Organização Interna no Active Directory - Parte 2

Neste artigo daremos continuidade quanto aos conceitos iniciais do Active Directory.

O Active Directory está organizado através de quatro tipos de estruturas de divisões ou recipiente:

FORESTSnão são limitados em geografia ou topologia de uma determinada rede. Uma única Forest pode conter vários domínios,cada um compartilhando um determinado esquema. Membros do domínio de uma mesma Forest não precisam ter uma LAN ou WAN de conexão dedicada entre eles. Uma única rede também pode ter várias Forests independentes. Em geral,uma única Forest deve ser usada para cada entidade corporativa.

Domínios podem servir como recipientes para as políticas de segurança e as atribuições administrativas. Todos os objetos dentro de um domínio são objetos de políticas de todo o domínio do grupo por padrão, ou seja se deseja criar uma regra para um determinado perfil de usuários, basta colocá-los no mesmo grupo, no mesmo domínio e, por fim, se desejar na mesma Forest.Da mesma forma,qualquer administrador de domínio pode gerenciar todos os objetos dentro de um domínio.Além disso,cada domínio tem o seu próprio banco de dados de contas único.

Assim, a autenticação é feita baseado em um domínio. Uma vez que uma conta de usuário é autenticada em um domínio, a conta do usuário tem acessoa os recursos do domínio que lhe foi conferido/ configurado.

Lembre-se: O Active Directory requer um ou mais domínios para o seu funcionamento. Um domínio do Active Directory é uma coleção de computadores que compartilham um conjunto comum de políticas, um nome e um banco de dados de seus membros.

Um domínio deve ter um ou mais servidores que atuam como controladores de domínio (DCs ou conhecidos como DOMAIN CONTROLLERS) e armazenam o banco de dados, mantem as políticas, além de fornecer a autenticação de logons de domínio.

Com a tecnologia do Windows NT (hoje embutida boa parte e re-aproveitada nos servers mais modernos), o controlador de domínio primário (PDC ou primary controller domain)e o controlador de domínio e backup (BDC ou backup domain controller) formamos recursos indispensáveis para que as regras e políticas possam ser atribuídas a um servidor de uma rede de computadores que usavam um sistema operacional Windows.

O Windows usou a ideia de gerenciar por domínio cada acessoa um conjunto de recursos e redes (aplicativos,impressoras e assim por diante)para um grupo de usuários. O usuário precisa apenas fazer login no domínio para obter acesso aos recursos,que podem estar localizados em vários servidores diferentes na rede. Não é o máximo? Bom pelo menos digo isso, ao ter que gerenciar várias redes e com vários usuários diferentes não é mesmo? Assim creio que alguns de vocês já passaram por isso.

No WindowsServer 2000, por exemplo (você pode querer realizar seus testes em servidores mais atuais)enquanto as políticas dos controladores de domínio foram mantidas,o PDC e funções de servidor BDC eram basicamente substituídas pelo Active Directory.

Não é mais necessário criar domínios separados para dividir privilégios administrativos. Você deve estar se perguntando..."...Mas e agora todo o conhecimento que tínhamos, vamos ter que re-fazer? re-aprender?..". Não totalmente. Na verdade, a gestão de políticas organizacionais em T.I, fica mais evidente quando o tempo passa e descobrimos novas brechas, erros e falhas que poderiam ser tratadas de forma mais proativa(pensar antes de acontecer), do que quando somos reativos(quando temos que ficar apagando incêndios).

Dessa forma, dentro do Active Directory, é possível delegar privilégios administrativos com base em unidades organizacionais, onde domínios não estão mais restritos a um limite 40.00 usuários. Domínios do Active Directory pode gerenciar milhões de objetos.

Como não há mais PDCs e BDCs nos server atuais (não explicitamente), Active Directory usa multi-master com replicação e todos os controladores de domínio são pares. Organizacionalmente fica mais flexíveis e mais fáceis de gerenciar do que em geral. Dessa forma, conceder-lhe poderes/negar-lhe poderes tem quase infinita flexibilidade, como você pode movê-los, excluí-los e(ou) criar novas O.U. (units Organization), as unidades organizacionais, conforme necessário. No entanto, os domínios são muito mais rígidos em sua existência. Os domínios podem ser suprimidos e criados novos domínios, mas este processo não é o mais indicado e deve ser evitado sempre que possível, principalmente pelo retrabalho que possa lhe causar.

Por definição, os sites são conjuntos de sub-redes IP que tem links de comunicação rápido entre todos os hosts. Ou seja ao usar sites, você pode controlar e reduzir a quantidade de tráfego que flui sobre as suas conexões mais lentas WAN/LAN.

Isso pode resultar em um tráfego mais eficiente para as suas tarefas gerando assim maior produtividade. Dessa forma também pode manter os custos de um link WAN fixadas para os serviços pay-by-the-bit, por exemplo... Muitas empresas adotam esse método, como por exemplo empresas VOIP ou de telefonia móvel.

Entre outros elementos chave que estamos discutindo nesse artigo, não posso esquecer-me de mencionar o Infrastructure Master (Gerenciador de Infraestrutura) dentro do Active Directory. É um FSMO de todo o domínio (Flexible Single Master de Operações) que é o responsável por processos de correção de referências, conhecida como fantasmas, ou referencias fantasmas, que podem acabar poluindo, por assim dizer, a organização do banco de dados do Active Directory.

Esses fantasmas são criando quando algo lhe é requirido dentro do DC, de um banco de dados por exemplo, por um elemento, ou usuário , ou recurso de um outro domínio de fora da Forest. Quando isso ocorre, esses registros fantasmas podem prejudicar a performance e aumentar consideravelmente o tráfego de dados que não são importantes e com isso aumentam o consumo de disco rígido.

Isso ocorre por exemplo, quando o objeto de destino é renomeado, movido migraram entre domínios ou excluído.

Artigos relacionados