Active Directory – Florestas, Árvore e Domínios–Visão Geral


Nível da Floresta e Árvore e Domínios

Uma floresta é uma coleção de domínios com Schema e configuração compartilhados, representado por um único e lógico Global Catalog (GCs) e conectado por uma árvore dispersa de relações de confiança transitivas. Uma floresta é representada por um domínio de floresta raiz.

O proprietário padrão da floresta é o grupo Domain Admins do domínio raiz. Este grupo controla os membros dos grupos Enterprise Admins e Schema Admins, os quais por padrão têm controle sobre as configurações gerais da floresta. Pelo fato de o proprietário da floresta controlar os controladores de domínio, o proprietário da floresta é o administrador de serviço.

Um domínio é uma partição de uma floresta Active Directory. O proprietário administrativo padrão de um domínio é o grupo Domain Admins do domínio. Pelo fato de o proprietário do domínio controlar os controladores de domínio, o proprietário do domínio é o administrador de serviço. Todos os proprietários de domínio, exceto o raiz, são pares, independentemente de sua posição no domínio; o proprietário de um domínio pai, que não seja o raiz, não possui controles administrativos padrões sobre o domínio filho.

Uma Unidade Organizacional (OU) é um container dentro de um domínio. O controle sobre a OU e os objetos no interior da OU são determinados exclusivamente pelo Access Control List (ACLs) sobre a OU e seus objetos. Usuários e grupos que possuem controle sobre os objetos na OU são administradores de dados.

Determinando o número de Florestas

Quanto maior o número de organizações que possam participar da floresta, maiores são os possíveis benefícios, advindos da colaboração e redução de custos. Por esta razão, são consideradas melhores práticas as tentativas de minimizar o número de florestas ao implantar o Active Directory. Entretanto existem situações na qual o requisito de delegação faz com que o uso de múltiplas florestas seja necessário e apropriado. Por exemplo, em organizações onde o controle administrativo é amplamente distribuído, pode ser impraticável esperar que todas as organizações participem de uma mesma infra-estrutura. Nestes casos, o custo de gerenciamento de uma floresta adicional é suportado em função da satisfação do requisito prático.

Uma vez que os requisitos de delegação foram compreendidos é possível definir o número de florestas que a organização requer. A necessidade de uma nova floresta advém da existência de um dos três cenários a seguir:

Isolamento de serviço: Um departamento requer que nenhum administrador fora do departamento deva interferir na operação do serviço de diretório. A requisição de isolamento de serviço é usualmente baseada em necessidades legais ou de segurança operacional. Por exemplo, considere uma aplicação baseada em serviço de diretório que suporte um processo de manufatura altamente controlado. Se o diretório de aplicação é distribuído em um domínio de uma dada floresta, é possível que o proprietário da floresta, inadvertidamente ou não, faça a interrupção do serviço de diretório do domínio de manufatura. Isto pode ocorrer através da remoção de sites ou remoção da configuração de informações de um container de sistema ou até mesmo após a mudança de Schema. Esta interrupção pode causar a falha na aplicação de manufatura.

Autonomia de serviço em nível de floresta: Neste cenário, múltiplos participantes possuem a habilidade de modificar dados em nível de floresta, como Schema, independentemente um do outro. Este requisito é usualmente baseado em necessidades operacionais ou de estrutura organizacional. Um bom exemplo aplicável a este cenário pode ser o uso de duas aplicações que partilham a mesma classe e nomes de atributos, mas definem seu uso de maneiras diferentes. Pelo fato de existir somente um Schema na floresta, a única forma de isolar os dois Schemas é colocando-os em florestas separadas.

Isolamento de dados a partir de proprietários de serviços: Uma organização requer que o proprietário do domínio previna o acesso de dados armazenados no domínio pelos proprietários de serviços na floresta. Este requisito usualmente é baseado em necessidades legais. Considere, por exemplo, um requisito legal onde somente pessoas de um departamento específico podem acessar dados em um domínio. Se o domínio foi criado como um domínio separado na floresta, não haverá formas de assegurar a conformidade deste requisito porque um administrador corporativo (enterprise admin) pode sobrepor qualquer definição de segurança aplicado pelo administrador do domínio.

Isolamento e Autonomia

Requisitos de Delegação

Conforme descrito anteriormente, os requisitos de delegação de uma organização geralmente recaem em duas categorias: autonomia e isolamento.

Autonomia: É a habilidade dos administradores de uma organização em gerir de forma independente, os seguintes itens:

• Toda ou parte da administração de serviço (autonomia de serviço)

• Todo ou parte do dado armazenado no diretório ou nos computadores membros do domínio (autonomia de dados)

Isolamento: É a habilidade dos administradores de uma organização de prevenir outros administradores de:

• Controlar ou interferir com a administração do serviço (isolamento de serviço)

• Controlar ou visualizar um subconjunto de dados no diretório ou nos membros que pertencem ao domínio (isolamento de dados)  

A Autonomia é menos restritiva do que o Isolamento. Administradores que requerem somente autonomia aceitam que outros administradores com privilégios iguais ou superiores possuam controle equivalente. Administradores que requerem isolamento procuram especificamente bloquear outros administradores na visualização ou controle de suas porções de serviço ou dados. Pelo fato de autonomia ser menos restritivo que isolamento, é geralmente menos dispendioso e mais eficiente delegar autonomia no Active Directory.

A combinação de administração de serviço, administração de dados, autonomia e isolamento determinam qual estrutura de Active Directory deve ser utilizada para delegar controle em uma organização.

Smiley piscando

Sobre Julio Vaz

I'm a results-driven IT professional on consulting for integration projects with extensive experience in the engineering, administration and support. Direct experience with customer relationships, complex problem troubleshooting, implementation, optimization, technology advisor and training deliveries. Always interested in professional growth as well as high-quality service delivery. Specialties: Office 365. Windows Intune. Windows Azure. Microsoft Windows Server and Active Directory Microsoft Exchange Server 2000/2003/2007/2010, 2013 Windows Virtualization: Hyper-V Windows server 2008, 2008 R2, 2012, 2012 R2. Microsoft Isa Server 2000, Isa Server 2004, Isa Server 2006. Microsoft Forefront TMG 2010. Microsoft Project Server 2007/2010, 2013 Microsoft SharePoint 2007/2010, 2013 Documentation of the computing environment and services. Elaboration of technical procedures. Elaboration of proposals and projects. Management and training of support staff. Implementation and maintenance of security and backup policies. Implementation, administration and migration from Microsoft . Windows NT, Windows 2000 Server, Windows Server 2003 R2, Windows Server 2008 R2, Windows Server 2012 R2 Implementation and migration from Microsoft Office Communications Server 2007 Implementation and migration from Microsoft Lync Server 2010, 2013. Implementation and migration from Microsoft Exchange Server 2000, 2003 and 2007, 2010, 2013. Implementation and migration from Microsoft Isa Server 2000, 2004 and 2006, Forefront TMG Implementation Microsoft System Center 2012 R2 - SCCM, SCOM, DPM. Migration of servers and domains
Esse post foi publicado em Active Directory. Bookmark o link permanente.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s