Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A maioria dos grupos em sua organização pode compartilhar uma única floresta organizacional que é gerenciada por um único grupo de tecnologia da informação (TI) e que contém as contas de usuário e recursos para todos os grupos que compartilham a floresta. Essa floresta compartilhada, chamada de floresta organizacional inicial, é a base do modelo de design florestal para a organização.
Como a floresta organizacional inicial pode hospedar vários grupos na organização, o proprietário da floresta deve estabelecer acordos de nível de serviço com cada grupo para que todas as partes entendam o que é esperado deles. Isso protege tanto os grupos individuais quanto o proprietário florestal, estabelecendo expectativas de serviço acordadas.
Se nem todos os grupos em sua organização puderem compartilhar uma única floresta organizacional, você deverá expandir seu design de floresta para acomodar as necessidades dos diferentes grupos. Isso envolve identificar os requisitos de design que se aplicam aos grupos com base em suas necessidades de autonomia e isolamento e se eles têm ou não uma rede de conectividade limitada e, em seguida, identificar o modelo de floresta que você pode usar para acomodar esses requisitos. A tabela a seguir lista cenários de modelo de design de floresta com base nos fatores de autonomia, isolamento e conectividade. Depois de identificar o cenário de design de floresta que melhor corresponde aos seus requisitos, determine se você precisa tomar decisões adicionais para atender às especificações de projeto.
Observação
Se um fator é listado como N/A, não é uma consideração, porque outros requisitos também acomodam esse fator.
| Cenário | Conectividade limitada | Isolamento de dados | Autonomia dos dados | Isolamento de serviço | Autonomia do serviço |
|---|---|---|---|---|---|
| Cenário 1: Junte-se a uma floresta existente para autonomia de dados | Não | Não | Sim | Não | Não |
| Cenário 2: Usar uma floresta ou domínio organizacional para autonomia de serviço | Não | Não | N/A | Não | Sim |
| Cenário 3: Usar uma floresta organizacional ou floresta de recursos para isolamento de serviço | Não | Não | N/A | Sim | N/A |
| Cenário 4: Usar uma floresta organizacional ou uma floresta de acesso restrito para isolamento de dados | N/A | Sim | N/A | N/A | N/A |
| Cenário 5: Usar uma floresta organizacional ou reconfigurar o firewall para conectividade limitada | Sim | Não | N/A | Não | Não |
| Cenário 6: Usar uma floresta ou domínio organizacional e reconfigurar o firewall para autonomia de serviço com conectividade limitada | Sim | Não | N/A | Não | Sim |
| Cenário 7: Usar uma floresta de recursos e reconfigurar o firewall para isolamento de serviço com conectividade limitada | Sim | Não | N/A | Sim | N/A |
Cenário 1: Junte-se a uma floresta existente para autonomia de dados
Você pode atender a um requisito de autonomia de dados simplesmente hospedando o grupo em unidades organizacionais (OUs) em uma floresta organizacional existente. Delegue o controle sobre as UOs aos administradores de dados desse grupo para obter autonomia de dados. Para obter mais informações sobre como delegar controle usando UOs, consulte Criando um design de unidade organizacional.
Cenário 2: Usar uma floresta ou domínio organizacional para autonomia de serviço
Se um grupo em sua organização identificar a autonomia de serviço como um requisito, recomendamos que você primeiro reconsidere esse requisito. Alcançar a autonomia de serviço cria mais despesas gerais de gerenciamento e custos adicionais para a organização. Certifique-se de que o requisito de autonomia de serviço não é simplesmente por conveniência e que você pode justificar os custos envolvidos no cumprimento desse requisito.
Você pode atender a um requisito de autonomia de serviço seguindo um destes procedimentos:
Criação de uma floresta organizacional. Coloque os usuários, grupos e computadores do grupo que requer autonomia de serviço em uma floresta organizacional separada. Atribua um indivíduo desse grupo para ser o proprietário da floresta. Se o grupo precisar acessar ou compartilhar recursos com outras florestas da organização, ele poderá estabelecer uma relação de confiança entre sua floresta organizacional e as outras florestas.
Utilização de domínios organizacionais. Coloque os usuários, grupos e computadores em um domínio separado em uma floresta organizacional existente. Esse modelo fornece apenas autonomia de serviço no nível de domínio e não autonomia total de serviço, isolamento de serviço ou isolamento de dados.
Para obter mais informações sobre como usar domínios organizacionais, consulte Usando o modelo de floresta de domínio organizacional.
Cenário 3: Usar uma floresta organizacional ou floresta de recursos para isolamento de serviço
Você pode atender a um requisito de isolamento de serviço seguindo um destes procedimentos:
Usando uma floresta organizacional. Coloque os usuários, grupos e computadores do grupo que requer isolamento de serviço em uma floresta organizacional separada. Atribua um indivíduo desse grupo para ser o proprietário da floresta. Se o grupo precisar acessar ou compartilhar recursos com outras florestas da organização, ele poderá estabelecer uma relação de confiança entre sua floresta organizacional e as outras florestas. No entanto, não recomendamos essa abordagem porque o acesso a recursos por meio de grupos universais é fortemente restrito em cenários de confiança de floresta.
Usando uma floresta de recursos. Coloque recursos e contas de serviço em uma floresta de recursos separada, mantendo as contas de usuário em uma floresta organizacional existente. Se necessário, contas alternativas podem ser criadas na floresta de recursos para aceder a recursos na floresta de recursos caso a floresta organizacional se torne indisponível. As contas alternativas devem ter a autoridade necessária para fazer logon na floresta de recursos e manter o controle dos recursos até que a floresta organizacional esteja online novamente.
Estabeleça uma relação de confiança entre o recurso e as florestas organizacionais, para que os usuários possam acessar os recursos na floresta enquanto usam suas contas de usuário regulares. Essa configuração permite o gerenciamento centralizado de contas de usuário e, ao mesmo tempo, permite que os usuários retornem a contas alternativas na floresta de recursos se a floresta organizacional ficar indisponível.
As considerações para o isolamento do serviço incluem o seguinte:
As florestas criadas para isolamento de serviço podem confiar em domínios de outras florestas, mas não devem incluir usuários de outras florestas em seus grupos de administradores de serviço. Se os usuários de outras florestas forem incluídos em grupos administrativos na floresta isolada, a segurança da floresta isolada poderá ser comprometida porque os administradores de serviço na floresta não têm controle exclusivo.
Desde que os controladores de domínio estejam acessíveis em uma rede, eles estão sujeitos a ataques (como ataques de negação de serviço) de software mal-intencionado nessa rede. Você pode fazer o seguinte para se proteger contra a possibilidade de um ataque:
Hospede controladores de domínio somente em redes consideradas seguras.
Limite o acesso à rede ou redes que hospedam os controladores de domínio.
O isolamento do serviço requer a criação de uma floresta adicional. Avalie se o custo de manutenção da infraestrutura para suportar a floresta adicional supera os custos associados à perda de acesso aos recursos devido à indisponibilidade de uma floresta organizacional.
Cenário 4: Usar uma floresta organizacional ou uma floresta de acesso restrito para isolamento de dados
Você pode obter o isolamento de dados seguindo um destes procedimentos:
Usando uma floresta organizacional. Coloque os usuários, grupos e computadores do grupo que requer isolamento de dados em uma floresta organizacional separada. Atribua um indivíduo desse grupo para ser o proprietário da floresta. Se o grupo precisar acessar ou compartilhar recursos com outras florestas da organização, estabeleça uma relação de confiança entre a floresta organizacional e as outras florestas. Apenas os usuários que precisam de acesso às informações classificadas existem na nova floresta organizacional. Os usuários têm uma conta que usam para acessar dados classificados em sua própria floresta e dados não classificados em outras florestas por meio de relações de confiança.
Usando uma floresta de acesso restrito. Esta é uma floresta separada que contém os dados restritos e as contas de usuário usadas para acessar esses dados. Contas de usuário separadas são mantidas nas florestas organizacionais existentes que são usadas para acessar os recursos irrestritos na rede. Nenhuma relação de confiança é criada entre a floresta de acesso restrito e outras florestas na empresa. Você pode restringir ainda mais a floresta implantando-a em uma rede física separada, para que ela não possa se conectar a outras florestas. Se você implantar a floresta em uma rede separada, os usuários deverão ter duas estações de trabalho: uma para acessar a floresta restrita e outra para acessar as áreas não restritas da rede.
As considerações para a criação de florestas para isolamento de dados incluem o seguinte:
As florestas organizacionais criadas para isolamento de dados podem confiar em domínios de outras florestas, mas os usuários de outras florestas não devem ser incluídos em nenhum dos seguintes:
Grupos responsáveis pelo gerenciamento de serviços ou grupos que podem gerenciar a associação de grupos de administradores de serviços
Grupos que têm controle administrativo sobre computadores que armazenam dados protegidos
Grupos que têm acesso a dados protegidos ou grupos que são responsáveis pelo gerenciamento de objetos de usuário ou objetos de grupo que têm acesso a dados protegidos
Se os usuários de outra floresta forem incluídos em qualquer um desses grupos, um comprometimento da outra floresta pode levar a um comprometimento da floresta isolada e à divulgação de dados protegidos.
Outras florestas podem ser configuradas para confiar na floresta organizacional criada para isolamento de dados para que os usuários na floresta isolada possam acessar recursos em outras florestas. No entanto, os utilizadores da floresta isolada nunca devem iniciar sessão de forma interativa em computadores na floresta confiável. O computador na floresta confiável pode ser potencialmente comprometido por software mal-intencionado e pode ser usado para capturar as credenciais de logon do usuário.
Observação
Para impedir que os servidores em uma floresta confiável representem usuários da floresta isolada e, em seguida, acessem recursos na floresta isolada, o proprietário da floresta pode desabilitar a autenticação delegada ou usar o recurso de delegação restrita. Para obter mais informações sobre autenticação delegada e delegação restrita, consulte Delegando autenticação.
Talvez seja necessário estabelecer um firewall entre a floresta organizacional e as outras florestas da organização para limitar o acesso do usuário a informações fora de sua floresta.
Embora a criação de uma floresta separada permita o isolamento de dados, desde que os controladores de domínio na floresta isolada e os computadores que hospedam informações protegidas estejam acessíveis em uma rede, eles estão sujeitos a ataques lançados a partir de computadores nessa rede. As organizações que decidem que o risco de ataque é muito alto ou que a consequência de um ataque ou violação de segurança é muito grande precisam limitar o acesso à rede ou redes que hospedam os controladores de domínio e os computadores que hospedam dados protegidos. A limitação do acesso pode ser feita usando tecnologias como firewalls e IPsec (Internet Protocol security). Em casos extremos, as organizações podem optar por manter os dados protegidos em uma rede independente que não tenha conexão física com nenhuma outra rede na organização.
Observação
Se existir alguma conectividade de rede entre uma floresta de acesso restrito e outra rede, existe a possibilidade de os dados na área restrita serem transmitidos para a outra rede.
Cenário 5: Usar uma floresta organizacional ou reconfigurar o firewall para conectividade limitada
Para atender a um requisito de conectividade limitado, siga um destes procedimentos:
Coloque os usuários em uma floresta organizacional existente e abra o firewall o suficiente para permitir a passagem do tráfego do Ative Directory.
Use uma floresta organizacional. Coloque os usuários, grupos e computadores do grupo para o qual a conectividade é limitada em uma floresta organizacional separada. Atribua um indivíduo desse grupo para ser o proprietário da floresta. A floresta organizacional fornece um ambiente separado do outro lado do firewall. A floresta inclui contas de usuário e recursos que são gerenciados dentro da floresta, para que os usuários não precisem passar pelo firewall para realizar suas tarefas diárias. Usuários ou aplicativos específicos podem ter necessidades especiais que exigem a capacidade de passar pelo firewall para entrar em contato com outras florestas. Você pode atender a essas necessidades individualmente abrindo as interfaces apropriadas no firewall, incluindo as necessárias para que quaisquer relações de confiança funcionem.
Para obter mais informações sobre como configurar firewalls para uso com os Serviços de Domínio Ative Directory (AD DS), consulte Ative Directory em redes segmentadas por firewalls.
Cenário 6: Usar uma floresta ou domínio organizacional e reconfigurar o firewall para autonomia de serviço com conectividade limitada
Se um grupo em sua organização identificar a autonomia de serviço como um requisito, recomendamos que você primeiro reconsidere esse requisito. Alcançar a autonomia de serviço cria mais despesas gerais de gerenciamento e custos adicionais para a organização. Certifique-se de que o requisito de autonomia de serviço não é simplesmente por conveniência e que você pode justificar os custos envolvidos no cumprimento desse requisito.
Se a conectividade limitada for um problema e você tiver um requisito de autonomia de serviço, siga um destes procedimentos:
Use uma floresta organizacional. Coloque os usuários, grupos e computadores do grupo que requer autonomia de serviço em uma floresta organizacional separada. Atribua um indivíduo desse grupo para ser o proprietário da floresta. A floresta organizacional fornece um ambiente separado do outro lado do firewall. A floresta inclui contas de usuário e recursos que são gerenciados dentro da floresta, para que os usuários não precisem passar pelo firewall para realizar suas tarefas diárias. Usuários ou aplicativos específicos podem ter necessidades especiais que exigem a capacidade de passar pelo firewall para entrar em contato com outras florestas. Você pode atender a essas necessidades individualmente abrindo as interfaces apropriadas no firewall, incluindo as necessárias para que quaisquer relações de confiança funcionem.
Coloque os usuários, grupos e computadores em um domínio separado em uma floresta organizacional existente. Esse modelo fornece apenas autonomia de serviço no nível de domínio e não autonomia total de serviço, isolamento de serviço ou isolamento de dados. Outros grupos na floresta devem confiar nos administradores de serviço do novo domínio na mesma medida em que confiam no proprietário da floresta. Por esta razão, não recomendamos esta abordagem. Para obter mais informações sobre como usar domínios organizacionais, consulte Usando o modelo de floresta de domínio organizacional.
Você também precisa abrir o firewall o suficiente para permitir a passagem do tráfego do Ative Directory. Para obter mais informações sobre como configurar firewalls para uso com o AD DS, consulte Ative Directory em redes segmentadas por firewalls.
Cenário 7: Usar uma floresta de recursos e reconfigurar o firewall para isolamento de serviço com conectividade limitada
Se a conectividade limitada for um problema e você tiver um requisito para o isolamento do serviço, siga um destes procedimentos:
Use uma floresta organizacional. Coloque os usuários, grupos e computadores do grupo que requer isolamento de serviço em uma floresta organizacional separada. Atribua um indivíduo desse grupo para ser o proprietário da floresta. A floresta organizacional fornece um ambiente separado do outro lado do firewall. A floresta inclui contas de usuário e recursos que são gerenciados dentro da floresta, para que os usuários não precisem passar pelo firewall para realizar suas tarefas diárias. Usuários ou aplicativos específicos podem ter necessidades especiais que exigem a capacidade de passar pelo firewall para entrar em contato com outras florestas. Você pode atender a essas necessidades individualmente abrindo as interfaces apropriadas no firewall, incluindo as necessárias para que quaisquer relações de confiança funcionem.
Use uma floresta de recursos. Coloque recursos e contas de serviço em uma floresta de recursos separada, mantendo as contas de usuário em uma floresta organizacional existente. Pode ser necessário criar algumas contas de usuário alternativas na floresta de recursos para manter o acesso à floresta de recursos se a floresta organizacional ficar indisponível. As contas alternativas devem ter a autoridade necessária para fazer logon na floresta de recursos e manter o controle dos recursos até que a floresta organizacional esteja online novamente.
Estabeleça uma relação de confiança entre o recurso e as florestas organizacionais, para que os usuários possam acessar os recursos na floresta enquanto usam suas contas de usuário regulares. Essa configuração permite o gerenciamento centralizado de contas de usuário e, ao mesmo tempo, permite que os usuários retornem a contas alternativas na floresta de recursos se a floresta organizacional ficar indisponível.
As considerações para o isolamento do serviço incluem o seguinte:
As florestas criadas para isolamento de serviço podem confiar em domínios de outras florestas, mas não devem incluir usuários de outras florestas em seus grupos de administradores de serviço. Se os usuários de outras florestas forem incluídos em grupos administrativos na floresta isolada, a segurança da floresta isolada poderá ser comprometida porque os administradores de serviço na floresta não têm controle exclusivo.
Desde que os controladores de domínio estejam acessíveis em uma rede, eles estão sujeitos a ataques (como ataques de negação de serviço) de computadores nessa rede. Você pode fazer o seguinte para se proteger contra a possibilidade de um ataque:
Hospede controladores de domínio somente em redes consideradas seguras.
Limite o acesso à rede ou redes que hospedam os controladores de domínio.
O isolamento do serviço requer a criação de uma floresta adicional. Avalie se o custo de manutenção da infraestrutura para suportar a floresta adicional supera os custos associados à perda de acesso aos recursos devido à indisponibilidade de uma floresta organizacional.
Usuários ou aplicativos específicos podem ter necessidades especiais que exigem a capacidade de passar pelo firewall para entrar em contato com outras florestas. Você pode atender a essas necessidades individualmente abrindo as interfaces apropriadas no firewall, incluindo as necessárias para que quaisquer relações de confiança funcionem.
Para obter mais informações sobre como configurar firewalls para uso com o AD DS, consulte Ative Directory em redes segmentadas por firewalls.