O que faz o AD DS da Microsoft?

Partilhar

Junte-se a nós neste artigo no qual vamos descobrir o que faz um AD DS da Microsoft e porque é que precisamos de configurá-lo e administrá-lo com eficiência para melhorar a gestão, a segurança e a fiabilidade da nossa rede profissional.

 

Introdução ao AD DS:

Quando falamos de redes empresariais da Microsoft, compostas por servidores Windows Server, máquinas-cliente como Windows 10 e Windows 11, sem contar versões anteriores como XP, 7, 8, 8.1, etc., e servidores de aplicações como IIS, SQL Server, etc., a maioria dos utilizadores não sabe que o tecido que mantém tudo isso conectado e consistente é o serviço AD DS, entre outros.

O serviço Directory fornecido pelos AD DS (Active Directory Domain Services) da Microsoft é talvez o serviço mais importante deste tipo em redes empresariais (referimo-nos às da Microsoft).

Este é um serviço que vai fornecer serviços centrais que engrenam e lubrificam toda a maquinaria da nossa rede para que funcione de forma coerente, fazendo com que os utilizadores tenham acesso aos serviços que devem ter, que as máquinas se liguem aos repositórios corretos, que se possa aceder ao software relevante, etc.

Active Directory ou Diretório Ativo em português, é um serviço de “diretório”, ou seja, serve para localizar endereços de elementos e serviços dentro da nossa organização. Basicamente, este serviço é uma forma de armazenar as informações de todos os objetos existentes na nossa rede empresarial. Da mesma forma, este serviço encarrega-se de organizar e gerir a rede, para que a informação seja útil para o nosso negócio.

Isto permite que todos os serviços existentes na nossa empresa sejam publicados para que outros serviços ou utilizadores possam encontrá-los, sempre que seja necessário.

Esta informação está disponível de forma distribuída ao longo de toda a operação, dentro de servidores especialmente criados para essa finalidade, chamados Controladores de Domínio ou DCs, da sigla em inglês Domain Controllers.

A estrutura gerada por este serviço permite que milhões de objetos sejam geridos de forma centralizada, mantendo o controlo sobre localização, alterações, atualizações, etc., de forma constante.

O diretório também fornece autorizações de acesso a serviços e máquinas dentro da rede, para utilizadores, grupos, máquinas e outros serviços, sendo de certa forma o garante da segurança da infraestrutura, tendo em conta que um domínio bem organizado já é uma infraestrutura relativamente segura.

Quando falamos deste serviço, dizemos sempre que é um serviço disponível globalmente ou que está distribuído por toda a infraestrutura; isto requer que existam características de redundância e que os servidores que fornecem o serviço sejam replicados, gerando assim uma estrutura de cluster com uma infinidade de nós para que a informação esteja disponível constantemente.

Posto isto, podemos resumir que o serviço Microsoft AD DS ou diretório Microsoft é a espinha dorsal da organização, articulando todos os serviços que permitem o correto funcionamento dos elementos da rede, sendo também a raiz de serviços como o de resolução de nomes (DNS) ou de atribuição de dados de rede (DHCP).

Imagem. Interface de gestão do AD DS Server durante o processo de troca de utilizador.
Imagem. Interface de gestão do AD DS Server durante o processo de troca de utilizador.

 

Componentes do AD DS:

Quando falamos de domínios do Active Directory, normalmente referimo-nos a uma grande quantidade de vocabulário que pode soar estranho para quem nunca trabalhou com ele. Entre os termos que compõem este vocabulário, existem diversos componentes do AD DS. Vamos citar alguns deles a seguir.

NOTA: Estas definições estão intimamente relacionadas, por isso é recomendável lê-las todas para entendê-las corretamente, pois é possível que, ao ler a definição de um termo, seja encontrado outro termo que precise de ser definido.

  • Armazém de dados: este é o nome dado à cópia da base de dados de elementos e relacionamentos de domínio que é armazenada em cada um dos controladores de domínio, e que basicamente armazena tanto os objetos e as suas características como as políticas de segurança e configuração.
  • Árvore: é uma coleção hierárquica de domínios que partilham uma raiz de domínio comum e um namespace relacionado baseado em DNS.
  • Catálogo global: é um controlador de domínio que contém uma cópia somente leitura de todos os objetos da floresta. A principal função do catálogo global é agilizar a busca de objetos para tornar mais simples a gestão.
  • Controlador de domínio: é um servidor que contém uma cópia da base de dados dos Serviços de Domínio Active Directory (AD DS) no qual também é possível fazer alterações, registar adições, exclusões ou modificações de elementos ou objetos, se necessário. Além disso, tem a função de sincronizar as alterações com os restantes controladores de domínio da organização, para que todos fiquem sincronizados.
  • Domínio: é basicamente um recipiente lógico de objetos geridos como computadores, utilizadores e grupos que são atribuídos com base em relações hierárquicas pai-filho e que estabelecem uma série de regras que permitem o correto funcionamento dos elementos que estão integrados na referida organização.
  • Esquema: o esquema é basicamente um componente que estabelece um conjunto de definições dos objetos e atributos que permitem definir os objetos que são criados dentro do domínio. Além disso, é responsável por manter uma cópia do referido esquema em toda a floresta.
  • Objetos: unidade de armazenamento de domínio que é basicamente definida pelos utilizadores de domínio, computadores ou grupos. Estes são agrupados em classes, que por sua vez possuem regras que definem os atributos de cada uma das classes.

 

Imagem. Consulta de informações sobre a floresta do AD DS com o PowerShell.
Imagem. Consulta de informações sobre a floresta do AD DS com o PowerShell.

 

Uma base de dados:

O diretório AD DS forma uma base de dados que contém todas as informações sobre os objetos no nosso diretório ativo, bem como as suas relações. A sua estrutura é dada pelo esquema do domínio, e os elementos que são capazes de armazenar são utilizadores, computadores, grupos e serviços, como aplicações, impressoras, pastas partilhadas, etc.

Assim como numa base de dados, o domínio é estruturado com um design que determina os tipos de dados usados ​​e as relações entre eles. Este desenho, como mencionado anteriormente, é o que chamamos esquema, e que é sempre monitorizado pelo esquema de domínio master e contém as definições formais de cada classe de objeto que pode ser registada no domínio.

Da mesma forma, é bom saber que o esquema é predefinido por uma série de especificações, mas se o administrador quiser pode alterar a sua estrutura para adaptá-la às necessidades da organização.

NOTA: Como sempre recomendamos, antes de mexer na estrutura do esquema, deve planear tudo com cuidado para evitar problemas com o funcionamento do domínio.

Dentro desta base de dados, devemos ter em conta que existem alguns objetos capazes de conter outros objetos e capazes de dotá-los de alguma herança dada pelos diferentes níveis que os compõem.

Cada um dos objetos terá uma série de atributos que lhe permitirão comportar-se de uma forma ou de outra, e que lhe permitirão relacionar-se com o resto dos objetos de uma maneira particular.

Os atributos do objeto são campos como nome, password, organização, departamento, e-mail, hora da última sessão, associações a grupos, etc., bem como outros elementos, como o identificador de segurança (SID) ou o identificador exclusivo global (GUID).

 

Inicio de sessão ou acesso a recursos:

Temos falado sobre objetos como utilizadores e computadores, e sobre regras, associações, etc., mas agora deve estar a perguntar-se como é que todos estes conceitos estão relacionados.

Para relacioná-los, vamos pensar em como pode ser o processo em que um utilizador tenta aceder a um computador ou outro recurso, e como isto é resolvido dentro do domínio.

Imagem. Processo de login ou acesso a um recurso no AD DS.
Imagem. Processo de login ou acesso a um recurso no AD DS.

Quando o utilizador tenta fazer login num computador pertencente ao domínio, o computador no qual está a operar iniciará uma conexão com o controlador de domínio para realizar uma consulta, basicamente baseada no serviço DNS, que identifica os servidores através de registos especiais.

Uma vez localizado, caso esteja a fazer uma validação, a máquina envia o nome de utilizador e a password ao controlador de domínio para que este realize a respetiva autenticação.

Este processo inicial é chamado autorização de segurança local DC e, se for bem-sucedido, gera-se um token para cada utilizador, que contém identificadores de segurança que conectam o utilizador com os grupos aos quais pertence.

Este token é uma string única chamada SID (Security IDentificator) que permite ao utilizador aceder aos recursos cujo acesso foi previamente concedido nas regras de segurança do domínio.

NOTA: O SID é um identificador de segurança composto por uma string exclusiva que identifica apenas um objeto dentro de um domínio.

Desta forma, se o utilizador foi validado corretamente com este processo no computador onde estava a tentar aceder, o token gerado anteriormente dar-lhe-á também acesso a qualquer outro recurso a que tentar aceder.

 

Como se cria um domínio?

Neste ponto, uma pergunta que pode surgir é: como criar um domínio? Bem, a resposta pode ser mais ou menos simples dependendo do tempo que quisermos dedicar-lhe, mas acreditamos que a informação mais importante está neste link (em inglês): “Como configurar o AD DS no seu servidor Windows” onde explicamos isto através de um procedimento passo a passo. Além disso, fica também aqui este exemplo de como se pode registar um domínio com o PowerShell:

Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:\Windows\NTDS» `
-DomainMode «WinThreshold» `
-DomainName «PruebasNacho.int» `
-DomainNetbiosName «PRUEBASNACHO» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:\Windows\NTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$true

 

Conclusões:

Ao longo deste artigo, discutimos o que faz um AD DS da Microsoft e porque é que precisamos dele para o bom funcionamento da nossa organização.

Os serviços de domínio, juntamente com outros serviços associados, formam a base para as redes da maioria das organizações, pelo menos aquelas cujo núcleo é baseado em plataformas Wintel.

Temos de pensar que o AD DS é na verdade uma grande base de dados que contém os objetos que compõem o domínio, como utilizadores, computadores, servidores ou grupos de qualquer um dos elementos anteriores.

Esta estrutura de base de dados, afinal, descreve uma estrutura que organiza esses objetos e permite que as pesquisas sejam realizadas de acordo com uma lógica marcada por regras dadas, que também são aplicadas para criar, modificar ou excluir novos objetos.

Se quiser saber mais sobre AD DS, pode consultar os tutoriais sobre esta tecnologia que temos no nosso blog.

Obrigado por acompanhar-nos!

Categorias:Cloud e sistemas

Outros artigos que podem interessar-lhe

11 de Setembro de 2024
Ao longo das próximas linhas, vamos fazer uma breve análise do Windows Server 2025, onde nos concentraremos nas novidades,
3 de Julho de 2024
O Disaster Recovery da Jotelulu é uma solução desenvolvida a pensar nas PME. Que argumentos deve a empresa de
2 de Julho de 2024
Acompanhe-nos neste artigo se quiser conhecer as principais chaves para entender um plano de Disaster Recovery com a JOTELULU.