Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Active Directory no Windows Server 2003 Service Pack 1

Qual a função do Active Directory?

O Active Directory® é um serviço de directório que armazena informações sobre objectos numa rede e disponibiliza essas informações para utilizadores e administradores de rede. Os objectos do Active Directory incluem normalmente recursos partilhados, tais como servidores, volumes, impressoras e as contas de computador e de utilizador de rede.

O Active Directory é composto por:

  • Esquema. Conjunto de regras que definem as classes de objectos e os atributos contidos no directório, as restrições e os limites aplicáveis às instâncias destes objectos e o formato dos respectivos nomes.
  • Catálogo global. Arquivo de dados que contém informações sobre todos os objectos no directório. Isto permite aos utilizadores e administradores localizar as informações de directório independentemente do domínio no directório que contém os dados.
  • Consulta e índice remissivo. Utilizando este mecanismo, os objectos e as respectivas propriedades podem ser publicados e localizados por utilizadores ou aplicações da rede.
  • Serviço de replicação. Serviço que distribui dados de directório através de uma rede. Todos os controladores de domínio num domínio participam na replicação e contêm uma cópia completa de todas as informações de directório do respectivo domínio. Qualquer alteração aos dados do directório é replicada para todos os controladores de domínio existentes no domínio.
  • Software cliente do Active Directory. O cliente do Active Directory permite muitas das funcionalidades do Active Directory disponíveis em clientes Windows 2000 Professional ou Windows XP Professional para computadores com o Windows 95, Windows 98 e Windows NT 4.0.

A quem se aplica esta função?

As alterações no Active Directory para Windows Server 2003 Service Pack 1(SP1) terão interesse para:

  • Informáticos profissionais que prestam suporte ao Active Directory, tais como administradores do Active Directory, administradores de esquema do Active Directory, administradores de DNS (Domain Name System, Sistema de nomes de domínio) e administradores de controladores de domínio.
  • Profissionais de suporte técnico.
  • Programadores de aplicações.
  • Integradores de sistemas.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Lembretes de cópia de segurança do serviço de directório

Uma nova mensagem de evento, com o ID de evento 2089, fornece o estado de cópia de segurança de cada partição de directório armazenada num controlador de domínio, incluindo partições de directório de aplicações e partições ADAM (Active Directory Application Mode, Modo de Aplicações do Active Directory). Se, durante o intervalo de latência de cópia de segurança (tempo de vida de tombstone) ainda não tiver sido feita a cópia de segurança de uma partição, este evento é registado no registo de eventos do Serviço de Directório e continua a sê-lo diariamente até que a cópia de segurança da partição seja efectuada.

Segurança de replicação adicional e menos erros de replicação

Os metadados de replicação para os controladores de domínio dos quais o Active Directory foi removido deixam de ser retidos por predefinição, ainda que seja possível configurar um período de espera. Esta alteração melhora a segurança de replicação e elimina as mensagens de erro de replicação causadas por tentativas falhadas de replicação com controladores de domínio fora de serviço. Para mais informações sobre como preservar metadados da replicação, consulte "How the Active Directory Replication Model Works" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=46510.

Melhoria na Instalação a Partir do Suporte de Dados para instalar servidores de DNS

As melhorias na Instalação a Partir do Suporte de Dados facilitam a criação de um novo controlador de domínio que seja servidor de DNS fornecendo a nova opção para incluir partições de directório de aplicações no suporte de dados de cópia de segurança utilizado para instalar o novo controlador de domínio. Esta opção elimina o requisito de replicação das partições de directório de aplicações DomainDNSZones e ForestDNSZones antes de o servidor de DNS ficar operacional.

Melhoramentos para replicação e testes de DNS

A ferramenta da linha de comandos Dcdiag.exe, disponível nas Ferramentas de Suporte do Windows, fornece uma nova funcionalidade de geração de relatórios sobre a condição geral de replicação relativamente à segurança do Active Directory. Este teste fornece um resumo de resultados juntamente com informações detalhadas para cada controlador de domínio testado e um diagnóstico dos erros de segurança. A ferramenta Dcdiag.exe também tem novos testes de DNS para conectividade, disponibilidade do serviço, reencaminhadores e sugestões raiz, delegação, actualização dinâmica, registos de registos do localizador, resolução de nomes externos e infra-estrutura empresarial. Estes testes podem ser executados num controlador de domínio ou em todos os controladores de domínio de uma floresta. Para mais informações sobre as alterações a Dcdiag.exe, consulte a secção sobre Dcdiag.exe neste artigo.

Suporte para controladores de domínio em execução em computadores virtuais

Num servidor físico individual com o Windows Server 2003 e Microsoft Virtual Server 2005, pode instalar múltiplos controladores de domínio de Windows Server 2003 ou Windows 2000 Server em computadores virtuais separados. Esta plataforma é adequada para ambientes de teste. Utilizando computadores virtuais, pode alojar efectivamente múltiplos domínios, múltiplos controladores de domínio para o mesmo domínio ou mesmo múltiplas florestas num servidor físico com um único sistema operativo. O Windows Server 2003 SP1 também fornece protecção para a corrupção de directórios que poderá resultar de cópias de regurança e restauro incorrectos de imagens de controlador de domínio. Para mais informações sobre como executar controladores de domínio em computadores virtuais, consulte "Running Domain Controllers in Virtual Server 2005" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=38330.

Condição do mestre de operações e geração de relatórios de estado

Se não for possível executar uma operação que requer um controlador de domínio com uma função de mestre de operações (também conhecido como mestre de operações únicas flexíveis (FSMO)), os eventos passam a ser registados no registo de eventos do Serviço de Directório. Os eventos identificam os detentores das funções inexistentes, que existem mas não estão disponíveis ou que estão disponíveis mas não efectuaram replicação recentemente com o controlador de domínio de contacto. Para mais informações sobre mestres de operações, consulte "How Operations Masters Work" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=38333.

Armazenamento expandido de objectos eliminados

O período predefinido de retenção de uma cópia de um objecto eliminado no Active Directory, denominado tempo de vida de tombstone, foi alargado de 60 dias para 180 dias. Um tempo de vida de tombstone mais prolongado diminui a possibilidade de um objecto eliminado permanecer no directório local de um controlador de domínio desligado além do momento em que o objecto é eliminado permanentemente dos controladores de domínio online. O tempo de vida de tombstone não é alterado automaticamente quando efectua a actualização para Windows Server 2003 com SP1, mas pode alterar manualmente o tempo de vida de tombstone após a actualização. As novas florestas instaladas com o Windows Server 2003 com SP1 têm um tempo de vida de tombstone predefinido de 180 dias. Para mais informações sobre duração de tombstone, consulte "How the Data Store Works" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=38339.

Resolução melhorada de nomes de controlador de domínio

Em resposta às falhas de resolução de nomes de DNS (Domain Name System, Sistema de Nomes de Domínio) que podem ser identificadas durante a localização de parceiros de replicação e servidores de catálogo global, os controladores de domínio com o Windows Server 2003 com SP1 solicitam outras variações do nome de servidor que possam estar registadas, o que resulta em menos falhas devido a configuração incorrecta e atrasos de DNS. Para mais informações sobre a resolução de nomes de DNS, consulte "How DNS Support for Active Directory Works" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=38335.

Processo simplificado para remoção de metadados de servidor

A ferramenta da linha de comandos para gerir a base de dados do Active Directory, Ntdsutil.exe, tem novos comandos que facilitam a remoção de metadados de controlador de domínio. Os passos preliminares, tais como a ligação a um servidor, domínio e site, já não são necessários. Especifique simplesmente o servidor a remover. Também pode especificar o servidor no qual pretende efectuar a eliminação. Para mais informações sobre as alterações a Ntdsutil.exe, consulte a secção sobre Ntdsutil.exe neste artigo.

Segurança melhorada para proteger atributos confidenciais

Para impedir o acesso de Leitura a atributos confidenciais, como o Número de Segurança Social, ao mesmo tempo que permite o acesso de Leitura a outros atributos de objectos, pode designar atributos específicos como sendo confidenciais definindo um sinalizador de procura no respectivo objecto attributeSchema. Por predefinição, apenas os administradores de domínio têm acesso de Leitura a atributos confidenciais, mas este acesso pode ser delegado. Para mais informações sobre o acesso a atributos, consulte "How Security Descriptors and Access Control Lists Work" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=45972.

Retenção do histórico de SID em tombstones

O atributo sIDHistory foi adicionado ao conjunto de atributos retidos num tombstone de objecto quando o objecto é eliminado. Se um objecto com tombstone for reactivado (anulada a eliminação), o atributo sIDHistory passa a estar restaurado com o objecto. Para mais informações sobre tombstones, consulte "How the Data Store Works" no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=45973.

Melhorias a Adprep.exe para actualizações de Windows 2000 Server

A ferramenta Adprep.exe foi melhorada para reduzir o impacto da sincronização de FRS (File Replication service, Serviço de replicação de ficheiros) resultante da actualização dos ficheiros SYSVOL durante a actualização. A ferramenta Adprep.exe é utilizada para actualizar o esquema do Windows 2000 Server para o esquema do Windows Server 2003 e para actualizar alguma configuração específica da floresta e do domínio, incluindo SYSVOL, necessária para que um controlador de domínio do Windows Server 2003 esteja operacional. Agora, a ferramenta permite executar operações SYSVOL num passo separado ao preparar o domínio para actualização. Foi adicionado um novo parâmetro, /gpprep, para acomodar as actualizações de SYSVOL, que pode ser executado num momento conveniente após a actualização. O comando adprep /domainprep, que anteriormente executava actualizações de directório e de SYSVOL, agora actualiza apenas o directório. A ferramenta Adprep.exe actualmente também detecta extensões de esquema de outros fabricantes que bloqueiam actualizações, identifica as extensões de bloqueio e recomenda correcções. Os objectos de esquema do Microsoft Exchange Server também são detectados, para que o esquema de Exchange Server possa ser preparado correctamente de modo a acomodar a atribuição de nomes InetOrgPerson. Para mais informações sobre as alterações a Adprep.exe, consulte a secção sobre Adprep.exe neste artigo.

Alterações no método de arrastar e largar objectos em Utilizadores e computadores do Active Directory

No Windows Server 2003, Service Pack 1 foram efectuadas duas alterações no comportamento de arrastar e largar no snap-in da Consola de Gestão da Microsoft (MMC, Microsoft Management Console) em Utilizadores e Computadores do Active Directory como resposta aos comentários do cliente.

Em primeiro lugar, por predefinição existe uma caixa de diálogo de confirmação quando arrasta e larga objectos no snap-in da Consola de Gestão da Microsoft (MMC) em Utilizadores e Computadores do Active Directory. No Windows Server 2003, o suporte do método de arrastar e largar em Utilizadores e Computadores do Active Directory foi activado. No entanto, não fornece qualquer caixa de diálogo de confirmação durante a movimentação de objectos. Isto facilita a movimentação de objectos mas também a movimentação inadvertida de um objecto para a localização errada fazendo com que as estações de trabalho clientes percam o acesso a recursos críticos. Quando adicionar uma caixa de diálogo de confirmação ao comportamento de arrastar e largar, o administrador tem uma oportunidade para corrigir um erro não intencional antes que este tenha impacto na organização. Quando a caixa de diálogo de confirmação é apresentada, existe uma caixa de verificação para Não mostrar este aviso enquanto este snap-in estiver aberto.

Se o utilizador seleccionar a caixa de verificação Não mostrar este aviso enquanto este snap-in estiver aberto, a caixa de diálogo de confirmação já não será apresentada ao longo da sessão de snap-in actual. As tentativas para arrastar e largar subsequentes nessa sessão de snap-in irão ocorrer sem qualquer confirmação.

Se o utilizador não seleccionar a caixa de verificação Não mostrar este aviso enquanto este snap-in estiver aberto, a mensagem de aviso será apresentada sempre que o utilizador tentar arrastar e largar um objecto.

Em segundo lugar, um administrador pode optar por desactivar completamente o método de arrastar e largar definindo o atributo sinalizadores no contentor Especificadores de apresentação. O contentor especificadores de apresentação está no directório em: CN=EspecificadoresApresentação,CN=Configuração,DC=<inserir nome de domínio>. Este atributo pode ser definido utilizando ADSIedit.msc, que está disponível em Ferramentas de Suporte do Windows.

O comportamento geral é:

  • Se o atributo sinalizadores estiver definido como qualquer valor, o método de arrastar e largar está desactivado. Esta não é a predefinição.
  • Se o atributo sinalizadores não estiver definido (caso predefinido), o utilizador conseguirá arrastar e largar para mover objectos no snap-in da MMC em Utilizadores e Computadores do Active Directory.
Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft