Vamos aprender as diferenças entre um Domínio e um Workgroup e como o Active Directory encaixa-se neste conceito.

Domínios e Grupos de Trabalho (Workgroups)

Um rede com Windows 2000 Server ou com o Windows Server 2003 pode ser criada utilizando-se dois conceitos diferentes, dependendo da maneira como os servidores Windows são configurados. Os servidores podem ser configurados para fazerem parte de um Domínio ou de um Grupo de Trabalho, mais comumente chamado de Workgroup, termo que utilizarei de agora em diante.

Um Domínio é simplesmente um agrupamento lógico de usuários (contas de usuários) e recursos, os quais compartilham políticas de segurança. Em um domínio podemos ter dois tipos de servidores Windows: Controladores de Domínio (DC – Domain Controlers) e Servidores Membro (Member Servers). Veremos um pouco mais sobre Controladores de Domínio e Servidores Membro mais adiante.

A criação de contas de usuários e alterações nas Políticas de Segurança podem ser feitas em qualquer um dos Controladores de Domínio, que estas alterações serão automaticamente repassadas (o termo técnico utilizado é “replicadas”) para os demais DCs do domínio. Por isso se você cria uma conta para o usuário jsilva e cadastra uma senha para este usuário, essa conta passa a ser válida em todo o domínio, sendo que o usuário jsilva pode receber permissões para acessar recursos e serviços em qualquer servidor do Domínio, seja em um Controlador de Domínio ou em um Servidor Membro.

Por isso que o Domínio nos transmite a idéia de um agrupamento lógico de Contas de Usuários e Grupos, bem como de Políticas de Segurança, uma vez que todo o Domínio compartilha a mesma lista de Usuários, a mesma lista de Grupos e as mesmas políticas de segurança. A criação de domínios facilita enormemente a administração de uma rede baseada no Windows 2000 Server ou no Windows Server 2003, sendo altamente recomendada para qualquer rede maior do que uma meia dúzia de máquinas.

Nos Servidores Membros podem ser criadas contas de Usuários e Grupos, as quais somente serão válidas no Servidor Membro onde forem criadas. Estas contas e grupos são conhecidas como contas locais e grupos locais, respectivamente. Embora isso seja possível, essa prática não é recomendada, uma vez que isso dificulta enormemente a administração quando o número de usuários e grupos for grande. Você pode atribuir permissões, para os recursos (pastas compartilhadas, impressoras compartilhadas, aplicativos, etc.) de um Servidor Membro, à contas de Usuários e Grupos do Domínio, sem a necessidade de criar esses usuários ou grupos localmente. Com isso, podemos concluir que um Servidor Membro é um servidor que, embora não mantenha uma cópia da lista de usuários e grupos, possui acesso a essa lista, sendo que podem ser atribuídas permissões aos recursos do Servidor Membro para as Contas e Grupos do Domínio.

Em um Domínio, todos os Controladores de Domínio compartilham uma lista de usuários, grupos e Políticas de Segurança, além de algumas outras características que veremos no tópico sobre o Active Directory. Além disso, alterações feitas em um dos Controladores de Domínio são automaticamente replicadas para os demais. Essa replicação, por padrão, ocorre de 5 em 5 minutos dentro da mesma rede local e de 3 em 3 horas através de links de WAN, mais lentos, entre controladores de domínio de redes remotas.

Como os Servidores Membro não possuem uma cópia da lista de usuários e grupos do domínio, estes não efetuam a autenticação dos clientes e também não armazenam informações sobre as Políticas de Segurança para o Domínio, as quais também são conhecidas por GPOs – Group Policy Objects.

Quando os servidores Windows 2000 Server são configurados para trabalhar com um Workgroup, não existe o conceito de Domínio e nem de Controlador de Domínio. Cada servidor mantém uma lista separada para contas de Usuários, Grupos e Políticas de Segurança. Com isso, se um usuário precisa acessar recursos em três servidores, por exemplo, será necessário criar uma conta para esse usuário nos três servidores diferentes. Um Workgroup somente é recomendado para redes extremamente pequenas, normalmente com um único servidor Windows 2000 Server ou Windows Server 2003 e não mais do que dez estações clientes.

Active Directory

O Active Directory é, talvez, a mudança mais significativa incluída com o Windows 2000 Server e também presente no Windows Server 2003. É também a novidade mais divulgada e comentada do Windows 2000 Server.

Mas de uma maneira simples, o que é o Active Directory?

O Active Directory é o serviço de diretórios do Windows 2000 Server e do Windows Server 2003. Um Serviço de Diretórios é um serviço de rede, no qual estão armazenadas informações sobre todos os objetos e serviços disponíveis na rede. Com o Active Directory podemos pesquisar todos os recursos disponíveis em uma rede, e acessar estes recursos de acordo com as definições de segurança implementadas, ou seja, o usuário somente tem acesso aos recursos para os quais tem permissão de acesso.”

Pela descrição formal acima, podemos ver que o Active Directory é um serviço de rede, no qual ficam armazenadas informações sobre dados dos usuários, impressoras, servidores, grupos de usuários, computadores e Políticas de Segurança. Cada um desses elementos são conhecidos como objetos.

Os recursos disponíveis através do Active Directory são organizados de maneira hierárquica, através do uso de Domínios. Uma rede, na qual o Active Directory está instalado, pode ser formada por um ou mais Domínios. Com a utilização do Active Directory um usuário somente precisa ser cadastrado em um dos Domínios, sendo que pode receber permissões para recursos em qualquer um dos Domínios.

A utilização do Active Directory simplifica em muito a administração, pois fornece um local centralizado, através do qual todos os recursos da rede podem ser administrados. Todos os Controladores de Domínio, possuem o Active Directory instalado. A maneira de criar um Domínio é instalar o Active Directory em um Member Server e informar que este é o primeiro Controlador de Domínio.

O Active Directory utiliza o DNS – Domain Name Systems – como o seu serviço de nomeação de servidores e recursos. Por isso, um dos pré-requisitos para que o Active Directory possa ser instalado e funcione perfeitamente é que o DNS esteja instalado e corretamente configurado.

Com o agrupamento de objetos em um ou mais Domínios permito que a rede de computadores reflita a organização lógica da sua empresa. Para que um usuário cadastrado em um Domínio, possa receber permissões para acessar recursos em outros domínios, o Windows cria e mantém, automaticamente, relações de confiança entre os diversos domínios. As relações de confiança são bidirecionais e transitivas. Isso significa se o Domínio A confia no Domínio B, o qual por sua vez confia em um Domínio C, então o Domínio A também confia no Domínio C. Isso é bastante diferente do que acontecia em versões anteriores do Windows, tais como o NT Server 4.0, pois nas versões antigas as relações de confiança tinham que ser criadas e mantidas pelos administradores dos domínios.

Todo Domínio possui as seguintes características:

® Todos os objetos de uma rede (contas de usuários, grupos, impressoras, Políticas de Segurança, etc.) existem em um Domínio. Cada Domínio somente armazena informações sobre os objetos próprios.

® Cada Domínio possui suas próprias Políticas de Segurança.

Quando temos diversos domínios se relacionando através de relações de confiança, criadas e mantidas automaticamente pelo Active Directory, dizemos que temos uma Árvore. Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais Domínios do Windows 2000 Server, os quais “compartilham um espaço de nome”.

Vamos entender um pouco mais o que significa a expressão “compartilham um espaço de nome”. Primeiramente observe a Figura 6.7.

Figura 6.7 Todos os domínios de uma árvore compartilham um espaço de nomes em comum.

Observe que, no diagrama anterior, temos uma árvore com sete Domínios. Mas o que significa mesmo “compartilhar um espaço de nome”?

Observe que o domínio inicial é microsoft.com. Os Domínios seguintes são: vendas.microsoft.com e suporte.microsoft.com. Quando formamos uma hierarquia de Domínios, compartilhar um espaço de nomes significa que o nome do objeto filho contém o nome do objeto pai. Por exemplo, vendas.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia, vemos que isso continua verdadeiro. Por exemplo, o objeto filho, sistemas.vendas.microsoft.com, contém o nome do objeto pai, vendas.microsoft.com.

Com isso dizemos que uma árvore de domínios deste tipo, forma um espaço de nomes contínuo, onde o nome do objeto filho sempre contém o nome do objeto pai.

Você pode ainda dividir um Domínio em “Unidades Organizacionais”. Uma Unidade Organizacional é um Container, o qual podemos utilizar para organizar os objetos de um determinado domínio em um agrupamento lógico para efeitos de administração. Isso resolve uma série de problemas de versões anteriores do Windows. No Windows NT Server 4.0, se um usuário fosse adicionado ao grupo Administradores (grupo com poderes totais sobre qualquer recurso, em qualquer servidor do domínio), ele poderia tomar qualquer ação em qualquer servidor do domínio. Com a utilização de Unidades Organizacionais, podemos atribuir poderes administrativos apenas na Unidade Organizacional, sem que com isso o usuário tenha poderes sobre todo o Domínio.

Cada Domínio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais domínios, isto é, os diversos domínios que formam uma determinada árvore de domínios, não precisam ter a mesma estrutura hierárquica de unidades organizacionais.

No exemplo da Figura 6.7, exibida anteriormente, o domínio vendas.microsoft.com poderia ter uma estrutura hierárquica de Unidades Organizacionais, projetada para atender as necessidades do Domínio vendas. Essa estrutura poderia ser completamente diferente da estrutura do Domínio suporte.microsoft.com, a qual será projetada para atender as necessidades do Domínio suporte. Com isso ficamos com uma flexibilidade bastante grande, de tal forma que a nossa árvore de Domínios e a organização dentro de cada Domínio, em uma hierarquia de Unidades Organizacionais, possa atender perfeitamente às necessidades da empresa. A utilização de Unidades Organizacionais não é obrigatória.

Utilize Unidades Organizacionais quando:

® Você quiser representar a estrutura e organização da sua companhia em um Domínio. Sem a utilização de Unidades Organizacionais, todas as contas de usuários são mantidas e exibidas em uma única lista, independente da localização, departamento ou função do usuário.

® For necessário delegar tarefas administrativas sem que para isso tenhamos que dar poderes sobre todo o Domínio. Com o uso de Unidades Organizacionais, você pode dar permissões para um usuário somente na Unidade Organizacional.

® Facilitar e melhor acomodar alterações na estrutura da sua companhia. Por exemplo, é muito mais fácil mover contas de usuários entre Unidades Organizacionais do que entre Domínios.