Entendendo os Modos funcionais do Windows Server 2003

Publicado em:
09/01/2011

Por: Fábio Augusto

Fonte: www.technetbrasil.com.br

Já ouvi algumas vezes pessoas alegarem que não sabem como justificar em suas empresas ou para seus clientes quais as vantagens de atualizar para Windows Server 2003 uma infraestrutura de Active Directory (AD) já implantada em Windows 2000.

Isto talvez se deva ao fato de que enquanto o Windows 2000 foi uma revolução em relação ao modo de se trabalhar em um ambiente baseado no Windows NT, o Windows Server 2003 foi uma evolução das tecnologias introduzidas pelo Windows 2000.

O Windows Server 2003 traz dezenas de inovações em relação ao Windows 2000, e muitas delas no que diz respeito ao serviço de diretórios.

Novos recursos foram adicionados em resposta as solicitações feitas à Microsoft pelos usuários de Windows 2000, e muitas das limitações observadas anteriormente puderam ser eliminadas ou otimizadas no Windows Server 2003.

Embora sejam os ambientes maiores de AD, com múltiplos domínios ou sites os mais beneficiados por estes novos recursos, os ambientes menores com um único domínio e um único site também podem tirar proveito destas melhorias.

Algumas destas inovações não podem funcionar em Controladores de Domínio que executam versões anteriores do Windows Server (NT, 2000), pois estes sistemas operacionais não estão preparados para entender e trabalhar com estes recursos.

Esta situação já era observada na introdução do Windows 2000, que para possibilitar a convivência de Controladores de Domínio do Windows NT (Backup Domain Controllers – BDCs) em um mesmo ambiente de Controladores de Domínio do Windows 2000 (Domain Controllers – DCs), introduziu o conceito de modos funcionais do AD.

O modo funcional do AD pode ser entendido como uma chave que liga os recursos disponíveis na nova versão dos Controladores de Domínio do Windows e permite a plena utilização do AD em um ambiente onde todos os Controladores de Domínio já se encontram atualizados para a nova versão do sistema operacional. Isto significa que o modo funcional em que o AD estiver operando definirá quais versões de sistema operacional dos Controladores de Domínio serão suportadas e quais os recursos do AD que estarão disponíveis no ambiente.

Uma vez que os sistemas operacionais dos Controladores de Domínio tenham sido atualizados para as versões mais novas do Windows, o nível do modo de funcionamento do AD pode ser elevado, pois agora todos os Controladores de Domínio serão capazes de entender e trabalhar com os novos recursos disponibilizados.

A elevação do nível do modo de funcionamento do AD implica em aceitar que a partir deste momento nenhum outro Controlador de Domínio executando uma versão anterior do sistema operacional poderá ser instalado neste ambiente de AD.

Modos funcionais do Windows 2000

O serviço de diretório do Windows 2000 trazia dois modos funcionais:

  • Modo de domínio Misto – Modo de funcionamento do AD, que permite a existência simultânea de DCs e BDCs em um mesmo domínio. Por padrão uma nova instalação de domínio do AD é feita neste modo.
  • Modo de domínio Nativo – Modo de funcionamento do AD, que permite a existência somente de DCs do Windows 2000 em um domínio.

Elevar o modo de funcionamento do Windows 2000 para o modo Nativo, libera os recursos do AD (não reconhecidos por BDCs do Windows NT) como:

– Possibilidade de uso de grupos de segurança Universais.
– Possibilidade de aninhamento de grupos de segurança de mesmo tipo (restrito a certas condições).
– Conversão de tipos de grupo (restrito a certas condições).
– Configuração de diretivas de acesso remoto.
– SID History (permite mover entidades de segurança – contas de usuário, computador, grupos – entre domínios diferentes).

Modos funcionais do Windows Server 2003

O Windows Server 2003 estende ainda mais o conceito dos modos funcionais disponibilizando 4 modos diferentes de funcionamento de domínio do AD, e incluindo 3 novos modos de funcionamento para as florestas do AD.

Modos funcionais de Domínio do Windows Server 2003

  • Modo de domínio Misto do Windows 2000 – Modo de funcionamento de domínio do AD, que permite a existência simultânea de DCs de Windows 2000 ou 2003 e BDCs do Windows NT em um mesmo domínio. As mesmas limitações do modo de domínio Misto do Windows 2000 se aplicam aqui. Por padrão uma nova instalação de domínio do AD é feita neste modo, porém um controlador de domínio de Windows 2000 já configurado para trabalhar no modo nativo irá manter o modo nativo ao ser atualizado para Windows Server 2003.
  • Modo de domínio Nativo do Windows 2000 – Modo de funcionamento de domínio do AD, que permite a existência somente de DCs do Windows 2000 ou 2003 em um domínio. Este modo disponibiliza os mesmos recursos do AD encontrados no modo Nativo do Windows 2000.
  • Modo de domínio Interino do Windows Server 2003 – Este modo de funcionamento especial se aplica apenas a domínios sendo atualizados de Windows NT 4.0 para domínios 2003 do AD. Permite a existência somente de DCs do Windows 2003 e BDCs do Windows NT 4.0 em um domínio. DCs do Windows 2000 não são suportados neste modo de funcionamento. As mesmas limitações do modo de domínio Misto do Windows 2000 se aplicam aqui, porém este modo de funcionamento permite ultrapassar o limite máximo de capacidade dos grupos de segurança do Windows 2000 de até 5000 membros por grupo.
  • Modo de domínio Windows Server 2003 – Modo de funcionamento de domínio do AD, que permite a existência somente de DCs do Windows 2003 em um domínio.

Elevar o modo de funcionamento para o modo de domínio Windows Server 2003, libera os seguintes recursos do AD (não reconhecidos por BDCs do Windows NT e DCs do Windows 2000):

– Possibilidade de uso da ferramenta Netdom.exe para renomeação de Controladores de Domínio (sem a necessidade de remover o AD para poder renomear o DC).
– Atualização do Logon Timestamp sempre que um usuário se loga com sucesso no domínio. Pode ser usado para identificar usuários que não se logaram no domínio por um período determinado.
– Configuração de senhas de usuários nos objetos do tipo InetOrgPerson.
– Possibilidade de redirecionar os containers padrão onde são criadas novas contas de usuários e computadores (Users ; Computers) para Unidades Organizacionais (OU), permitindo a aplicação de diretivas de grupo nestas OUs (Utilizar as ferramentas rediruser.exe e redircomp.exe).
– Armazenamento de diretivas de autorização pelo gerenciador de autorização. Possibilita configurar através de programação, papéis (funções) através dos quais se pode definir níveis de controle de acesso aos recursos do domínio.
– Limitar a delegação a computadores para autenticar a execução apenas de serviços específicos ao invés de qualquer serviço (padrão).
– Possibilidade de selecionar quais servidores poderão fazer autenticação entre florestas.

Modos funcionais de Floresta do Windows Server 2003

  • Modo de floresta Windows 2000 – Modo de funcionamento de floresta do AD, que permite a existência simultânea de DCs de Windows 2000 ou 2003 e BDCs do Windows NT nos domínios de uma floresta. Por padrão uma nova instalação de um DC é feita neste modo de funcionamento.
  • Modo de floresta Interino do Windows Server 2003 – Este modo de funcionamento especial se aplica apenas quando domínios do Windows NT 4.0 são atualizados para florestas do Windows 2003. Quando o primeiro controlador de domínio de um domínio NT 4.0 é atualizado para Windows Server 2003, este modo é automaticamente selecionado. As mesmas limitações do modo de floresta do Windows 2000 se aplicam aqui, porém dois novos recursos são adicionados. Linked Value Replication (LVR) (explicado adiante, e que também permite ultrapassar o limite máximo de capacidade dos grupos de segurança do Windows 2000 de até 5000 membros por grupo.), e Improved Inter-Site Topology Generator (ISTG) (explicado adiante).
  • Modo de floresta Windows Server 2003 – Para elevar o nível do modo de funcionamento de floresta para Windows Server 2003 é necessário que todos os DCs de todos os domínios da floresta estejam executando o Windows Server 2003 como sistema operacional. Além disso todos os domínios da floresta devem estar funcionando no mínimo em modo Nativo do Windows 2000. Neste caso o nível de funcionamento de todos os domínios da floresta será automaticamente ajustado para Windows Server 2003 quando o nível do modo de funcionamento da floresta for elevado.

A elevação do nível do modo de funcionamento de floresta do AD implica em aceitar que a partir deste momento nenhum outro Controlador de Domínio executando uma versão anterior do sistema operacional poderá ser instalado em qualquer domínio desta floresta do AD.

Elevar o modo de funcionamento para o modo de floresta Windows Server 2003, libera os seguintes recursos do AD (não reconhecidos por BDCs do Windows NT e DCs do Windows 2000):

– Possibilidade de uso de relações de confiança bidirecionais e transitivas entre florestas baseadas no protocólo Kerberos (as relações de confiança serão transitivas apenas entre os domínios das duas florestas que estabelecem esta relação de confiança, e não com os domínios de uma terceira floresta caso haja outra relação de confiança estabelecida).
– Possibilidade de renomear ou mover domínios dentro da estrutura de uma floresta (com algumas restrições, e o domínio raiz da floresta pode ser renomeado mas não movido na estrutura da floresta).
– Possibilidade de ativar ou desativar objetos e classes do Schema marcando-os como “defuntos”, permitindo criar novos objetos com o mesmo nome mas com propriedades diferentes.
Linked Value Replication (LVR) (replicação individual de objetos do AD que estão contidos dentro de outros objetos do tipo multi-valor – p.ex. Usuários / Grupos).
Improved Inter-Site Topology Generator (ISTG). Algoritmo de replicação do AD otimizado (permite criar até 5000 sites, ultrapassando o limite de 200 sites existente no Windows 2000, e melhora o desempenho do processo de replicação entre sites).
– Possibilidade de alterar a classe de objetos InetOrgPerson para objetos Usuário e vice-versa.
– Possibilidade de criação de classes auxiliares dinâmicas no AD além das classes estáticas.

Elevando o modo funcional no Windows Server 2003

Para elevar o modo funcional de domínio e de floresta do Windows Server 2003 podemos utilizar as ferramentas gráficas “Usuários e computadores do AD” e “Domínios e confiança do AD“.

Cc716418.Modosfuncionais_01(pt-br,TechNet.10).jpg

Cc716418.Modosfuncionais_02(pt-br,TechNet.10).jpg

Obs. 1: Para elevar o modo funcional de domínio do Windows Server 2003 é necessário que a conta do usuário faça parte do grupo de segurança Domain Admins deste domínio ou do grupo de segurança Enterprise Admins do domínio raiz da floresta, ou então que tenha sido delegada autoridade apropriada para este usuário por algum administrador.

Obs. 2: Para elevar o modo funcional de floresta do Windows Server 2003 é necessário que a conta do usuário faça parte do grupo de segurança Domain Admins do domínio raiz da floresta, ou do grupo de segurança Enterprise Admins, ou então que tenha sido delegada autoridade apropriada para este usuário por algum administrador.

Obs. 3: Antes de adicionar um Controlador de Domínio Windows Server 2003 a um domínio Windows 2000 já existente, ou, para atualizar um Controlador de Domínio Windows 2000 para Windows Server 2003, deve ser executado o programa adprep.exe (presente na pasta \I386 do CD de instalação do Windows Server 2003) no controlador de domínio Windows 2000 que detém a função de Schema Master da floresta com o seguinte parâmetro: adprep/forestprep. E no controlador de domínio Windows 2000 que detém a função de Infrastructure Master do domínio com o seguinte parâmetro: adprep /domainprep.

 

Novos recursos do AD no Windows Server 2003 que não dependem do modo funcional

Outros recursos do AD introduzidos pelo Windows Server 2003, e que não dependem do modo funcional de domínio ou de floresta são:

– Melhorias nas interfaces dos programas de gerenciamento e novas ferramentas de gerenciamento do AD.
– Requer menos espaço em disco para armazenamento do AD devido ao aprimoramento no método de armazenar Object IDs.
– Possibilidade de resetar a senha do modo de recuperação do AD (Active Directory Restore Mode) com o AD em funcionamento (on-line).
– Ajuste de cotas de objetos do AD (por partição do AD, por usuário, ou por grupo de usuário) ; o que pode impedir ataques do tipo DoS ao AD.
– Possibilidade de instalar um DC a partir de um backup em mídia ou na rede (Create Replica from Media), através do comando dcpromo /adv.
– Partições de aplicações de diretório (Application Directory Partition).
– Armazenamento de zonas DNS em partições de aplicações do AD.
– Universal Group Membership Caching (disponível em ambientes com mais de um domínio, e a partir do modo nativo).
– Replicação incremental entre Global Catalogs (GC) do Windows Server 2003 quando novos atributos são adicionados ao PAS (Partial Attribute Set). Somente os novos atributos são replicados, ao contrário do que ocorria no Windows 2000 com o sincronismo completo entre GCs.

Espero ter ajudado

[  ] ‘s

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s