Como usar o modelo de floresta de domínio organizacional
Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012
No modelo de floresta de domínio organizacional, vários grupos autônomos possuem cada um domínio dentro de uma floresta. Cada grupo controla a administração de serviço no nível do domínio, o que permite que eles gerenciem determinados aspectos do gerenciamento de serviços de forma autônoma, enquanto o proprietário da floresta controla o gerenciamento de serviços no nível da floresta.
A ilustração a seguir mostra um modelo de floresta de domínio organizacional.
Autonomia de serviço no nível do domínio
O modelo de floresta de domínio organizacional permite a delegação de autoridade para o gerenciamento de serviços no nível do domínio. A tabela a seguir lista os tipos de gerenciamento de serviço que podem ser controlados no nível do domínio.
| Tipo de gerenciamento de serviço | Tarefas associadas |
|---|---|
| Gerenciamento de operações do controlador de domínio | – Criar e remover controladores de domínio – Monitorar o funcionamento de controladores de domínio – Gerenciar os serviços em execução em controladores de domínio – Fazer backup e restaurar o diretório |
| Definição de configurações em todo o domínio | – Criar políticas de conta de usuário de domínio e domínio, como senha, Kerberos e políticas de bloqueio de conta – Criar e aplicar Política de Grupo em todo o domínio |
| Delegação de administração em nível de dados | – Criar UOs (unidades organizacionais) e delegar administração – Reparar problemas na estrutura da UO que os proprietários da UO não têm direitos de acesso suficientes para corrigir |
| Gerenciar as relações de confiança externas | – Estabelecer relações de confiança com domínios fora da floresta |
Outros tipos de gerenciamento de serviços, como gerenciamento de topologia de esquema ou replicação, são de responsabilidade do proprietário da floresta.
Proprietário do domínio
Em um modelo de floresta de domínio organizacional, os proprietários de domínio são responsáveis por tarefas de gerenciamento de serviço no nível do domínio. Os proprietários de domínio têm autoridade sobre todo o domínio, bem como acesso a todos os outros domínios na floresta. Por esse motivo, os proprietários de domínio devem ser indivíduos confiáveis selecionados pelo proprietário da floresta.
Delegar o gerenciamento de serviço no nível do domínio a um proprietário de domínio, se as seguintes condições forem atendidas:
Todos os grupos que participam da floresta confiam no novo proprietário do domínio e nas práticas de gerenciamento de serviços do novo domínio.
O novo proprietário do domínio confia no proprietário da floresta e em todos os outros proprietários de domínio.
Todos os proprietários de domínio na floresta concordam que o novo proprietário do domínio tem políticas e práticas de gerenciamento e seleção de administrador de serviços iguais ou mais rigorosas que as próprias.
Todos os proprietários de domínio na floresta concordam que os controladores de domínio gerenciados pelo novo proprietário de domínio no novo domínio são fisicamente seguros.
Observe que, se um proprietário da floresta delegar o gerenciamento de serviço no nível do domínio a um proprietário de domínio, outros grupos poderão optar por não ingressar nessa floresta se não confiarem nesse proprietário de domínio.
Todos os proprietários de domínio devem estar cientes de que, se qualquer uma dessas condições mudar no futuro, pode se tornar necessário mover os domínios organizacionais para uma implantação de várias florestas.
Observação
Outra maneira de minimizar os riscos de segurança para um domínio do Active Directory do Windows Server 2008 é empregar a separação de função de administrador, o que requer a implantação de um RODC (controlador de domínio somente leitura) em sua infraestrutura do Active Directory. Um RODC é um novo tipo de controlador de domínio no sistema operacional do Windows Server 2008 que hospeda partições somente leitura do banco de dados do Active Directory. Antes do lançamento do Windows Server 2008, qualquer trabalho de manutenção do servidor em um controlador de domínio precisava ser executado por um administrador de domínio. No Windows Server 2008, é possível delegar permissões administrativas locais para um RODC a qualquer usuário de domínio sem conceder a esse usuário quaisquer direitos administrativos para o domínio ou outros controladores de domínio. Isso permite que o usuário delegado faça logon em um RODC e execute um trabalho de manutenção, como atualizar um driver, no servidor. No entanto, esse usuário delegado não pode fazer logon em nenhum outro controlador de domínio ou executar qualquer outra tarefa administrativa no domínio. Dessa forma, qualquer usuário confiável pode ser delegado a capacidade de gerenciar efetivamente o RODC sem comprometer a segurança do restante do domínio. Para obter mais informações sobre os RODCs, confira AD DS: Controladores de domínio somente leitura.