O que é um Active Directory®?
Um Active Directory® é o componente conceitual integral e também o nome de uma tecnologia de software criada pela Microsoft®. Ele pode ser visualizado como um catálogo, fornecendo uma lista de referência essencial para praticamente qualquer coisa que possa ser gerenciada em uma infraestrutura de rede de computadores. O diretório é estruturado hierarquicamente e pode incluir computadores, pessoas e até redes inteiras. O sistema fornece um meio para gerenciar centralmente uma rede de computadores e sua segurança escalável, sincronizada e padronizada em toda a rede.
No coração do Active Directory® está um protocolo de serviço de diretório conhecido como LDAP (peso leve). Este protocolo estabelece os meios pelos quais a estrutura de diretórios é organizada e lida ou gravada. Por segurança, o Active Directory® usa o protocolo de autenticação de rede Kerberos. O serviço também fornece um sistema de nome de domínio (DNS) para converter endereços de protocolo da Internet (IP) em nomes reconhecíveis.
Tudo o que entra em um Active Directory® é considerado um objeto. Existem basicamente dois tipos de objetos, um recurso e um princípio de segurança. Onde os recursos são tipicamente construções físicas, como impressoras, os objetos do princípio de segurança são um pouco mais abstratos. Cada princípio de segurança recebe um identificador de segurança (SID) no sistema Active Directory® e, em seguida, representa qualquer coisa que possa ser autenticada pelo sistema e ter permissões associadas a ele. Como alguns objetos podem obviamente ser de ambos os tipos, como um computador na rede que é um recurso e também um princípio, eles podem ser aninhados um ao outro em certos casos.
Visto de três níveis hierárquicos diferentes, um Active Directory® consiste no que é conhecido como florestas, árvores e domínios. Isso pode refletir a estrutura real de uma organização, tanto geográfica quanto organizacionalmente. Por exemplo, a floresta de uma empresa pode consistir em dois domínios principais, um para Chicago e outro para Nova York. Abaixo de cada um, domínios adicionais podem ser criados para gerenciar as atividades de negócios em cada cidade, como departamento de contabilidade, equipe de vendas, pesquisa e desenvolvimento e assim por diante. Essas duas árvores de domínio estabelecem um relacionamento de confiança um com o outro para que os usuários de um domínio possam ter recursos de acesso no outro, se necessário.
No centro de um Active Directory® está o que é chamado de unidade organizacional (OU). Qualquer número de UOs pode ser aninhado dentro de um domínio. Isso permite que a estrutura do Active Directory® corresponda à da organização e fornece um meio centralizado para o gerenciamento distribuído dos objetos no diretório. Com uma estrutura organizacional estabelecida, o gerenciamento adicional pode ser delegado para subdomínios na árvore, permitindo diferentes níveis de privilégio para várias UOs de uma organização.
Todas as informações em um Active Directory® são armazenadas em um banco de dados conhecido como armazenamento de diretório. O sistema permite que esse banco de dados se replique entre os outros na árvore do domínio e continue na floresta. Os domínios dentro da árvore periodicamente verificam se há alterações no armazenamento de diretório em outros domínios e, em seguida, puxam os dados para si próprios, caso haja alguma alteração.