Artigo
03/23/2012

Serviços de Domínio Active Directory

Tópico modificado em: 2009-12-17

Os Serviços de Domínio Active Directory (conhecidos como Active Directory no Windows Server 2003) funcionam como o serviço de diretório das redes do Windows Server 2003 e Windows Server 2008. Os Serviços de Domínio Active Directory também atuam como base da infraestrutura do Office Communications Server 2007 R2. A finalidade desta seção é descrever como o Office Communications Server usa os Serviços de Domínio Active Directory para criar uma ambiente confiável para mensagens instantâneas, Webconferência, mídia e voz. Para obter informações detalhadas sobre as extensões do Office Communications Server para Serviços de Domínio Active Directory e sobre como preparar o ambiente para os Serviços de Domínio Active Directory, consulte Preparando os Serviços de Domínio Active Directory para o Office Communications Server 2007 R2. Para obter informações detalhadas sobre a função dos Serviços de Domínio Active Directory nas redes do Windows Server 2003 e Windows Server 2008, consulte a documentação correspondente.

O Office Communications Server 2007 R2 usa os Serviços de Domínio Active Directory para armazenar:

Configurações globais que todos os servidores do Office Communications Server 2007 R2 requerem em uma floresta.
Informações de serviço que identificam as funções de todos os servidores do Office Communications Server 2007 R2 em uma floresta.
Configurações de usuário.

Preparação dos Serviços de Domínio Active Directory

Observação:
É recomendável que você implante as configurações globais do contêiner Configuração sobre o contêiner Sistema. Se você estiver migrando de uma versão anterior e tiver usado o contêiner Sistema, mas pretende usar o contêiner Configuração, DEVERÁ mover as configurações do contêiner Sistema ANTES de fazer qualquer preparação de atualização. Para migrar as configurações do contêiner Sistema para o contêiner Configuração, consulte Microsoft Office Communications Server 2007 Global Settings Migration Tool em https://go.microsoft.com/fwlink/?LinkId=145236.

É recomendável que você implante as configurações globais do contêiner Configuração sobre o contêiner Sistema. Se você estiver migrando de uma versão anterior e tiver usado o contêiner Sistema, mas pretende usar o contêiner Configuração, DEVERÁ mover as configurações do contêiner Sistema ANTES de fazer qualquer preparação de atualização. Para migrar as configurações do contêiner Sistema para o contêiner Configuração, consulte Microsoft Office Communications Server 2007 Global Settings Migration Tool em https://go.microsoft.com/fwlink/?LinkId=145236.

Ao implantar o Office Communications Server, a primeira etapa é preparar os Serviços de Domínio Active Directory. A preparação dos Serviços de Domínio Active Directory para o Office Communications Server consiste nas três etapas a seguir:

Prep Schema. Esta tarefa estende o esquema dos Serviços de Domínio Active Directory para incluir classes e atributos específicos do Office Communications Server 2007 R2. Ela só pode ser executada por administradores de esquema ou por um administrador local no mestre de esquema.
Prep Forest. Esta tarefa cria objetos e configurações globais no domínio raiz da floresta, juntamente com o serviço universal e os grupos administrativos que coordenam o acesso a essas configurações e objetos.
Prep Domain. Esta etapa adiciona as ACEs (entradas de controle de acesso) necessárias aos grupos universais que concedem permissões para hospedar e gerenciar usuários no domínio. O Prep Domain é necessário em todos os domínios nos quais você deseja implantar o Office Communications Servers e em qualquer domínio no qual os usuários do Office Communications Server residirão.

Para obter informações detalhadas sobre cada uma dessas etapas de preparação do Active Directory, consulte Preparando os Serviços de Domínio Active Directory para o Office Communications Server 2007 R2.

Grupos universais

Durante o Prep Forest, o Office Communications Server cria vários grupos universais nos Serviços de Domínio Active Directory que têm permissão para acessar e gerenciar serviços e configurações globais. Esses grupos incluem:

Grupos administrativos. Definem as funções básicas de administrador para uma rede do Office Communications Server. Durante o Prep Forest, esses grupos de administrador são adicionados aos grupos de infraestrutura do Office Communications Server.
Grupos de infraestrutura. Permitem o acesso a áreas específicas da infraestrutura do Office Communications Server. Eles funcionam como componentes de grupos administrativos, e você não deve modificá-los nem adicionar usuários a eles diretamente.
Grupos de serviço. São contas de serviço necessárias para acessar vários serviços fornecidos pelo Office Communications Server.

A tabela a seguir descreve os grupos universais do Office Communications Server e seus privilégios.

Tabela 1. Grupos universais criados pelo Office Communications Server 2007 R2

Grupo administrativo	Privilégios
RTCUniversalServerAdmins	Gerencia todos os objetos e configurações do Office Communications Server em uma floresta, incluindo todas as funções de servidor, configurações globais e usuários.
RTCUniversalUserAdmins	Gerencia todos os usuários de uma floresta que são habilitados para o Office Communications Server.
RTCUniversalReadOnlyAdmins	Acesso somente leitura a todos os servidores e usuários.
Grupo de infraestrutura	Privilégios
RTCUniversalGlobalReadOnlyGroup	Acesso somente leitura às configurações globais.
RTCUniversalGlobalWriteGroup	Acesso de gravação às configurações globais.
RTCUniversalUserReadOnlyGroup	Acesso somente leitura às configurações de usuário.
RTCUniversalServerReadOnlyGroup	Acesso somente leitura às configurações de servidor.
Grupo de serviço	Privilégios
RTCHSUniversalServices	Conta de serviço usada para executar os servidores Standard Edition do Office Communications Server 2007 R2 e os servidores Front-End Enterprise Edition. Este grupo autoriza esses servidores a ler e gravar configurações globais e objetos de usuário.
RTCArchivingUniversalServices	Conta de serviço usada para executar os Servidores de Arquivamento do Office Communications Server 2007 R2 e acessar o banco de dados de serviços.
RTCProxyUniversalServices	Conta de serviço usada para executar o Servidor Proxy do Office Communications Server 2007 R2.
RTCComponentsUniversalServices	Conta de serviço usada para executar os servidores de conferência, os Servidores de Web Components e os Servidores de Mediação do Office Communications Server 2007 R2.
RTCUniversalGuestAccessGroup	Acesso somente leitura ao conteúdo de reunião em conferências. Este grupo é utilizado por usuários internos que têm credenciais do Active Directory e estão se conectando remotamente, bem como por usuários externos que não têm credenciais do Active Directory.

Informações do servidor

Durante a ativação, o Office Communications Server publica informações de servidor nestes três locais dos Serviços de Domínio Active Directory:

Um SCP (ponto de conexão de serviço) em cada objeto de computador do Active Directory correspondente a um computador físico no qual o Office Communications Server está instalado.
Objetos de servidor criados no contêiner da classe msRTCSIP-Pools.
Listas de servidores confiáveis.

Pontos de conexão de serviço

Cada objeto do Office Communications Server nos Serviços de Domínio Active Directory tem um SCP chamado Serviços RTC, que, por sua vez, contém diversos atributos que identificam cada computador e especificam os serviços fornecidos por eles. Entre os atributos de SCP mais importantes destacamos: serviceDNSName, serviceDNSNameType, serviceClassname e serviceBindingInformation. Os aplicativos de gerenciamento de ativos de terceiros podem recuperar as informações de servidor em uma implantação consultando esses e outros atributos do SCP.

Objetos de servidor do Active Directory

Cada função do Office Communications Server tem um objeto do Active Directory correspondente cujos atributos definem os serviços fornecidos por essa função. Quando um servidor Standard Edition é ativado ou quando um pool Enterprise Edition é criado, o Office Communications Server cria um novo objeto msRTCSIP-Pool no contêiner msRTCSIP-Pools. A classe msRTCSIP-Pool especifica o FQDN (nome de domínio totalmente qualificado) do pool, juntamente com a associação entre os componentes front-end e back-end do pool. (Um servidor Standard Edition é considerado um pool lógico cujos front-ends e back-ends são colocados em um único computador.)

Listas de servidores confiáveis

Durante o Prep Forest, o Office Communications Server cria contêiners para reter as listas de servidores confiáveis. Durante a ativação, o Office Communications Server publica o FQDN de cada servidor em seu contêiner apropriado. Um servidor confiável é qualquer um que atenda aos seguintes critérios.

O FQDN do servidor consta em uma das listas de servidores confiáveis armazenadas nos Serviços de Domínio Active Directory, conforme descrito na seção anterior.
O servidor apresenta um certificado válido de uma autoridade de certificação confiável. O FQDN do certificado corresponde ao FQDN desse servidor em uma das listas de servidores confiáveis. Para obter informações detalhadas sobre como o Office Communications Server usa os certificados, consulte Infraestrutura de chave pública no Office Communications Server 2007 R2.

Se um desses critérios não for atendido, o servidor não será considerado confiável e a conexão a ele será recusada. Esse requisito duplo impede um possível e, por que não dizer?, improvável ataque no qual um servidor trapaceiro tenta capturar o FQDN de um servidor válido.

O uso de várias listas de servidores confiáveis representa o desaparecimento das versões anteriores do Live Communications Server, que mantinham somente uma lista de servidores confiáveis. Cada servidor na lista é representado como um GUID (identificador global exclusivo) no contêiner Configurações Globais. Com a inclusão de novas funções de servidor no Office Communications Server 2007 R2, novos contêiners são definidos para reter os GUIDs de diferentes funções de servidor. Esses novos contêiners e suas respectivas listas de servidores confiáveis são mostrados na tabela a seguir.

Tabela 2. Listas de servidores confiáveis e seus contêiners do Active Directory

Lista de servidores confiáveis	Contêiner do Active Directory
Servidores Standard Edition e Servidores Fron-End do pool Enterprise	Serviço RTC/Configurações Globais
Servidores de Conferência	Serviço RTC/MCUs confiáveis
Servidores de Web Components	Serviço RTC/TrustedWebComponentsServers
Servidores de Mediação e Servidores do Communicator Web Access (além de servidores SIP de terceiros).	Serviço RTC/serviços confiáveis
Servidores proxy	Serviço RTC/proxies confiáveis

As listas de servidores confiáveis duplicam as entradas de FQDN que também são encontradas em objetos individuais do Office Communications Server. A finalidade dessa redundância é impedir a possível falsificação de servidores confiáveis. Isso pode acontecer porque os Serviços de Domínio Active Directory permitem que os usuários modifiquem os atributos nos objetos de computador correspondentes aos seus computadores pessoais. A maioria das organizações não permite que os usuários façam modificações em seus computadores de trabalho, mas as listas de servidores confiáveis adicionam uma camada de segurança extra disponibilizando as modificações somente aos membros do grupo RTCUniversalServerAdmins.

Compartilhar via