Active Directory (AD) é o serviço de directório proprietário da Microsoft. Ele funciona no Windows Server e permite aos administradores gerenciar permissões e acesso a recursos de rede.
a pasta activa guarda os dados como objectos. Um objeto é um único elemento, como um usuário, grupo, aplicação ou dispositivo, por exemplo, uma impressora. Objetos são normalmente definidos como recursos, tais como impressoras ou computadores, ou princípios de segurança, tais como usuários ou grupos.
Active Directory categoriza os objectos de directório por nome e atributos., Por exemplo, o nome de um usuário pode incluir a cadeia de nomes, juntamente com informações associadas com o usuário, tais como senhas e chaves Secure Shell (SSH).
O serviço principal no Active Directory é o Domain Services (AD DS), que armazena a informação do directório e lida com a interacção do utilizador com o domínio. AD DS verifica o acesso quando um usuário assina em um dispositivo ou tenta se conectar a um servidor através de uma rede. AD DS controla quais usuários têm acesso a cada recurso, bem como políticas de grupo., Por exemplo, um administrador normalmente tem um nível diferente de acesso aos dados do que um usuário final.
outros produtos do sistema operacional Microsoft e Windows (OS), como Exchange Server e SharePoint Server, dependem de AD DS para fornecer acesso a recursos. O servidor que hospeda AD DS é o controlador de domínio.
Active Directory services
vários serviços diferentes incluem Active Directory., O serviço principal é Serviços de domínio, mas Active Directory também inclui serviços de diretório leve (AD LDS), Serviços de certificados (AD CS), serviços da Federação (AD FS) e serviços de gestão de direitos (AD RMS). Cada um desses outros serviços expande as capacidades de gerenciamento de diretórios do produto.
- Lightweight Directory Services has the same codebase as AD DS, sharing similar functionalities, such as the API (application program interface)., AD LDS, no entanto, pode executar em várias instâncias em um servidor e detém dados de diretório em uma loja de dados usando o Lightweight Directory Access Protocol (LDAP).
- LDAP é um protocolo de Aplicação Usado para acessar e manter Serviços de diretório sobre uma rede. O LDAP armazena objetos, tais como nomes de usuário e senhas, em serviços de diretório, tais como Diretório Ativo, e compartilha esses dados de objetos através da rede.os Serviços de certificados geram, gerem e partilham certificados., Um certificado usa criptografia para permitir que um usuário troque informações através da internet de forma segura com uma chave pública.
- Active Directory Federation Services autentica o acesso do utilizador a múltiplas aplicações — mesmo em diferentes redes — utilizando um único sinal (SSO). Como o nome indica, SSO só requer que o usuário assine uma vez, em vez de usar várias chaves de autenticação dedicadas para cada serviço.os Serviços de gestão de direitos controlam os direitos de informação e a gestão. O AD RMS encripta conteúdo, como e-mail ou Microsoft Word documents, em um servidor para limitar o acesso.,
principais características dos serviços do domínio de pastas activas
os Serviços do domínio de pastas activas utilizam uma disposição por níveis constituída por domínios, árvores e florestas para coordenar elementos da rede.
- um domínio é um grupo de objetos, como usuários ou dispositivos, que compartilham a mesma base de dados AD. Domains have a domain name system(DNS) structure.
- uma árvore é um ou mais domínios agrupados. A estrutura da árvore usa um espaço de nomes contíguo para reunir a coleção de domínios em uma hierarquia lógica., As árvores podem ser vistas como relações de confiança onde uma conexão Segura, ou confiança, é compartilhada entre dois domínios. Vários domínios podem ser confiáveis onde um domínio pode confiar em um segundo, e o segundo domínio pode confiar em um terceiro. Devido à natureza hierárquica desta configuração, o primeiro domínio pode implicitamente confiar no terceiro domínio sem precisar de confiança explícita.a floresta é um grupo de árvores múltiplas. Uma floresta consiste em catálogos compartilhados, esquemas de diretórios, informações de aplicação e configurações de domínio. O esquema define a classe e atributos de um objeto em uma floresta., Além disso, os servidores globais de catálogos fornecem uma listagem de todos os objetos em uma floresta. De acordo com a Microsoft, o forest é o limite de segurança do Active Directory.as unidades organizacionais (UO) organizam utilizadores, grupos e dispositivos. Cada domínio pode conter o seu próprio OU. No entanto, os OUs não podem ter espaços de nomes separados, como cada usuário ou objeto em um domínio deve ser único. Por exemplo, uma conta de usuário com o mesmo nome de usuário não pode ser criada.os recipientes
- são semelhantes aos OUs, mas os objetos de Política de grupo (GPO) não podem ser aplicados ou ligados a objetos de contêiner.,
Confiante terminologia
o Active Directory baseia-se em relações de confiança para moderar os direitos de acesso de recursos entre domínios. Existem vários tipos diferentes de trusts:
- uma confiança de Sentido Único é quando um primeiro domínio permite privilégios de acesso a usuários em um segundo domínio. No entanto, o segundo domínio não permite o acesso aos usuários no primeiro domínio.,
- uma confiança bidirecional é quando existem dois domínios e cada domínio permite o acesso aos usuários do outro domínio.
- um domínio de confiança é um domínio único que permite o acesso do usuário a outro domínio, que é chamado de domínio de confiança.
- uma confiança transitiva pode estender-se além de dois domínios e permitir o acesso a outros domínios confiáveis dentro de uma floresta.
- uma confiança intransitiva é uma confiança de Sentido Único que é limitada a dois domínios.
- uma confiança explícita é uma confiança unidireccional, não-transitória que é criada por um administrador de rede.
- uma confiança cruzada é um tipo de confiança explícita., Os trusts cruzam-se entre domínios dentro de 1) a mesma árvore, sem relação entre filhos e pais entre os dois domínios, ou 2) árvores diferentes.um fundo florestal aplica-se a domínios dentro de toda a floresta e pode ser unidireccional, bidireccional ou transitivo.um atalho junta dois domínios que pertencem a árvores separadas. Os atalhos podem ser unidireccionais, bidireccionais ou transitivos.
- um reino é uma confiança que é transitiva, intransitiva, de um sentido ou de dois sentidos.
- uma confiança externa é uma confiança que liga domínios através de florestas separadas ou domínios que não são AD., Os trusts externos podem ser intransitivos, unidireccionais ou bidireccionais.
- a private access management (PAM) trust é um tipo de one-way trust. É criado pelo Microsoft Identity Manager, entre uma floresta de produção e um bastion forest.
History and development of Active Directory
Microsoft offered a preview of Active Directory in 1999 and released it a year later with Windows 2000 Server. A Microsoft continuou a desenvolver novos recursos com cada versão sucessiva do Windows Server.,
Windows Server 2003 included a notable update to add forests and the ability to edit and change the position of domains within forests. Os domínios no Windows Server 2000 não conseguiram suportar novas atualizações de anúncios em execução no Server 2003.
Windows Server 2008 introduziu AD FS. Além disso, a Microsoft renomeou o diretório para gestão de domínio como AD DS, e AD tornou-se um termo abrangente para os serviços baseados em diretórios que suportava.
Windows Server 2016 updated AD DS to improve AD security and migrate AD environments to cloud or hybrid cloud environments., Atualizações de segurança incluíram a adição de PAM.
PAM monitorou o acesso a um objeto, o tipo de acesso concedido e que ações o usuário tomou. PAM acrescentou bastion AD forests para fornecer um ambiente florestal mais seguro e isolado. Windows Server 2016 terminou o suporte para dispositivos no Windows Server 2003.
Em dezembro de 2016, A Microsoft lançou o Azure AD Connect para se juntar a um sistema de diretório ativo nas instalações com o Azure Active Directory (Azure AD) para permitir a SSO para os Serviços de nuvem da Microsoft, como o Office 365., Azure AD Connect trabalha com sistemas rodando Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016.
domínios vs. grupos de trabalho
o grupo de trabalho é o termo da Microsoft para máquinas Windows conectadas através de uma rede peer-to-peer. Grupos de trabalho são outra unidade de organização para computadores Windows em redes. Os grupos de trabalho permitem que essas máquinas compartilhem arquivos, acesso à internet, impressoras e outros recursos através da rede. A rede ponto-a-ponto remove a necessidade de um servidor para Autenticação., Existem várias diferenças entre domínios e grupos de trabalho:
- domínios, ao contrário dos grupos de trabalho, podem hospedar computadores de diferentes redes locais.
- domínios podem ser usados para hospedar muitos mais computadores do que grupos de trabalho. Domínios podem incluir milhares de computadores, ao contrário de grupos de trabalho, que normalmente têm um limite superior próximo de 20.
- em domínios, pelo menos um servidor é um computador, que é usado para controlar permissões e recursos de segurança para cada computador dentro do domínio. Em grupos de trabalho, não há servidor e computadores são todos pares.,
- Os utilizadores do domínio necessitam tipicamente de identificadores de segurança como logins e senhas, ao contrário dos grupos de trabalho.
principais concorrentes da Active Directory
outros serviços de directório no mercado que oferecem funcionalidades semelhantes às do AD incluem o Red Hat Directory Server, o Apache Directory e o OpenLDAP.
Red Hat Directory Server gerencia o acesso do usuário a vários sistemas em ambientes Unix. Semelhante ao AD, Red Hat Directory Server inclui ID de usuário e autenticação baseada em certificado para restringir o acesso aos dados no diretório.,
Apache Directory é um projeto de código aberto que funciona em Java e opera em qualquer servidor LDAP, incluindo sistemas em Windows, macOS e Linux. O Apache Directory inclui um navegador schema e um editor/navegador LDAP. A pasta Apache suporta os ‘plugins’ do Eclipse.
