Conceitos : Florestas, rvore e Domnios

brzsgavn 11 Dec 2008 11:27 AM

Comments2

Pessoal, Tenho conversado com muitas pessoas no projeto onde estou atualmente e encontrei muitas pessoas com dvidas sobre os conceitos sobre Floresta, rvore, Domnios, Isolamentos, etc. Neste post pretendo dar uma viso geral sobre o assunto:

Nvel da Floresta e rvore e Domnios

Para entender as definies e caractersticas de florestas, domnios e Unidades Organizacionais (OU) conveniente revisar o tpico de delegao do Active Directory. Uma floresta uma coleo de domnios com Schema e configurao compartilhados, representado por um nico e lgico Global Catalog (GCs) e conectado por uma rvore dispersa de relaes de confiana transitivas. Uma floresta representada por um domnio de floresta raiz. O proprietrio padro da floresta o grupo Domain Admins do domnio raiz. Este grupo controla os membros dos grupos Enterprise Admins e Schema Admins, os quais por padro tm controle sobre as configuraes gerais da floresta. Pelo fato de o proprietrio da floresta controlar os controladores de domnio, o proprietrio da floresta o administrador de servio. Um domnio uma partio de uma floresta Active Directory. O proprietrio administrativo padro de um domnio o grupo Domain Admins do domnio. Pelo fato de o proprietrio do domnio controlar os controladores de domnio, o proprietrio do domnio o administrador de servio. Todos os proprietrios de domnio, exceto o raiz, so pares, independentemente de sua posio no domnio; o proprietrio de um domnio pai, que no seja o raiz, no possui controles administrativos padres sobre o domnio filho. Uma Unidade Organizacional (OU) um container dentro de um domnio. O controle sobre a OU e os objetos no interior da OU so determinados exclusivamente pelo Access Control List (ACLs) sobre a OU e seus objetos. Usurios e grupos que possuem controle sobre os objetos na OU so administradores de dados.

Determinando o nmero de Florestas

Quanto maior o nmero de organizaes que possam participar da floresta, maiores so os possveis benefcios, advindos da colaborao e reduo de custos. Por esta razo, so consideradas melhores prticas as tentativas de minimizar o nmero de florestas ao implantar o Active Directory. Entretanto existem situaes na qual o requisito de delegao faz com que o uso de mltiplas florestas seja necessrio e apropriado. Por exemplo, em organizaes onde o controle administrativo amplamente distribudo, pode ser impraticvel esperar que todas as organizaes participem de uma mesma infra-estrutura. Nestes casos, o custo de gerenciamento de uma floresta adicional suportado em funo da satisfao do requisito prtico. Uma vez que os requisitos de delegao foram compreendidos possvel definir o nmero de florestas que a organizao requer. A necessidade de uma nova floresta advm da existncia de um dos trs cenrios a seguir: Isolamento de servio: Um departamento requer que nenhum administrador fora do departamento deva interferir na operao do servio de diretrio. A requisio de isolamento de servio usualmente baseada em necessidades legais ou de segurana operacional. Por exemplo, considere uma aplicao baseada em servio de diretrio que suporte um processo de manufatura altamente controlado. Se o diretrio de aplicao distribudo em um domnio de uma dada floresta, possvel que o proprietrio da floresta, inadvertidamente ou no, faa a interrupo do servio de diretrio do domnio de manufatura. Isto pode ocorrer atravs da remoo de sites ou remoo da configurao de informaes de um container de sistema ou at mesmo aps a mudana de Schema. Esta interrupo pode causar a falha na aplicao de manufatura. Autonomia de servio em nvel de floresta: Neste cenrio, mltiplos participantes possuem a habilidade de modificar dados em nvel de floresta, como Schema, independentemente um do outro. Este requisito usualmente baseado em necessidades operacionais ou de estrutura organizacional. Um bom exemplo aplicvel a este cenrio pode ser o uso de duas aplicaes que partilham a mesma classe e nomes de atributos, mas definem seu uso de maneiras diferentes. Pelo fato de existir somente um Schema na floresta, a nica forma de isolar os dois Schemas colocando-os em florestas separadas. Isolamento de dados a partir de proprietrios de servios: Uma organizao requer que o proprietrio do domnio previna o acesso de dados armazenados no domnio pelos proprietrios de servios na floresta. Este requisito usualmente baseado em necessidades legais. Considere, por exemplo, um requisito legal onde somente pessoas de um departamento especfico podem acessar dados em um domnio. Se o domnio foi criado como um domnio separado na floresta, no haver formas de assegurar a conformidade deste requisito porque um administrador corporativo (enterprise admin) pode sobrepor qualquer definio de segurana aplicado pelo administrador do domnio.

Isolamento e Autonomia
Requisitos de Delegao

Conforme descrito anteriormente, os requisitos de delegao de uma organizao geralmente recaem em duas categorias: autonomia e isolamento. Autonomia: a habilidade dos administradores de uma organizao em gerir de forma independente, os seguintes itens: Toda ou parte da administrao de servio (autonomia de servio) Todo ou parte do dado armazenado no diretrio ou nos computadores membros do domnio (autonomia de dados) Isolamento: a habilidade dos administradores de uma organizao de prevenir outros administradores de: Controlar ou interferir com a administrao do servio (isolamento de servio) Controlar ou visualizar um subconjunto de dados no diretrio ou nos membros que pertencem ao domnio (isolamento de dados) A Autonomia menos restritiva do que o Isolamento. Administradores que requerem somente autonomia aceitam que outros administradores com privilgios iguais ou superiores possuam controle equivalente. Administradores que requerem isolamento procuram especificamente bloquear outros administradores na visualizao ou controle de suas pores de servio ou dados. Pelo fato de autonomia ser menos restritivo que isolamento, geralmente menos dispendioso e mais eficiente delegar autonomia no Active Directory. A combinao de administrao de servio, administrao de dados, autonomia e isolamento determinam qual estrutura de Active Directory deve ser utilizada para delegar controle em uma organizao.