Visão geral dos serviços de domínio Active Directory

  • Artigo

 

Aplica-se a: Windows Server 2012

All_Symbols_Cloud

Você sabia que o Microsoft Azure fornece uma funcionalidade semelhante na nuvem? Saiba mais sobre as Soluções de identidade do Microsoft Azure.

Crie uma solução de identidade híbrida no Microsoft Azure:
- Implante o Active Directory do Windows Server em Máquinas Virtuais do Azure.
- Saiba mais sobre a solução de gerenciamento de identidades e acesso disponível com o Microsoft Enterprise Mobility.
- Instale um controlador de domínio Active Directory de réplica em uma rede virtual do Azure.
- Gerencie identidades para ambientes híbridos de floresta única usando a autenticação de nuvem.
- Saiba mais sobre o Active Directory do Azure e como ele pode se integrar à sua infraestrutura existente do Active Directory.

Usando a função de servidor dos Serviços de Domínio Active Directory® (AD DS), você pode criar uma infraestrutura escalável, segura e gerenciável para gerenciamento de usuário e recursos e pode fornecer suporte para aplicativos habilitados por diretório, como o Microsoft® Exchange Server.

O restante deste tópico apresenta uma visão geral da função de servidor do AD DS. Para obter mais informações sobre novos recursos do AD DS no Windows Server 2012, consulte Novidades no AD DS (Serviços de Domínio do Active Directory).

O AD DS fornece um banco de dados distribuído que armazena e gerencia informações sobre recursos da rede e dados específicos de aplicativos habilitados por diretório. Um servidor com AD DS é chamado de controlador de domínio. Os administradores podem usar AD DS para organizar elementos de uma rede, como usuários, computadores e outros dispositivos, em uma estrutura de confinamento hierárquica. A estrutura de confinamento hierárquica inclui a floresta do Active Directory, domínios na floresta e unidades organizacionais (OUs) em cada domínio.

Organizar os elementos da rede em uma estrutura de confinamento hierárquica fornece os seguintes benefícios:

  • A floresta funciona como um limite de segurança para uma organização e define o escopo de autoridade para administradores. Por padrão, uma floresta contém um único domínio, que é conhecido como o domínio raiz da floresta.

  • Domínios adicionais podem ser criados na floresta para fornecer particionamento de dados do AD DS, o que permite que as organizações repliquem dados somente onde for necessário. Isso possibilita que o AD DS seja dimensionado globalmente em uma rede que tem largura de banda disponível limitada. Um domínio Active Directory também suporta várias outras funções principais relacionadas à administração, incluindo identidade de usuário em âmbito de rede, autenticação e relações de confiança.

  • OUs simplificam a delegação de autoridade para facilitar o gerenciamento de grande número de objetos. Por meio da delegação, os proprietários podem transferir a autoridade toda ou limitada sobre os objetos para outros usuários ou grupos. A delegação é importante pois ajuda a distribuir o gerenciamento de grande número de objetos para várias pessoas de confiança realizarem tarefas de gerenciamento.

A segurança é integrada ao AD DS por meio de autenticação de logon e controle de acesso a recursos no diretório. Com um único logon de rede, os administradores podem gerenciar dados de diretório e organização por toda a sua rede. Os usuários de rede autorizados também podem usar um único logon de rede para acessar recursos em qualquer lugar na rede. A administração baseada em política facilita igualmente o gerenciamento de redes mais complexas.

Os recursos adicionais do AD DS incluem os seguintes:

  • Um conjunto de regras, o esquema, que define as classes de objetos e atributos que estão contidos no diretório, as restrições e limites nas instâncias desses objetos e o formato de seus nomes.

  • Um catálogo global que contém informações sobre cada objeto no diretório. Usuários e administradores podem usar o catálogo global para localizar informações do diretório, independentemente de qual domínio no diretório realmente contém os dados.

  • Um mecanismo de consulta e índice, de maneira que os objetos e suas propriedades possam ser publicadas e localizadas por usuários ou aplicativos da rede.

  • Um serviço de replicação que distribui dados do diretório através de uma rede. Todos os controladores de domínio graváveis em um domínio participam da replicação e contêm uma cópia completa de todas as informações de diretório do seu domínio. Qualquer alteração nos dados do diretório é replicada em todos os controladores de domínio.

  • Funções de mestre de operações (também conhecidas como operações de mestre único flexíveis ou FSMO) Controladores de domínio que mantêm funções de mestre de operações são designados para realizar tarefas específicas para garantir consistência e eliminar entradas conflitantes no diretório.

Requisitos para executar os Serviços de Domínio Active Directory

Quais são as configurações de hardware, software ou definições necessárias para executar este recurso? Quais são os pré-requisitos existentes para executar a função? Esta função/recurso exige hardware especial?

Requisito

Descrição

TCP/IP

Configure os endereços de servidor TCP/IP e DNS adequados.

NTFS

As unidades que armazenam o banco de dados, os arquivos de log e a pasta SYSVOL para Serviços de Domínio Active Directory (AD DS) devem ser colocadas em um volume fixo local. SYSVOL deve ser colocado em um volume formatado com o sistema de arquivos NTFS. Para fins de segurança, o banco de dados e os arquivos de log do Active Directory devem ser colocados em um volume que seja formatado com o NTFS.

Credenciais

Para instalar uma nova floresta do AD DS, é necessário ser Administrador local no servidor. Para instalar um controlador de domínio adicional em um domínio existente, você precisa ser um membro do grupo Administradores de Domínio.

Infraestrutura do DNS (Sistema de Nomes de Domínio)

Verifique se uma infraestrutura do DNS está correta. Ao instalar o AD DS, você pode incluir a instalação do servidor DNS, caso seja necessária.

Quando você cria um novo domínio, uma delegação do DNS é criada automaticamente durante o processo de instalação. A criação de uma delegação do DNS exige credenciais que tenham permissões para atualizar as zonas DNS pai.

Para obter mais informações, consulte Página do assistente Opções de DNS.

Adprep

Para adicionar o primeiro controlador de domínio que executa o Windows Server 2012 a um Active Directory existente, comandos adprep.exe são executados automaticamente conforme necessário. Esses comandos têm requisitos adicionais de credenciais e conectividade.

Para obter mais informações, consulte Executando Adprep.exe.

RODCs (Controladores de Domínio Somente Leitura)

Requisitos adicionais para instalar RODCs:

  • O nível funcional da floresta deve ser pelo menos Windows Server 2003

  • Pelo menos um controlador de domínio gravável que executa o Windows Server 2008 ou posterior deve ser instalado no mesmo domínio.

Para obter mais informações, consulte Pré-requisitos para implantar um RODC.

Dica

Com exceção do servidor DNS, os controladores de domínio geralmente não devem hospedar outras funções de servidor.

Executando Serviços de Domínio Active Directory

Como implantar e configurar essa função usando o Windows PowerShell?

Para obter instruções passo a passo sobre como instalar e configurar o AD DS usando o módulo ADDSDeployment para a interface de linha de comando do Windows PowerShell®, consulte o Guia de implantação dos Serviços de Domínio do Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).

Como implantar e configurar essa função em um ambiente com vários servidores?

O AD DS é um serviço distribuído, desenvolvido para execução em vários controladores de domínio. Para obter instruções passo a passo sobre como instalar e configurar o AD DS em vários controladores de domínio, consulte o Guia de implantação dos Serviços de Domínio do Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).

Como executar essa função em máquinas virtuais?

O AD DS no Windows Server 2012 inclui proteções para execução em máquinas virtuais a fim de garantir a segurança e a consistência de ambientes virtualizados do AD DS. Para obter mais informações sobre como executar o AD DS em máquinas virtuais, consulte Executando controladores de domínio no Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).

Considerações de segurança para executar esta função

Por padrão, o AD DS foi projetado para ser seguro após a instalação. Para obter mais informações sobre as configurações de segurança padrão para os controladores de domínio, riscos e como operar os controladores de domínio com segurança, consulte Guia de práticas recomendadas para proteger instalações do Active Directory.

Considerações especiais a respeito do gerenciamento remoto dessa função

Para gerenciar o AD DS remotamente, instale as RSAT (Ferramentas de Administração de Servidor Remoto). As RSAT possuem versões de 32 e 64 bits. Para obter mais informações, consulte Ferramentas de Administração de Servidor Remoto (https://go.microsoft.com/fwlink/?LinkId=222628).

Considerações especiais a respeito do gerenciamento da função na opção de instalação Server Core

O AD DS pode ser instalado em uma instalação Server Core ou um servidor com uma interface mínima e é recomendado em casos nos quais a redução da superfície de instalação do sistema operacional é vantajosa, como uma função de servidor dedicado em um datacenter, para convidados de virtualização ou RODCs em escritórios remotos. Desde o Windows Server 2012, um controlador de domínio que executa uma instalação Server Core pode ser convertido em uma instalação de servidor com uma GUI (também conhecida como uma instalação completa) e vice-versa.

Há suporte para atualização de uma instalação Server Core executando uma versão anterior do Windows Server, mas não é possível atualizar diretamente de uma instalação Server Core de uma versão anterior do Windows Server para uma instalação de servidor com uma GUI ou diretamente de uma instalação de servidor com uma GUI para uma instalação Server Core. Nesse caso, você precisa atualizar diretamente para o mesmo tipo de instalação no Windows Server 2012 e, em seguida, converter em uma instalação diferente após a atualização, conforme necessário.

Para obter mais informações, consulte Opções de instalação do Windows Server.

Serviços de função para os Serviços de Domínio Active Directory

O Gerenciamento de Identidade para UNIX é um serviço de função de AD DS que só pode ser instalado em controladores de domínio. Duas tecnologias do Gerenciamento de Identidade para UNIX, Servidor de NIS e Sincronização de Senha, facilitam a integração de computadores com Windows® na sua empresa UNIX existente. Administradores AD DS podem usar Servidor de NIS para gerenciar domínios de Serviço de Informação de Rede (NIS). A Sincronização de Senha sincroniza automaticamente as senhas entre sistemas operacionais Windows e UNIX.

Tecnologias do serviço de função

Descrição do serviço de função

Servidor de NIS

Permite que o controlador de domínio Active Directory baseado no Microsoft Windows administre redes de Serviço de Informação de Rede (NIS) UNIX. Para obter mais informações, consulte Visão geral do Servidor para NIS (https://go.microsoft.com/fwlink/?LinkId=222677).

Sincronização de Senha

Ajuda a integrar redes do Windows e UNIX, simplificando o processo de manter as senhas seguras nos dois ambientes. Para obter mais informações, consulte Visão geral da sincronização de senha (https://go.microsoft.com/fwlink/?LinkId=222676).

Referências adicionais