Conceitos essenciais
Capítulo 4: Serviços de diretório
Publicado em: maio 11, 2004 | Atualizado em: 26 de junho de 2006
Por vários motivos, os serviços de diretório são componentes centrais em qualquer estratégia de gerenciamento de acesso e identidades, principalmente porque os serviços de diretório são a maneira mais comum de armazenar informações de identidades e autenticação de sistemas operacionais de servidor.
Um serviço de diretório não armazena apenas informações do usuário. Também armazena informações de identidade de recursos, computadores e aplicativos, pois as diretivas de segurança também devem se aplicar a esses ativos. A integração da identidade com recursos de autenticação e autorização permite que o diretório gerencie a autenticação de logon e a autorização de acesso aos recursos.
Nesta página
Active Directory
Modo de Aplicativo do Active Directory
Active Directory
O serviço de diretório Microsoft® Active Directory® é um armazenamento de identidades central seguro, altamente disponível e distribuído totalmente integrado ao Windows 2000 Server e ao Windows Server™ 2003. O Active Directory serve como ponto central para o gerenciamento e a administração de contas de usuários, autenticação, diretivas de segurança e recursos organizacionais como computadores, impressoras e servidores.
O Active Directory tem a capacidade exclusiva de gerenciar identidades de usuários e controlar o acesso de usuários a recursos variados em diversos sistemas e plataformas. Essa capacidade permite que uma organização use o Active Directory como armazenamento oficial de informações de identidades, autenticação e autorização, que podem se estender a outros aplicativos, sistemas e plataformas.
Gerenciando direitos de usuários no Active Directory
A utilização do Active Directory como serviço de diretório para identidades de usuários permite que sua organização tire proveito dos recursos líderes de mercado para gerenciar direitos de acesso de usuários. Essa integração resolve os seguintes desafios importantes de gerenciamento de acesso e identidades que foram identificados anteriormente:
Segurança. Você pode implementar alterações nos direitos de acesso de usuários por toda a rede em uma etapa, reduzindo a possibilidade de deixar uma porta dos fundos acidentalmente aberta a informações confidenciais.
Complexidade de gerenciamento. Para cada usuário, existe um local no qual os direitos e as credenciais podem ser gerenciados. Além disso, esta abordagem simplifica o acesso de usuários, pois apenas um logon e uma senha são necessários para acessar a rede e todos os recursos que ela contém.
Contenção de custos e produtividade. Um único sistema para gerenciar grupos e funções elimina a redundância de os administradores de rede precisarem conceder e monitorar privilégios em cada sistema e aplicativo individual.
Diretiva de grupo
Você pode usar as diretivas de grupo do Windows Server 2003 e do Windows 2000 Server para definir e impor configurações de usuários e computadores para grupos de usuários e computadores. Com a diretiva de grupo, sua organização pode especificar configurações de diretivas para o seguinte:
Diretivas baseadas no Registro para sistemas operacionais e componentes do Windows.
Opções de segurança para configurações de computadores locais, domínios e segurança da rede, como diretivas de contas e senhas.
Opções de instalação e manutenção de software para gerenciar centralmente a adição, atualização e remoção de aplicativos.
As diretivas de grupo fornecem controle no âmbito da organização de configurações de diretivas, ajudando a aumentar a segurança e, ao mesmo tempo, reduzindo o esforço administrativo e os custos de suporte.
Para obter mais informações sobre a diretiva de grupo do Windows 2000 Server e do Windows Server 2003, consulte o tópico Visão geral da diretiva de grupo na Ajuda do Windows e a página Step-by-Step Guide to Understanding the Group Policy Feature Set (em inglês) no Microsoft TechNet.
Usando a linguagem DSML
A linguagem DSML fornece um meio de representar as informações estruturais e operações de diretórios como um documento XML. Ela tem como objetivo permitir que aplicativos empresariais baseados em XML usem informações de perfis e recursos de um diretório em seus ambientes nativos. O DSML permite que o XML e os diretórios trabalhem em conjunto e fornece uma base comum para que todos os aplicativos baseados em XML façam um uso melhor dos diretórios.
O DSML Services for Windows amplia o potencial do serviço Active Directory no sistema operacional Windows Server 2003. Como o DSML Services for Windows usa padrões abertos, como HTTP, XML e o protocolo SOAP, um nível maior de interoperabilidade é possível. Por exemplo, além do LDAP padrão, vários dispositivos e outras plataformas possuem alternativas para a comunicação com o Active Directory. Essa abordagem fornece várias vantagens importantes para os administradores de TI e ISVs (fornecedores independentes de software), que têm agora ainda mais opções de padrão aberto para acessar o Active Directory.
O DSML Services for Windows dá suporte ao DSML versão 2 (DSMLv2), um padrão aprovado pela OASIS (Organization for the Advancement of Structural Information Standards) e apoiado por vários fornecedores de serviços de diretório. O suporte à especificação DSMLv2 permite uma melhor interoperabilidade com outros fornecedores de serviços de diretório que também dão suporte a esse padrão. Para obter informações sobre a especificação e o esquema do DSMLv2, consulte o site da OASIS.
Para obter o DSML Services for Windows, consulte a página de download dos Windows Server 2003 Feature Packs no Microsoft.com.
Modo de Aplicativo do Active Directory
Um diretório de rede como o Active Directory é o local correto para armazenar dados relativamente estáticos e que podem ser aplicados globalmente. Quando uma organização ou um desenvolvedor precisa armazenar informações relacionadas a identidades específicas de aplicativos ou precisa controlar seus dados localmente, é possível aproveitar um novo modo do Active Directory chamado Modo de Aplicativo do Active Directory (ADAM).
O ADAM resolve vários problemas gerados ao implantar aplicativos que precisam da estrutura de um diretório, mas que não se adéquam ao ambiente do Active Directory devido a um ou mais dos seguintes requisitos:
Armazenamento de dados de personalização
Armazenamento de dados que precisam de atualização freqüente
Suporte a aplicativos habilitados para diretórios que exigem a agregação de dados de perfil de várias florestas ou uma organização diferente, como uma estrutura de unidade organizacional.
Possibilidade de migração de diretórios
Para obter mais informações sobre o ADAM nestes cenários, consulte o documento "Gerenciamento de acesso à intranet", nesta série. Você pode saber mais sobre o ADAM e baixá-lo na página Windows Server 2003 Active Directory Application Mode (em inglês).
Neste artigo
- Capítulo 1: Introdução ao documento de conceitos essenciais
- Capítulo 2: Terminologia e iniciativas
- Capítulo 3: Tecnologias de gerenciamento de acesso e identidades da Microsoft
- Capítulo 4: Serviços de diretório
- Capítulo 5: Gerenciamento do ciclo de vida de identidades
- Capítulo 6: Gerenciamento de acesso
- Capítulo 7: Aplicativos
- Links
- Agradecimentos
Download
Obtenha a Série de gerenciamento de acesso e identidades da Microsoft
Notificações de atualização
Inscreva-se para receber informações sobre atualizações e novas versões
Comentários
Envie seus comentários ou suas sugestões
.gif "Dd459044.pageLeft(pt-br,TechNet.10).gif") 4 de 9 .gif "Dd459044.pageRight(pt-br,TechNet.10).gif") |