Autonomia x isolamento
Você pode projetar sua estrutura lógica do Active Directory para obter um dos seguintes:
Autonomia. Envolve o controle independente, mas não exclusivo de um recurso. Quando você obtém autonomia, os administradores têm autoridade para gerenciar recursos de maneira independente. No entanto, existem administradores com maior autoridade que também têm controle sobre esses recursos e podem assumir o controle, se necessário. Você pode projetar sua estrutura lógica do Active Directory para obter os seguintes tipos de autonomia:
Autonomia do serviço. Esse tipo de autonomia envolve o controle sobre todo ou parte do gerenciamento de serviços.
Autonomia de dados. Esse tipo de autonomia envolve o controle sobre todos ou parte dos dados armazenados no diretório ou nos computadores membro ingressados no diretório.
Isolamento. Envolve o controle independente e exclusivo de um recurso. Quando você obtém o isolamento, os administradores têm autoridade para gerenciar um recurso de maneira independente, e nenhum outro administrador pode tirar o controle do recurso. Você pode projetar sua estrutura lógica do Active Directory para obter os seguintes tipos de isolamento:
Isolamento de serviço. Impede que os administradores (exceto os administradores designados especificamente para controlar o gerenciamento de serviços) controlem ou interfiram no gerenciamento de serviços.
Isolamento de dados. Impede que os administradores (exceto os administradores designados especificamente para controlar ou visualizar os dados) controlem ou visualizem um subconjunto dos dados no diretório ou nos computadores membro ingressados no diretório.
Os administradores que exigem apenas a autonomia aceitam que outros administradores com autoridade administrativa igual ou maior tenham controle igual ou maior sobre o gerenciamento de dados ou de serviço. Os administradores que exigem isolamento têm controle exclusivo sobre o gerenciamento de serviços ou de dados. A criação de um design para obter autonomia geralmente é menos cara do que criar um design para obter o isolamento.
No AD DS (Active Directory Domain Services), os administradores podem delegar a administração de serviços e a administração de dados para obter autonomia ou isolamento entre as organizações. A combinação de gerenciamento de serviços, gerenciamento de dados, autonomia e requisitos de isolamento de uma organização afeta os contêineres do Active Directory usados para delegar a administração.
Requisitos de isolamento e autonomia
O número de florestas que você precisa implantar baseia-se nos requisitos de autonomia e isolamento de cada grupo da sua organização. Para identificar seus requisitos de design de floresta, você precisa identificar os requisitos de autonomia e de isolamento para todos os grupos da organização. Especificamente, você precisa identificar a necessidade de isolamento e autonomia de dados, bem como de isolamento e autonomia de serviço. Você também precisa identificar áreas de conectividade limitada na sua organização.
Isolamento dos dados
O isolamento de dados envolve controle exclusivo sobre os dados pelo grupo ou pela organização que é proprietária dos dados. É importante observar que os administradores de serviços têm a capacidade de assumir o controle de um recurso longe dos administradores de dados. Além disso, os administradores de dados não têm a capacidade de impedir que os administradores de serviços acessem os recursos que eles controlam. Portanto, você não pode obter isolamento de dados quando outro grupo da organização é responsável pela administração do serviço. Se um grupo exigir isolamento de dados, esse grupo também precisará assumir a responsabilidade pela administração do serviço.
Como os dados armazenados no AD DS e nos computadores ingressados no AD DS não podem ser isolados dos administradores de serviços, a única maneira de um grupo dentro de uma organização obter um isolamento completo de dados é criar uma floresta separada para esses dados. As organizações para as quais as consequências de um ataque por software mal-intencionado ou por um administrador de serviços coagido são substanciais podem optar por criar uma floresta separada para obter o isolamento de dados. Normalmente, os requisitos legais criam uma necessidade para esse tipo de isolamento de dados. Por exemplo:
Uma instituição financeira é exigida por lei para limitar o acesso aos dados que pertencem aos clientes em uma jurisdição específica em usuários, computadores e administradores localizados nessa jurisdição. Embora a instituição confie nos administradores de serviços que trabalham fora da área protegida, se a limitação de acesso for violada, a instituição não poderá mais fazer negócios nessa jurisdição. Portanto, a instituição financeira precisa isolar os dados dos administradores de serviço fora dessa jurisdição. Observe que a criptografia nem sempre é uma alternativa a essa solução. Talvez a criptografia não proteja os dados dos administradores de serviços.
Um empreiteiro de defesa é exigido por lei para limitar o acesso aos dados do projeto a um conjunto especificado de usuários. Embora o prestador de serviço confie nos administradores de serviços que controlam os sistemas de computador relacionados a outros projetos, uma violação dessa limitação de acesso fará com que o prestador de serviço perca negócios.
Observação
Se você tiver um requisito de isolamento de dados, precisará decidir se precisa isolar seus dados dos administradores de serviços ou dos administradores de dados e dos usuários comuns. Se o requisito de isolamento for baseado no isolamento dos administradores de dados e dos usuários comuns, você poderá usar ACLs (listas de controle de acesso) para isolar os dados. Para as finalidades desse processo de design, o isolamento dos administradores de dados e dos usuários comuns não é considerado um requisito de isolamento de dados.
Autonomia de dados
A autonomia de dados envolve a capacidade de um grupo ou de uma organização de gerenciar os respectivos dados, incluindo a tomada de decisões administrativas sobre os dados e a execução de tarefas administrativas necessárias sem a necessidade de aprovação de outra autoridade.
A autonomia de dados não impede que os administradores de serviços na floresta acessem os dados. Por exemplo, um grupo de pesquisa em uma grande organização pode desejar ter a capacidade de gerenciar os dados específicos do projeto, mas não precisar proteger os dados de outros administradores da floresta.
Isolamento de serviço
O isolamento de serviço envolve o controle exclusivo da infraestrutura do Active Directory. Os grupos que exigem o isolamento de serviço necessitam que nenhum administrador fora do grupo possa interferir na operação do serviço de diretório.
Os requisitos operacionais ou legais normalmente criam uma necessidade de isolamento de serviço. Por exemplo:
Uma empresa de fabricação tem um aplicativo crítico que controla equipamentos no chão de fábrica. As interrupções no serviço em outras partes da rede da organização não podem interferir na operação do chão de fábrica.
Uma empresa de hospedagem fornece serviço a vários clientes. Cada cliente exige isolamento de serviço, ou seja, qualquer interrupção de serviço que afete um cliente não afeta os outros clientes.
Autonomia do serviço
A autonomia do serviço envolve a capacidade de gerenciar a infraestrutura sem um requisito de controle a página exclusivo. Por exemplo, quando um grupo deseja fazer alterações na infraestrutura (como adicionar ou remover domínios, modificar o namespace DNS, Serviço de Nomes de Domínio, ou modificar o esquema) sem a aprovação do proprietário da floresta.
A autonomia do serviço pode ser necessária em uma organização para um grupo que deseja ter a capacidade de controlar o nível de serviço do AD DS (adicionando e removendo controladores de domínio, conforme necessário) ou para um grupo que precisa ter a capacidade de instalar aplicativos habilitados para diretório que exigem extensões de esquema.
Conectividade limitada
Se um grupo na sua organização tem redes separadas por dispositivos que restringem ou limitam a conectividade entre redes (como firewalls e dispositivos NAT, conversão de endereços de rede), isso pode afetar o design da floresta. Ao identificar seus requisitos de design de floresta, lembre-se de observar os locais em que você tem conectividade de rede limitada. Essas informações são necessárias para permitir que você tome decisões sobre o design da floresta.