Noções básicas do modelo lógico do Active Directory
Projetar sua estrutura lógica para o AD DS (Active Directory Domain Services) envolve definir as relações entre os contêineres em seu diretório. Essas relações podem ser baseadas em requisitos administrativos (como delegação de autoridade) ou podem ser definidas por requisitos operacionais (como a necessidade de controlar a replicação).
Antes de projetar sua estrutura lógica do Active Directory, é importante entender o modelo lógico do Active Directory. O AD DS é um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. O AD DS permite que administradores organizem elementos de uma rede (como usuários, computadores e dispositivos) em uma estrutura de confinamento hierárquica. O contêiner de nível superior é a floresta. Dentro das florestas, há domínios. Dentro dos domínios, há UOs (unidades organizacionais). Isso é chamado de modelo lógico porque ele é independente dos aspectos físicos da implantação, como o número de controladores de domínio necessários em cada domínio e topologia de rede.
Floresta do Active Directory
Uma floresta é uma coleção de um ou mais domínios do Active Directory que compartilham uma estrutura lógica comum, um esquema de diretório (definições de classe e atributo), uma configuração de diretório (informações de site e replicação) e um catálogo global (recursos de pesquisa em toda a floresta). Os domínios na mesma floresta são automaticamente vinculados a relações de confiança bidirecionais e transitivas.
Domínio do Active Directory
Um domínio é uma partição em uma floresta do Active Directory. O particionamento de dados permite que as organizações repliquem dados somente para onde forem necessários. Dessa forma, o diretório pode ser dimensionado globalmente em uma rede que tem largura de banda disponível limitada. Além disso, o domínio dá suporte a várias outras funções principais relacionadas à administração, incluindo:
Identidade de usuário em toda a rede. Os domínios permitem que as identidades de usuário sejam criadas uma vez e referenciadas em qualquer computador adicionado à floresta na qual o domínio está localizado. Os controladores de domínio que compõem um domínio são usados para armazenar contas de usuário e credenciais de usuário (como senhas ou certificados) com segurança.
Autenticação. Os controladores de domínio fornecem serviços de autenticação para usuários e fornecem dados de autorização adicionais, como associações de grupo de usuários, que podem ser usados para controlar o acesso a recursos na rede.
Relações de confiança. Os domínios podem estender os serviços de autenticação para usuários em domínios fora de sua própria floresta por meio de relações de confiança.
Replicação. O domínio define uma partição do diretório que contém dados suficientes para fornecer serviços de domínio e, em seguida, replica-os entre os controladores de domínio. Dessa forma, todos os controladores de domínio são pares em um domínio e são gerenciados como uma unidade.
Unidades organizacionais do Active Directory
As UOs podem ser usadas para formar uma hierarquia de contêineres em um domínio. As UOs são usadas para agrupar objetos para fins administrativos, como a aplicação de Política de Grupo ou delegação de autoridade. O controle (sobre uma UO e os objetos dentro dela) é determinado pelas ACLs (listas de controle de acesso) na UO e nos objetos na UO. Para facilitar o gerenciamento de um grande número de objetos, o AD DS dá suporte ao conceito de delegação de autoridade. Por meio da delegação, os proprietários podem transferir o controle administrativo completo ou limitado sobre os objetos para outros usuários ou grupos. A delegação é importante, pois ajuda a distribuir o gerenciamento de grande número de objetos entre várias pessoas de confiança para realizarem tarefas de gerenciamento.