Partager via


Conceitos : Florestas, Árvore e Domínios

Pessoal,

Tenho conversado com muitas pessoas no projeto onde estou atualmente e encontrei muitas pessoas com dúvidas sobre os conceitos sobre Floresta, Árvore, Domínios, Isolamentos, etc.

Neste post pretendo dar uma visão geral sobre o assunto:

Nível da Floresta e Árvore e Domínios

Para entender as definições e características de florestas, domínios e Unidades Organizacionais (OU) é conveniente revisar o tópico de delegação do Active Directory.

Uma floresta é uma coleção de domínios com Schema e configuração compartilhados, representado por um único e lógico Global Catalog (GCs) e conectado por uma árvore dispersa de relações de confiança transitivas. Uma floresta é representada por um domínio de floresta raiz.

O proprietário padrão da floresta é o grupo Domain Admins do domínio raiz. Este grupo controla os membros dos grupos Enterprise Admins e Schema Admins, os quais por padrão têm controle sobre as configurações gerais da floresta. Pelo fato de o proprietário da floresta controlar os controladores de domínio, o proprietário da floresta é o administrador de serviço.

Um domínio é uma partição de uma floresta Active Directory. O proprietário administrativo padrão de um domínio é o grupo Domain Admins do domínio. Pelo fato de o proprietário do domínio controlar os controladores de domínio, o proprietário do domínio é o administrador de serviço. Todos os proprietários de domínio, exceto o raiz, são pares, independentemente de sua posição no domínio; o proprietário de um domínio pai, que não seja o raiz, não possui controles administrativos padrões sobre o domínio filho.

Uma Unidade Organizacional (OU) é um container dentro de um domínio. O controle sobre a OU e os objetos no interior da OU são determinados exclusivamente pelo Access Control List (ACLs) sobre a OU e seus objetos. Usuários e grupos que possuem controle sobre os objetos na OU são administradores de dados.

Determinando o número de Florestas

Quanto maior o número de organizações que possam participar da floresta, maiores são os possíveis benefícios, advindos da colaboração e redução de custos. Por esta razão, são consideradas melhores práticas as tentativas de minimizar o número de florestas ao implantar o Active Directory. Entretanto existem situações na qual o requisito de delegação faz com que o uso de múltiplas florestas seja necessário e apropriado. Por exemplo, em organizações onde o controle administrativo é amplamente distribuído, pode ser impraticável esperar que todas as organizações participem de uma mesma infra-estrutura. Nestes casos, o custo de gerenciamento de uma floresta adicional é suportado em função da satisfação do requisito prático.

Uma vez que os requisitos de delegação foram compreendidos é possível definir o número de florestas que a organização requer. A necessidade de uma nova floresta advém da existência de um dos três cenários a seguir:

Isolamento de serviço: Um departamento requer que nenhum administrador fora do departamento deva interferir na operação do serviço de diretório. A requisição de isolamento de serviço é usualmente baseada em necessidades legais ou de segurança operacional. Por exemplo, considere uma aplicação baseada em serviço de diretório que suporte um processo de manufatura altamente controlado. Se o diretório de aplicação é distribuído em um domínio de uma dada floresta, é possível que o proprietário da floresta, inadvertidamente ou não, faça a interrupção do serviço de diretório do domínio de manufatura. Isto pode ocorrer através da remoção de sites ou remoção da configuração de informações de um container de sistema ou até mesmo após a mudança de Schema. Esta interrupção pode causar a falha na aplicação de manufatura.

Autonomia de serviço em nível de floresta: Neste cenário, múltiplos participantes possuem a habilidade de modificar dados em nível de floresta, como Schema, independentemente um do outro. Este requisito é usualmente baseado em necessidades operacionais ou de estrutura organizacional. Um bom exemplo aplicável a este cenário pode ser o uso de duas aplicações que partilham a mesma classe e nomes de atributos, mas definem seu uso de maneiras diferentes. Pelo fato de existir somente um Schema na floresta, a única forma de isolar os dois Schemas é colocando-os em florestas separadas.

Isolamento de dados a partir de proprietários de serviços: Uma organização requer que o proprietário do domínio previna o acesso de dados armazenados no domínio pelos proprietários de serviços na floresta. Este requisito usualmente é baseado em necessidades legais. Considere, por exemplo, um requisito legal onde somente pessoas de um departamento específico podem acessar dados em um domínio. Se o domínio foi criado como um domínio separado na floresta, não haverá formas de assegurar a conformidade deste requisito porque um administrador corporativo (enterprise admin) pode sobrepor qualquer definição de segurança aplicado pelo administrador do domínio.

Isolamento e Autonomia

Requisitos de Delegação

Conforme descrito anteriormente, os requisitos de delegação de uma organização geralmente recaem em duas categorias: autonomia e isolamento.

Autonomia: É a habilidade dos administradores de uma organização em gerir de forma independente, os seguintes itens:

• Toda ou parte da administração de serviço (autonomia de serviço)

• Todo ou parte do dado armazenado no diretório ou nos computadores membros do domínio (autonomia de dados)

Isolamento: É a habilidade dos administradores de uma organização de prevenir outros administradores de:

• Controlar ou interferir com a administração do serviço (isolamento de serviço)

• Controlar ou visualizar um subconjunto de dados no diretório ou nos membros que pertencem ao domínio (isolamento de dados)  

A Autonomia é menos restritiva do que o Isolamento. Administradores que requerem somente autonomia aceitam que outros administradores com privilégios iguais ou superiores possuam controle equivalente. Administradores que requerem isolamento procuram especificamente bloquear outros administradores na visualização ou controle de suas porções de serviço ou dados. Pelo fato de autonomia ser menos restritivo que isolamento, é geralmente menos dispendioso e mais eficiente delegar autonomia no Active Directory.

A combinação de administração de serviço, administração de dados, autonomia e isolamento determinam qual estrutura de Active Directory deve ser utilizada para delegar controle em uma organização.

Comments

  • Anonymous
    January 01, 2003
    Sergio, Se os dominios estão separados e não fazem parte da mesma floresta, através de "trust" (entre os dominios) é possivel fazer a conexão via remote desktop, porem a estacao do usuario poderá pertencer apenas a um dos dominios. Para que a estação dos usuarios possa acessar aos dois dominios voce precisará ter os 2 dominios na mesma floresta e para isso, voce poderá fazer a migração de um dos dominios para a floresta do outro dominio, utilizando ferramentas de migração como o ADMT (http://www.microsoft.com/downloads/details.aspx?familyid=AE279D01-7DCA-413C-A9D2-B42DFB746059&displaylang=en). Abraços, Eduardo

  • Anonymous
    August 24, 2009
    Tenho aqui na empresa, dois dominios distintos, A e B.Instalados e funcionado em locais físcos separados,existe uma conexão entre eles atraves de uma vpn. Como faço para os usuarios do dominio A poderem de logar no dominio B e vice-versa quando necesário? Eles teriam de fazer parte de uma mesma floresta? Como fazer isto?