Aula 4 — Active Directory: Domínio

🏰 O que é AD DS

O Active Directory Domain Services (AD DS) é o serviço de diretório da Microsoft. Ele armazena informações sobre usuários, computadores, grupos e recursos da rede e controla quem pode acessar o quê.

💡 Analogia: imagine uma escola. Sem o AD, cada sala tem sua própria lista de chamada e chave. Com o AD, existe uma secretaria central que conhece todos os alunos, professores e salas — e decide quem pode entrar onde, com um único crachá.

Os principais conceitos do AD DS:

Forest Floresta Limite máximo de segurança; contém um ou mais domínios

Domain Domínio Unidade administrativa; ex: escola.local

DC Domain Controller Servidor que executa o AD DS e autentica usuários

OU Unid. Organizacional Pasta para organizar objetos por departamento

Objeto Usuários, PCs, Grupos Qualquer recurso gerenciado pelo AD

GPO Group Policy Políticas aplicadas a usuários e computadores

🗂️ Estrutura Lógica do Active Directory

O AD organiza os recursos em uma hierarquia lógica. Entender essa estrutura é fundamental antes de criar o domínio.

Hierarquia do AD — do maior para o menor

                Forest: escola.local ← limite de segurança máximo

                  ├── Domain: escola.local ← unidade administrativa

                       ├── OU: Administracao

                       ├    ├── Usuário: diretor

                       ├    └── Usuário: secretaria

                       ├── OU: TI

                       ├    ├── Usuário: admin

                       ├    └── Computador: SRV-ESCOLA

                       └── OU: Alunos

                            ├── Usuário: aluno01

                            └── Usuário: aluno02

🌐 Nome do Domínio

Use sufixo .local para redes internas (ex: escola.local, empresa.local). Evite usar nomes públicos como .com ou .com.br em lab.

🔒 NETBIOS do Domínio

Versão curta do nome do domínio usada por sistemas legados. Para escola.local, o NETBIOS será ESCOLA (gerado automaticamente).

📦 Passo 1: Instalar o Papel AD DS

A instalação do Active Directory é feita em duas etapas: primeiro instala-se o papel (role), depois promove-se o servidor a Domain Controller.

Instalar AD DS pelo Server Manager

1. Server Manager → Gerenciar → Adicionar Funções e Recursos
2. Tipo de instalação: Instalação baseada em função ou recurso
3. Selecionar servidor: SRV-ESCOLA
4. Funções de servidor: marcar Active Directory Domain Services
5. Na janela que aparecer, clique em Adicionar Recursos
6. Avançar até o final → Instalar (não reinicia)

Instalar AD DS pelo PowerShell

# Instalar o papel AD DS (não reinicia)
▶ Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Verificar se foi instalado
▶ Get-WindowsFeature AD-Domain-Services

✅ Após a instalação, o Server Manager exibirá um aviso amarelo com a mensagem "Configuração necessária para o Active Directory Domain Services". Esse é o gatilho para o próximo passo.

👑 Passo 2: Promover a Domain Controller

Após instalar o papel, é preciso promover o servidor a Domain Controller e criar o domínio. Este processo é chamado de dcpromo.

Promover pelo Server Manager (GUI)

1. Clique no sinalizador amarelo no canto superior do Server Manager
2. Clique em "Promover este servidor a um controlador de domínio"
3. Selecione: Adicionar uma nova floresta
4. Nome do domínio raiz: escola.local
5. Nível funcional da floresta: Windows Server 2016 (ou superior)
6. Marcar: Servidor DNS e Catálogo Global (GC)
7. Definir senha do DSRM (modo de restauração): ex. Dsrm@2025
8. Nome NETBIOS: ESCOLA (gerado automaticamente)
9. Caminhos padrão: manter os padrões
10. Verificar pré-requisitos → Instalar → servidor reinicia automaticamente

Promover pelo PowerShell

# Importar módulo
▶ Import-Module ADDSDeployment

# Criar nova floresta e domínio (vai pedir a senha DSRM)
▶

Install-ADDSForest `

   -DomainName "escola.local" `

   -DomainNetbiosName "ESCOLA" `

   -ForestMode "WinThreshold" `

   -DomainMode "WinThreshold" `

   -InstallDns `

   -Force

⚠️ Senha DSRM: o Directory Services Restore Mode é um modo especial de inicialização para recuperação do AD. A senha DSRM não é a mesma do Administrator. Anote-a em local seguro — é necessária em emergências.

✅ Após a Promoção: verificando o AD

Após o servidor reiniciar, ele já é um Domain Controller. O login agora é feito com o usuário ESCOLA\Administrator (domínio + nome).

Verificar o Active Directory

# Verificar se o AD está funcionando
▶ Get-ADDomain

# Ver informações do controlador de domínio
▶ Get-ADDomainController

# Verificar serviços do AD
▶ dcdiag /test:services

# Verificar replicação (mesmo que seja só um DC)
▶ repadmin /showrepl

Ferramentas gráficas instaladas automaticamente

▶ ADUC — Active Directory Users and Computers (usuários e grupos)
▶ ADSS — Active Directory Sites and Services (topologia de rede)
▶ ADDT — Active Directory Domains and Trusts (confianças entre domínios)
▶ GPMC — Group Policy Management Console (gerenciar GPOs)
▶ DNS Manager — Gerenciar zonas DNS integradas ao AD

✅ Acesso rápido: Server Manager → Ferramentas (menu superior direito) lista todas essas consolas. Você também pode abri-las digitando dsa.msc (ADUC), dnsmgmt.msc (DNS) ou gpmc.msc (GPMC) no PowerShell ou Executar.

🌐 DNS Integrado ao Active Directory

Quando o AD DS é instalado com a opção Servidor DNS, o Windows Server cria automaticamente uma zona DNS para o domínio. Isso é chamado de DNS integrado ao AD.

🧩 Como funciona

Zona DNS de escola.local criada automaticamente
Computadores que entram no domínio registram seus IPs no DNS
O DC registra seus próprios registros SRV (localização de serviços)
Clientes usam o IP do DC como servidor DNS

✅ Vantagens

Replicação automática com o AD
Mais seguro: apenas DCs podem modificar a zona
Atualização dinâmica segura (DDNS)
Sem necessidade de servidor DNS separado

Verificar DNS após instalação do AD

# Verificar zona DNS criada
▶ Get-DnsServerZone

# Testar resolução do domínio
▶ Resolve-DnsName escola.local

# Ver registros SRV do AD (localização dos serviços)
▶ Resolve-DnsName _ldap._tcp.escola.local -Type SRV

💻 Ingressar um Cliente no Domínio

Após criar o domínio, outros computadores (clientes Windows) podem ingressar no domínio para usar autenticação centralizada.

Pré-requisitos no cliente

▶ DNS primário configurado para o IP do DC: 192.168.1.10
▶ Conexão de rede com o servidor (mesma rede ou roteada)
▶ Credenciais de um usuário com permissão para ingressar computadores

Ingressar no domínio pela GUI (cliente Windows)

1. Painel de Controle → Sistema → Alterar configurações
2. Clique em Alterar... → selecione Domínio
3. Digite: escola.local
4. Informe credenciais: ESCOLA\Administrator + senha
5. Mensagem: "Bem-vindo ao domínio escola.local" → Reiniciar

Ingressar no domínio pelo PowerShell (cliente)

▶ Add-Computer -DomainName "escola.local" -Credential "ESCOLA\Administrator" -Restart

📝 Atividade Prática

Instalar o AD DS e promover o servidor SRV-ESCOLA a Domain Controller do domínio escola.local.

1

Verificar pré-requisitos

Confirme que o servidor está com nome SRV-ESCOLA, IP estático 192.168.1.10 e fuso horário Brasília. Se necessário, revise a Aula 3 antes de continuar. Crie um snapshot "pré-AD DS".

2

Instalar o papel AD DS

Via Server Manager ou PowerShell, instale o papel Active Directory Domain Services com as ferramentas de gerenciamento. Aguarde a conclusão sem reiniciar.

3

Promover a Domain Controller

Clique no sinalizador amarelo do Server Manager e promova o servidor. Crie a floresta com domínio escola.local, defina a senha DSRM e aguarde o servidor reiniciar.

4

Verificar e documentar

Após reiniciar, faça login com ESCOLA\Administrator. Execute Get-ADDomain e dcdiag /test:services no PowerShell. Abra o ADUC (dsa.msc) e tire screenshot mostrando o domínio criado.

📌 Para refletir: ao promover o servidor, o Windows instalou e configurou automaticamente o DNS, o Kerberos, o LDAP e outros serviços. Tudo isso em alguns cliques. Essa integração é o grande diferencial do Windows Server em relação a montar o mesmo ambiente no Linux, onde cada serviço é configurado separadamente.

❓ Verifique seu Conhecimento

Qual é a diferença entre Forest (Floresta) e Domain (Domínio) no Active Directory?

AForest é o limite máximo de segurança e pode conter múltiplos domínios; Domain é a unidade administrativa dentro da floresta

BForest é um domínio com mais de 100 usuários; Domain é para redes menores

CForest é o nome do servidor DNS; Domain é o nome do servidor DHCP

DSão sinônimos — ambos se referem ao mesmo conceito

✓ A Forest é o contêiner de mais alto nível e representa o limite de segurança. Um único Forest pode ter múltiplos Domains (ex: escola.local e filial.escola.local).

Para quê serve a senha DSRM definida durante a promoção do Domain Controller?

AÉ a senha do usuário Administrator do domínio

BÉ usada para desinstalar o papel AD DS

CÉ usada para acessar o servidor em modo de recuperação quando o AD não consegue iniciar

DÉ a senha de acesso remoto via RDP

✓ DSRM (Directory Services Restore Mode) é um modo especial de boot para recuperação do AD. Sua senha é independente da conta Administrator e deve ser guardada com segurança.

Por que é recomendado usar o sufixo .local no nome do domínio interno?

APorque o Windows Server só aceita domínios terminados em .local

BPara evitar conflitos com domínios públicos registrados na internet

CPorque é obrigatório pelo RFC do Active Directory

DPara melhorar a velocidade de autenticação Kerberos

✓ Usar .local evita conflitos com domínios DNS públicos. Se a empresa usasse empresa.com.br internamente, poderia haver conflito com o site real da empresa na internet.

Qual ferramenta gráfica é usada para gerenciar usuários e computadores no Active Directory?

Agpmc.msc

Bdnsmgmt.msc

Ccompmgmt.msc

Ddsa.msc

✓ dsa.msc abre o Active Directory Users and Computers (ADUC), a ferramenta principal para gerenciar usuários, grupos, OUs e computadores do domínio.

🏰 Active Directory: Domínio