Active Directory
O Active Directory (AD) é um serviço de diretório desenvolvido pela Microsoft para redes de domínios Windows. Os sistemas operacionais Windows Server o incluem como um conjunto de processos e serviços. Originalmente, apenas o gerenciamento centralizado de domínios utilizava o Active Directory. No entanto, ele acabou se tornando um título genérico para vários serviços relacionados à identidade baseados em diretório.
Imagem: arrayexception · BY-SA · Openverse
Como muitos esforços de tecnologia da informação, o Active Directory originou-se de uma democratização do design utilizando Requests for Comments (RFCs). A Internet Engineering Task Force (IETF) supervisiona o processo de RFC e aceitou inúmeras RFCs iniciadas por participantes de diversos setores. Por exemplo, o LDAP serve de base para o Active Directory. Além disso, os diretórios X.500 e a Unidade Organizacional precederam o conceito do Active Directory que utiliza esses métodos. O conceito do LDAP começou a emergir antes mesmo da fundação da Microsoft em abril de 1975, com RFCs já em 1971. As RFCs que contribuíram para o LDAP incluem a RFC 1823 (sobre a API do LDAP, agosto de 1995), RFC 2307, RFC 3062 e RFC 4533. A Microsoft apresentou uma prévia do Active Directory em 1999, lançou-o primeiramente com a edição Windows 2000 Server e revisou-o para estender a funcionalidade e melhorar a administração no Windows Server 2003. O suporte ao Active Directory também foi adicionado ao Windows 95, Windows 98 e Windows NT 4.0 por meio de uma correção (patch), com alguns recursos não suportados. Melhorias adicionais vieram com as versões subsequentes do Windows Server. No Windows Server 2008, a Microsoft adicionou outros serviços ao Active Directory, como o Active Directory Federation Services. A parte do diretório encarregada de gerenciar domínios, que era uma parte central do sistema operacional, foi renomeada para Active Directory Domain Services (AD DS) e tornou-se uma função de servidor como as outras. "Active Directory" tornou-se o título genérico de uma gama mais ampla de serviços baseados em diretório. De acordo com Byron Hynes, tudo relacionado à identidade foi trazido sob a marca do Active Directory.
Imagem: arrayexception · BY-SA · Openverse
Os Serviços do Active Directory consistem em múltiplos serviços de diretório. O mais conhecido é o Active Directory Domain Services, comumente abreviado como AD DS ou simplesmente AD.
Domain Services (Serviços de Domínio)
O Active Directory Domain Services (AD DS) é a base de toda rede de domínio Windows. Ele armazena informações sobre os membros do domínio, incluindo dispositivos e usuários, verifica suas credenciais e define seus direitos de acesso. O servidor que executa esse serviço é chamado de controlador de domínio. Um controlador de domínio é contatado quando um usuário faz login em um dispositivo, acessa outro dispositivo na rede ou executa um aplicativo no estilo Metro de linha de negócios instalado localmente (sideloaded) em uma máquina. Outros serviços do Active Directory (excluindo o LDS, conforme descrito abaixo) e a maioria das tecnologias de servidor da Microsoft dependem ou usam os Serviços de Domínio; os exemplos incluem Políticas de Grupo (Group Policy), Encrypting File System, BitLocker, Serviços de Nome de Domínio, Serviços de Área de Trabalho Remota, Exchange Server e SharePoint Server.
Lightweight Directory Services (Serviços de Diretório Leves)
O Active Directory Lightweight Directory Services (AD LDS), anteriormente chamado de Active Directory Application Mode (ADAM), implementa o protocolo LDAP para o AD DS. Ele funciona como um serviço no Windows Server e oferece a mesma funcionalidade que o AD DS, incluindo uma API idêntica. No entanto, o AD LDS não exige a criação de domínios ou controladores de domínio. Ele fornece um Repositório de Dados para armazenar dados de diretório e um Serviço de Diretório com uma Interface de Serviço de Diretório LDAP. Ao contrário do AD DS, múltiplas instâncias do AD LDS podem operar no mesmo servidor.
Certificate Services (Serviços de Certificado)
O Active Directory Certificate Services (AD CS) estabelece uma infraestrutura de chaves públicas local. Ele pode criar, validar, revogar e realizar outras ações semelhantes em certificados de chave pública para usos internos de uma organização. Esses certificados podem ser usados para criptografar arquivos (quando usados com o Encrypting File System), e-mails (conforme o padrão S/MIME) e tráfego de rede (quando usados por redes privadas virtuais, protocolo Transport Layer Security ou protocolo IPSec). O AD CS antecede o Windows Server 2008, mas seu nome era simplesmente Certificate Services. O AD CS requer uma infraestrutura de AD DS.
Federation Services (Serviços de Federação)
O Active Directory Federation Services (AD FS) é um serviço de logon único (single sign-on). Com uma infraestrutura de AD FS instalada, os usuários podem usar vários serviços baseados na web (por exemplo, fórum de internet, blog, compras online, webmail) ou recursos de rede usando apenas um conjunto de credenciais armazenadas em um local central, em vez de ter que receber um conjunto dedicado de credenciais para cada serviço. O AD FS usa muitos padrões abertos populares para passar credenciais de token, como SAML, OAuth ou OpenID Connect. O AD FS suporta criptografia e assinatura de asserções SAML. O objetivo do AD FS é uma extensão do AD DS: este último permite que os usuários se autentiquem e usem os dispositivos que fazem parte da mesma rede, usando um conjunto de credenciais; o primeiro permite que eles usem o mesmo conjunto de credenciais em uma rede diferente.
Rights Management Services (Serviços de Gerenciamento de Direitos)
O Active Directory Rights Management Services (AD RMS), anteriormente conhecido como Rights Management Services ou RMS antes do Windows Server 2008, é um software de servidor incluído no Windows Server que permite o gerenciamento de direitos de informação. Ele usa criptografia e negação seletiva para restringir o acesso a vários documentos, como e-mails corporativos, documentos do Microsoft Word e páginas da web. Também limita as operações que os usuários autorizados podem realizar neles, como visualizar, editar, copiar, salvar ou imprimir. Os administradores de TI podem criar modelos predefinidos para os usuários finais por conveniência, mas os usuários finais ainda podem definir quem pode acessar o conteúdo e quais ações podem tomar.
O Active Directory é um serviço composto por um banco de dados e código executável. É responsável por gerenciar solicitações e manter o banco de dados. O Directory System Agent (Agente do Sistema de Diretório) é a parte executável, um conjunto de serviços do Windows e processos que rodam no Windows 2000 e posterior. O acesso aos objetos nos bancos de dados do Active Directory é possível através de várias interfaces, como LDAP, ADSI, API de mensagens e serviços do Security Accounts Manager.
Objetos utilizados
As estruturas do Active Directory consistem em informações sobre objetos classificados em duas categorias: recursos (como impressoras) e entidades de segurança (que incluem contas de usuários ou computadores e grupos). Cada principal de segurança recebe um identificador de segurança (SID) exclusivo. Um objeto representa uma única entidade, como um usuário, computador, impressora ou grupo, junto com seus atributos. Alguns objetos podem até conter outros objetos dentro deles. Cada objeto possui um nome exclusivo e sua definição é um conjunto de características e informações por um esquema, que determina o armazenamento no Active Directory. Os administradores podem estender ou modificar o esquema usando o objeto de esquema quando necessário. No entanto, como cada objeto de esquema é parte integrante da definição dos objetos do Active Directory, desativá-los ou alterá-los pode alterar fundamentalmente ou interromper uma implantação. A modificação do esquema afeta todo o sistema automaticamente e os novos objetos não podem ser excluídos, apenas desativados. A alteração do esquema geralmente requer planejamento.
Florestas, árvores e domínios
Em uma rede Active Directory, a estrutura que contém os objetos possui diferentes níveis: a floresta, a árvore e o domínio. Os domínios dentro de uma implantação contêm objetos armazenados em um único banco de dados replicável, e a estrutura de nomes do DNS identifica seus domínios, o espaço de nomes. Um domínio é um grupo lógico de objetos de rede, como computadores, usuários e dispositivos, que compartilham o mesmo banco de dados do Active Directory. Por outro lado, uma árvore é uma coleção de domínios e árvores de domínios em um espaço de nomes contíguo, vinculados em uma hierarquia de confiança transitiva. A floresta está no topo da estrutura, sendo uma coleção de árvores com um catálogo global padrão, esquema de diretório, estrutura lógica e configuração de diretório. A floresta é um limite seguro que limita o acesso a usuários, computadores, grupos e outros objetos.
Partições
O banco de dados do Active Directory é organizado em partições, cada uma contendo tipos específicos de objetos e seguindo um padrão de replicação específico. A Microsoft costuma se referir a essas partições como "contextos de nomenclatura" (naming contexts). A partição "Schema" (Esquema) define classes de objetos e atributos dentro da floresta. A partição "Configuration" (Configuração) contém informações sobre a estrutura física e a configuração da floresta (como a topologia do site). Ambas se replicam para todos os domínios da floresta. A partição "Domain" (Domínio) contém todos os objetos criados naquele domínio e se replica apenas dentro dele.
Imagem: Andrea Beggi · BY-NC-SA · Openverse
Sites (ou locais) são agrupamentos físicos (em vez de lógicos) definidos por uma ou mais sub-redes IP. O AD também define conexões, distinguindo links de baixa velocidade (por exemplo, WAN, VPN) de links de alta velocidade (por exemplo, LAN). As definições de site são independentes da estrutura de domínios e OUs e são compartilhadas por toda a floresta. Os sites desempenham um papel crucial no gerenciamento do tráfego de rede gerado pela replicação e no direcionamento dos clientes para os controladores de domínio (DCs) mais próximos. O Microsoft Exchange Server 2007 utiliza a topologia de sites para o roteamento de e-mails. Os administradores também podem definir políticas no nível do site. As informações do Active Directory são mantidas fisicamente em um ou mais controladores de domínio pares, substituindo o modelo NT de PDC/BDC (Controlador de domínio primário/de backup). Cada DC possui uma cópia do Active Directory. Os servidores membros que ingressam no Active Directory, mas não são controladores de domínio, são chamados de Servidores Membros. Na partição de domínio, um grupo de objetos atua como cópias dos controladores de domínio configurados como catálogos globais. Esses servidores de catálogo global oferecem uma lista abrangente de todos os objetos na floresta.
Replicação
O Active Directory utiliza a replicação multimestre para sincronizar as alterações, o que significa que as réplicas buscam (pull) as alterações do servidor onde a alteração ocorreu, em vez de as alterações serem empurradas (push) para elas. O Verificador de Consistência de Conhecimento (KCC - Knowledge Consistency Checker) utiliza os sites definidos para gerenciar o tráfego e criar uma topologia de replicação de links de sites. A replicação intra-site ocorre de forma frequente e automática devido às notificações de alteração, que induzem os pares a iniciar um ciclo de replicação por busca. Os intervalos de replicação entre sites diferentes costumam ser menos consistentes e geralmente não utilizam notificações de alteração. No entanto, é possível configurá-la para ser igual à replicação entre locais na mesma rede, se necessário.
Imagem: calu777 · BY · Openverse
Geralmente, uma rede que utiliza o Active Directory possui mais de um computador servidor Windows licenciado. O backup e a restauração do Active Directory são possíveis em uma rede com um único controlador de domínio. No entanto, a Microsoft recomenda mais de um controlador de domínio para fornecer proteção automática contra falhas (failover) do diretório. Idealmente, os controladores de domínio devem ser de propósito único apenas para operações de diretório e não devem executar nenhum outro software ou função. Como certos produtos da Microsoft, como o SQL Server e o Exchange, podem interferir na operação de um controlador de domínio, aconselha-se o isolamento desses produtos em servidores Windows adicionais. Combiná-los pode tornar mais complexa a configuração e a solução de problemas do controlador de domínio ou dos outros softwares instalados. Se estiver planejando implementar o Active Directory, uma empresa deve adquirir várias licenças do Windows Server para ter pelo menos dois controladores de domínio separados. Os administradores devem considerar controladores de domínio adicionais para desempenho ou redundância, e servidores individuais para tarefas como armazenamento de arquivos, Exchange e SQL Server, pois isso garantirá que todas as funções de servidor sejam adequadamente suportadas.
Imagem: calu777 · BY · Openverse
O banco de dados do Active Directory, o repositório de diretório, no Windows 2000 Server utiliza o Extensible Storage Engine (ESE98) baseado no Microsoft JET Blue. O banco de dados de cada controlador de domínio é limitado a 16 terabytes e 2 bilhões de objetos (mas apenas 1 bilhão de entidades de segurança). A Microsoft já criou bancos de dados NTDS com mais de 2 bilhões de objetos. O Gerenciador de Contas de Segurança do NT4 podia suportar até 40.000 objetos. Ele possui duas tabelas principais: a tabela de dados (data table) e a tabela de links (link table). O Windows Server 2003 adicionou uma terceira tabela principal para a instância única de descritores de segurança. Os programas podem acessar os recursos do Active Directory por meio das interfaces COM fornecidas pelas Interfaces de Serviço do Active Directory (ADSI - Active Directory Service Interfaces).
Imagem: harvest316 · BY-NC-SA · Openverse
Para permitir que os usuários de um domínio acessem recursos em outro, o Active Directory utiliza relações de confiança (trusts). As relações de confiança dentro de uma floresta são criadas automaticamente quando os domínios são criados. A floresta estabelece os limites padrão de confiança, e a confiança implícita e transitiva é automática para todos os domínios dentro de uma floresta.
Imagem: WhatBox Creative · BY-NC-ND · Openverse
As ferramentas de gerenciamento do Microsoft Active Directory incluem: Essas ferramentas de gerenciamento podem não fornecer funcionalidade suficiente para um fluxo de trabalho eficiente em ambientes grandes. Algumas ferramentas de terceiros estendem os recursos de administração e gerenciamento. Elas oferecem recursos essenciais para um processo de administração mais conveniente, como automação, relatórios, integração com outros serviços, etc.
Imagem: WhatBox Creative · BY-NC-ND · Openverse
Variados níveis de interoperabilidade com o Active Directory podem ser alcançados na maioria dos sistemas operacionais baseados em Unix (incluindo Unix, Linux, Mac OS X ou programas baseados em Java e Unix) por meio de clientes LDAP em conformidade com os padrões, mas esses sistemas geralmente não interpretam muitos atributos associados aos componentes do Windows, como as Políticas de Grupo e o suporte para confianças unidirecionais. Empresas terceiras oferecem integração do Active Directory para plataformas baseadas em Unix, incluindo: As adições de esquema incluídas no Windows Server 2003 R2 contêm atributos que se mapeiam de forma próxima o suficiente à RFC 2307 para serem geralmente utilizáveis. A implementação de referência da RFC 2307, nss_ldap e pam_ldap fornecida pela PADL.com, suporta esses atributos diretamente. O esquema padrão para associação a grupos está em conformidade com a RFC 2307bis (proposta). O Windows Server 2003 R2 inclui um snap-in do Microsoft Management Console que cria e edita esses atributos.
Imagem: WhatBox Creative · BY-NC-ND · Openverse
Embora a arquitetura central do Active Directory (como o banco de dados NTDS e a topologia de sites) permaneça consistente para garantir a compatibilidade com sistemas legados, o papel do AD DS (on-premises) mudou drasticamente com a ascensão da computação em nuvem. Nas infraestruturas corporativas modernas, o Active Directory raramente opera de forma isolada, funcionando como a base de sistemas de identidade híbrida.
Integração com o Microsoft Entra ID
A evolução do gerenciamento de identidades levou à criação do Microsoft Entra ID (anteriormente conhecido como Azure Active Directory ou Azure AD). Ao contrário do AD tradicional, o Entra ID é um serviço de identidade baseado em nuvem projetado para aplicativos web e que utiliza protocolos modernos como OAuth 2.0, SAML 2.0 e OpenID Connect, em vez de Kerberos e LDAP. Para unir esses dois mundos, as organizações utilizam ferramentas de sincronização, como o Microsoft Entra Connect. Esse utilitário replica as contas de usuários, grupos e hashes de senhas do Active Directory local para a nuvem, permitindo que os usuários utilizem as mesmas credenciais para acessar servidores físicos internos e serviços em nuvem, como o Microsoft 365.
Foco contemporâneo em segurança
Com a obsolescência de tecnologias de rede antigas e o aumento da largura de banda global, a administração moderna do Active Directory reduziu o foco no cálculo manual de custos de links físicos (como T1 ou ISDN) e redirecionou os esforços para a segurança de identidade. O AD tornou-se um dos principais alvos de ataques cibernéticos modernos. Os administradores atuais concentram-se em:


