Ter uma compreensão básica do Active Directory é uma habilidade por excelência para qualquer profissional de TI, e qualquer pessoa que tenha saído caça ao trabalho sabe que a maioria dos empregadores pede alguma experiência no Active Directory.

Recentemente, meu primo embarcou em uma jornada para se tornar um profissional de TI. Sendo um veterano do exército dos EUA, sua experiência geral em TI de colarinho branco é limitada e me lembrou quando eu estava na mesma situação e me levou muita leitura seca para me levantar.

Dito isto, vou fazer o meu melhor para explicar o Active Directory da maneira mais simples possível. Prepare-se, porque vou usar muitas analogias.

LOCAL AUTHENTICATION VS CENTRAL AUTHENTICATION

Então, antes de continuar explicando o que é o Active Directory, preciso explicar por que precisamos disso. Por que foi inventado? E por que é usado por tantas empresas por aí que querem que as pessoas conheçam isso. Para isso, devemos entender a autenticação.

A autenticação é o processo de verificação de sua identidade antes de permitir o uso de um recurso.

Quando você inseriu sua senha antes de usar seu computador, e seu computador permite que você continue, essa é uma autenticação bem-sucedida. A autenticação também acontece na vida real, como quando você usa seu passaporte para entrar em um país estrangeiro.

Neste artigo, estamos preocupados com dois tipos de autenticação – LOCAL vs CENTRAL.

LOCAL AUTHENTICATION

Pense no seguinte cenário: você acabou de comprar um laptop Windows da sua loja de eletrônicos preferida. Ao levá-lo para casa e ativá-lo, ele o orienta através do processo de inserção de suas informações pessoais e criando um USERNAME e PASSWORD. Então você usa esse nome de usuário e essa senha para fazer login e usar o computador. Tudo é legal …

Agora, vamos fingir que seu laptop é roubado e você nunca recupera, então você tem que acabar comprando outro. Quando você liga este novo laptop, o nome de usuário e a senha que você criou para usar seu laptop anterior NÃO funcionarão no seu novo laptop. Isso é por causa da ‘LOCAL AUTHENTICATION’  (AUTENTICAÇÃO LOCAL).  Seu novo computador possui um banco de dados interno onde armazena nomes de usuários e senhas para usuários desse computador, portanto, ele não possui o nome de usuário e a senha do laptop que você foi roubado.

Pense nisso como chaves do carro – suas chaves são apenas LOCAIS para o seu carro, e nenhum outro. Se você quisesse entrar em outros carros, você precisa de outras chaves.

CENTRAL AUTHENTICATION

Então, e se em vez de cada dispositivo ter um banco de dados interno, temos um banco de dados central, piedoso, todos os dispositivos a serem utilizados quando precisar autenticar um usuário? Esta é CENTRAL AUTHENTICATION.

Agora pense neste cenário: você é um mandante-chefe do Exército e chefe de TI no comando. Você precisa habilitar todos os soldados de infantaria para usar seu número de identificação para abrir portas na sede, ligar seus veículos, usar equipamentos do exército, socos em seu tempo e até mesmo disparar suas armas.

Então, se usássemos a autenticação local para que isso acontecesse, isso significa que cada dispositivo e objeto que requer autenticação deve usar um banco de dados local que contenha números de ID. Se Pvt. Janski quer disparar sua arma, sua arma deve reconhecer seu número de identificação, compará-lo com seu banco de dados interno e deixá-lo usá-lo. Mas ter um banco de dados interno local para cada coisa tem alguns problemas …

  • Manter todos os bancos de dados sincronizados e atualizados – Pvt. Janski, recentemente anexada à sua unidade, está sendo baleada. Seus atolamentos M4 e ela precisam usar o M4 de um colega de soldado … mas o banco de dados local no M4 de seu companheiro não é atualizado com seu número de identificação e, portanto, não dispara. E tal é o caso do outro equipamento de seu companheiro também …
  • É uma questão de segurança ter tantas cópias de um banco de dados ao redor – novamente, cada rifle lá fora tem um banco de dados local com os números de identificação de cada soldado autorizado a dispará-lo. Se um rifle cair nas mãos erradas, eles poderiam obter essa lista de IDs e fazer errado com isso. Pior ainda, eles podem reverter o engenheiro do método de autenticação, roubar uma das IDs e forjar isso para que eles possam escalar privilégios com uma dessas IDs.

O QUE É ACTIVE DIRECTORY

O Active Directory é um banco de dados “central” que contém informações das pessoas que serão usadas para autenticá-las. Nesse caso, as informações de cada soldado residirão no Active Directory – e cada vez que um soldado quiser disparar o rifle, o rifle consultará o Active Directory para garantir que a pessoa que puxa o gatilho seja de fato um soldado.

O Active Directory também possui computadores e outros recursos em seu banco de dados, além de autenticação, também pode fazer AUTORIZAÇÃO. Para manter as coisas simples, não irei sobre elas.

Em um exemplo mais realista, muitas organizações e empresas usam o Active Directory para armazenar informações dos funcionários. Os funcionários que desejam usar os recursos da empresa devem se autenticar no Active Directory antes de ir mais longe. Os administradores de TI usam o Active Directory para manter a ordem na organização.Mais especificamente, é uma forma favorita de todos os tempos para impor o protocolo AAA. O protocolo AAA é  Authentication, Authorization and Accounting.

Authentication – como acabamos de discutir, é o processo de verificação da identidade de alguém antes de prosseguir.

Authorization – é o processo de verificar se a pessoa autenticada é AUTORIZADA a usar o recurso.

Accounting – é que o processo de documentar a pessoa autenticada e autorizada acessou o recurso.

Portanto, o Active Directory possui alguns componentes principais. Em primeiro lugar, cada estrutura do Active Directory possui um controlador de domínio. Um controlador de domínio, um servidor que cuida o gerenciamento do Active Directory, incluindo a hospedagem de seu banco de dados e o gerenciamento dos mecanismos de autorização, autenticação e contabilidade. Os controladores de domínio tipicamente executam o Windows Server 2003, embora mais e mais estamos começando a ver a transição das empresas para o Windows Server 2008 R2.

Para tornar um servidor um controlador de domínio, ele deve ter os Serviços de Domínio do Active Directory instalados como uma função, como demonstra a tela abaixo.

O que um controlador de domínio se parece no Windows Server 2008 R2.

O que um controlador de domínio se parece no Windows Server 2008 R2.

FORESTS AND DOMAINS

Então, agora que entendemos o que o Active Directory é usado e os problemas que resolve quando se trata de implementar o protocolo AAA, agora devemos familiarizar-se com a estrutura interna do Active Directory, que são florestas e domínios.

Já pensou por que um endereço de e-mail tem o sufixo “@ website.com“? Bem, os domínios de KIND OF têm algo a ver com isso, mas eu não quero me afastar muito do assunto. Nos anos 60, os computadores só podiam enviar mensagens aos usuários de seu sistema OWN. Assim, uma vez que eles desenvolveram a tecnologia para enviar mensagens entre sistemas, eles usaram o sinal @ ao lado do nome do sistema para diferenciar usuários e sistemas. Então, seria um pouco parecido com isso Tim @ SystemA está enviando uma mensagem para Tim @ SystemB. Há também outro rumor de que o uso do sinal @ originou-se de um jogo onde os seres eram representados por símbolos e os seres humanos eram o sinal “@” (“Mike @” sendo um ser humano, enquanto “MikeK” é um monstro – mas isso é fora do assunto)

Então, em geral, a terminologia de TI, um domínio é uma coleção de recursos. Digamos que você foi o fundador do Facebook e você começou com 100 funcionários e 100 computadores, 1 site e 1 servidor de e-mail. Todos esses recursos pertencem ao Facebook.com. Esse é o nome do domínio.

Na terminologia do Active Directory, as coisas são um pouco diferentes. Usando o mesmo exemplo acima, seu Facebook.com seria o nome FOREST ou domínio de nível superior. Por que é isso? Porque o Active Directory permite que você crie domínios dentro de domínios e uma coleção de domínios é chamada FOREST. Digamos que você expanda o Facebook para a Europa e a legislação da UE exige que você tenha todos os registros de funcionários europeus armazenados fisicamente na Europa e não nos EUA.Assim, com o Active Directory, você pode criar um domínio dentro do Facebook.com e chamá-lo de Europe.Facebook.com – depois atribuir servidores, computadores e usuários dentro deste domínio “Europa” e o controlador de domínio para o domínio europeu seria fisicamente armazenado em Europa. Problema resolvido.

Graficamente falando, isso é o que parece uma floresta. Os domínios dentro da floresta refletem departamentos da empresa, não locais geográficos.

Floresta do Active Directory com domínios e subdomínios dentro dele. Librairie.immateriel.fr

Floresta do Active Directory com domínios e subdomínios dentro dele. Librairie.immateriel.fr

A partir da experiência pessoal, vi as empresas criarem seus domínios com base em locais geográficos em vez de departamentos organizacionais, mas acho que tudo depende de quão grande é a organização.

USUÁRIOS ATIVOS E COMPUTADORES

Outra ferramenta que é muito popular com o gerenciamento do Active Directory é um snap-in chamado ACTIVE DIRECTORY USERS AND COMPUTERS.

Usuários e computadores do Active Directory com recursos avançados ativados

Usuários e computadores do Active Directory com recursos avançados ativados

Como podemos ver na tela acima, estamos basicamente olhando para o que está dentro do domínio ZAP.com. Na terminologia AD, essas pastas em “zap.com” são conhecidas como Unidades Organizacionais ou OUs. Os que você vê são as OUs padrão criadas pelo Active Directory.

As OUs são muito, muito, muito importantes e uma parte extremamente essencial do Active Directory. Conforme discutido anteriormente, um administrador do Active Directory tem a opção de dividir sua organização em locais geográficos, departamentos ou mesmo de ambos. Isso é por causa das OUs. OUs são aninhados dentro de domínios.

Você pode criar um domínio em sua floresta que é reservado apenas para funcionários de um determinado local e, nesse domínio, crie OUs que são para cada departamento ou cada área dentro desse local. Neste exemplo, vou criar um domínio para os meus funcionários do MIAMI dentro do ZAP.com.

Uma vez que o domínio foi criado, de Usuários e Computadores, eu posso mudar os domínios. Atualmente, estou no domínio ZAP.com e vou para MIAMI.zap.com – que é um domínio dentro do ZAP.com

Screen Shot 2013-03-19 às 3.39.19 PM

Screen Shot 2013-03-19 às 3.40.09 PM

MIAMI.ZAP.COM

Agora estou dentro do MIAMI.ZAP.COM – um domínio criado apenas para funcionários da MIAPI da corporação ZAP. Agora, vamos criar OUs para cada local no MIAMI, onde existe um escritório ZAP.

Localizações dentro do site MIAMI

Localizações dentro do site MIAMI

Então, agora criei 5 UOs para cada um dos meus sites em Miami da corporação ZAP (Kendall, Hialeah, Coral Gables, Brickell, Sunrise). Mas eles estão vazios? Não estamos esquecendo o que são as OUs?

Screen Shot 2013-03-19 at 3.56.54 PM

Então eu criei quatro OUs adicionais dentro do Kendall: uma para usuários, uma para computadores (meus usuários estarão usando), uma para servidores e outra para grupos. Agora você pode estar se perguntando, por que você está criando grupos? Para que grupos são?

Grupos no Active Directory permitem implementar o protocolo AAA muito mais fácil.Exemplo rápido: meu escritório da Kendall tem 3 funcionários de Marketing e 2 de pesquisa e desenvolvimento trabalhando lá, então criarei mais duas UUs dentro de usuários – Marketing e P & D.

Screen Shot 2013-03-19 at 4.02.21 PM

Agora, eu quero criar os usuários dentro das OUs de Marketing e R & D.

Screen Shot 2013-03-19 às 14:12 p.Screen Shot 2013-03-19 às 4.11.29 p.

Legal … então, para demonstrar para que grupos são, vamos fingir que a empresa possui um servidor de arquivos onde todos os documentos de trabalho da Kendall são armazenados.

Miami, Kendall, servidor de arquivos

Miami, Kendall, servidor de arquivos

Dentro do servidor do Arquivo Kendall mostrando as pastas de arquivos

Dentro do servidor do Arquivo Kendall mostrando as pastas de arquivos

Queremos garantir que os usuários no departamento de P & D só possam ler documentos na pasta R & D. Então, se Bob Dole do Marketing entrar no servidor de arquivos, ele NÃO poderá acessar a pasta de pesquisa e desenvolvimento, uma vez que ele não está no departamento de P & D. Para isso, eu tenho que criar um grupo que conceda acesso apenas a usuários de P & D.

Screen Shot 2013-03-19 às 5,55.19 horas

Grupo criado … agora é hora de adicionar pessoas de P & D ao grupo.

Screen Shot 2013-03-19 at 5.56.31 PM

Voila! Observe o nome do grupo – sempre é importante ser muito descritivo do que o grupo é para o seu nome. Agora, os usuários da R & D OU foram adicionados ao grupo que os deixa na pasta R & D no servidor de arquivos.

Agora temos de ir ao servidor de arquivos e vincular a pasta ao grupo que acabamos de criar.

Screen Shot 2013-03-19 at 6,02.38 PM

Estrondo! Lá está … está mostrando que, para a pasta R & D, qualquer pessoa que pertence ao “grupo de servidor de arquivos de R & D de controle total” é permitida e possui controle total dos documentos dentro.

CONCLUSÃO

Então, basicamente, as OUs nos permitem ser mais detalhados com a organização – e colocar usuários, computadores, grupos neles. Eles nos permitem organizar as coisas de uma certa maneira para que possamos aplicar políticas e protocolos às OUs.

A razão pela qual as coisas são tão complexas (e pesadas para algumas) é devido às necessidades do negócio. Como você viu, diferentes grupos e locais têm necessidades comerciais diferentes e o Active Directory permite que um administrador forneça essas necessidades comerciais. Mesmo que este tenha sido um artigo bastante longo, acredite ou não, isso é uma introdução muito desnatada e rápida para o Active Directory, e pulou muitos outros termos.

A melhor maneira de aprender o Active Directory é usá-lo. Simples e simples, mas um dos problemas com a obtenção de experiência em Active Directory é encontrar um trabalho em que os profissionais de TI de nível básico possam tocar, o que não é demais (a maioria das oportunidades de emprego exigem que você já tenha experiência já ).

Então, se você não tem experiência em AD, mas quer experiência, eu sugiro fazer algumas coisas:

  • Leia livros e artigos sobre o Active Directory. Mesmo artigos como estes ajudam (espero!)
  • Instale uma cópia do Windows Server em uma máquina virtual em seu computador. Você pode baixar uma cópia gratuita da Technet (se você tiver uma assinatura Technet).
  • Se você possui um trabalho de TI de nível básico, fale com seus administradores seniores.Peça-lhes para lhe mostrar as cordas. Eu sei que alguns deles são mesquinhos e não gostam de ensinar ou mostrar nada, mas outros vão. Mostre que deseja aprender e não tenha medo de não saber.
  • Assista vídeos do YouTube e nuggets de treinamento em Serviços de Domínio Active Directory e noções básicas. Mais uma vez, eu sei que muitas pessoas fazem um melhor para explicar AD do que eu.
Anúncios