Descrição Geral dos Serviços de Domínio do Active Directory

 

Aplica-se a: Windows Server 2012

Sabia que o Microsoft Azure oferece uma funcionalidade semelhante na nuvem? Saiba mais sobre as soluções de identidade do Microsoft Azure. Criar uma solução de identidade híbrida no Microsoft Azure: - Implemente o Windows Server Active Directory nas Máquinas Virtuais do Azure. - Saiba mais sobre a solução de gestão de acesso e de identidades disponível com o Microsoft Enterprise Mobility. - Instale uma réplica do controlador de domínio do Active Directory numa rede virtual do Azure. - Efetue a gestão de identidades para ambientes híbridos de floresta única através da autenticação na nuvem. - Saiba mais sobre o Azure Active Directory e sobre como este se pode integrar na sua infraestrutura existente do Active Directory.

Ao utilizar a função de servidor dos Serviços de Domínio do Active Directory® (AD DS), pode criar uma infraestrutura escalável, segura e gerível para a gestão de recursos e utilizadores e fornecer o suporte para as aplicações com diretório ativado como o Microsoft Exchange Server.

O resto deste tópico explica uma descrição geral de alto nível da função de servidor do AD DS. Para obter mais informações sobre novas funcionalidades do AD DS no Windows Server 2012, consulte Novidades nos Serviços de Domínio do Active Directory (AD DS).

Os AD DS fornecem uma base de dados distribuída que armazena e gere informações sobre recursos de rede e dados específicos de aplicações com suporte de diretório. Um servidor que executa o AD DS chama-se um controlador de domínio. Os administradores podem utilizar o AD DS para organizar os elementos de uma rede, como utilizadores, computadores e outros dispositivos, numa estrutura hierárquica de contenção. A estrutura hierárquica de contenção inclui a floresta do Active Directory, domínios na floresta e unidades organizacionais (UOs) em cada domínio.

Organizar os elementos de rede numa estrutura hierárquica de contenção fornece as seguintes vantagens:

• A floresta age como um limite de segurança para uma organização e define o âmbito da autoridade para administradores. Por predefinição, uma floresta contém um único domínio, o que é conhecido como o domínio de raiz da floresta.

• Domínios adicionais podem ser criados na floresta para fornecer a criação de partições de dados do AD DS, o que permite às organizações replicar dados apenas onde é necessário. Isto possibilita que o AD DS dimensione globalmente por uma rede que limitou a largura de banda disponível. Um domínio do Active Directory também suporta um número de outras funções principais relacionadas com administração, incluindo a identidade de utilizador de toda a rede, autenticação e relações de fidedignidade.

• As UOs simplificam a delegação de autoridade para facilitar a gestão de grandes quantidades de objetos. Através da delegação, os proprietários podem transferir autoridade completa ou limitada através de objetos a outros utilizadores ou grupos. A delegação é importante porque ajuda a distribuir a gestão de grandes quantidades de objetos para um número de pessoas que são fidedignas para efetuar tarefas de gestão.

A segurança está integrada com o AD DS através da autenticação de início de sessão e controlo de acesso a recursos no diretório. Com o início de sessão de rede único, os administradores podem gerir dados no diretório e organização através da respetiva rede. Os utilizadores de rede autorizados podem também utilizar um início de sessão de rede único para aceder a recursos em qualquer parte na rede. A administração baseada em políticas facilita a gestão da rede mais complexa.

As funcionalidades adicionais do AD DS incluem:

• Um conjunto de regras, o esquema, que define as classes de objetos e atributos que estão contidos no diretório, as restrições e limites em instâncias nestes objetos e o formato dos respetivos nomes.

• Um catálogo global que contém informações sobre cada objeto no diretório. Utilizadores e administradores podem utilizar o catálogo global para encontrar as informações de diretório, independentemente de qual o domínio no diretório realmente contém os dados.

• Um mecanismo de consulta e índice, para que os objetos e as respetivas propriedades possam ser publicados e encontrados por utilizadores de rede ou aplicações.

• Um serviço de replicação que distribui dados de diretório numa rede. Todos os controladores de domínio gravável num domínio participam na replicação e contêm uma cópia completa de todas as informações de diretório para os domínios. Qualquer alteração aos dados de diretório é replicada em todos os controladores de domínio no domínio.

• Funções de mestre de operações (também conhecido como função de mestres de operações únicos flexíveis ou FSMO). Controladores de domínio que contêm funções de mestre de operações são designados para executar tarefas específicas para garantir consistência e eliminar entradas em conflito no diretório.

Requisitos para executar os Serviços de Domínio do Active Directory

Que configurações de hardware, software ou definições são necessárias para executar esta funcionalidade? Que pré-requisitos existem para executar a função? Esta função/funcionalidade requer hardware especial?

Requisito	Descrição
TCP/IP	Configure endereços de servidor de TCP/IP e DNS adequados.
NTFS	As unidades que armazenam a base de dados, ficheiros de registo e pasta SYSVOL para Serviços de Domínio do Active Directory (AD DS) têm de ser colocadas num volume fixo local. SYSVOL tem de ser colocado num volume que é formatado com o sistema de ficheiros NTFS. Para fins de segurança, a base de dados do Active Directory e os ficheiros de registo devem ser colocados num volume que está formatado com NTFS.
Credenciais	Para instalar uma nova floresta do AD DS, terá de ser Administrador local no servidor. Para instalar um controlador de domínio adicional num domínio existente, tem de ser membro do grupo de Admins de Domínio.
Infraestrutura de Sistema de Nomes de Domínio (DNS)	Verifique se está implementada uma infraestrutura de DNS. Quando instalar o AD DS, pode incluir a instalação do servidor DNS, se for necessário. Quando cria um novo domínio, uma delegação de DNS é criada automaticamente durante o processo de instalação. Criar uma delegação de DNS requer credenciais de que têm permissões para atualizar as zonas DNS principais. Para obter mais informações, consulte Página do assistente de Opções de DNS.
Adprep	Para adicionar o primeiro controlador de domínio que executa Windows Server 2012 num Active Directory, os comandos adprep.exe são executados automaticamente, conforme necessário. Estes comandos têm requisitos adicionais de credenciais e conectividade. Para obter mais informações, consulte Executar o Adprep.exe.
Controladores de domínio só de leitura (RODCs)	Requisitos adicionais para instalar RODCs: O nível funcional da floresta tem de ser, pelo menos, Windows Server 2003. Pelo menos um controlador de domínio gravável com o Windows Server 2008 ou posterior tem de estar instalado no mesmo domínio. Para obter mais informações, consulte Pré-requisitos para Implementar um RODC.

Nota

Com a exceção do servidor DNS, os controladores de domínio, normalmente, não devem hospedar outras funções de servidor.

Executar os Serviços de Domínio do Active Directory

Como implemento e configuro esta função com o Windows PowerShell?

Para obter instruções passo a passo sobre como instalar e configurar o AD DS utilizando o módulo de ADDSDeployment para a interface da linha de comandos do Windows PowerShell®, consulte Guia de Implementação dos Serviços de Domínio do Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).

Como implementar e configurar esta função num ambiente de vários servidores?

O AD DS é um serviço distribuído que foi desenvolvido para funcionar em vários controladores de domínio. Para obter instruções passo a passo sobre como instalar e configurar o AD DS em vários controladores de domínio , consulte Guia de Implementação dos Serviços de Domínio do Active Directory (https://go.microsoft.com/fwlink/?LinkId=222597).

Como posso executar esta função em máquinas virtuais?

O AD DS no Windows Server 2012 inclui salvaguardas para executar em máquinas virtuais para garantir a segurança e consistência de ambientes AD DS virtualizados. Para mais informações sobre como executar o AD DS em máquinas virtuais, consulte Executar Controladores de Domínio no Hyper-V (https://go.microsoft.com/fwlink/?LinkID=213293).

Considerações de segurança para executar esta função

Após a instalação, o AD DS está concebido para ser seguro por predefinição. Para mais informações sobre definições de segurança predefinidas para controladores de domínio, riscos e como operar controladores de domínio de forma segura, consulte Guia de Melhores Práticas para Proteger Instalações do Active Directory.

Considerações especiais para gerir remotamente esta função

Para gerir o AD DS remotamente, instale as Ferramentas de Administração Remota do Servidor (FARS). Existe uma versão de 32 bits e uma versão de 64 bits do FARS. Para obter mais informações, consulte Ferramentas de Administração Remota do Servidor (https://go.microsoft.com/fwlink/?LinkId=222628).

Considerações especiais para gerir a função a opção de instalação do Server Core

O AD DS pode ser instalado numa instalação de servidor principal ou num servidor com uma Interface Mínima de Servidor e recomenda-se em casos onde reduzir os requisitos de espaço da instalação de sistema operativo é vantajoso, tal como para uma função de servidor dedicado num centro de dados, para convidados de virtualização ou RODCs em escritórios remotos. Começando com o Windows Server 2012, um controlador de domínio que é executado numa instalação do Server Core pode ser convertido para instalação de servidor com um GUI (também conhecido como uma instalação completa) e vice-versa.

A atualização a partir de uma instalação do Server Core em execução numa versão anterior do Windows Server é suportada, mas não é possível atualizar diretamente a partir de uma instalação do Server Core de uma versão anterior do Windows Server para uma instalação do servidor com um GUI ou diretamente a partir de uma instalação do servidor com um GUI para uma instalação do Server Core. Neste caso, terá de atualizar diretamente para o mesmo tipo de instalação no Windows Server 2012 e, em seguida, converter para uma instalação diferente após a atualização, conforme necessário.

Para obter mais informações, consulte Opções de Instalação do Windows Server.

Serviços de função para os Serviços de Domínio do Active Directory

Gestão de Identidades para UNIX é um serviço de função do AD DS que pode ser instalado apenas em controladores de domínio. Duas tecnologias de Gestão de Identidades para UNIX, Servidor para NIS e a Sincronização de Palavra-passe, facilitam a integração de computadores com o Windows® na sua empresa UNIX existente. Os administradores do AD DS podem utilizar o Servidor para NIS para gerir os domínios do Serviço de Informações de Rede (NIS). A Sincronização de Palavra-passe sincroniza automaticamente as palavras-passe entre sistemas operativos Windows e UNIX.

Tecnologias do serviço de função	Descrição do serviço de função
Servidor para NIS	Ativa um controlador de domínio do Active Directory baseado em Microsoft Windows para administrar redes de Serviço de Informações de Rede (NIS) do UNIX. Para obter mais informações, consulte Descrição Geral do Servidor para NIS (https://go.microsoft.com/fwlink/?LinkId=222677).
Sincronização de Palavras-passe	Ajuda a integrar redes Windows e UNIX ao simplificar o processo de manutenção das palavras-passe seguras em ambos os ambientes. Para obter mais informações, consulte Descrição Geral da Sincronização de Palavras-passe (https://go.microsoft.com/fwlink/?LinkId=222676).

Referências adicionais

• Instalar o AD DS utilizando o Windows PowerShell

• Comando de Referência dos Serviços de Domínio do Active Directory

• Analisador de Melhores Práticas para os Serviços de Domínio do Active Directory

• Resolver Problemas dos Serviços de Domínio do Active Directory