O que é Segurança de Banco de Dados: Top 13 Melhores Práticas

Active Directory (AD) foi introduzido em 1999, e entender essa tecnologia central é um requisito chave para a maioria dos administradores de TI hoje. Nesta parte do tutorial, fornecemos uma visão geral dos conceitos básicos de AD, incluindo o que é um domínio do Active Directory.

Fundamentos de AD

O que é AD?

Active Directory é o serviço de diretório usado em redes Microsoft. Um serviço de diretório (ou serviço de nomes) conecta recursos de rede (como volumes, pastas, arquivos, impressoras, usuários, grupos e dispositivos) com seus respectivos endereços de rede e fornece essas informações às entidades da rede. Em outras palavras, AD é um conjunto de bancos de dados e serviços que são usados para organizar, localizar e gerenciar recursos de rede.

O que o AD faz?

O banco de dados do Active Directory armazena informações sobre usuários e computadores, incluindo seus nomes e direitos de acesso. O schema do Active Directory define os objetos que podem ser armazenados no diretório.

Os Serviços de Domínio do Active Directory (AD DS) controlam muitas das operações do seu ambiente de TI e ajudam a garantir a segurança do diretório ao gerenciar os seguintes processos:

• Autenticação — Garantindo que cada principal de segurança seja quem diz ser, geralmente verificando credenciais como um ID de usuário e senha durante um processo de login.
• Autorização — Garantindo que cada principal de segurança possa usar apenas os dados e serviços aos quais tem permissão de acesso.
• Resolução de nomes — Permitindo que clientes e controladores de domínio localizem e se comuniquem entre si. AD DS usa DNS como seu principal método de resolução de nomes.
• Gestão centralizada — Controlando uma ampla variedade de configurações a partir de um único local por meio de um recurso chamado Group Policy.

O que o AD inclui?

Uma unidade fundamental do Active Directory é o domain. Um domínio AD é um grupo lógico de objetos que compartilham administração, segurança e configurações de replicação comuns. Usando domínios do Active Directory, equipes de TI podem definir limites administrativos e gerenciar conjuntos de dispositivos, serviços e sistemas de maneira centralizada.

Um domain controller (DC) é um servidor que executa os Serviços de Domínio do Active Directory e utiliza dados armazenados no AD para autenticação e autorização de usuários, gerenciamento de grupos, administração de políticas e funções adicionais. Na prática, as organizações normalmente têm múltiplos controladores de domínio em datacenters locais e/ou na nuvem. Cada DC em um domínio mantém uma cópia do banco de dados do AD, e eles sincronizam dados entre si usando a replicação do Active Directory. Os DCs também podem armazenar o global catalog — um registro somente leitura de todos os objetos no diretório do domínio e uma cópia parcial de todos os objetos em todos os outros domínios na floresta para facilitar buscas por informações sobre objetos. Um DC com esse recurso habilitado é chamado de servidor global catalog. O principal protocolo de acesso para o Active Directory é o Protocolo de Acesso a Diretórios Leve (LDAP).

Como o AD é gerenciado?

A gestão do Active Directory pode ser realizada em controladores de domínio através de ferramentas nativas, tais como:

• Centro Administrativo do Active Directory
• Domínios e Confianças do Active Directory
• Sites e Serviços do Active Directory
• Usuários e Computadores do Active Directory
• ADSI Edit
• Módulo do Active Directory para Windows PowerShell

Essas ferramentas também podem ser instaladas em estações de trabalho como parte do Remote Server Administration Tools (RSAT) para permitir que os administradores gerenciem o AD remotamente.

Estrutura do AD

Agora que cobrimos os conceitos básicos de AD, vamos revisar a estrutura do Active Directory. O Active Directory contém várias unidades lógicas, organizadas hierarquicamente. Da menor para a maior, elas são:

• Objetos
• Unidades organizacionais (OUs)
• Domínios
• Árvores
• Florestas

Objetos

Um objeto do Active Directory object é a menor unidade lógica. Exemplos incluem:

• Conta de usuário
• Conta de computador
• Grupo
• Impressora
• Compartilhar

Os objetos possuem um ou mais atributos que definem suas propriedades, limites e formato. Os valores dos atributos podem ser multivalorados, strings, inteiros, Booleanos (verdadeiro ou falso) ou outros tipos. Os atributos que cada objeto possui são especificados no esquema.

Unidades organizacionais (OUs)

Os objetos do AD dentro de um domínio podem ser agrupados em contêineres lógicos chamados unidades organizacionais (OUs). As OUs também são objetos, o que permite aos administradores criar OUs aninhadas. Todos os objetos em uma determinada OU devem ter nomes únicos, e cada objeto só pode estar em uma OU de cada vez.

Be careful not to confuse OUs with AD groups. A group is a collection of AD objects, such as users, whose membership in the group grants them certain permissions. A given user can be (and usually is) a member of multiple groups. The confusion typically arises because Group Policy objects (GPOs) can be linked to OUs (but not to groups), which also affects what users, computers and other objects can and cannot do.

Domínios

Um Active Directory domain é um grupo lógico de objetos (usuários, computadores, OUs e assim por diante) que é gerenciado pela mesma equipe administrativa e geralmente está localizado na mesma rede física.

Árvores

Domínios são organizados em trees. Uma árvore AD DS consiste de múltiplos domínios conectados por confianças transitivas bidirecionais. Cada domínio em uma árvore AD DS compartilha um esquema comum e catálogo global.

Florestas

A Active Directory forest é o nível mais alto da hierarquia. Enquanto os domínios representam fronteiras administrativas, as florestas são a principal fronteira de segurança para AD DS; presume-se que todos os administradores de domínio dentro de uma floresta sejam confiáveis até certo ponto. Objetos em florestas separadas não conseguem interagir entre si, a menos que os administradores de cada uma dessas florestas criem uma relação de confiança entre elas.

Estrutura Física

Vamos abordar brevemente a estrutura física do Active Directory. Ela pode ser dividida em:

• Hosts — Dispositivos conectados à rede de domínio
• Subnets — Grupos de rede com uma faixa especificada de endereços IP e uma máscara de rede
• Sites — Grupos de uma ou mais sub-redes usados para otimizar o uso de banda larga pelo serviço de replicação do DC

Serviços de Active Directory

Finalmente, os serviços do Active Directory consistem em múltiplos serviços de diretório. Já falamos sobre Active Directory Domain Services (AD DS). O AD DS utiliza informações sobre objetos armazenados no diretório para autenticar usuários e autorizá-los a realizar ações de acordo com seus direitos de acesso.

Quando as pessoas falam sobre Active Directory, geralmente se referem ao Active Directory Domain Services. No entanto, existem outros serviços de Active Directory, incluindo:

• Active Directory Lightweight Directory Services (AD LDS) — Fornece serviços de diretório para aplicações
• Active Directory Certificate Services (AD CS) — Cria e mantém certificados digitais usados em sistemas de segurança que utilizam tecnologias de chave pública
• Active Directory Federation Services (AD FS) — Fornece capacidades de single sign-on (SSO) a sistemas e aplicações através de fronteiras organizacionais
• Active Directory Rights Management Services (AD RMS) — Oferece controle granular sobre o acesso a documentos, fornecendo ferramentas de gestão e desenvolvimento para trabalhar com prevenção de ameaças internas e outras tecnologias de segurança, como criptografia, certificados e autenticação

Para mais informações

Você pode aprender mais sobre os conceitos centrais do Active Directory lendo nosso eBook, What is Active Directory.