Compartilhar via

Onde criar um ponto de conexão de serviço

  • Artigo

Quando uma instância dos Serviços de Domínio Active Directory é instalada, o instalador do serviço cria objetos de ponto de conexão (SCP) de serviço nos Serviços de Domínio Active Directory. O objetivo principal deve ser minimizar o tráfego de replicação e permitir a administração e a manutenção eficientes de objetos.

Lembre-se de que os aplicativos cliente localizam SCPs pesquisando palavras-chave no diretório no SCP. O atributo de palavras-chave de um SCP está incluído no Catálogo Global, os clientes podem pesquisar o Catálogo Global para localizar SCPs na floresta. Por esse motivo, o cliente não influencia onde publicar SCPs.

Minimizar o tráfego de replicação

Para minimizar o tráfego de replicação, crie SCPs na partição de domínio do domínio do computador host de serviço. Por exemplo, você pode criar SCPs como objetos filho do objeto de computador no qual o serviço está instalado. Uma partição de domínio dos Serviços de Domínio Active Directory, às vezes chamada de contexto de nomeação de domínio, contém objetos específicos do domínio, como os objetos para os usuários e computadores do domínio. Uma réplica completa de todos os objetos na partição de domínio é replicada para cada controlador de domínio (DC) do domínio, mas não é replicada para DCs de outros domínios.

Não crie SCPs na partição Configuração, também conhecida como contexto de nomenclatura de configuração, porque as alterações na partição Configuração são replicadas para todos os DC na floresta. Como observado acima, os clientes em toda a floresta podem consultar o Catálogo Global para localizar SCPs em qualquer lugar da floresta, portanto, a criação de SCPs na partição Configuration não os torna mais visíveis para os clientes; ele só gera mais tráfego de replicação.

Facilidade de Administração

Considere as seguintes diretrizes para administração de objetos:

  • Coloque objetos específicos de serviço onde os administradores podem controlar o acesso a eles usando políticas e permissões de acesso herdadas.
  • Coloque os objetos onde um administrador pode encontrá-los facilmente.

Um bom local padrão que satisfaz ambas as metas é criar SCP e outros objetos específicos de serviço sob o objeto de computador do computador host de cada instância de serviço. Para obter mais informações, consulte Publicação em um objeto de computador.

Uma boa alternativa para serviços não vinculados a um único host é criar um contêiner para os objetos de serviço no contêiner Sistema em uma partição de domínio. Para obter mais informações, consulte Publicação em um contêiner do sistema de domínio.

O diagrama a seguir mostra parte da hierarquia de contêiner padrão para uma partição de domínio.

default domain partition container hierarchy

O diagrama mostra a hierarquia de domínio padrão incluída nos Serviços de Domínio Active Directory. No entanto, muitas empresas criam uma hierarquia de contêineres de unidade organizacional (UO) para agrupar classes de objeto, como usuários e computadores, juntos para fins de administração. Os administradores podem então aplicar entradas de controle de acesso (ACEs) herdáveis e de diretiva a uma UO para delegar autoridade administrativa para objetos na UO. Isso permite que os administradores gerenciem uma empresa com eficiência, mas tem algumas consequências para os programadores de serviços:

  • O objeto de computador de um host de serviço pode não estar no contêiner Computadores, conforme mostrado no diagrama. Para obter mais informações sobre como localizar o objeto de computador para o computador local, consulte Publicação em um objeto de computador.
  • Os administradores podem mover objetos à medida que suas necessidades organizacionais mudam. Isso significa que você não pode depender de seus objetos permanecerem em um local fixo; ou seja, seu serviço não pode depender de um nome distinto de objeto permanecendo o mesmo. Em vez disso, use o atributo objectGUID de um objeto, que não será alterado se o objeto for movido ou renomeado. Para obter mais informações e um exemplo de código que cria um SCP, armazena seu objectGUID e, posteriormente, recupera o objectGUID para vincular ao SCP, consulte Criando e mantendo um ponto de conexão de serviço.
  • Todas as classes de objeto relacionadas ao serviço padrão, bem como quaisquer subclasses dessas classes, são filhos válidos das classes computer e organizationalUnit . Se você estender o esquema para definir sua própria classe específica de serviço, certifique-se de que as classes computer e organizationalUnit estejam incluídas nos possíveis superiores.
  • O instalador do serviço determina o local padrão para criar SCPs. Talvez você queira permitir que o administrador que instala o serviço especifique um caminho de instalação alternativo.

Objetos específicos de serviço não devem ser criados nas seguintes áreas:

  • Os serviços não devem publicar objetos diretamente nos contêineres Usuários ou Computadores de uma partição de domínio, nem devem criar novos contêineres nesses contêineres. No entanto, os serviços podem publicar objetos como objetos filho de um objeto de computador, independentemente de o objeto de computador estar ou não armazenado no contêiner Computadores.
  • Os serviços, que usam o registro e a resolução do Windows Sockets (RnR) ou as APIs do serviço de nome RPC (RpcNs) para anunciar a si mesmos, criam os objetos apropriados nos contêineres WinsockServices e RpcServices no contêiner System de uma partição de domínio. Não crie objetos explicitamente nesses contêineres. Fazer isso não causa danos diretos, mas pode ser confuso para os administradores.