70-640: 0.2 Features Active Directory

Global Catalog

Global Catalog (GC), é uma base de dados que contém uma réplica parcial de todos os objects de todos os domains dentro de uma forest. Um server que contenha uma cópia da Global Catalog, é um global catalog server. A Global Catalog possibilita pesquisas rápidas, porque diferentes domain controllers não têm de ser referenciados.

Operations Master Roles

Operations Master Roles, também conhecidas como Flexible Single-Master Operation (FSMO), são tarefas especializadas de domain controller, atribuídas a um domain controller num domain ou numa forest. Operations Master Roles são úteis, porque a replication de objects e attributes via multi-master operations da Active Directory, não é adequada para certos domains empresariais. Um domain controller que realize uma operations master role é chamado de operations master, ou operations master role owner.

As seguintes roles, são forest roles, o que significa que um domain dentro de toda a forest, obedece à role:

O schema master, mantém o schema da Active Directory para a forest.

O domain namming master adiciona novos domains e remove domains existentes na forest.

As seguintes roles, são domain roles, o que significa que um domain controller em cada domain obedecem à role:

O RID master aloja pools ou blocos de números (chamados de relative IDs ou RIDs) que são utilizados pelo domain controller na criação de novos security principles (como users, groups ou computer accounts).

O PDC emulator, actua como um Windows NT 4.0 Primary Domain Controller (PDC), e realiza outras tarefas normalmente associadas a domains controllers NT.

A infrastructure master é responsável pelo update das alterações feitas aos objects.

Quando se instala ou remove domains controllers, é necessário ter em consideração quais os domain controllers que obdeçem a estas roles.

Functional Level

Functional level, é um conjunto de restrições de operações, que determinadas funções que podem ser realizadas por uma Active Directory domain ou forest. Functional level define:

Quais os recursos de serviços da Active Directory (AD DS) estão disponíveis para o domain ou forest.

Quais os sistemas operativos Windows Server, que podem ser executados nos domain controllers nos domains ou forests. Functional levels não afectam quais os sistemas operativos que podem ser executados nas workstations ou servers que estão associados ao domain ou forest.

Windows Server 2008, suporta os seguintes domain functional levels:

Windows 2000 Nativo

Windows Server 2003

Windows Server 2008

Windows server 2008 suporta os seguintes domain functional levels:

Windows 2000

Windows Server 2003

Windows Server 2008

Nota: Não é possível ter um Windows NT domain controller e um Windows Server 2008 domain controller na mesma forest que eles guerreiam.

Group Policy

Uma policy é um conjunto de configurações e definições que têm de ser aplicadas a utilizadores e computadores. Conjuntos de policy settings encontram-se armazenados nas Group Policy Object (GPO). GPO é um conjunto de ficheiros que incluem definições de registry, scripts, templates, e valores de configuração para softwares específicos.

Group Policy é um componente importante da Active Directory, porque é através da Group Policy que centralmente se pode gerir e aplicar definições em users e computers dentro da nossa organização. Por exemplo, com a Group Policy, pode-se:

Aplicar/forçar uma tarefa comum aos desktops dos users.

Remover componentes dos desktops, tal como barrar o acesso ao Control Panel.

Restrigir as acções dos users, tal como impedir shutdown.

Automaticamente instalar software.

Aplicar dinamicamente ao registry conjuntos de definições necessárias a aplicações.

70-640: 0.1 Active Directory

Apresento o meu primeiro resumo que traduz de forma simples a constituição da AD. Quaisquer correções serão bem vindas.

A Active Directory

Active Directory, é uma base de dados centralizada, que contém contas de utilizadores e informações de segurança. Num Workgroup, a segurança e a gestão, encontram-se nos próprios computadores, cada um, armazena a informação sobre os seus utilizadores e recursos. Com a Active Directory, todos os computadores partilham a mesma base de dados centralizada.

A estrutura da Active Directory, é baseada em hierarquias, composta pelos seguintes componentes:

Domain:

O Domain é uma colecção de recursos de rede, definidos administrativamente que partilham um directório de base de dados e políticas de segurança comuns. O domain é a unidade básica administrativa, da estrutura de uma Active Directory.

A Informação da base de dados é replicada (copiada ou partilhada) dentro do domain.

Definições de segurança não são partilhadas entre domains.

Cada domain mantém o seu próprio conjunto de relacionamentos com outros domains.

Os domains são identificados por nomes de DNS. O nome comum é o próprio nome do domain. O nome distinto inclui o contexto de DNS ou parcelas adicionais do nome.

Dependendo da estrutura e requisitos da rede, toda a rede pode ser representada como um único domain com milhões de objects, ou a rede pode requerer multiplos domains.

Objects:

Dentro da Active Directory, cada recurso é identificado por object. Objects comuns incluem:

Users

Groups

Computers

Shared folders

Deve-se saber o seguinte acerca dos objects:

Cada object contém attributes (ex. informação de um object, tal como o nome de um utilizador, número de telefone, e endereço de email), que são utilizados para localização e garantir recursos.

O schema, identifica as classes do object (tipo dos objectos) que existem na tree e os attributes (propriedades) do object.

Active Directory utiliza DNS para localizar e nomear os objects.

Container objects, podem armazenar outros groups de objects, e até outros container objects.

Organizational Unit (OU):

Uma organizational unit é tipo uma pasta que subdivide e organiza recursos da rede dentro do domain. Uma organizational unit:

É um container object.

Pode ser utilizada para organizar de forma lógica, os recursos da rede.

Simplifica a administração de segurança.

Deve-se saber o seguinte acerca das OUs:

O first-level das OUs podem ser chamados de parents.

O second-level OUs podem ser chamados de children.

OUs podem conter outras OUs ou qualquer outro tipo de leaf object (ex. users, computers e printers).

Generic Containers:

Tal como as OUs, generic containers são utilizados para organizar os Active Directory objects. Generic container objects:

São criados por default.

Não podem ser criados, movidos, renomeados ou eliminados.

Têm pouquíssimas propriedades editáveis.

Trees e Forests:

Múltiplos domains são agrupados através do seguinte relacionamento:

Uma tree, é um grupo de domains relacionados, que compartilham o mesmo espaço de nome DNS contíguo.

Uma forest, é a colecção de domain trees relacionadas. A forest, estabelece a relação entre trees que têm diferentes nomes de espaço DNS.

Trees e forest têm as seguintes características:

O forest root domain, é o domain de nível superior na tree de cima. É o primeiro domain criado na forest do Active Directory.

O tree root domain, é o domain mais acima na tree.

Cada domain na tree que está ligado ao tree root domain, é chamado de child domain.

Domain tree, é um conjunto de domains baseados no mesmo espaço de nome. Domains numa tree:

Estão ligados bidireccionalmente, através de uma ligação de confiança.

Partilham um schema comum.

Têm global catalogs comuns.

Domain Controller:

Um domain controller, é um server que contém uma cópia da base de dados Active Directory, que pode ser escrita. Replication é o processo de cópia das alterações efectuadas à Active Directory entre os domain controllers.

Sites e Subnets:

Active Directory utiliza os dois objects seguintes para representar a estrutura física da rede:

Uma subnet, representa um segmento da rede física. Cada subnet possui o seu próprio espaço de endereço exclusivo da rede.

Um site, representa um grupo de redes well-connected (redes que estão ligadas por links de alta velocidade).

Deve saber o seguinte acerca dos sites e subnets:

Sites e subnets, são utilizados para gerir a replication entre locations.

Todos os Active Directory sites contém servers e sites links (Ligação entre dois sites permitindo que a replication ocorra).

Site links, são utilizados pela Active Directory de forma a desenvolver a topologia de replication mais eficiente.

O site difere do domain, uma vez que representa a estrutura física da rede, ao passo que o domain representa a estrutura lógica da nossa organização.

Os clients são assignados aos sites dinamicamente, de acordo com o seu endereço de Internet Protocol (IP) e subnet mask associados.

Domain controllers são assignados aos sites de acordo com o seu server object na Active Directory.

A base de dados do Active Directory, tem um ficheiro chamado NTDS.dit. É o ficheiro físico da base de dados, onde toda a informação dos directórios é armazenada. Este ficheiro é composto de três tabelas internas:

A data table, contém toda a informação armazenada da Active Directory: users, groups, dados específicos de vários aplicativos, e quaisquer outros dados que são armazenados na Active Directory após a sua instalação.

A link table, contém informação que representa atributos associados, referindo-se a outros objects na Active Directory.

O security descriptor (SD) table, contém informação que representa a inherited de segurança para cada object.

O nascimento do Blog

Olá a todos os futuros visitantes! Criei este blog com o objectivo de colocar online o meu percurso até chegar a ser um "MCITP Enterpise Administrator".
Tenho já alguns conhecimentos nesta área, mas nada de por aí além, e o que pretendo é, estudando por mim mesmo, ir realizando os exames.
A criação do blog, irá ajudar a mim e a outras pessoas que estejam também a trabalhar para o mesmo objectivo. Espero que venha a ser um blog onde os mais experientes possam ajudar quem precisa até chegarem aos seus objectivos. Tenho intenções de começar, na semana depois do Carnaval, e colocarei alguns resumos dos tópicos que vou estudando, bem como informações que ache importantes e interessantes neste percurso.