É comum pensar que um controlador de domínio vs Active Directory é sinónimo um do outro. De facto, eles são muito diferentes. Conhecer estas diferenças ajudá-lo-á a compreender melhor como ambos trabalham em conjunto.
Para este artigo, vamos centrar-nos na terminologia do Windows NT. Muitos dos conceitos e termos são os mesmos ou semelhantes no Linux. Para contar a história dos controladores de domínio vs. Active Directory, vou usar uma história sobre uma discoteca.
Espero que isto relacione melhor os cenários equivalentes e as diferenças entre a funcionalidade de controladores Active Directory vs. domínio do que simplesmente regurgitar a documentação.
Se estiver à procura de explicação do Active Directory, veio ao sítio certo.
Table of Contents
Controladores de domínio
Um segurança chamado Ox está de guarda à porta da discoteca dublada Club BOFH. O trabalho de Ox é verificar os nomes em relação a uma lista antes de deixar alguém da fila entrar no clube. Todos os frequentadores esperançosos do clube na fila querem entrar, mas têm de estar na lista ‘A’.
Não está na lista? Eles não entram. Se eles tentarem, são expulsos! O segurança está a prestar um serviço crítico ao dono da discoteca, que, quando não dirige um clube, escreve este tipo de posts de blogue explicando tópicos de TI.
O controlador de domínio (Ox o segurança) ou DC, está a prestar serviços de segurança para o clube nocturno. Um controlador de domínio aloja uma base de dados (a lista ‘A’) que é utilizada para pedidos de autenticação (o frequentador do clube dando o seu nome à Ox).
Once Ox autentica o frequentador do clube, desprende a corda de veludo e permite que o frequentador do clube (um utilizador ou computador) passe. Esta é a única forma de obter acesso aos recursos do domínio (bebidas, música e dança dentro do clube nocturno).
Ox tem alguns amigos (servidores membros actuando como controladores de domínio ou DCs) a ajudar. Se um deles for dominado por uma pessoa zangada que foi expulsa do clube nocturno, qualquer um deles pode intervir e continuar a fornecer serviços de segurança.
Ox faz bem em fornecer serviços de segurança redundantes. Mas como é que o Ox e os amigos conseguem a lista de frequentadores do clube que estão ou não autorizados a entrar no Club BOFH?
Active Directory
Club BOFH é único. Há apenas um local. O proprietário do clube nocturno, Roscoe, tem um livro preto que contém todos os frequentadores do clube que estão autorizados a entrar e que pagaram as suas quotas.
Se o negócio continuar a levantar, Roscoe planeia abrir novos locais.
Ox utiliza este livro preto enquanto fornece segurança todas as noites. Roscoe também actualiza este livro regularmente. Os nomes são sempre adicionados ou removidos, muitas vezes com notas sobre o que um frequentador do clube pode e não pode fazer enquanto dentro do Club BOFH.
Ox o amigo mais próximo, Hanz (que ajuda diariamente), tem uma cópia deste livro preto e ocasionalmente compara a sua lista com o que o Ox tem. Qualquer entrada no livro de Ox que não esteja incluída no livro de Hanz é adicionada ou removida.
Algumas vezes Ox deixou o livro em casa. Isto não é um problema, pois Ox ainda pode olhar para o que Hanz registou e partilhou.
O domínio Active Directory (Club BOFH) consiste num servidor Active Directory Server (Roscoe) ou servidor ‘AD’ e um serviço Active Directory (pequeno livro preto). Este serviço armazena objectos como informação de utilizador e conta de computador.
Ox e amigos empregados pelo Roscoe (controladores de domínio de directório) utilizam todos o mesmo serviço de domínio porque só operam num Domínio Active Directory.
Termos Adicionais a Conhecer
Aqui está alguma informação crítica a compreender:
- Uma identidade pode ser um único utilizador ou computador. Pode também ser um grupo de utilizadores ou computadores. Quando se olha para o Active Directory Users and Computers (ADUC), vê-se nomes de utilizadores e nomes de grupos de segurança. Estes são identidades.
- Um princípio de segurança é utilizado para autenticar uma identidade e é o que trata das permissões que uma identidade tem. É utilizado para provar que uma identidade é genuína.
- Um identificador de segurança é apenas uma chave que está associada a uma identidade que determina a autoridade no domínio.
- Uma conta é ou um utilizador ou um computador. Uma conta de utilizador armazena informação relacionada com a identidade do utilizador e é utilizada para verificar o acesso a recursos da rede, tais como partilhas de ficheiros.
Uma conta de computador contém informação que autentica a conta para o domínio. Cada conta de computador inclui um identificador de segurança único (SID).
Não é apenas Active Directory VS Domain Controllers
Relembrar os cenários de exemplo anteriores envolvendo Club BOFH.
Sentar-se no seu computador para iniciar sessão. O seu computador já é um membro do domínio. Tem uma conta que foi autenticada utilizando o SID que foi atribuído ao seu computador, permitindo a este computador aceder aos recursos da rede.
Isto foi feito através de uma troca de chaves de segurança entre o computador e o controlador do domínio.
Proceda à digitação do seu nome de utilizador, que é a sua identidade ligada à sua conta de utilizador. A sua conta tem um SID, e o responsável pela segurança atribui os seus direitos de acesso local. O seu programa Microsoft Outlook já está configurado utilizando o servidor Exchange da sua empresa.
Onde é armazenada toda esta informação? É-lhe atribuída no Active Directory. A conta do computador também pode ter dados armazenados, tais como localização e quem a gere.
Conclusão
As diferenças entre o que o Active Directory faz e o que um controlador de domínio faz não é um assunto difícil, uma vez que pode visualizar o processo. É mais fácil lembrar que os controladores de domínio autenticam a sua autoridade, e o Active Directory trata da sua identidade e acesso de segurança.