Active Directory – Introdução

Active Directory – Introdução

Faala galera, 100?%!

O artigo de hoje é o provável começo de uma serie. A galera que me segue sugeriu que eu falasse um pouco sobre o Active Directory (AD para mais intimos). Como eu gosto “pouco” (enfase nas aspas) decidi seguir a ideia e começar a escreve sobre.

A ideia deste artigo em específico é trazer uma visão geral sobre essa poderosa ferramenta da Microsoft. Mostrar o que é, como funciona (superficialmente por enquanto) e o que se ganha a nível de gestão de redes utilizando o AD. E EU SEI que o papo do momento são os serviços em nuvem, cloud computing, AD na Nuvem e tudo mais, entretanto, do meu ponto de vista profissional como IT Pro e Docente (palavra bonita para professor), não vale muito a pena ir pra nuvem sem ter uma base muito bem criada sobre os serviços on-premisses (local). Como diria a velha e sábia frase: Vamos começar do começo….então, let’s rock!

Há…não teremos apenas artigo, tenha certeza que vai rolar alguns vídeos com teoria e hands-on também!

Pra começar a conversa é preciso ilustrar um ambiente típico, sem o AD. Basicamente temos computadores interligados, independente do meio físico. Estes computadores trabalham de forma isolada. Cada configuração e ajuste deve ser feito de forma individual, maquina a maquina. Credenciais de acesso (usuário e senha) não são compartilhados, cada PC tem o seu usuário. Os arquivos ficam também isolados, cada qual em sua estação.

Ambientes dessa forma são chamados de “Workgroup” ou “Grupos de Trabalho”. A grande desvantagem nesse tipo de ambiente é a “DEScentralização”. Quando eu uso o termo “isolado” é para justificar que tudo deve ser feito maquina a maquina, nada pode ser feito de forma centralizada. Essa DEScentralização torna-se também o grande desafio para o administrador de rede/servidores. Imagine um parque com 20 maquinas, e todas deve estar padronizadas….por baixo temos ai 20 configurações a serem realizadas (1 por máquinas).

Com o Active Directory o cenário é totalmente modificado. Saímos de Workgroup ou Grupos de Trabalho para Domínio. Ao invés de termos 20 estações tendo de ser administradas de forma isolada, passamos a ter um local onde todas as configurações, permissões e credenciais são armazenados e gerenciados Imaginando o mesmo ambiente com 20 maquinas, teríamos o trabalho de configurar uma vez via servidor e aguardar a configuração ser entregue as 20 estações, de forma automática. Credenciais de usuário também centralizadas, sem dependência às estações. Vejam que o fato de centralizar a gestão torna o trabalho mais flexível e agil, logo, temos também a redução do custo operacional.

Exemplificando melhor podemos fazer a seguinte analogia.

  • WorkGroup: Cada PC é uma casa, cada casa tem suas regras. Se você quiser que todas as casas tenham a mesa regra é necessário ir de casa em casa e implantar tais regras
  • Domínio: Imagine um Hotel, com regras pré-definidas e aplicáveis a todos os quartos. Cada PC é um quarto do hotel, e independente do tamanho do quarto, quantidade de mobilia e recursos, todos seguirão as regras do Hotel (Domínio). Se alguma política precisar ser alterada todos os quartos receberão tais modificações de forma “automática”.

Ficou mais claro!? Obviamente existe flexibilidade para moldar e granulizar as configurações. O exemplo foi apenas para melhor ilustrar a diferença entre Grupo de Trabalho e Dominio.

O que é o Active Directory?

Em palavras bonitas, o AD é um banco de dados que permite a organização e estruturação de objetos de forma hierárquica. Utiliza o LDAP como protocolo base rodando na porta 389. Esse cara toma conta de todo o ambiente de rede microsoft. Como ele a gestão de usuários e computadores torna-se MUITO tranquila.

Além da gestão a centralização de identidade também um é atrativo interessante. O AD permite consulto a seu banco de dados por várias aplicações, dessa forma, a partir do AD é possível disponibilizar acesso a vários sistemas com as mesmas credenciais (a tal da integração)

Componentes do Active Directory

Como citei um pouco acima, logo que se instala o Active Directory é necessário criar um Dominio. Esse domínio é o espaço lógico, a base de dados onde todos os objetos estarão inseridos e poderão ser gerenciados. Um domínio faz parte de um Floresta do AD, que é um conjunto de vários dominio, e também pode ter dominios filhos. Calma…tudo fará sentido.

  • Dominio: Local centralizado onde objetos seguem regras definidas. Um dominio define limites de acesso para objetos contidos neles, interna e externamente.
  • Floresta: Conjunto de Dominios. Quando crio o primeiro domínio, automaticamente já inicio uma Floresta do AD
  • Dominio Filho: O nome diz tudo, é um dominio abaixo de outro dominio (entenderá melhor sua funções nos artigos futuros)

Assim que instalo o AD é necessário promover um Servidor a Controlador de Dominio. Esse DC (Domain Controller) será o responsável por responder a requisições dos usuários e fornecer os serviços do AD. Durante o processo de promoção é solicitado um nome para o Dominio. O nome deve possuir seguir o padrão .. Eu particularmente uso apenas duas opções: “DOMINIO.LOCAL” ou “DOMINIO.INT”. Esse nome será um guia para que as estações de trabalho encontrem o Active Directory na rede e seu respectivo dominio.

 Objetos do Active Directory

O AD é populado por objetos, TUDO que for inserido nele (AD) é considerado um objeto: Usuários, Computadores, Impressoras, Unidades Organizacionais, Containers, entre outros.

Cada objeto no AD possui um GUID/UUID que é uma sequência única no domínio usada para identificar cada objeto. Em teoria não é possível existir duplicações de GUID/UUID no domínio. Como esse código não é nada agradável aos olhos humanos, obviamente, temos a identificação dos usuários por nomes comuns.

  • Usuários: São contas que permitem login em estações que fazem parte do dominio. Em teoria cada usuário deve possuir sua conta. Cada conta que faz login em uma estação possui um perfil único e isolado.
  • Computador: São contas de computador. Para que um computador tenha uma conta no dominio né necessário ingressar com essa estação no dominio. Esse processo garante que o AD poderá controlar a estação de trabalho
  • Unidades Oganizacionais: Semelhante a pastas do Windows, as OUs nos garantem um nível de organização interessante dentro do AD. Com elas é possível cria a hierarquia necessára para melhor gerenciar seu ambiente.
  • Containers: Imagine a OUs, agora adicione que os containers são criados pelo proprio sistemas, durante a instalação do AD. Containers comuns são: Users e Computers
  • Grupos: Os grupos são objetos que facilitam a organização e gestão de objetos comuns. Em um grupo eu posso ter usuários, computadores e outros grupos também. Existe uma flexibilidade imensa ao agrupar vários objetos, principalmente a nível de gestão de permissão (Falamos muito sobre isso no cast sobre File Server). Existem alguns tipos de grupos que falaremos mais adiante, em outro artigo. A priori, sabia que temos: Grupos Globais, Grupos Domino Local e Grupos Universais.

Recursos do Active Directory

Group Policy Objects

As GPOs, são famosas e amadas por muitos administradores de rede. As política de grupo permitem aplicar configurações a estações de trabalho e usuários de forma centralizada. As GPOs estão contidas na instalação do AD. Não vou falar muito sobre isso pois temos vários artigos sobre e uma playlist no canal do youtube mostrando o poder das GPOS.

Servidor Adicional

SIM, é possivel e recomendado ter mais de um servidor hospedando o AD dentro da mesma rede. Isso garante disponibilidade em caso de falha. O que é MUITO importante deixar claro é que não existe servidor principal e/ou secundário. Muita gente ainda usa os conceitos de PDC (Primary Domain Controller) e BDC (Backup Domain Controller), mas não deveria. O AD implementa uma espécie de balanceamento de carga quando existe mais de um DC no ambiente. Em caso de falha de um, os demais assumem as demandas de login dos usuários. Beleza, não tem AD Secundário, mas e ai…como funciona? O que temos são as Funções Mestre ou FSMO. Elas definem qual server é responsável por determinada função dentro do dominio. Já escrevi sobre também, aproveita e já de uma olhada aqui.

Comunicação entre domínios distintos

Totalmente possível utilizando relações de confiança entre dominio. Essa configuração permite que dois dominios “conversem”, garantindo acesso duas vias entre seus objetos (se configurado). Como o tema é extenso e precisa de um pouco mais de embasamento, saiba que é possível…vamos falar mais sobre nos próximos artigos.

Concluindo

Bom, já tem conceito demais ai pra ser estudado! O primeiro artigo fica por aqui. Em resumo, esse carinha é uma ferramenta poderosa e super complexa. Dominar o AD é o primeiro passo para as demais tecnologias que integram-se a ela, e eu diria que a base para qualquer administrador de redes Windows.

Continue de olho e não deixe de se inscrever no site e canal para acompanhar os próximos capítulos desta série (viu…virou série =D).

Espero que tenha curtido! Grande abraço \,,/

 

Leave a Reply