Active Directory: O que é e como funciona?
Qualquer empresa que utiliza uma rede de computadores do tipo cliente-servidor precisa organizar como seus colaboradores acessam e usam as informações corporativas.
Organizar como essas interações acontecem previne que funcionários tenham acesso à dados ou recursos destinados a profissionais de outros níveis hierárquicos, além de facilitar o controle e gerenciamento do ambiente.
Para que cada usuário tenha o acesso correto aos recursos de rede disponíveis, é necessário que a autenticação de entrada na rede esteja associada a um banco de dados.
Esses bancos de dados são os responsáveis em armazenar o consta o nome de cada usuário da rede, o cargo, as funções exercidas e seus respectivos privilégios.
O problema é que criar, gerenciar e manter atualizado registros de milhares de funcionários que acessam diversas aplicações instaladas em vários servidores é difícil e muitas vezes desnecessário.
Um call center com centenas de funcionários que exercem a mesma função geralmente atribui os mesmos níveis de acesso para todos os envolvidos, ou seja, usam a mesma estrutura de priviégios.
Uma das ferramentas utilizadas para isso é o Active Directory da Microsoft, que além de autenticar, guardar e organizar estas informações, permite que os administradores gerenciem as permissões e os acessos aos recursos da rede conforme a necessidade.
O que é Active Directory?
Active Directory é uma ferramenta da Microsoft executada em Windows Server que faz a autenticação, o gerenciamento e o controle de acesso dos usuários de uma rede. Esse serviço utiliza o protocolo LDAP, gerencia as permissões e libera acesso aos recursos da rede através de um banco de dados.
Esse banco de dados, por sua vez, contêm as informações de todos os funcionários da empresa e usuários do sistema, como por exemplo nome, cargo, email, telefone, privilégios, logins e senhas.
O Microsoft AD simplifica o gerenciamento de usuários para os administradores de TI e elimina a necessidade de fornecer um conjunto diferente de credenciais ou senha para cada aplicativo ou serviço.
Domínios x grupos de trabalho
O que é um grupo de trabalho?
Grupo de trabalho é o termo usado pela Microsoft para máquinas Windows conectadas através de uma rede ponto a ponto.
Frequentemente utilizado em pequenas redes domésticas, os grupos de trabalho permitem compartilhar arquivos, acessar a internet, impressoras e outros recursos pela rede.
As redes do tipo “ponto a ponto” podem ser montadas sem nenhum software adicional, são fáceis de configurar e eliminam a necessidade de um servidor para autenticação.
O que é um domínio?
Os domínios, ao contrário dos grupos de trabalho, são caracterizados como um grupo de objetos que compartilham o mesmo banco de dados dentro de uma estrutura de diretórios.
O conceito de domínio foi idealizado para redes corporativas, e são coleções que podem hospedar milhares servidores, sistemas de armazenamento, computadores e impressoras de diferentes redes locais.
Já em grupos de trabalho não é possível conectar muitos usuários, os controles de acesso são superficiais e não existe a diferenciação lógica entre o que é um servidor e uma estação, todos são computadores.
Já em uma estrutura de domínio, pelo menos um dos computadores é um servidor, que é usado para controlar permissões e recursos de segurança para cada objeto dentro do ambiente.
Qual é a estrutura básica do Active Directory?
A estrutura básica do Active Directory incorpora os seguintes componentes:
Computadores e usuários - Esses itens representam um computador ou conta de usuário na empresa. Cada conta de usuário é descrita por atributos como o nome, cargo, endereço de e-mail, localização, etc.
Unidades organizacionais (OU) - São elementos usados para organizar usuários, grupos, computadores e outros recursos.
Domínios - Domínio é uma coleção de objetos agrupada dentro de uma rede cliente-servidor e autenticada em um único banco de dados.
Árvores - Uma árvore de domínios é composta por vários domínios que compartilham um esquema ou configuração comum, formando um namespace contíguo.
Os domínios em uma árvore também são vinculados por relações de confiança. O Active Directory é um conjunto de uma ou mais árvores relacionadas.
Floresta - Uma floresta é uma extensão hierárquica de uma árvore: É um limite administrativo que serve para facilitar o gerenciamento e a autenticação de várias árvores, domínios e objetos.
As relações de confiança
O Active Directory Microsoft é uma aplicação que depende das "relações de confiança" para moderar as autenticações e os direitos de acesso dos recursos entre os domínios dentro de uma rede local ou remota.
Existem vários tipos de terminologias confiáveis relacionadas ao Active Directory, são elas:
Confiança unidirecional: Ocorre quando um primeiro domínio permite privilégios de acesso a usuários em um segundo domínio. Entretanto, o segundo domínio não permite acesso aos usuários do primeiro.
Confiança bidirecional: Neste caso, ao contrário do anterior, os domínios permitem o acesso de ambos.
Domínio confiável: Trata-se de um domínio único que permite o acesso do usuário a outro domínio.
Confiança transitiva: Estende-se a confiança de um domínio para além de outros domínios confiáveis em uma floresta.
Confiança explícita: Consiste em uma confiança unidirecional intransitiva criada por um administrador da rede.
Confiança de link cruzado: Basicamente é um tipo de confiança explicita, mas que ocorre entre dois domínios dentro da mesma árvore, sem relacionamento "pai-filho" entre eles ou entre dois domínios de duas árvores diferentes.
Relação de confiança de floresta: Aplica-se a domínios em toda a floresta, podendo ser unidirecional, bidirecional ou transitiva.
Relação de confiança intransitiva: Trata-se de uma relação de confiança unidirecional limitada a dois domínios.
Relação de confiança externa: Trata-se da relação entre domínios de florestas distintas ou de domínios que não são do Microsoft AD. Essas relações são intransitivas, unidirecionais ou bidirecionais.
Relação de confiança de gerenciamento de acesso privado (PAM): Já este caso, trata-se de uma relação de confiança unidirecional criada pela própria Microsoft entre uma floresta de produção e uma floresta de administrador.
Atalho: É a união de dois domínios pertencentes a árvores separadas e podem ser unidirecionais, bidirecionais ou transitivos.
Reino: Consiste em uma relação de confiança que pode ser do tipo transitiva, intransitiva, unidirecional ou bidirecional.
Quais são os principais serviços do Active Diretory?
O principal serviço do Active Directory são os chamados Serviços de Domínio, representado pela sigla AD DS, cujo objetivo é armazenar as informações do diretório e auxiliar na interação do usuário com o domínio.
Para funcionar, assim que um usuário entra em um dispositivo ou tenta se conectar a um servidor em rede, o AD DS verifica esse acesso e o autoriza ou não, de acordo com os limites estipulados para cada objeto.
Segundo a própria descrição da Microsoft, o Active Directory armazena os dados como objetos, também chamados de recursos, como por exemplo servidores, impressoras, storages, computadores, usuários etc.
Cada objeto, é categorizado por nome e atributo. Por exemplo, um objeto/usuário pode incluir a sequência de seu nome, junto com informações como suas respectivas senhas, chaves de acesso e nível hierárquico.
O AD DS (Active Directory Domain Service) é a ferramenta dentro do AD que permite que os administradores configurem quais recursos cada usuário terá acesso, bem como a montagem de regras das políticas de grupo.
O que faz o Microsoft AD?
Os Serviços de Domínio Active Directory (AD DS) controlam as operações de um ambiente de TI e ajudam a garantir a segurança do diretório gerenciando os seguintes processos:
Autenticação - Esse processo garante que cada entidade seja quem diz ser, geralmente verificando credenciais como ID de usuário e senha durante um processo de login.
Autorização - A autorização é a verificação de credenciais e a garantia que cada entidade possa usar apenas os dados e serviços aos quais eles têm permissão.
Resolução de nomes - O DNS permite que clientes e controladores de domínio se localizem e se comuniquem entre si. O AD DS usa o DNS como seu principal método de resolução de nomes.
Gerenciamento centralizado - O gerenciamento centralizado possibilita o controle de uma ampla variedade de configurações de um único local, tudo através de um recurso chamado Diretiva de Grupo.
Como funciona o Active Directory?
Os Serviços de Domínio Active Directory usam uma estrutura formada por arranjos de informações sobre os objetos, processos e serviços, sendo estes divididos em um layout que facilita a coordenação dos elementos da rede.
Essa estrutura consiste na definição de domínios, árvores e florestas. Os domínios são instâncias mais simples e estão presentes nos níveis mais baixos enquanto as florestas são mais complexas e estão nos níveis mais altos.
Mais sobre domínios
Um domínio é caracterizado por um grupo de objetos (usuários, computadores, impressoras, etc..), geralmente na localizados na mesma rede física e que compartilham o mesmo banco de dados do AD.
Para facilitar a organização, os domínios possuem um sistema de nome próprio (DNS) agrupados em um único banco de dados de autenticação executado em um servidor.
Conhecido como controlador de domínio, este servidor é responsável por autenticar e autorizar todos os usuários e computadores, bem como pelas permissões, modificações, edições, atribuir e aplicar políticas de segurança.
Objetos diferentes, como usuários, dispositivos e computadores que compartilham o mesmo banco de dados fazem parte do mesmo domínio.
O que é uma árvore AD?
A árvore, por sua vez, é um grupo de um ou mais domínios. Uma árvore do AD DS também são vários domínios conectados por relações de confiança transitivas bidirecionais. Cada domínio em uma árvore do AD compartilha um esquema comum e um catálogo global.
Vale destacar que em uma árvore, todos os domínios compartilham o mesmo namespace. Isso ocorre para transformar a coleção de domínios em uma hierarquia lógica.
Por conta da natureza hierárquica dessa configuração, o primeiro domínio pode estabelecer uma relação de confiança com o domínio subsequente dentro da árvore.
Neste contexto, uma relação de confiança é um link de administração e comunicação entre domínios. Essa relação permite que contas de usuários e grupos globais sejam utilizados em domínios diferentes do local onde as contas foram definidas.
Essa relação de confiança significa, portanto, que a conexão é segura, sendo inclusive, passada adiante. Logo, um segundo domínio pode confiar no terceiro e assim sucessivamente.
As florestas
Já uma floresta é um grupo de várias árvores, que como vimos, são unidas por uma relação de confiança entre os domínios.
Resumidamente, uma floresta é composta por um catálogo compartilhado, informações de aplicativos, sistema de diretório e configurações de domínio.
O sistema de diretório define a classificação e os atributos de um objeto dentro de uma floresta. Quanto aos servidores de catálogo global, estes fornecem uma lista de todos os objetos em uma floresta.
Segundo a própria Microsoft, as florestas são o limite de segurança do AD, enquanto os domínios podem ser gerenciados para configurações como criptografia e autenticação.
Um pouco da história do Active Directory
O Active Directory foi apresentado ao mundo em meados da década de 1990 pela Microsoft como um substituto para a autenticação de usuários do Windows NT, mas foi efetivamente lançado com o Windows 2000 Server.
Enquanto o antigo serviço de domínio do NT incluía um modelo plano, não escalável e que por isso não funcionava bem em grandes corporações, o Active Directory criava uma estrutura sólida e expansível para serviços de diretórios.
Após o lançamento, a cada nova versão do Windows Server, a Microsoft continuou adicionar novos recursos ao Active Directory, até chegar ao resultado atual.
Quais as principais atualizações recebidas pelo Microsoft AD?
Windows Server 2003 - O AD foi atualizado com um modelo de domínio organizacional (floresta), que permitiu delegar autoridade para o gerenciamento de serviços no nível de domínio.
Esta atualização também incluiu a capacidade de editar e alterar a posição dos domínios nas florestas. Vale destacar que os domínios no Windows Server 2000 não podiam dar suporte às atualizações mais recentes desta fase.
Windows Server 2008 - Já no Windows Server 2008, foi incluído o AD FS (Active Directory Federation Services), responsável pela requisição de autenticação.
Nesta atualização, o diretório para gerenciamento de domínio, tornou-se termo abrangente para todos os serviços baseados em diretório que ele suportava.
Windows Server 2012 - Esta versão, foi a que teve maior reformulação no AD desde que ele fora lançado. Toda a experiência até aqui, foi crucial para tornar a experiência do usuário mais flexível, intuitiva e com maior capacidade de suporte para arquitetos e administradores de TI.
O novo gerenciador permitiu o monitoramento de desempenho, análises de melhorias, serviços críticos, logs de evento e suporte a vários computadores usando as mesmas entidades de segurança.
Windows Server 2016 - No Windows Server 2016, o AD DS foi atualizado para melhorar a segurança do AD e migrar os ambientes do Active Directory para nuvem ou nuvem híbrida.
Além disso, as atualizações de segurança incluíram a adição do PAM, responsável por monitorar o acesso ao objeto, tipo de acesso e quais ações o usuário poderia realizar.
Em dezembro de 2016, a Microsoft lançou o Azure AD Connect que habilitou outros serviços da empresa, como o Office 365. O Azure AD Connect funciona com sistemas que executam o Windows Server 2008, 2012, 2016 e 2019.
Rede de Computadores
Tudo o que você precisa saber sobre soluções de Rede de Computadores.
NAS ou nuvem? Qual a melhor forma de armazenar os dados da empresa
NAS ou nuvem? Qual a melhor forma de armazenar os dados? Saiba porque os storages NAS são uma alternativa de armazenamento aos servidores de nuvem
7 erros mais comuns ao comprar um sistema de armazenamento
Saiba como evitar os erros mais comuns antes de adquirir um servidor ou storage. Confira aqui algumas dicas para facilitar esse processo de compras.
O que é um Storage de alta disponibilidade (HA)?
O que é um Storage de alta disponibilidade (HA)? Conheça nossas soluções resistentes a falhas de hardware, software e energia e não perca mais dados.