“O Active Directory é o serviço de diretórios do Windows 2000 Server e do Windows Server 2003. Um Serviço de Diretórios é um serviço de rede, o qual identifica todos os recursos disponíveis em uma rede, e torna estes recursos disponíveis para usuários e aplicações. O Active Directory facilita três operações básicas: Localizar recursos na rede, gerenciar o acesso a estes recursos e manter uma base de usuários, grupos e políticas de segurança, única para cada domínio”.

Pela descrição formal acima, podemos ver que o Active Directory é um serviço de rede, no qual ficam armazenadas informações sobre dados dos usuários, impressoras, servidores, grupos de usuários, computadores e políticas de segurança. Cada um desses elementos são conhecidos como objetos.

Os recursos disponíveis através do Active Directory são organizados de uma maneira hierárquica, através do uso de Domínios. Uma rede na qual o Active Directory está instalado pode ser formada por um ou mais domínios. Com a utilização do Active Directory um usuário somente precisa ser cadastrado em um dos domínios, sendo que pode receber permissões para recursos em qualquer um dos domínios. Esta interoperabilidade entre domínios é possível, graças a um mecanismo de relações de confiança entre os domínios, relações estas que são criadas e mantidas, automaticamente, pelo Windows 2000 Server e também pelo Windows Server 2003.

A utilização do Active Directory simplifica em muito a administração, pois fornece um local centralizado, único, através do qual todos os recursos da rede podem ser administrados. Todos os Controladores de Domínio possuem o Active Directory instalado. A maneira de criar um domínio é instalar o Active Directory em um Member Server e informar que este é o primeiro Controlador de Domínio.

O Active Directory utiliza o DNS como o seu serviço de nomeação de servidores e recursos, e também para a resolução de nomes para endereços IP, que é a função principal do DNS, conforme já descrito anteriormente. Por isso um dos pré-requisitos para que o Active Directory possa ser instalado e funcione perfeitamente é que o DNS deve estar instalado e corretamente configurado.

O agrupamento de objetos em um ou mais domínios permite que a rede de computadores reflita a organização da sua empresa. Para que um usuário cadastrado em um domínio possa receber permissões para acessar recursos em outros domínios, o Windows 2000 Server ou o Windows Server 2003 cria e mantém relações de confiança entre os diversos domínios. As relações de confiança são bidirecionais e transitivas. Isso significa que se o Domínio A confia no Domínio B, o qual por sua vez confia em um Domínio C, então o Domínio A também confia no Domínio C. Isso é bastante diferente do que acontecia em versões anteriores do Windows, como por exemplo no Windows NT Server 4.0, uma vez que as relações de confiança tinham que ser criadas e mantidas, manualmente, pelos administradores dos domínios.

Todo domínio possui as seguintes características:

• Todos os objetos de uma rede (contas de usuários, grupos, impressoras, políticas de segurança, etc.) existem em um domínio. Cada domínio somente armazena informações sobre os objetos do próprio domínio.
• Cada domínio possui suas próprias políticas de segurança.

Quando temos diversos domínios se relacionando através de relações de confiança, criadas e mantidas automaticamente pelo Active Directory, dizemos que temos uma Árvore de domínios. Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows 2000 Server ou Windows Server 2003, os quais “compartilham um espaço de nome”.

Vamos entender um pouco mais o que significa a expressão “compartilham um espaço de nome”. Primeiramente observe a Figura 11.4.

Figura 11.4 Todos os domínios de uma árvore compartilham um espaço de nomes em comum.

Observe que no diagrama anterior, nós temos uma árvore com 7 domínios. Mas o que significa mesmo “compartilham um espaço de nome”?

Observe que o domínio inicial é microsoft.com. Os domínios seguintes são: vendas.microsoft.com e suporte.microsoft.com. Quando nós formamos uma hierarquia de domínios, compartilhar um espaço de nomes, significa que o nome dos objetos filho contêm o nome do objeto pai. Por exemplo, vendas.microsoft.com contém microsoft.com. Descendo mais ainda na hierarquia, vemos que isso continua verdadeiro. Por exemplo o objeto filho sistemas.vendas.microsoft.com contém o nome do objeto pai vendas.microsoft.com, o qual contém o nome do objeto pai microsoft.com e assim por diante.

Com isso dizemos que uma árvore de diretórios deste tipo forma um espaço de nomes contínuo, onde o nome do objeto filho sempre contém o nome do objeto pai.

Você pode ainda dividir um domínio em “Unidades Organizacionais”. Uma Unidade Organizacional é um container que podemos utilizar para organizar os objetos de um determinado domínio em um agrupamento lógico para efeitos de administração. Isso resolve uma série de problemas de versões anteriores do Windows. No Windows NT Server 4.0 se um usuário fosse adicionado ao grupo Administradores do domínio (grupo com poderes totais sobre todos os recursos do domínio), ele poderia executar qualquer ação em qualquer servidor e em qualquer computador do domínio. Com a utilização de Unidades Organizacionais, podemos atribuir permissões administrativas apenas na Unidade Organizacional pela qual o respectivo Administrador é responsável, sem que com isso o usuário tenha poderes sobre todo o domínio.

Cada domínio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais domínios, isto é, os diversos domínios que formam uma determinada árvore de domínios, não precisam ter a mesma estrutura hierárquica de unidades organizacionais.

No exemplo da Figura 11.4, o domínio vendas.microsoft.com poderia ter uma estrutura hierárquica de Unidades Organizacionais, projetada para atender as necessidades do domínio vendas. Essa estrutura poderia ser completamente diferente da estrutura de Unidades Organizacionais do domínio suporte.microsoft.com, a qual será projetada para atender as necessidades do domínio suporte. Com isso ficamos com uma flexibilidade bastante grande, de tal forma que a nossa árvore de domínios e a organização dos domínios em uma hierarquia de Unidades Organizacionais possa atender perfeitamente as necessidades de cada setor da empresa. A utilização de Unidades Organizacionais não é obrigatória, mas é bastante recomendada.

Utilize Unidades Organizacionais quando:

• Você quiser representar a estrutura e organização da sua companhia em um domínio. Sem a utilização de Unidades Organizacionais, todas as contas de usuários são mantidas e exibidas em uma única lista, independente da localização, departamento ou função do usuário.
• Quiser delegar tarefas administrativas sem para isso ter que dar poderes sobre todo o domínio. Com o uso de Unidades Organizacionais, você pode dar permissões para um usuário somente na Unidade Organizacional pela qual o usuário é responsável.
• Facilitar e melhor acomodar alterações na estrutura da sua companhia. Por exemplo, é muito mais fácil mover contas de usuários entre Unidades Organizacionais do que entre domínios.

Os conceitos de Domínio e Controladores de Domínio, bem como do Active Directory, são muito importantes para o Windows 2000 Server e também para o Windows Server 2003. O que vimos aqui foram apenas alguns conceitos básicos sobre esses assuntos. Existem livros inteiros sobre Active Directory. Para aqueles que querem aprofundar os estudos nestes tópicos e aprender a implementá-los, na prática, , eu recomendo o seguinte livro, de minha autoria: “Windows Server 2003 – Curso Completo”, 1568 páginas. Mais detalhes sobre este livro, diretamente no meu site, em https://juliobattisti.com.br e no site da Editora Axcel, em http://www.axcel.com.br