciamento distribudo

O que o AD DS?
O Active Directory Domain Services oferece:
Gerenciamento de contas de usurio Autenticao de usurios Gerenciamento de contas de Computador Acesso a recursos de rede Servios de domnio

Componentes do Active Directory

Componentes fsicos Data Store Controladores de domnio Global Catalog Server Read-Only Domain Controller Componentes lgicos Parties Schema Domnios rvores de domnio Florestas Sites Unidades Organizacionais (Ous)

Estrutura lgica
O que o Schema do Active Directory? O que um domnio? O que so relacionamentos AD DS? O que uma rvore de domnio? O que uma floresta? O que uma OU?

O que o schema do Active Directory?

Define cada tipo de objeto que pode ser armazenado no Active Directory.
Tipo de objeto Classe Funo Define quais novos objetos podem ser criados no diretrio Define quais informaes podem ser armazenadas para cada objeto Exemplo Classe usurio Classe computador Username Display Name Department

Atributo

O que um domnio?
Domnios so componentes lgicos do servio de diretrio que agrupam e gerenciam objetos do AD.

Um domnio prov: Um escopo administrativo, para a aplicao de diretivas e administrao de objetos. Um escopo de autenticao e autorizao que prov uma maneira de limitar o acesso a recursos. Um escopo de replicao, para replicar dados entre controladores de domnio.

O que so relacionamentos do AD DS?

Um relacionamento de confiana um mecanismo que permite que usurios acessem recursos de outros domnios.
Relacionamento Direcional Descrio O fluxo vai do domnio confiado para o domnio confiante Trust Transitivo O relacionamento de confiana estendido para outros domnios Diagrama

O que uma rvore do AD DS?

Uma rvore representa uma hierarquia do servio de diretrio. Todos os domnio da rvore: Possuem um nome contguo. Podem ter domnios filhos. Possuem um relacionamento de confiana transitivo bi-direcional.

Exemplo:

mcpbrasil.local

sp.mcpbrasil.local

rj.mcpbrasil.local

O que uma floresta?

Uma floresta um conjunto de uma ou mais rvores. As florestas: Compartilham um schema e partio de configurao comuns Compartilham um catlogo global comum Compartilham o grupo Enterprise Admins e Schema Admins

Exemplo:

mcpbrasil.local

technetlocal

sp.mcpbrasil.local

rj.mcpbrasil.local

sp.technetlocal

rj.techenet.local

O que uma OU?

um objeto container do servio de diretrio que podem conter outros objetos como usurios ou computadores. As OUs: Facilitam a organizao dos objetos no servio de diretrio So utilizadas para delegao de permisses So utilizadas para a aplicao de diretivas

Estrutura fsica
O que so controladores de domnio? O que so global catalog servers? O que o AD DS Data Store? O que a replicao do AD? O que so sites?

O que so controladores de domnio?

um computador executando o Windows Server 2008 com o papel AD DS instalado. Os controladores de domnio: Mantm uma cpia da base de dados do servio de diretrios So responsveis pela autenticao de usurios Replicam atualizaes para outros controladores de domnio Permitem acesso administrativo a objetos do AD

O que so Global Catalog Servers?

So controladores de domnio que mantm uma cpia do catlogo global O catlogo global: Contm apenas alguns atributos dos objetos do Active Directory Utilizado para aumentar a eficincia de buscas no AD Obrigatrio para que os usurios possam efetuar logon

O que o AD DS Data Store?

o conjunto de arquivos que compe a base de dados do Active Directory, armazenando informaes de usurios, grupos e recursos. O AD DS Data Store: Fica na pasta %SystemRoot%\NTDS Arquivo ntds.dit Arquivos de log

O que a replicao do AD?

Responsvel pela cpia de todas controladores de domnio da floresta as informaes entre os

A replicao: Assegura a consistncia das informaes controladores de domnio Utiliza um modelo de replicao multi-master Pode ser gerenciada utilizando sites do AD

entre

todos

os

mcpbrasil.local

sp.mcpbrasil.local

rj.mcpbrasil.local

O que so sites?
Representam a estrutura fsica do Active Directory

Os sites: Permitem o controle do fluxo de replicao Minimizam a utilizao de banda Associados a uma ou mais subnets IP
mcpbrasil.local

Default-First-SiteName 192.168.1.0 192.168.2.0

sp.mcpbrasil.local
rj.mcpbrasil.local

192.168.3.0
192.168.4.0

Como funciona o AD DS?

1. Os objetos representando usurios e computadores so criados no diretrio 2. Um cliente usa uma conta de usurio para autenticar-se no servio de diretrio 3. O usurio acessa recursos de rede 4. Os recursos de rede validam as permisses de acesso

Viso geral do AD LDS

O que o LDAP? O que o AD LDS? Exemplos de utilizao

O que o LDAP?
O Ligthweight Directory Access Protocol:
Protocolo de servios de diretrio Baseado no TCP/IP Utilizado para:
Acessar Modificar Buscar

O que o AD LDS?
Active Directory Lightweight Directory Services:
Servio baseado em LDAP Usado para aplicaes

Caractersticas
Pode executar mltiplas instncias em nico computador No requer infra-estrutura de DNS Pode ser modificado de acordo a aplicao

Exemplos de utilizao
Autenticao Web Otimizao de segurana de log on para aplicaes Armazenamento de configuraes de aplicaes
Exemplo: Edge Server (Microsoft Exchange)

Viso geral do AD CS
O que PKI? Exemplos de utilizao de certificados digitais O que o AD CS? Exemplos de implementao Como funciona?

O que PKI?
Uma PKI representa os servios e componentes necessrios para gerar, gerenciar e distribuir certificados digitais. Componentes
Certificate Authorities (CA) Certificate Revocation Lists (CRL)

Ferramentas de gerenciamento

Certificados Digitais

Exemplos de utilizao de certificados digitais

Acesso seguro a aplicaes (Ex. Home Banking) Identificao de usurios Autenticao

O que o AD CS?
Active Directory Certificate Services:
Implementao da Microsoft do CA

Prov:
Funcionalidades de Certificate Authority Gerao manual e automatizada de certificados digitais Revogao de certificados

Como o AD CS Funciona?
CA

Auto-Enrollment: 1. O usurio ou computador so autenticados no AD DS 2. O CA obtm as diretivas de certificado do AD DS 3. Caso existam diretivas e permisses, um certificado gerado para o usurio

Como o AD CS Funciona? (Cont)

CA

Manual-Enrollment: 1. O usurio acessa a interface e solicita um certificado 2. O certificado gerado 3. E instalado no computador cliente

Viso geral do AD RMS

O que o AD RMS? Exemplos de implementao

O que o AD RMS?
Active Directory Rights Management Server
Soluo para proteger informaes armazenadas em documentos, mensagens de correio eletrnico e web sites

Funcionalidades
Ajuda a proteger informao sensvel Proteger contedo Controle de expirao de dados

Exemplos de implementao
Implementar o AD RMS para:
Que o gerador da informaes crie diretivas de acesso a informao Documentos Mensagens de correio eletrnico

Viso geral do AD FS
O que o AD FS? Fluxo de dados em um cenrio B2B Como funciona?

O que o AD FS?
Permite a criao de relacionamentos de confiana entre duas organizaes Prov acesso para aplicaes entre organizaes Prov SSO (Single Sign-On) entre dois diretrios diferentes para aplicaes baseadas em web

Fluxo em um cenrio B2B

Como funciona o AD FS?

1. O usurio acessa uma aplicao web em outra organizao 2. A aplicao redireciona a autenticao para o servidor AD FS 3. O parceiro de recursos do AD FS responde ao cliente indicando que ele pode obter um token de segurana no servidor AD FS no parceiro de contas 4. O cliente solicita o token 5. O cliente acessa a aplicao

Resumo Final
AD DS
Infra-estrutura de servios de diretrio

AD LDS
Soluo de diretrio baseada em LDAP

AD CS
Infra-estrutura de chaves pblicas

AD RMS
Gerenciamento de direitos

AD FS
Acesso federado a recursos

Screen Cast

Para mais informaes

Visite (e cadastra-se)TechNet Brasil
http://www.microsoft.com/brasil/technet/
Artigos tcnicos traduzidos para o portugus Frum de discusso Relacionamento com outros profissionais de TI Relacionamento com funcionrios Microsoft