Centralização das Informações com o Active Directory Alfredo Menezes Vieira1 RESUMO Este estudo analisa a redundância de dados devido à descentralização de base de dados e a falta de integração entre sistemas responsáveis pelos diversos problemas detectados em empresas onde a Tecnologia da Informação é de vital importância. A resolução desse problema é a implantação de novas tecnologias, cujas principais características são a centralização da informação e integração entre sistemas, por isso apresenta os conceitos do Windows Server 2008 R2 com o Active Directory.O trabalho é ilustrado com o estudo de caso da Fundação José Augusto Vieira (FJAV), relatando o antes e após a implantação do Active Directory, utilizando o Windows Server 2008 R2 –Microsoft e ressaltando a sua importância e eficácia na solução dos problemas supracitados visando atender as necessidades da Instituição como Centro Universitário. Palavras-Chave: Active Directory, Windows Server 2008 R2, Microsoft, Disponibilidade, Centralização, Segurança, Serviços de Diretórios. ABSTRACT This study analysis the redundancy of data caused by the database decentralization and the lack of integration among the systems responsible for several problems that were detected in companies where Information Technology is very important. The solution to this problem is the introduction of new technologies that have as their main characteristics the centralization of information and the integration of systems, for this reason this study presents the concepts from Windows Server 2008 R2 and the Active Directory. This essay is based on the study of the case of ‘Fundação José Augusto Vieira – FJAV’ (José Augusto Vieira Foundation), it presents the pre-and-post-implantation of Active Directory, using the Windows Server 2008 R2 – Microsoft and it focuses on the importance and efficacy of this system on the solutions of the problems that were detected and its main purpose is to attend the needs of a foundation that has a university. Keywords: Active Directory, Windows Server 2008 R2, Microsoft, availability, Centralization, Security, Directory Services. 1 Especialista em Sistema de Informação Universidade Federal de Sergipe Bacharel em Ciências da Computação Universidade Nove de Julho E-mail: [email protected] 1. INTRODUÇÃO "As tecnologias de informação e de negócios estão se tornando inevitavelmente uma coisa só. Não creio que alguém possa falar sobre um sem falar sobre o outro." (Bill Gates) Com o grande avanço tecnológico na área da Tecnologia da Informação (TI), tanto interno como também as externas, nas empresas de diferentes segmentos tende a encontrar novas soluções a fim de garantir que as informações enviadas quanto às recebidas, sejam de forma segura e veloz. Em virtude disto é necessário a agilidade, eficiência e segurança nos processos e nas informações que trafegam em suas redes coorporativas, que devem estar disponível sempre o mais rápido possível. Diante disto, é imprescindível que a área de Tecnologia da Informação (TI) proporcione novas soluções que representem a otimização dos processos e na confiabilidade das informações para tomadas de decisões. Nos dias atuais as empresas estão mais competitivas, sendo assim a informação sendo como um dos principais fatores para o sucesso no mundo dos negócios. O departamento de TI tem grande responsabilidade em manter estas informações seguras e confiáveis, ou seja, se mantendo sempre atualizado e inovando com novas ferramentas ou recursos para manter a qualidade das informações. Uma das maneiras encontradas pelos profissionais de TI é o estudo, planejamento e implantação de recursos de informática, que assegurem velocidade e segurança das informações que trafegam nas redes das empresas. Pois, hoje se sabe que o maior inimigo e o vazamento das informações que se faz dentro da própria empresa por ataques de Hackers oriundos da Internet. Sendo assim, apresento o meu objeto de estudo de caso, a FJVA seu departamento de TI antes e após a implantação do Windows Server 2008 R2 com o Active Directory. A Fundação José Augusto Vieira (FJVA), localizada em Lagarto – Sergipe, inaugurada em 08 de outubro de 2004, faz parte do sonho dos mantenedores, com objetivo de viabilizar o acesso e assegurar as mesmas oportunidades a jovens a uma Faculdade próxima da região onde vivem e contribuir na formação com o mesmo nível de excelência de outras instituições privadas e públicas do nosso Estado ( Sergipe) e o nosso país. Por isso, a incansável luta em transformar o Ensino Superior em um centro de pesquisa, estudo e extensão voltadas à uma visão macro e micro da sociedade moderna ( uma compreensão maior do mundo e, em especial, da realidade nacional e regional). Em 2004, possuía apenas 4 cursos e atualmente possui 9 cursos superiores e 3 cursos de pós graduação, todos aprovados pelo MEC. Estrutura da TI – antes da implantação rede o Active Directory Diante desta nova realidade da IES, o Departamento de Tecnologia da Informação (DTI), responsável pela infraestrutura, suporte de redes e gestão da rede de computadores desenvolveu um projeto para implantação de um nova estrutura de TI, utilizando o serviço de rede o Active Directory2 para parametrizar e controlar o acesso aos recursos de informática da FJAV. O Ressalto a importância do planejamento estratégico que envolveu todos os setores da Instituição, viabilizando que todos os procedimentos e processos técnicos da TI fossem implantados com eficiência e agilidade, acesso à manutenção das informações com qualidade e segurança nas informações. 2. INFRAESTRUTURA TI "A tecnologia digital é a arte de criar necessidades desnecessárias que se tornam absolutamente imprescindíveis." (Joelmir Beting) A infraestrutura de TI é um trunfo estratégico e a base fundamental sobre a qual o software pode realizar os serviços e as aplicações de usuários que a IES precise funcionar com eficiência e obter sucesso. Para diversas organizações, crescimento e desenvolvimento rápidos em novas tecnologias resultam em infraestrutura de estações de trabalho e centro de dados extremamente complexas, inflexíveis, e difíceis de gerenciar, com custos embutidos que não apenas são altos e também de certo modo fixos. 2 Active Directory consiste o local onde ficam armazenadas informações sobre dados dos usuários, impressoras, servidores, grupo de usuários, computadores e políticas de segurança, dentre outras. Esses elementos são conhecidos como objetos. (http://pt.wikipedia.org/wiki/Active_Directory) Existem vários fatores que irão dizer se o nosso cenário de infraestrutura será bem sucedida ou não, é um fator decisivo para o sucesso ou fracasso em um momento critico, por exemplo: a implantação do parque de servidores, a gerencia na demanda do help desk pelo pessoal de TI, o gerenciamento de serviços, enfim todo o conjunto impacta diretamente nos negócios da instituição. 2.1. INFRAESTRUTURA BÁSICA Se caracteriza por processos manuais e localizados; mínimo de controle central; diretrizes e padrões inexistentes ou mal executados de TI em questões como segurança, backup, gerenciamento, implantação e outras práticas comuns de TI. 2.2. INFRAESTRUTURA PADRONIZADA Introduz controles através do uso de padrões e políticas para gerenciar estações de trabalhos e servidores; para controlar a maneira como máquinas são incorporadas à rede, e pelo serviço de diretórios Active Directory para gerenciar recursos, políticas de segurança e controle de acesso. 2.3. INFRAESTRUTURA RACIONALIZADA É o momento em que os custos envolvidos no gerenciamento de estações de trabalho estão mais baixos, e os processos e diretrizes amadureceram para começar a desempenhar um papel importante no suporte e expansão da empresa. A segurança é bastante pró-ativa, além de rápida e controlada na resposta a ameaças e desafios. 3. ACTIVE DIRECTORY DOMAIN SERVICES O Active Directory Domain Services (AD DS) fornece a funcionalidade de uma solução Identity and Access – IDA (identidade de acesso) para redes corporativas. O IDA é necessário para manter a segurança de recursos corporativos como arquivos, e-mails, aplicativos e banco de dados. Uma infraestrutura IDA deve: Armazenar informações sobre usuários, grupos, computadores e outras identidades – Uma identidade é, no sentido mais amplo, uma representação de uma entidade que realizará ações na rede corporativa. O armazenamento de identidades é, portanto, um dos componentes de uma infraestrutura IDA. O armazenamento de dados do Active Directory, também conhecido como diretório, é um armazenamento de identidades. O próprio diretório é hospedado e gerenciado por um controlador de domínio – um servidor que desempenha a função de AD DS. Autenticar uma identidade – O servidor não concederá ao usuário acesso ao documento ao menos que o servidor possa verificar a identidade apresentada na solicitação de acesso como válida. Para validar a identidade, o usuário fornece segredos conhecidos apenas pelo usuário e pela infraestrutura IDA. Esses segredos comparados às informações no armazenamento de identidades em um processo chamado de autenticação. Em um domínio do Active Directory, um protocolo chamado Kerberos é utilizado para autenticar as identidades. Quando um usuário ou computador efetua logon no domínio, o Kerberos autentica suas credenciais e emite um pacote de informações chamado tíquete (Ticket Granting Ticket – TGT). Antes de o usuário se conectar-se ao servidor para solicitar o documento, uma solicitação Kerberos é enviada a um controlador de domínio junto com o TGT que identifica o usuário autenticado. O controlador de domínio emite ao usuário outro pacote de informações chamado tíquete de serviço, que identifica o usuário autenticado para o servidor. O usuário apresenta o tíquete de serviço, que aceita o tíquete de serviço como uma prova de que o usuário foi autenticado. Estas transações Kerberos resultam em um único logon de rede. Depois que o usuário ou computador se conectou inicialmente e recebeu um TGT, o usuário é autenticado dentro do domínio inteiro e pode receber tíquetes de serviço que identificam o usuário para qualquer serviço. Toda essa atividade de tíquetes é gerenciada pelos clientes e serviços keberos incorporados no Windows, e é transparente ao usuário. Controlar o acesso – A infraestrutura IDA é responsável por proteger informações confidenciais como as informações armazenadas no documento. O acesso a informações confidenciais deve ser gerenciado de acordo com as diretivas da empresa. Fornecer uma trilha de auditoria – Uma empresa poderia querer controlar as modificações e atividades dentro da infraestrutura IDA, portanto ela deve fornecer um mecanismo por meio do qual gerenciar a auditoria. Com a versão do Windows Server 2008, a Microsoft consolidou vários componentes anteriormente separados em uma plataforma IDA integrada. O próprio Active Directory agora inclui cinco tecnologias, cada uma das quais pode ser identificada com uma palavra chave que identifica o propósito da tecnologia. Active Directory Domain Services (Identidade) – O AD DS, é projetado para fornecer um repositório central ao gerenciamento de identidades dentro de uma organização. O AD DS fornece serviços de autenticação e autorização em uma rede e suporta o gerenciamento de objetos por meio da Group Policy. Fornecendo também o gerenciamento de informações e serviços de compartilhamento, permitindo aos usuários localizar qualquer componente. O AD DS é a principal tecnologia do Active Directory e deve ser implantado em cada rede que executa sistemas operacionais Windows Server 2008. Active Directory Lightweight Directory Services (Aplicações) – É uma versão autônoma do Active Directory, a função Active Directory Lightweight Directory Services (AD LDS), fornece suporte a aplicativos compatíveis com diretório. É um subconjunto do AD DS porque ambos estão baseados no mesmo código básico. O diretório AD LDS só armazena e replica informações relacionadas a aplicativos. Ele é comumente utilizado por aplicativos que exigem um armazenamento de diretórios, mas não exigem que as informações sejam replicadas de uma maneira tão ampla como, por exemplo, todos os controladores de domínio, Permite implantar um esquema personalizado para suportar um aplicativo se modificar esquema AD DS. Active Directory Certificate Services (Confiabilidade) – O Active Directory Certificate Services (AD CS) tem por finalidade emitir certificado digitais como parte de uma infraestrutura de chave pública (Public Key Infraestructure – PKI) que vincula a identidade de uma pessoa, dispositivo ou serviço a uma chave privada correspondente. Os certificados podem ser utilizados para autenticar usuários e computadores, fornecer autenticação baseada na web, suportar autenticação de cartão inteligente e suportar aplicativos, incluindo redes sem fio seguras, redes provadas virtuais (VPN), Internet Protocol Security (IPSec), Encrypting File System (EFS), assinaturas digitais etc. Active Directory Rights Management Services (Integridade) – É uma tecnologia de proteção das informações que permite implementar modelos persistentes de diretiva de uso que definem o uso autorizado e não autorizado, seja online, off-line, dentro ou fora do firewall, ou seja, pode configurar um modelo que permite aos usuários ler um documento, mas não imprimir ou copiar o seu conteúdo. Assegurando a integridade dos dados gerados, protegendo a propriedade intelectual e controlar quem pode fazer o que com os documentos produzidos pela organização. Active Directory Federation Services (Parceria) – Permite que uma organização estenda a solução IDA para múltiplas plataformas, incluindo ambientes Windows e não Windows, e projetar identidades e direitos de acesso cruzando limites de segurança para parceiros confiáveis. Em um ambiente federado, cada organização mantém e gerencia suas próprias identidades, mas cada empresa pode projetar com segurança e aceitar identidades de outras organizações. O AD DS armazena suas identidades no diretório – um armazenamento de dados hospedado nos controladores de domínio. O banco de dados é divido em várias partições, incluindo o esquema, configuração, catálogo global e o contexto de nomeação de domínios que contém os dados sobre objetos dentro de um domínio – os usuários, grupos e computadores. 4. CONTROLADORES DE DOMÍNIO Os controladores de domínio, também chamados DCs, são servidores que executam a função de AD DS. Como parte dessa função, eles também executam o serviço Kerberos Key Distribution Center (KDC), que realiza a autenticação e outros serviços do Active Directory. São necessários um ou mais controladores de domínio para criar um domínio no Active Directory. Um domínio é uma unidade administrativa dentro da qual certas capacidades e características são compartilhadas. Primeiro, todos os controladores de domínio replicam a partição do armazenamento de dados do domínio, a qual contém entre outras coisas os dados da identidade dos usuários do domínio, grupos e computadores. Como todos os controladores de domínio mantêm o mesmo armazenamento de identidades, qualquer DC pode autenticar qualquer identidade em um domínio. Além disso, um domínio é um escopo das diretivas administrativas, como as diretivas de complexidade de senha e bloqueio de conta. Essas diretivas configuradas em um domínio afetam todas as contas do domínio e não afetam contas em outros domínios. As modificações podem ser feitas nos objetos e não afetam contos em outros domínios. As modificações podem ser feitas nos objetos no banco de dados do Active Directory por qualquer controlador de domínio e serão replicadas a todos outros controladores de domínio. Portanto, nas redes onde há replicação de todos os dados entre os controladores de domínio não pode ser suportada, talvez seja necessário implementar mais de um domínio para gerenciar a replicação dos subconjuntos de identidades. 5. FLORESTA Uma floresta é uma coleção de um ou mais domínios do Active Directory. O primeiro domínio instalado em uma floresta é chamado domínio raiz de floresta. Uma floresta contém uma única definição de configuração de rede e uma única instância do esquema de diretório. Uma floresta é uma instância única do diretório – nenhum dado é replicado pelo Active Directory fora dos limites da floresta. Consequentemente, a floresta define um limite de segurança. O namespace DNS dos domínios em uma floresta cria árvores dentro da floresta. Se um domínio for um subdomínio de outro domínio, os dois domínios serão considerados uma árvore. A funcionalidade disponível em um domínio ou floresta do Active Directory depende do seu nível funcional. O nível funcional é uma configuração do AD DS que habilita recursos avançados do AD DS por todo domínio ou por toda a floresta. Há três níveis funcionais de domínio: nativo do Windows 2000, Windows Server 2003 e Windows Server 2008; e dois níveis funcionais de floresta: Windows Server 2003 e Windows Server 2008. À medida que elevada o nível funcional do domínio ou floresta, os recursos fornecidos pela versão do Windows envolvida tornam-se disponíveis para o AD DS. 6. CONTÊINERES DO AD O Active Directory é um banco de dados hierárquico. Os objetos no armazenamento de dados podem ser agrupados em contêineres. Um tipo de contêiner é a classe do objeto chamada container. Os contêineres padrão, incluindo Users, Computers e Buliltin são mostrados quando o snap-in Active Directory Users and Computers é aberto. Outro tipo de contêiner é uma unidade organizacional (Organizational Unit – OU). As OUs, além de fornecer um contêiner para objetos, também fornecem um escopo com o qual gerenciar objetos. Isso ocorre porque as OUs podem ter objetos chamados Group Policy Objects (GPOs) vinculados a eles. As GPOs podem conter definições de configurações que serão então aplicadas automaticamente pelos usuários ou computadores em um OU. Os sites no Active Directory têm um significado bem específico, porque há uma classe de objetos específica chamada site. Um site do Active Directory é um objeto que representa uma parte da empresa dentro da qual conectividade de rede é boa. Um site define um limite de uso de replicação e serviços. Controladores de domínio dentro de um site replicam as modificações em questão de segundos. As modificações replicadas entre sites são lentas, caras ou inseguras comparadas às conexões dentro de um site. Além disso, os clientes preferirão utilizar serviços distribuídos fornecidos pelos servidores nos seus sites ou no site mais próximo. 7. FERRAMENTAS ADMINISTRATIVAS DO AD OU SNAP-INS As ferramentas administrativas do Active Directory, ou snap-ins, exibem as funcionalidades de que o administrador necessita para suportar o serviço de diretório. A maior parte da administração do Active Directory é executada com estes snap-ins e consoles: Active Directory Users and Computers – Gerencia os recursos cotidianos mais comuns, incluído usuários, grupos, computadores, impressoras e pastas compartilhadas. Esse provavelmente será o snap-in mais intensamente utilizado por um administrador do Active Directory. Active Directory Sites Services – Gerencia replicação, topologia da rede e serviços relacionados. Active Directory Domasins and Trusts – Configura e mantém relações de confiança e os níveis funcionais do domínio e da floresta. Active Directory Schema – Examina e modifica a configuração dos atributos e das classes de objeto do Active Directory. Esse esquema é a “planta” do Active Directory. Raramente ele é exibido, e ainda mais raramente é alterado. Em razão disso, o snap-in Active Directory Schema não é instalado por padrão. Na maioria das organizações, há mais de um administrador de sistemas, e, à medida que as organizações crescem, as tarefas administrativas muitas vezes são distribuídas a vários administradores ou organizações de suporte. Em muitas organizações, o help desk é capaz de redefinir senhas de usuários e desbloquear contas dos usuários que estavam bloqueadas. Essa capacidade do help desk é uma tarefa administrativa delegada. Normalmente, o help desk não pode criar novas contas de usuário, mas ele pode fazer modificações específicas na contas de usuários existentes. Todos os objetos do Active Directory, como os usuários, computadores e grupos, podem ser mantidos seguros utilizando-se uma lista de permissões, de forma que o administrador pode atribuir ao help desk a permissão de definir as nos objetos usuários. As permissões em um objeto são chamadas entradas de controle de acesso (access contropl list – ACL) e elas são atribuídas a usuários, grupos ou computadores (chamados entidades de segurança). As ACLs são salvas na lista de controle de acesso discricionário(discretionary access cintrol dist – DACL) do objeto. A DACL é uma parte da ACL do objeto, que também contém a lista de controle de acesso do sistema (system acess control list – SACL) que inclui configurações de auditoria. A delegação do controle administrativo, também denominada delegação de controle, ou delegação, simplesmente significa atribuir permissão que gerenciam o acesso a objetos e propriedades no Active Directory. Assim como administrador pode atribuir um grupo a capacidade de modificar os arquivos em uma pasta, permitindo a um grupo a capacidade de redefinir as senhas nos objetos usuários. Grupos são entidades de segurança com identificador de segurança (SID) que, por meio do seu atributo member, coleta outras entidades de segurança (usuários, computadores, contatos e outros grupos) para facilitar o gerenciamento. Há dois tipos de grupos: segurança e distribuição. Quando criado um grupo, o administrador faz a seleção do tipo do grupo. Grupos de distribuição são utilizados principalmente por aplicativos de email. Esses grupos não tem segurança habilitada: eles não têm SIDs, portanto eles não podem receber permissões aos recursos. Enviar uma mensagem a um grupo de distribuição distribui a mensagem a todos os membros do grupo. Os grupos de segurança são entidades de segurança com SIDs. Esses grupos, portanto, podem ser utilizados com entradas de permissões nas ACLs para controlar a segurança do acesso aos recursos. Grupos de segurança também podem ser utilizados como grupos de distribuição por aplicativos de email. Se um grupo for utilizado para gerenciar a segurança, ele deverá ser um grupo de segurança. Como os grupos de segurança podem ser utilizados tanto para acesso e recursos como para distribuição de email, muitas organizações só usam grupos de segurança. Mas é recomendável que, se um grupo for utilizado apenas para a distribuição de e-mails, ele seja criado como um grupo de distribuição. Caso contrário, o grupo recebe um SID, e o SID é adicionado ao token de acesso de segurança do usuário, o que pode levar a um número excessivo de tokens desnecessários. Os grupos têm membros: usuários, computadores e outros grupos. Os grupos podem ser membros de outros grupos, e os grupos podem ser referidos pelas ACLs, filtro de objeto de diretiva de grupo (group policy object – GPO) e outros componentes de gerenciamento. O escopo do grupo afeta cada uma destas características de um grupo: o que ele pode conter, a que ele pode pertencer e onde pode ser utilizado. Há quatro escopos de grupos: global, local de domínio, local e universal. Os grupos locais são realmente locais – definidos em e disponíveis a um único computador. Os grupos locais são criados no banco de dados SAM (Secrutry Accounts Manager) de um computador membro do domínio. As estações de trabalho e os servidores tem grupos locais. Em um grupo de trabalho, os grupos locais servem, para gerenciar a segurança dos recursos do sistema. Em um domínio, porém, gerenciar os grupos locas dos computadores individuais torna-se trabalhoso e é, na maioria das vezes desnecessários. Os grupos locais de domínio são especialmente utilizados para gerenciar permissões a recursos. Por exemplo, o grupo ACL_Sales e Folder_Read. Grupos globais são essencialmente utilizados para definir coleções de objetos de domínio baseados nas funções de negócio. Grupos universais são úteis nas florestas de múltiplos domínios. Eles permitem definir funções ou gerenciar recursos que abrangem mais de um domínio. A tabela abaixo resume os objetos que podem ser membro no escopo de cada grupo. Escopo do grupo Local Membro do mesmo Membros de outro Membros de um domínio domínio na mesma domínio externo floresta confiável Usuários Usuários Usuários Computadores Computadores Computadores Grupos Globais Grupos Globais Grupos Globais Grupos Universais Grupos Universais Grupos locais de domínio Usuários locais definidos no mesmo computador que o do grupo local Local de Domínio Usuários Usuários Usuários Computadores Computadores Computadores Grupos Globais Grupos Globais Grupos Globais Grupos locias de Grupos Universais domínio Grupos Universais Universal Global Usuários Usuários Computadores Computadores Grupos Globais Grupos Globais Grupos Universais Grupos Universais Usuários N/D N/D N/D Computadores Grupos Globais TABELA 1 – ESCOPO DO GRUPO Computadores em um domínio são entidades de segurança, assim como os usuários. Eles têm uma conta com um nome de login e uma senha que o Microsoft Windows altera automaticamente mais ou menos a cada 30 dias. Eles se autenticam no domínio. Computadores pertencem a grupos, ter acesso a recursos a ser configurados pela Group Policy (Diretiva de Grupo). E como os usuários, os computadores às vezes perdem suas senhas, requerendo uma redefinição, ou têm contas que precisam ser desabilitadas ou habilitadas. Gerenciar computadores – tanto os objetos no Active Directory Domain Services (AD DS) como dispositivos físicos – é parte do trabalho cotidiano da maioria dos profissionais de TI. Novos sistemas são adicionados à empresa, computadores são colocados offine para reparos, computadores são trocados entre usuários ou funções, e equipamentos antigos são atualizados por outros. Cada uma dessas atividades exige gerenciar a identidade do computador representado pelo seu objeto, ou conta, e o Active Directory. Em ambiente gerenciado por uma infraestrutura de diretiva de grupo bem implementada, muito pouca ou nenhuma configuração será feita utilizando-se um desktop diretamente. Toda a configuração é definida, imposta e atualizada utilizando-se especificações nos objetos diretiva de grupo (GPOs) que afetam uma parte da empresa tão ampla quanto um site ou domínio inteiro, ou tão restrita quanto a uma única unidade organizacional (OU) ou grupo. 8. ESTUDO DE CASO Junto com a própria nova infra-estrutura de estações de trabalho, a FJAV precisava das ferramentas para melhor gerenciar e dar suporte àquele novo ambiente, incluindo uma solução para a implantação centralizada de novos softwares e de atualizações de software. No passado, a FJAV usava um grande número de ferramentas e processos, nenhum dos quais oferecia os níveis de confiabilidade, escalabilidade e integração necessária para suportar um ambiente maior. Precisava de um suporte que garantisse o gerenciamento das estações de trabalho e que o serviço do Active Directory (do qual todas as estações de trabalho de usuários dependeriam) se mantivesse em funcionamento contínuo. Assim como, o AD DS (serviço pelo qual os usuários se autenticam) precisava adotar uma postura de respeito e ser monitorado e gerenciado. 8.1. SOLUÇÃO Para suportar melhor seu ambiente de Estação de Trabalho Windows , a FJAV optou pelo Windows Server 2008 R2 para gerenciamento de estações de trabalho e monitoramento de servidores. Nos três primeiros bimestres de 2011 a equipe do DTI estudou e projetou a nova infra-estrutura de implantação do projeto, onde percebeu-se a necessidade da instalação de dois novos servidores para a utilização do Active Directory, nativo do sistema operacional Windows Server 2008 R2. 8.2. ESTRUTURA ANALÍTICA DO PROJETO Este projeto tem como objetivo a implementação do Active Directory na FJAV, otimizando a autenticação centralizada aos diversos sistemas e serviços providos. Assim, segue o planejamento das atividades como: Verificar infraestrutura de servidores e capacidade de integração. o Verificar compatibilidade de Sistema Operacional do servidor; o Verificar compatibilidade do Sistema Operacional das estações de trabalho com o Active Directory. Instalar e configurar o Windows Server 2008 R2 o Instalar o Active Directory; o Configurar o Active Directory; o Popular base de dados do Active Directory com os grupos e usuários de rede da empresa. Integrar autenticação dos diversos serviços e sistemas Testar e homologar a solução proposta o Testar configurações do Active Directory; o Testar autenticação das estações de trabalho através de contas criadas no AD. 8.3. NOMENCLATURA DAS CONTAS DE MÁQUINA Para definição da nomenclatura das máquinas foi utilizado um padrão que identifica a unidade e também a lotação dentro desta. O modelo é T-FJAV-LLL-99, onde: T é uma variável e onde demonstra o tipo da máquina, ou seja, D para desktop, SF para servidores físicos, SV para servidores virtuais, P para impressoras; FJAV é abreviatura de Faculdade José Augusto Vieira; LLL é a abreviação do nome do local onde o disponível se encontra; 99 é um número inteiro que identifica o equipamento. O nome completo da máquina deve ser único. A complexidade da nomenclatura existe exatamente para evitar a duplicação de nomes, o que ocasionaria problemas com o AD. 8.4. NOMENCLATURA DAS CONTAS DE USUÁRIO A definição da nomenclatura dos usuários foi um dos raros casos em que a ideia inicial foi alterada antes mesmo de colocada em prática. Inicialmente o modelo de contas de usuário seguiu a seguinte regra: matricula para os funcionários/professores e matrícula acadêmica para os alunos. Para o caso dos alunos, a matrícula acadêmica continuou sendo o nome de usuário a ser utilizado. Para os funcionários, se o usuário possui a conta de e-mail [email protected], seu nome de usuário no AD deve ser joaosilva – princípio da padronização. Cada nome de usuário é criado automaticamente no momento em que o funcionário, professor ou aluno é cadastrado no sistema da faculdade. O AD possui integração direta com o sistema acadêmico para o preenchimento dos dados de usuários. 8.5. DEFINIÇÃO DOS SISTEMAS OPERACIONAIS A FJAV possui contrato com a Microsoft para uso de seus produtos. Neste contrato estão contempladas licenças do Sistema Operacional Windows Server 2008 Enterprise. Esta licença é do tipo 1 + 4, ou seja, para cada computador que tenha instalada a licença do Windows Server 2008 Enterprise R2 , pode-se instalar mais quatro licenças do Windows Server 2008 Standard R2 em máquinas virtuais neste mesmo computador. 8.6. PREPARAÇÃO DOS SERVIDORES A implantação do Active Directory, foi abordada apenas superficialmente nas máquinas onde foram instalados o sistema acadêmico. 8.7. CONFIGURAÇÃO DO HOST A primeira parte da implantação foi à preparação dos servidores HP PROLAIND ML350. Inicialmente foi utilizada a mídia que acompanhava o equipamento para configuração do RAID 5. Feitas as configurações iniciais, partiu-se para a instalação do Sistema Operacional Microsoft Windows Server 2008 Enterprise R2 x64 English, que como o próprio nome indica, é uma versão 64 bits. A opção pelo idioma inglês se fez por questões de melhor compatibilidade com os aplicativos a serem a ser instalados. Para o Sistema Operacional do Host foram dedicados 100GB de espaço em disco. O espaço restante, cerca de 400GB, ficou para uma segunda partição destinada a armazenar as máquinas virtuais. Um detalhe interessante é que, como o servidor possui duas placas de rede, uma placa ficou para uso exclusivo do host e a outra compartilhada entre as máquinas virtuais. Essa divisão facilita as manutenções futuras e também ajuda na otimização da rede. 8.8. INSTALAÇÃO E CONFIGURAÇÃO VM DO ACTIVE DIRECTORY Segundo a Microsoft, o mínimo recomendado para utilização do Active Directory é o mesmo que para o Windows 2008, ou seja: 512MB de memória RAM e 10GB de HD; o recomendável é 2GB de memória RAM e algo entre 10GB e 40GB de HD. Abaixo, suas principais configurações. 8.9. Nome: SF-FJAV-DTI-01 Domínio: fjav.com.br CONFIGURAÇÃO DO ACTIVE DIRECTORY Antes da etapa de configuração do Active Directory foram feitos vários testes na rede, para verificar o funcionando perfeito para que o AD funcione. Com a rede funcionando corretamente, o próximo passo foi a promoção do servidor como controlador de domínio. Isto é feito através do comando dcpromo. Logo após, foi realizado a criação das unidades organizacionais, usuários e dos grupos, conforme pode ser visualizado logo abaixo. Permitindo-se a criação de diretivas de acesso as (GPOs). FJAV.COM.BR FACULDADE BIBLIOTECA USUARIOS COMPUTADORES IMPRESSORAS GRUPOS TECNOLOGIA DA INFORMACAO DTI USUARIOS COMPUTADORES DESKTOP SERVIDORES IMPRESSORAS VIRTUAL FISICO GRUPOS SUPORTE TECNICO GRUPOS USUARIOS COMPUTADORES IMPRESSORAS GRUPOS SECRETARIA RECEPCAO USUARIOS COMPUTADORES USUARIOS IMPRESSORAS COMPUTADORES IMPRESSORAS GRUPOS GRUPOS ALMOXARIFADO USUARIOS COMPUTADORES COLÉGIO JAV USUARIOS GRUPOS COMPUTADORES IMPRESSORAS IMPRESSORAS GRUPOS ESTAGIARIOS USUARIOS COMPUTADORES GRUPOS Atualmente a Instituição de Ensino possui uma única floresta do Active Directory e uma única solução de gerenciamento de estações de trabalho para todos os PCs executando a nova imagem padrão de estação de trabalho. 8.10. GERENCIAMENTO DETALHADO DE ESTAÇÕES DE TRABALHO Atualmente, o DTI da FJAV dá suporte a 300 estações de trabalho, substituindo ferramentas, proporcionado suporte aos usuários e possibilitando vários benefícios no seu novo sistema de gerenciamento de estações de trabalho. Entre quais destaco: Implantação de novo software. Os técnicos não precisam mais visitar a estação de trabalho de um usuário para instalar novo software. Através das GPOs os softwares são instalados automaticamente nos computadores dos usuários; Distribuição de atualizações de software; Suporte para estações de trabalho de usuários em transições. Aplicações de estação de trabalho são vinculadas aos usuários em vez de aos computadores físicos, eliminando a necessidade de mudar esses computadores quando as pessoas mudam de mesa. Em vez disso, o usuário pode simplesmente efetuar o logon em qualquer computador, que automaticamente removerá e reinstalará as aplicações da estação de trabalho associadas com aquela pessoa. 8.11. BENEFÍCIOS Pela implantação das soluções Windows Server 2008 R2, melhorou a confiabilidade e segurança no ambiente das estações de trabalho, auxiliando o grupo de serviços de TI da empresa a oferecer um melhor atendimento aos clientes internos e a maximizar as economias de custos obtidas através os novos recursos implantados. 8.12. ATENDIMENTO APRIMORADO AO CLIENTE Atualmente, o grupo de serviços de TI da FJAV oferece um melhor atendimento aos seus clientes internos. Os usuários não precisam esperar a visita de um técnico para instalar software ou atualizações, nem precisam realizar essas tarefas eles próprios. Quando um usuário solicita uma aplicação, ele é adicionado ao grupo do Active Directory para a aplicação e recebe instalada automaticamente, sem a necessidade de sua participação adicional. O atendimento e produtividade do usuário final é agilizado através do suporte que o Windows Server 2008 R2, que fornece para estações de trabalho dos usuários em transição de funções. Se o usuário mudar para outra mesa (deixando seu velho PC para trás) e efetuar o logon no PC em uma nova mesa,dentro de minutos, todos os programas de sua estação de trabalho são removidos de seu antigo PC e reinstalados no novo e totalmente disponíveis e prontos para o uso. Isso é muito importante, especialmente aos trabalhadores móveis; pois sabem que podem fazer uso de qualquer mesa em qualquer escritório e ter acesso a suas aplicações. 9. CONCLUSÃO Atualmente a necessidade de uma rede melhor gerenciada e segura para os usuários é o fator mais importante em um ambiente corporativo. Entretanto, com o aumento e as constantes modificações pelas quais as redes passam, os usuários têm necessidade de um serviço que permita um acesso seguro e transparente aos recursos da rede. Este estudo possibilitou o conhecimento técnico e operacional de uma nova ferramenta Windows Server 2008 R2 com o Active Directory que atende as necessidades de um ambiente corporativo. Os Mantenedores da “Fundação José Augusto Vieira”, conscientes da fragilidade na área de TI, possibilitou-me de participar da implantação do Windows Server 2008 R2 com o Active Directory, vivenciando na prática todos os benefícios oferecidos pelo sistema, tornando a FJAV um exemplo à outras instituições de ensino. Em suma, a conquista da FJAV na área tecnológica assegura retorno de capital com qualidade, competência e credibilidade. REFERÊNCIAS Stanek, William R.: Windows Server 2008 - Guia Completo. Bookman :Brasil,2009. Battisti, Júlo; Santana, Fabiano.: Windows Completo. Novaterra : Brasil, 1ª Ed. / 2009 Server 2008 - Guia de Estudos Windows Server 2008 R2 Active Directory Overview. Disponível <http://www.microsoft.com/en-us/server-cloud/windows-server/active-directoryoverview.aspx> . Acesso em: 29 jun. 2012. em: Active Directory Domain Services.Disponível em :<http://technet.microsoft.com/ptbr/library/cc770946%28v=ws.10%29.aspx>. Acessado em: 29 jun. 2012. Serviços e Sites do Active Directory. Disponível em :<http://technet.microsoft.com/ptbr/library/cc730868%28v=ws.10%29.aspx>. Acessado em: 03 jul. 2012. O que é o Active Directory. Disponível em: <http://www.linhadecodigo.com.br/artigo/2422/o-que-e-o-active-directory.aspx>. Acessado em: 05 jul. 2012. WINDOWS 2000 / AD – Active Directory. Disponível em : <http://www.juliobattisti.com.br/fabiano/artigos/activedirectory.asp>. Acessado em: 05 jul. 2012. Introdução ao Active Directory - Parte 1. Disponível em: <http://technet.microsoft.com/ptbr/library/cc668412.aspx>. Acessado em: 01 ago. 2012. Entendendo Active Directory. Disponível em: <http://imasters.com.br/artigo/4735/redes-eservidores/entendendo-active-directory>. Acessado em: 01 ago. 2012.