O que é o Active Directory?

O principal serviço do Active Directory é o Active Directory Domain Services (AD DS), que faz parte do sistema operacional Windows Server. Os servidores que executam o AD DS são chamados de controladores de domínio (DC). As organizações normalmente têm vários DC e cada um tem uma cópia do diretório para todo o domínio. Alterações feitas no diretório em um controlador de domínio, como atualização de senha ou exclusão de uma conta de usuário, são replicadas para os outros DCs para que todos permaneçam atualizados. Um servidor de Catálogo global é um DC que armazena uma cópia completa de todos os objetos no diretório de seu domínio e uma cópia parcial de todos os objetos de todos os outros domínios na floresta. Isso permite que usuários e aplicativos localizem objetos em qualquer domínio de sua forest. Desktops, notebooks e outros dispositivos que executam o Windows (em vez do Windows Server) podem fazer parte de um ambiente Active Directory, mas não executam o AD DS. O AD DS depende de vários protocolos e padrões estabelecidos, Protocolo LDAP (Lightweight Directory Access Protocol), Kerberos e DNS (Domain Name System).

É importante entender que o Active Directory se destina apenas a ambientes Microsoft locais. Os ambientes Microsoft na nuvem usam o Azure Active Directory, que serve ao mesmo propósito de seu homônimo local. O AD e o Azure AD são separados, mas podem trabalhar juntos em alguma medida se sua organização tiver ambientes de TI locais e na nuvem (uma implantação híbrida).

O banco de dados (diretório) do Active Directory contém informações sobre os objetos AD no domínio. Por exemplo, usuários, computadores, aplicativos, impressoras e pastas compartilhadas são tipos comuns de objetos AD. Alguns objetos podem conter outros objetos (é por isso que você verá o AD descrito como "hierárquico"). Particularmente, as organizações muitas vezes simplificam a administração organizando objetos AD em unidades organizacionais (OU) e simplificam a segurança colocando os usuários em grupos. Os próprios grupos e OU são objetos armazenados no diretório.

Os objetos têm atributos. Alguns atributos são óbvios e outros estão mais ocultos. Por exemplo, um objeto de usuário normalmente tem atributos como o nome, senha, departamento e endereço de e-mail da pessoa, mas também tem atributos que a maioria das pessoas nunca vê, como seu GUID (Identificador exclusivo global), Identificador de segurança (SID), último horário de login e associação a um grupo.

Os bancos de dados são estruturados, o que significa que há um design que determina quais tipos de dados eles armazenam e como esses dados são organizados. Esse design é chamado de esquema. O Active Directory não é uma exceção: seu esquema contém definições formais de cada classe de objeto que pode ser criada na forest do Active Directory e de todos os atributos que podem existir em um objeto do Active Directory. O AD vem com um esquema padrão, mas os administradores podem modificá-lo para atender às necessidades de negócios. É essencial saber que é melhor planejar o esquema com cuidado desde o início, devido ao papel central que o AD desempenha na autenticação e nas autorizações. Alterar o esquema do banco de dados do AD posteriormente pode interromper significativamente seus negócios.