O Active Directory (Active Directory) é um serviço de diretório para uso em um ambiente Windows Server. É uma estrutura de banco de dados distribuída e hierárquica que compartilha informações de infraestrutura para localizar, proteger, gerenciar e organizar recursos de computador e de rede, incluindo arquivos, usuários, grupos, periféricos e dispositivos de rede.
O Active Directory é o serviço de diretório da própria Microsoft para uso em redes de domínio do Windows. O TI fornece funções de autenticação e autorização, além de fornecer uma estrutura para outros serviços desse tipo. O diretório em si é um banco de dados LDAPS que contém objetos em rede. O Active Directory usa o sistema operacional Windows Server.
Quando as pessoas falam sobre o Active Directory, geralmente se referem aos serviços de domínio do Active Directory, que fornecem serviços de autenticação e autorização integrados e em grande escala.
Antes do Windows 2000, o modelo de autenticação e autorização da Microsoft exigia a divisão de uma rede em domínios e, em seguida, a vinculação desses domínios a um sistema complicado e, às vezes, imprevisível de relações de confiança unidirecionais e bidirecionais. O Active Directory foi introduzido no Windows 2000 como uma forma de fornecer serviços de diretório para ambientes maiores e mais complexos.
Com o tempo, a Microsoft adicionou outros serviços sob a bandeira do Active Directory.
Esta versão leve dos Serviços de Domínio remove algumas complexidades e funcionalidades avançadas para oferecer apenas a funcionalidade básica do serviço de diretório, sem o uso de controladores de domínio, florestas ou domínios. Normalmente, é usada em ambientes de rede pequenos e de escritório único.
Os serviços de certificado oferecem serviços de certificação digital e dão suporte à infraestrutura de chave pública, ou PKI. Esse serviço pode armazenar, validar, criar e revogar credenciais de chave pública usadas para criptografia em vez de gerar chaves externa ou localmente.
Fornece um serviço de autenticação e autorização de logon único baseado na Web, principalmente para uso entre organizações. Assim, um prestador de serviços pode fazer logs em sua própria rede e ser autorizado a acessar a rede do cliente também.
Esse é um serviço de gerenciamento de direitos que divide a autorização além de um modelo de acesso concedido ou negado e limita o que um usuário pode fazer com determinados arquivos ou documentos. Os direitos e as restrições são vinculados ao documento e não ao usuário. Esses direitos são normalmente usados para impedir a impressão, a cópia ou a captura de tela de um documento.
Os alertas personalizados e a visualização de dados permitem que você identifique e evite rapidamente problemas de saúde e desempenho da rede.
Um dos principais recursos da estrutura do Active Directory é a autorização delegada e a replicação eficiente. Cada parte da estrutura organizacional do Active Directory limita a autorização ou a replicação a essa subparte específica.
A floresta é o nível mais alto da hierarquia da organização. Uma floresta é um limite de segurança dentro de uma organização. Uma floresta permite que a delegação de autoridade seja segregada em um único ambiente. Isso permite que um administrador tenha direitos e permissões de acesso total, mas apenas a um subconjunto específico de recursos. É possível usar apenas uma única floresta em uma rede. As informações da floresta são armazenadas em todos os controladores de domínio, em todos os domínios, dentro da floresta.
Uma árvore é um grupo de domínios. Os domínios em uma árvore compartilham o mesmo namespace raiz. Embora uma árvore compartilhe um namespace, as árvores não têm limites de segurança ou replicação.
Cada floresta contém um domínio raiz. Domínios adicionais podem ser usados para criar outras partições em uma floresta. O objetivo de um domínio é dividir o diretório em partes menores para controlar a replicação. Um domínio limita a replicação do Active Directory apenas a outros controladores de domínio dentro do mesmo domínio. Por exemplo, um escritório em Oakland não precisaria replicar os dados do Active Directory do escritório em Pittsburg. Isso economiza largura de banda e limita os danos causados por uma violação de segurança.
Cada controlador de domínio em um domínio tem uma cópia idêntica do banco de dados do Active Directory desse domínio. Esse banco de dados é mantido atualizado por meio de replicação constante.
Embora os domínios tenham sido usados no modelo anterior baseado no Windows-NT e ainda forneçam uma barreira de segurança, a recomendação é não usar apenas domínios para controlar a replicação, mas usar unidades organizacionais (OUs) para agrupar e limitar as permissões de segurança.
Uma unidade organizacional fornece o grupo de autoridade sobre um subconjunto de recursos de um domínio. Uma OU fornece um limite de segurança para privilégios elevados e autorização, mas não limita a replicação de objetos do Active Directory.
As UOs são usadas para delegar controle dentro de grupos funcionais. As UOs devem ser usadas para implementar e limitar a segurança e as funções entre grupos, enquanto os domínios devem ser usados para controlar a replicação do Active Directory.
Os controladores de domínio são servidores Windows que contêm o banco de dados do Active Directory e executam funções relacionadas ao Active Directory, incluindo autenticação e autorização. Um controlador de domínio é qualquer Windows Server instalado com a função de controlador de domínio.
Cada controlador de domínio armazena uma cópia do banco de dados do Active Directory que contém informações sobre todos os objetos do mesmo domínio. Além disso, cada controlador de domínio armazena o esquema de toda a floresta, bem como todas as informações sobre a floresta. Um controlador de domínio não armazenará uma cópia de nenhum esquema ou informação de floresta de uma floresta diferente, mesmo que estejam na mesma rede.
As funções especializadas de controlador de domínio são usadas para executar funções específicas que não estão disponíveis nos controladores de domínio padrão. Essas funções de mestre são atribuídas ao primeiro controlador de domínio criado em cada floresta ou domínio. No entanto, um administrador pode reatribuir manualmente as funções.
Existe apenas um mestre de esquema por floresta. Ele contém a cópia mestre do esquema usado por todos os outros controladores de domínio. Ter uma cópia mestre garante que todos os objetos sejam definidos da mesma forma.
Existe apenas um mestre de nomes de domínio por floresta. O domínio mestre garante que todos os nomes de objetos sejam exclusivos e, quando necessário, faz referência cruzada a objetos armazenados em outros diretórios.
Há um mestre de infraestrutura por domínio. O mestre de infraestrutura mantém a lista de objetos excluídos e rastreia as referências de objetos em outros domínios.
Há um mestre de identificadores relativos por domínio. TI rastreia a atribuição e a criação de SIDs (Security Identifiers, identificadores de segurança) exclusivos em todo o domínio.
Há apenas um emulador de controlador de domínio primário (PDC) por domínio. TI existe para oferecer compatibilidade com versões anteriores dos sistemas de domínio mais antigos baseados no Windows NT. O TI responde às solicitações feitas a um PDC da mesma forma que um PDC antigo responderia.
O armazenamento e a recuperação de dados em qualquer controlador de domínio são feitos pelo armazenamento de dados. O armazenamento de dados é composto de três camadas. A camada inferior é o próprio banco de dados. A camada intermediária é composta por componentes de serviço, o Directory System Agent (DSA), a camada de banco de dados e o Extensible Storage Engine (ESE). A camada superior é composta pelos serviços de armazenamento de diretório, LDAPS (Lightweight Directory Access Protocol), a interface de replicação, a API de mensagens (MAPI) e o Security Accounts Manager (SAM).
O Active Directory contém informações de localização sobre objetos armazenados no banco de dados; no entanto, o Active Directory usa o DNS (Sistema de Nomes de Domínio) para localizar os controladores de domínio.
No Active Directory, cada domínio tem um nome de domínio DNS e cada computador associado tem um nome DNS dentro desse mesmo domínio.
Tudo no Active Directory é armazenado como um objeto. A classe também pode ser definida como o "tipo" de um objeto no esquema. Os atributos são os componentes do objeto - os atributos de um objeto são definidos por sua classe.
Os objetos devem ser definidos no esquema antes que os dados possam ser armazenados no diretório. Depois de definidos, os dados são armazenados no Active Directory como objetos individuais. Cada objeto deve ser exclusivo e representar uma única coisa, como um usuário, um computador ou um grupo exclusivo de coisas (por exemplo, grupo de usuários).
Os dois principais tipos de objetos são os recursos e as entidades de segurança. As entidades de segurança recebem identificadores de segurança (SIDs), mas os recursos não.
As notificações em tempo real significam uma solução de problemas mais rápida para que você possa agir antes que ocorram problemas mais sérios.
O Active Directory usa vários controladores de domínio por vários motivos, incluindo balanceamento de carga e tolerância a falhas. Para que isso funcione, cada controlador de domínio deve ter uma cópia completa do banco de dados do Active Directory de seu próprio domínio. A replicação garante que cada controlador tenha uma cópia atualizada do banco de dados.
A replicação é limitada pelo domínio. Os controladores de domínio em domínios diferentes não se replicam entre si, mesmo dentro da mesma floresta. Todo controlador de domínio é igual. Embora as versões anteriores do Windows tivessem controladores de domínio primário e secundário, isso não existe no Active Directory. Ocasionalmente, há alguma confusão devido à continuação do nome "controlador de domínio" do antigo sistema baseado em confiança para o Active Directory.
A replicação funciona em um sistema pull, o que significa que um controlador de domínio solicita ou "puxa" as informações de outro controlador de domínio, em vez de cada controlador de domínio enviar ou "empurrar" dados para os outros. Por padrão, os controladores de domínio solicitam dados de replicação a cada 15 segundos. Certos eventos de alta segurança acionam um evento de replicação imediata, como um bloqueio de conta.
Somente as alterações são replicadas. Para garantir a fidelidade em um sistema com vários mestres, cada controlador de domínio controla as alterações e solicita apenas as atualizações desde a última replicação. As alterações são replicadas em todo o domínio usando um mecanismo de armazenamento e encaminhamento, de modo que qualquer alteração seja replicada quando solicitada, mesmo que a alteração não tenha sido originada no controlador de domínio que está respondendo à solicitação de replicação.
Isso evita o excesso de tráfego e pode ser configurado para garantir que cada controlador de domínio solicite seus dados de replicação do servidor mais desejável. Por exemplo, um local remoto com uma conexão rápida e uma conexão lenta com outros sites com controladores de domínio pode definir um "custo" para cada conexão. Ao fazer isso, a solicitação de replicação será feita por meio da conexão mais rápida.
