unidade o5
TRANSCRIPT
Professor Conteudista: Silvio Soares Bandeira
PERNAMBUCO, 2010.
CONTEÚDO PROGRAMÁTICO
5. ACTIVE DIRECTORY
5.1 Objeto
5.2 Diretório
5.3 Serviço de Diretório
5.4 Catálogo Global
5.5 Domínio
5.6 Nome de Domínio
5.7 Controlador de Domínio
5.8 Floresta
5.9 Active Directory
5.10. Instalando o Active Directory (AD)
5.11. Conhecendo o programa do Active Directory
5.11.1 Conhecendo os Objetos do Active Directory.
5.11.2 Conhecendo o poder das OU
5.12 Adicionando uma estação ao Domínio
Olá Pessoal!
Na semana passada, você teve uma noção exata de como podemos atribuir
direitos aos usuários e limitar o acesso a recursos como discos, pastas e arquivos.
Mas um detalhe tem que ser lembrado: quando aplicamos diretivas no Windows XP
utilizando o gpedit.msc elas só funcionam no computador local. Caso seja necessário
aplicar em diversas máquinas, o trabalho deveria ser repetido em cada um dos
computadores. A partir de agora, aprenderemos a fazer políticas e diretivas em um
servidor e automaticamente todas as regras serão propagadas pela rede.
Esta semana aprenderemos a montar um servidor de autenticação e teremos a
oportunidade de concentrar todas as contas de usuários em um só local. Claro que
agora trabalharemos com a versão servidora do Windows.
Veremos também o conceito de Unidades Organizacionais, que nos dará a
oportunidade de fazer diretivas de grupos diferentes para usuários e grupos sem a
necessidade de ficar logando com cada usuário para aplicar a regra.
Você também será capaz de agregar as estações Windows XP em um domínio
do Active Directory e usufruir de todas as benesses de uma rede cliente/servidor com
autenticação e diretivas centralizadas.
Mas não esqueça...
“Nunca desanime! A melhor parte do conhecer é APRENDER!”
Então vamos lá!
5. ACTIVE DIRECTORY
O Active Directory é o servidor da Microsoft que implementa na rede um
Serviço de Diretório. Para trabalharmos com o Active Directory temos que conhecer
alguns termos e conceitos que ele implementa quando instalado em uma rede.
Conhecer estes conceitos é de vital importância para a instalação e manuseio desta
ferramenta.
Os conceitos necessários para instalação e uso do Active Directory são os
seguintes:
• Objeto
• Diretório
• Serviço de Diretório
• Catálogo Global
• Domínio
• Nome de Domínio
• Controlador de Domínio
• Floresta
• Active Directory
5.1 Objeto
Entidade, como arquivo, pasta, pasta compartilhada, impressora ou objeto do
Active Directory, descrita por um conjunto de atributos distinto e nomeado. Por
exemplo, os atributos de um objeto Arquivo incluem seu nome, localização e tamanho,
enquanto os atributos de um objeto Usuário do Active Directory devem incluir o nome,
sobrenome e endereço de email do usuário.
Lista de alguns objetos que o Active Directory gerencia.
Fonte: Conteudista
5.2 Diretório
Não confunda aqui diretório com pasta de arquivos. Neste caso aqui, o diretório
é um local de armazenamento de objetos que contém informações sobre usuários,
arquivos de computador ou outros objetos. Em um sistema de arquivos, um diretório
armazena informações sobre arquivos. Em um ambiente de computação distribuído
(como, por exemplo, no Windows), o diretório armazena informações sobre objetos
como impressoras, servidores de fax, aplicativos, bancos de dados e outros usuários.
5.3 Serviço de Diretório
Um serviço de diretório permite que os usuários localizem um objeto quando
qualquer um de seus atributos é fornecido. A palavra diretório (directory em inglês)
poderia ser melhor traduzida por catálogo, no sentido de uma lista ordenada com
descrição curta dos itens, não necessariamente de arquivos, mas sim uma coleção de
objetos.
5.4 Catálogo Global
Banco de dados de diretórios que aplicativos e clientes podem consultar para
localizar um objeto em uma floresta. O Computador que tem o Active Directory
instalado é o Catálogo Global da rede.
5.5 Domínio
Grupo de computadores que faz parte de uma rede e compartilha um banco de
dados de diretório comum. Um domínio é administrado como uma unidade com regras
e procedimentos comuns. Cada domínio tem um nome exclusivo.
5.6 Nome de Domínio
O nome dado pelo administrador a um conjunto de computadores em rede que
compartilham o mesmo diretório. Parte da estrutura de nomeação DNS, os nomes de
domínio consistem em uma seqüência de rótulos de nome separados por pontos
finais.
Exemplo: sectma.pe.gov.br é um nome válido de domínio
5.7 Controlador de Domínio
É o computador onde está instalado o Active Directory. Os administradores
podem gerenciar contas de usuário, acesso à rede, recursos compartilhados a partir
de qualquer controlador de domínio na floresta.
5.8 Floresta
Um ou mais domínios do Active Directory que compartilham as mesmas
definições de classe e atributo. Uma floresta é uma coleção de domínios.
5.9 Active Directory
O serviço de diretório baseado em Windows. O Active Directory armazena
informações sobre objetos em uma rede e disponibiliza essas informações a usuários
e administradores de rede. O Active Directory proporciona aos usuários de rede
acesso a recursos permitidos em qualquer lugar na rede usando um processo de
logon simples. Fornece aos administradores de rede um modo de exibição intuitivo e
hierárquico da rede e um ponto único de administração para todos os objetos de rede.
5.10. Instalando o Active Directory (AD)
Você poderá encontrar o Active Directory apenas nas versões
• Windows 2000 Server
• Windows 2003 Server
• Windows 2008 Server
Nós utilizaremos como base a versão Windows 2003 Standard Edition (que foi
objeto de instalação na nossa segunda semana).
A partir de agora, vamos nos referenciar ao Active Directory como AD.
Não se esqueça que somente o administrador do computador é capaz de
instalar o AD.
Para instalar o AD clique em Iniciar / Executar / Digite dcpromo e enter.
Início da Instalação do AD
Fonte: Conteudista
O Instalador apresenta sua tela de boas vindas
Fonte: Conteudista
Logo após, poderá aparecer esta tela abaixo. É apenas um aviso de
compatibilidade de versões. Leia e clique no botão avançar.
Aviso de Compatibilidade.
Fonte: Conteudista
Na tela abaixo, começa de fato a instalação. Como vamos tratar de uma
instalação de um novo domínio então escolha a primeira opção
Escolha: “Controlador de Domínio para um novo domínio”
Fonte: Conteudista
A próxima tela tem a ver com a floresta. Escolha a criação de uma nova
floresta.
Tela de criação da Floresta
Fonte: Conteudista
Na próxima tela, vem a parte de criação do nome do domínio. Como estamos
tratando de domínio DNS, temos que ter nomes separados por pontos (pelo menos
um). Então vamos criar o domínio sectma.pe.gov.br
Nome do Domínio
Fonte: Conteudista
Por questões de compatibilidades, o sistema também cria um nome de
NETBIOS.
Geralmente o nome de NETBIOS é apenas a primeira parte do nome de DNS.
Fonte: Conteudista
Saiba mais:
NetBIOS é uma interface de programa que foi desenvolvida para permitir a
comunicação entre máquinas. Nesta estrutura foi implementado o conceito de nome
de serviço, o que possibilita que uma máquina conecte-se à rede reservando um nome
para sua utilização. Não há um servidor central para tratar os nomes definidos e
qualquer máquina pode utilizar quantos nomes desejar, desde que ele não esteja em
uso.
Esta arquitetura dinâmica tem sua origem em redes de PCs onde a instalação
de um novo nó da rede deveria ser tão simples quanto possível, ou seja, a
configuração de uma máquina reduziu-se à definição de seu nome (ou quase isto).
Problemas de duplicação de nomes, com um limite de 16 caracteres são
insignificantes em redes de tamanho pequeno. Além do nome de serviço, existem
ainda tarefas de comunicação, uma vez que os dados podem estar em formato seguro
ou inseguro, o que pode ser comparado com os protocolos TCP e UDP do Unix. Os
protocolos superiores como o SMB formam uma camada sobre o NetBIOS.
A interface NetBIOS pode ser implementada em diferentes arquiteturas de
rede. Uma implementação que funciona relativamente próxima ao hardware chama-se
NetBEUI, sendo muitas vezes referenciada como NetBIOS.
Utilizamos no nome de NETBIOS na semana passada quando explicamos o
uso de compartilhamentos e impressoras. O nome \\DELL que foi chamado com Iniciar
/ Executar usa o nome de NETBIOS. DELL é o nome de NETBIOS, ou simplesmente,
o nome do computador.
NetBEUI é um acrônimo para NetBIOS Extended User Interface (Interface de
Usuário Estendida NetBIOS). Ele é uma versão melhorada do protocolo NetBIOS
Ao contrário do TCP/IP, o NetBEUI foi concebido para ser usado apenas em
pequenas redes, e por isso acabou tornando-se um protocolo extremamente simples,
que tem um bom desempenho e não precisa de nenhuma configuração manual, como
no TCP/IP. Em compensação, o NetBEUI pode ser usado em redes de no máximo 255
micros e não é roteável, ou seja, não é permitido interligar duas redes com ele. É
possível manter o NetBIOS ativo junto com o TCI/IP ou outros protocolos, neste caso
os clientes tentarão se comunicar usando todos os protocolos disponíveis.
Apesar de suas limitações, o NetBEUI ainda é bastante usado em pequenas
redes, por ser fácil de instalar e usar, e ser razoavelmente rápido.
Fim do boxe
As próximas telas têm a ver com a localização do banco de dados do nosso
Diretório. São apenas as pastas onde o AD irá armazenar as informações. Recomendo
deixar os padrões sugeridos pelos Windows.
Localização do Banco de Dados do diretório
Fonte: Conteudista
Localização da pasta Sysvol.
Fonte: Conteudista
Na próxima tela o instalador encontra um problema. Porém fácil de resolver. O
problema é que o AD trabalha em cima do servidor de nomes DNS e não há um
Servidor DNS instalado na máquina, então o Instalador lhe questiona se você deseja
instalar um.
Escolha a segunda opção: “Instalar o servidor DNS neste computador”
Fonte: Conteudista
A próxima tela tem a ver com compatibilidade de versões dos sistemas
operacionais da rede. Escolha a opção padrão.
Tela de escolha do modo de permissões do AD.
Fonte: Conteudista
A próxima tela é destinada a uma senha que deverá ser utilizada caso o
computador seja iniciado em modo de restauração do serviço de diretório. Atribua uma
senha forte.
Senha para o modo de restauração.
Fonte: Conteudista
A próxima tela é um resumo de tudo o que foi feito até agora. Serve para uma
checagem final. Se estiver tudo correto, basta avançar, se alguma coisa estiver errada,
basta clicar em voltar e corrigir possíveis erros. No nosso caso, vamos avançar.
Resumo informativo da instalação
Fonte: Conteudista
Aguarde pacientemente a instalação do AD.
Fonte: Conteudista
Durante a instalação do AD, o instalador irá lhe pedir o cd de instalação do
Windows. Esteja com ele em mãos para poder atender ao pedido.
Solicitação do CD.
Fonte: Conteudista
Caso o computador ainda não tenha um endereço de IP é recomendável
configurar neste momento. Para fazer pressione OK na tela abaixo e selecione
Protocolo TCP/IP propriedades.
Alerta sobre configuração de IP.
Fonte: Conteudista
Configuração de IP. Vamos aqui nesta tela atribuir o IP que utilizamos durante a semana
passada. Siga os passos da tela acima. Note que especificamos o Servidor de DNS como a própria
máquina.
Fonte: Conteudista
E finalmente chegamos ao fim da instalação do AD. O Ato de instalar um AD
faz com que a máquina seja promovida a Controlador de Domínio. O nome do próprio
instalador já deduz isso: “dcpromo – Domain Controller Promotion”.
Após esta tela, o sistema deverá ser reiniciado para que a instalação seja concluída.
Fonte: Conteudista
Quando o computador reiniciar, você irá notar que a tela de logon vai sofrer
uma mudança. A partir de agora você deverá logar no domínio. Note que é
apresentado o nome de NETBIOS do domínio.
Mudança na tela de Logon. A partir de agora, o logon é no domínio e não mais na máquina local.
Na prática não muda nada no uso do Windows, mas em conceito sim.
Fonte: Conteudista
5.11. Conhecendo o programa do Active Directory
Para executar o Active Directory vá em Iniciar / Programas / Ferramentas
Administrativas / Usuários e Computadores do Active Directory.
Note a tela do AD. Veja que a pasta Users está aberta. Todos os usuários locais do sistema
foram promovidos a usuários do domínio e qualquer máquina do domínio poderá a partir de agora utilizar
estes usuários. Note também a presença de muito mais grupos do que na versão do Windows XP.
Fonte: Conteudista
Existe uma pasta chamada Built-in (algo como embutido ou incorporado em inglês) que trás uma série de
grupos padrões do Windows Server.
Fonte: Conteudista
Mais detalhes da tela principal do AD.
Fonte: Conteudista
5.11.1 Conhecendo os Objetos do Active Directory.
Para criar novos objetos no Active Directory, basta clicar com o botão direito em
uma das pastas do lado esquerdo e escolher. Veja na imagem abaixo, os objetos do
AD.
Do lado direito da tela foram criados alguns objetos. Alguns deles você já conhece como usuários e
grupos, mas existem outros que fazem toda a diferença.
Fonte: Conteudista
Vamos detalhar os principais objetos do AD.
Computer: Utilizado para criar contas de computador. Este é um novo conceito
para nós, pois até então estávamos trabalhando com contas de usuários, porém
quando uma estação é integrada ao Domínio de um AD, se faz necessário a criação
de uma conta de computador.
Contact: Apenas uma maneira de guardar dados pessoais do usuário. Você só
deve utilizar este contato, se não quiser criar uma conta para o usuário, pois na
criação da conta existem todos os campos que tem neste objeto.
Organization Unit: Esse é o grande diferencial. É um container de objetos, ou
seja, é como se fosse um grupo que contém não só usuários, mas quaisquer objetos
do AD. Utilizamos OU (Organization Unit ou Unidades Organizacionais em português)
para atribuir Diretivas de Grupos individuais e também serve como um diagrama
organizacional de uma empresa.
Printer: Para publicar impressoras compartilhadas no domínio
User: Usado para criar conta de usuário
Shared Folder: Usado para publicar pastas compartilhadas no domínio.
A melhor maneira de conhecer os objetos do AD é manipulando-os. Crie cada
um deles, conheça os campos e veja a riqueza de detalhes deste servidor.
5.11.2 Conhecendo o poder das OU
Uma OU (Unidade Organizacional) faz o que o nome dela já diz: ORGANIZA!
Uma OU deve ser utilizada para organizar sua estrutura de usuários e
recursos. A mesma filosofia de um grupo, deve ser utilizada pela OU. Crie uma OU e
coloque lá dentro todos os objetos referentes ao assunto pertinente a ela. Por
exemplo: crie uma OU chamada alunos e coloque lá as impressoras que os alunos
vão utilizar, as pastas compartilhadas, os usuários e grupos dos alunos.
Veja na figura abaixo, um exemplo de uso de OU. Vamos utilizar a mesma
estrutura da nossa empresa fictícia XYZ das duas semanas anteriores. Antes de
usarmos as OUs, vamos primeiro relembrar a estrutura da nossa empresa:
Os departamentos podem continuar sendo grupos, mas agora podemos criar
OU que irá armazenar grupos, usuários, computadores e quaisquer objetos referentes
ao departamento.
Veja como fica esta estrutura no AD
Vendas
Juca
Chaves
José
Recepção
Marta
Vanessa
Maria
Expedição
Dani
Ceni
Zezin
Diretoria
Habacuque
Jeremias
Note que cada departamento virou uma OU. E as OUs abrigam os objetos dos departamentos.
Note que o Dep. de Vendas, abriga os usuários do Dep. de Vendas e também foi criado um grupo vendas.
Para exemplificar, foi colocada a conta do computador COMPUTADOR1 na OU de vendas.
Fonte: Conteudista
Porém a grande utilidade de uma OU é a aplicação de Diretivas de Grupo (que
foi visto na semana 3). Por exemplo, posso proibir o uso do Painel de controle para o
Dep. de Vendas e proibir o Windows Explorer para o Dep. de Expedição aplicando a
regra diretamente na OU. Quando o usuário logar em qualquer computador da rede
ele receberá essa diretiva.
Para aplicar uma diretiva de grupo em uma OU faça os seguintes passos:
(vamos utilizar a OU vendas como exemplo).
Botão Direito na OU Vendas / Propriedades / Diretivas de Grupo
Clique no botão "Novo” e escreva um nome que lembre a diretiva. Exemplo:
“Diretiva Departamento de Vendas”.
Tela de criação do nome da diretiva
Fonte: Conteudista
Logo após clique no botão “Editar”. Conforme figura abaixo:
Pronto! Este programa já foi visto na semana 3. Porém há uma sutil diferença nesta tela com a
tela abaixo. Veja que aparece no topo da janela “Diretiva Computador Local”, ou seja, esta tela foi a que
utilizamos no Windows XP. Note na tela abaixo que agora a diretiva está no computador
servidor.sectma.pe.gov.br
Fonte: Conteudista
Note que a diretiva não é mais no computador local, e sim no domínio sectma.pe.gov.br, ou seja,
o que for aplicado aqui irá atingir qualquer máquina do domínio que os usuários desse departamento
logar.
Fonte: Conteudista
Do mesmo jeito que foi aplicado na OU VENDAS, você pode prosseguir
personalizando todas as diretivas para cada departamento, clicando com o botão
direito sobre cada OU e fazendo os passos descritos acima.
Saiba mais:
Se for necessário aplicar uma diretiva para todo o domínio, aplique-a
diretamente no domínio, conforme figura abaixo:
Como a estrutura é hierárquica, todos os objetos abaixo do domínio receberão a política por
herança.
Fonte: Conteudista
5.12 Adicionando uma estação ao Domínio
A parte de criação do domínio e do AD já foi vista. O servidor está pronto. Mas
como fazer com que meus sistemas operacionais clientes como Windows 2000
Professional, Windows XP e Windows Vista usufrua de todos os recursos do domínio?
A solução é adicionar a estação ao domínio.
Vamos usar como exemplo o Windows XP.
Em primeiríssimo lugar, é necessário que a máquina esteja em rede e que o
Windows XP seja capaz de “enxergar” o servidor. Para isso, utilize o comando ping (e
não esqueça de ativar a exceção no firewall relacionada ao protocolo ICMP, ou se
preferir desative todos os firewalls), abordado na semana 4. Como configuramos o
servidor com o IP 192.168.0.1 vamos prosseguir e colocar o IP 192.168.0.2 no
Windows XP. Porém um dos passos mais importantes é o Servidor DNS. Você deve
colocar o IP do AD. Conforme figura abaixo:
A configuração de rede correta é a garantia que a estação se juntará ao domínio sem problema.
Fonte: Conteudista
Depois de ter certeza que o Windows XP está em rede com o Windows 2003
Clique com o botão direito sobre meu computador / Propriedades / Clique na
aba Nome do Computador / Clique no botão Alterar. Conforme a tela abaixo.
Fonte: Conteudista
Digite o nome do domínio ao qual a estação deverá fazer parte.
Fonte: Conteudista
Ao pressionar OK, o sistema lhe apresentará uma tela de autenticação do
domínio. Aqui você deverá digitar o nome do administrador e a senha do Windows
2003 ao qual você está se conectando.
Fonte: Conteudista
Se tudo estiver correto, você receberá a tela de boas vindas ao domínio. E será
necessário reiniciar a máquina.
Telas de boas vindas ao domínio.
Fonte: Conteudista
Quando a máquina reiniciar, a tela de logon do Windows XP irá mudar. A partir
de agora você poderá logar no domínio ou na estação local. Os usuários locais,
continuaram como usuários locais, porém agora a estação Windows XP é capaz de
utilizar quaisquer usuários e/ou recursos que estão no AD, pois ela agora faz parte do
domínio. Se quiser testar, crie um usuário no AD, dê uma senha para ele e logue com
ele no Windows XP.
Note que agora você agora pode logar no domínio ou logar na máquina local. Se logar na máquina
local, você não será capaz de utilizar nenhum recurso do domínio. Se logar no domínio, todos os recursos
como impressoras, pastas e usuários estarão disponíveis para uso.
Fonte: Conteudista
A partir de agora, faça experiências, crie usuários, publique diretivas sobre as
OU e faça testes na máquina cliente. Experimente também a versão mais nova dos
servidores da Microsoft. O Windows 2008 Server.
RESUMO
O Active Directory é o servidor da Microsoft que implementa na rede um
Serviço de Diretório em uma rede.
Diretório é um local de armazenamento de objetos que contém informações
sobre usuários, arquivos de computador ou outros objetos.
Catálogo Global é o computador que tem o banco de dados do diretório.
Controlador do Domínio é o computador que geralmente armazena o catálogo
global e que tem o serviço de diretório instalado nele.
Um ou mais domínios do Active Directory que compartilham as mesmas
definições de classe e atributo é chamado de Floresta.
Apenas as Versões de Sistemas Operacionais servidores da Microsoft
possuem o Active Directory.
O sistema de nomes de máquinas é provido pelo protocolo NETBEUI
O Servidor DNS está intimamente ligado ao Active Directory.
O Active Directory é chamado de AD por profissionais da área.
Unidade Organizacional é a maneira de reunir diversos objetos do AD.
Mais detalhes em nossas vídeo aulas.
Até a semana que vem!
Referências bibliográficas:
Ajuda do Windows
Capítulo 6 – Baseado em http://www.devin.com.br/intro_linux/
http://wiki.ubuntu-br.org/GuiaIntrodutorio/LinuxIniciando/InstalarComDesktopCD
http://pt.wikipedia.org/wiki/GNOME