Active Directory
Active Directory (AD) é um serviço de diretório desenvolvido pela Microsoft para redes de domínio do Windows. Ele está incluído na maioria dos sistemas operacionais Windows Server como um conjunto de processos e serviços. Inicialmente, o Active Directory era usado apenas para gerenciamento de domínio centralizado. No entanto, o Active Directory acabou se tornando um título genérico para uma ampla gama de serviços relacionados à identidade baseados em diretório.
Um servidor executando a função Serviço de Domínio Active Directory (AD DS) é chamado de controlador de domínio. Ele autentica e autoriza todos os usuários e computadores em uma rede do tipo domínio do Windows, atribuindo e impondo políticas de segurança para todos os computadores e instalando ou atualizando o software. Por exemplo, quando um usuário faz login em um computador que faz parte de um domínio do Windows, o Active Directory verifica o nome de usuário e a senha enviados e determina se o usuário é um administrador do sistema ou um usuário normal. Além disso, permite o gerenciamento e armazenamento de informações, fornece mecanismos de autenticação e autorização e estabelece uma estrutura para implantar outros serviços relacionados: Certificate Services, Active Directory Federation Services, Lightweight Directory Services e Rights Management Services.
O Active Directory usa as versões 2 e 3 do Lightweight Directory Access Protocol (LDAP), a versão do Kerberos da Microsoft e o DNS.
Robert R. King definiu da seguinte maneira:
"Um domínio representa um banco de dados. Esse banco de dados contém registros sobre serviços de rede - coisas como computadores, usuários, grupos e outras coisas que usam, suporte ou existem em uma rede. A base de dados de domínio é, em efeito, o Active Directory."
História
Como muitos esforços de tecnologia da informação, o Active Directory originou-se de uma democratização do design usando Request for Comments (RFCs). A Força-Tarefa de Engenharia da Internet (IETF), que supervisiona o processo de RFC, aceitou várias RFCs iniciadas por diversos participantes. Por exemplo, o LDAP sustenta o Active Directory. Além disso, os diretórios X.500 e a Unidade Organizacional precederam o conceito de Active Directory que faz uso desses métodos. O conceito LDAP começou a surgir antes mesmo da fundação da Microsoft em abril de 1975, com RFCs já em 1971. RFCs que contribuem para o LDAP incluem RFC 1823 (na API do LDAP, agosto de 1995), RFC 2307, RFC 3062 e RFC 4533.
A Microsoft visualizou o Active Directory em 1999, lançou-o primeiro com a edição do Windows 2000 Server e o revisou para estender a funcionalidade e melhorar a administração no Windows Server 2003. O suporte do Active Directory também foi adicionado ao Windows 95, Windows 98 e Windows NT 4.0 por meio de patch, com alguns recursos não sendo suportados. Melhorias adicionais vieram com as versões subsequentes do Windows Server. No Windows Server 2008, serviços adicionais foram adicionados ao Active Directory, como Serviços de Federação do Active Directory. A parte do diretório responsável pelo gerenciamento de domínios, que antes era parte central do sistema operacional, foi renomeada como Active Directory Domain Services (ADDS) e passou a ser uma função de servidor como outras. "Diretório Ativo" tornou-se o título guarda-chuva de uma gama mais ampla de serviços baseados em diretório. De acordo com Byron Hynes, tudo relacionado à identidade foi colocado sob a bandeira do Active Directory.
Serviços do Active Directory
Os Serviços do Active Directory consistem em vários serviços de diretório. O mais conhecido é o Active Directory Domain Services, comumente abreviado como AD DS ou simplesmente AD.
Serviços de domínio
O Active Directory Domain Services (AD DS) é a base de todas as redes de domínio do Windows. Ele armazena informações sobre membros do domínio, incluindo dispositivos e usuários, verifica suas credenciais e define seus direitos de acesso. O servidor que executa esse serviço é chamado de controlador de domínio. Um controlador de domínio é contatado quando um usuário faz login em um dispositivo, acessa outro dispositivo na rede ou executa um aplicativo estilo Metro de linha de negócios carregado em um dispositivo.
Outros serviços do Active Directory (excluindo LDS, conforme descrito abaixo), bem como a maioria das tecnologias de servidor da Microsoft dependem ou usam Serviços de Domínio; os exemplos incluem Política de Grupo, Sistema de Arquivos com Criptografia, BitLocker, Serviços de Nome de Domínio, Serviços de Área de Trabalho Remota, Exchange Server e SharePoint Server.
O Active Directory DS autogerenciado não deve ser confundido com o Azure AD DS gerenciado, que é um produto em nuvem.
Serviços de diretório leve
Active Directory Lightweight Directory Services (AD LDS), anteriormente conhecido como Active Directory Application Mode (ADAM), é uma implementação do protocolo LDAP para AD DS. O AD LDS é executado como um serviço no Windows Server. O AD LDS compartilha a base de código com o AD DS e fornece a mesma funcionalidade, incluindo uma API idêntica, mas não requer a criação de domínios ou controladores de domínio. Ele fornece um Armazenamento de dados para armazenamento de dados de diretório e um Serviço de diretório com uma Interface de serviço de diretório LDAP. Ao contrário do AD DS, no entanto, várias instâncias do AD LDS podem ser executadas no mesmo servidor.
Serviços de certificados
Os Serviços de Certificados do Active Directory (AD CS) estabelecem uma infraestrutura de chave pública local. Ele pode criar, validar, revogar e executar outras ações semelhantes, certificados de chave pública para uso interno de uma organização. Esses certificados podem ser usados para criptografar arquivos (quando usados com Encrypting File System), e-mails (pelo padrão S/MIME) e tráfego de rede (quando usados por redes privadas virtuais, protocolo Transport Layer Security ou protocolo IPSec).
AD CS é anterior ao Windows Server 2008, mas seu nome era simplesmente Certificate Services.
AD CS requer uma infraestrutura de AD DS.
Serviços da Federação
Os Serviços de Federação do Active Directory (AD FS) são um serviço de logon único. Com uma infraestrutura do AD FS instalada, os usuários podem usar vários serviços baseados na Web (por exemplo, fórum na Internet, blog, compras on-line, webmail) ou recursos de rede usando apenas um conjunto de credenciais armazenado em um local central, em vez de ter que receber um conjunto dedicado de credenciais para cada serviço. O AD FS usa muitos padrões abertos populares para passar credenciais de token, como SAML, OAuth ou OpenID Connect. O AD FS dá suporte à criptografia e à assinatura de declarações SAML. O objetivo do AD FS é uma extensão do AD DS: este último permite que os usuários se autentiquem e usem os dispositivos que fazem parte da mesma rede, usando um conjunto de credenciais. O primeiro permite que eles usem o mesmo conjunto de credenciais em uma rede diferente.
Como o nome sugere, o AD FS funciona com base no conceito de identidade federada.
AD FS requer uma infraestrutura de AD DS, embora seu parceiro de federação não possa.
Serviços de gerenciamento de direitos
Active Directory Rights Management Services (AD RMS, conhecido como Rights Management Services ou RMS antes do Windows Server 2008) é um software de servidor para gerenciamento de direitos de informação fornecido com o Windows Server. Ele usa criptografia e uma forma de negação seletiva de funcionalidade para limitar o acesso a documentos, como e-mails corporativos, documentos do Microsoft Word e páginas da Web, e as operações que usuários autorizados podem realizar neles. Essas operações podem incluir visualizar, editar, copiar, salvar como ou imprimir, por exemplo. Os administradores de TI podem criar modelos predefinidos para conveniência do usuário final, se necessário. No entanto, os usuários finais ainda podem definir quem pode acessar o conteúdo em questão e definir o que eles podem fazer.
Estrutura lógica
Como um serviço de diretório, uma instância do Active Directory consiste em um banco de dados e o código executável correspondente responsável por atender às solicitações e manter o banco de dados. A parte executável, conhecida como Directory System Agent, é uma coleção de serviços e processos do Windows executados no Windows 2000 e posteriores. Os objetos nos bancos de dados do Active Directory podem ser acessados via LDAP, ADSI (uma interface de modelo de objeto componente), API de mensagens e serviços do Security Accounts Manager.
Objetos
As estruturas do Active Directory são arranjos de informações sobre objetos. Os objetos se enquadram em duas grandes categorias: recursos (por exemplo, impressoras) e princípios de segurança (contas e grupos de usuários ou computadores). Os principais de segurança recebem identificadores de segurança exclusivos (SIDs).
Cada objeto representa uma única entidade—seja um usuário, um computador, uma impressora ou um grupo—e seus atributos. Certos objetos podem conter outros objetos. Um objeto é identificado exclusivamente por seu nome e possui um conjunto de atributos — as características e informações que o objeto representa — definidos por um esquema, que também determina os tipos de objetos que podem ser armazenados no Active Directory.
O objeto de esquema permite que os administradores estendam ou modifiquem o esquema quando necessário. No entanto, como cada objeto de esquema é parte integrante da definição de objetos do Active Directory, desativar ou alterar esses objetos pode alterar ou interromper fundamentalmente uma implantação. As alterações de esquema se propagam automaticamente por todo o sistema. Depois de criado, um objeto só pode ser desativado, não excluído. Alterar o esquema geralmente requer planejamento.
Florestas, árvores e domínios
A estrutura do Active Directory que contém os objetos pode ser visualizada em vários níveis. A floresta, a árvore e o domínio são as divisões lógicas em uma rede do Active Directory.
Em uma implantação, os objetos são agrupados em domínios. Os objetos de um único domínio são armazenados em um único banco de dados (que pode ser replicado). Os domínios são identificados por sua estrutura de nomes DNS, o namespace.
Um domínio é definido como um grupo lógico de objetos de rede (computadores, usuários, dispositivos) que compartilham o mesmo banco de dados do Active Directory.
Uma árvore é uma coleção de um ou mais domínios e árvores de domínio em um namespace contíguo e está vinculada a uma hierarquia de confiança transitiva.
No topo da estrutura está a floresta. Uma floresta é uma coleção de árvores que compartilham um catálogo global comum, esquema de diretório, estrutura lógica e configuração de diretório. A floresta representa o limite de segurança dentro do qual usuários, computadores, grupos e outros objetos são acessíveis.
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Exemplo da organização geográfica de zonas de interesse dentro de árvores e domínios. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Unidades organizacionais
Os objetos contidos em um domínio podem ser agrupados em unidades organizacionais (OUs). As OUs podem fornecer hierarquia a um domínio, facilitar sua administração e podem se assemelhar à estrutura da organização em termos gerenciais ou geográficos. OUs podem conter outras OUs — os domínios são contêineres nesse sentido. A Microsoft recomenda usar OUs em vez de domínios para estruturar e simplificar a implementação de políticas e administração. A UO é o nível recomendado para a aplicação de políticas de grupo, que são objetos do Active Directory formalmente denominados objetos de política de grupo (GPOs), embora as políticas também possam ser aplicadas a domínios ou sites (veja abaixo). A UO é o nível no qual os poderes administrativos são comumente delegados, mas a delegação também pode ser executada em objetos ou atributos individuais.
As unidades organizacionais não possuem, cada uma, um namespace separado. Como consequência, para compatibilidade com implementações Legacy NetBios, contas de usuário com um sAMAccountName idêntico não são permitidas no mesmo domínio, mesmo se os objetos de contas estiverem em OUs separadas. Isso ocorre porque sAMAccountName, um atributo de objeto do usuário, deve ser exclusivo no domínio. No entanto, dois usuários em OUs diferentes podem ter o mesmo nome comum (CN), o nome sob o qual estão armazenados no próprio diretório, como "fred.staff-ou.domain" e "fred.student-ou.domain", onde "staff-ou" e "student-ou" são as UOs.
Em geral, o motivo dessa falta de permissão para nomes duplicados por meio da colocação de diretório hierárquico é que a Microsoft depende principalmente dos princípios do NetBIOS, que é um método de namespace plano de gerenciamento de objetos de rede que, para software da Microsoft, abrange tudo o caminho de volta para Windows NT 3.1 e MS-DOS LAN Manager. Permitir a duplicação de nomes de objetos no diretório ou remover completamente o uso de nomes NetBIOS impediria a compatibilidade com versões anteriores de software e equipamentos legados. No entanto, proibir nomes de objeto duplicados dessa maneira é uma violação dos RFCs LDAP nos quais o Active Directory supostamente se baseia.
À medida que o número de usuários em um domínio aumenta, convenções como "primeira inicial, inicial do meio, sobrenome" (ordem ocidental) ou o inverso (ordem oriental) falham para nomes de família comuns como Li (李), Smith ou Garcia. As soluções alternativas incluem adicionar um dígito ao final do nome de usuário. As alternativas incluem a criação de um sistema de identificação separado de números de identificação exclusivos de funcionários/alunos para usar como nomes de contas no lugar dos números reais dos usuários. nomes e permitindo que os usuários nomeiem sua sequência de palavras preferida dentro de uma política de uso aceitável.
Como nomes de usuários duplicados não podem existir em um domínio, a geração de nomes de contas representa um desafio significativo para grandes organizações que não podem ser facilmente subdivididas em domínios separados, como alunos em um sistema de escola pública ou universidade que devem ser capazes de usar qualquer computador em a rede.
Grupos de sombra
No Active Directory da Microsoft, as OUs não conferem permissões de acesso e os objetos colocados nas OUs não recebem automaticamente privilégios de acesso com base na OU que os contém. Esta é uma limitação de design específica do Active Directory. Outros diretórios concorrentes, como o Novell NDS, podem atribuir privilégios de acesso por meio da colocação de objetos em uma UO.
O Active Directory requer uma etapa separada para que um administrador atribua um objeto em uma OU como membro de um grupo também dentro dessa OU. Confiar apenas na localização da UO para determinar as permissões de acesso não é confiável, porque o objeto pode não ter sido atribuído ao objeto de grupo dessa OU.
Uma solução comum para um administrador do Active Directory é escrever um script PowerShell ou Visual Basic personalizado para criar e manter automaticamente um grupo de usuários para cada UO em seu diretório. Os scripts são executados periodicamente para atualizar o grupo para corresponder à associação de conta da UO, mas não conseguem atualizar instantaneamente os grupos de segurança sempre que o diretório é alterado, como ocorre em diretórios concorrentes nos quais a segurança é implementada diretamente no próprio diretório. Esses grupos são conhecidos como grupos de sombra. Depois de criados, esses grupos de sombra podem ser selecionados no lugar da UO nas ferramentas administrativas.
A Microsoft refere-se a grupos de sombra na documentação de referência do Server 2008, mas não explica como criá-los. Não há métodos de servidor integrados ou snap-ins de console para gerenciar grupos de sombra.
A divisão da infraestrutura de informações de uma organização em uma hierarquia de um ou mais domínios e OUs de nível superior é uma decisão importante. Os modelos comuns são por unidade de negócios, por localização geográfica, por serviço de TI ou por tipo de objeto e híbridos destes. As UOs devem ser estruturadas principalmente para facilitar a delegação administrativa e, secundariamente, para facilitar a aplicação da política de grupo. Embora as OUs formem um limite administrativo, o único limite de segurança verdadeiro é a própria floresta e um administrador de qualquer domínio na floresta deve ser confiável em todos os domínios da floresta.
Partições
O banco de dados do Active Directory é organizado em partições, cada uma contendo tipos de objetos específicos e seguindo um padrão de replicação específico. A Microsoft geralmente se refere a essas partições como 'contextos de nomenclatura'. O 'Esquema' partição contém a definição de classes de objeto e atributos dentro da Floresta. O campo 'Configuração' partição contém informações sobre a estrutura física e configuração da floresta (como a topologia do site). Ambos replicam para todos os domínios na Floresta. O 'Domínio' partição contém todos os objetos criados nesse domínio e replica apenas dentro de seu domínio.
Estrutura física
Sites são agrupamentos físicos (em vez de lógicos) definidos por uma ou mais sub-redes IP. O AD também contém as definições de conexões, distinguindo links de baixa velocidade (por exemplo, WAN, VPN) de links de alta velocidade (por exemplo, LAN). As definições de site são independentes do domínio e da estrutura da UO e são comuns em toda a floresta. Os sites são usados para controlar o tráfego de rede gerado pela replicação e também para encaminhar os clientes aos controladores de domínio (DCs) mais próximos. O Microsoft Exchange Server 2007 usa a topologia de site para roteamento de email. As políticas também podem ser definidas no nível do site.
Fisicamente, as informações do Active Directory são mantidas em um ou mais controladores de domínio peer, substituindo o modelo NT PDC/BDC. Cada DC tem uma cópia do Active Directory. Os servidores associados ao Active Directory que não são controladores de domínio são chamados de servidores membros. Um subconjunto de objetos na partição de domínio é replicado para controladores de domínio configurados como catálogos globais. Os servidores de catálogo global (GC) fornecem uma listagem global de todos os objetos na floresta. Os servidores de Catálogo Global replicam para si mesmos todos os objetos de todos os domínios e, portanto, fornecem uma listagem global de objetos na floresta. No entanto, para minimizar o tráfego de replicação e manter o banco de dados do GC pequeno, apenas os atributos selecionados de cada objeto são replicados. Isso é chamado de conjunto de atributos parciais (PAS). O PAS pode ser modificado modificando o esquema e marcando atributos para replicação no GC. Versões anteriores do Windows usavam NetBIOS para se comunicar. O Active Directory é totalmente integrado ao DNS e requer TCP/IP—DNS. Para ser totalmente funcional, o servidor DNS deve oferecer suporte a registros de recursos SRV, também conhecidos como registros de serviço.
Replicação
O Active Directory sincroniza as alterações usando replicação multimestre. A replicação por padrão é 'puxar' em vez de 'push', o que significa que as réplicas extraem alterações do servidor onde a alteração foi efetuada. O Knowledge Consistency Checker (KCC) cria uma topologia de replicação de links de site usando os sites definidos para gerenciar o tráfego. A replicação intra-site é frequente e automática como resultado da notificação de alteração, que aciona os pares para iniciar um ciclo de replicação pull. Os intervalos de replicação entre sites geralmente são menos frequentes e não usam notificação de alteração por padrão, embora isso seja configurável e possa ser idêntico à replicação entre sites.
Cada link pode ter um valor de 'custo' (por exemplo, DS3, T1, ISDN, etc.) e o KCC altera a topologia do link do site de acordo. A replicação pode ocorrer transitivamente por meio de vários links de site em pontes de link de site do mesmo protocolo, se o custo for baixo, embora o KCC custe automaticamente um link direto site a site mais baixo do que as conexões transitivas. A replicação site a site pode ser configurada para ocorrer entre um servidor ponte em cada site, que então replica as alterações para outros DCs dentro do site. A replicação para zonas do Active Directory é configurada automaticamente quando o DNS é ativado no domínio baseado no site.
A replicação do Active Directory usa chamadas de procedimento remoto (RPC) sobre IP (RPC/IP). Entre os sites, o SMTP pode ser usado para replicação, mas apenas para alterações nos GCs de esquema, configuração ou conjunto de atributos parciais (catálogo global). O SMTP não pode ser usado para replicar a partição de domínio padrão.
Implementação
Em geral, uma rede que utiliza o Active Directory tem mais de um computador servidor Windows licenciado. O backup e a restauração do Active Directory são possíveis para uma rede com um único controlador de domínio, mas a Microsoft recomenda mais de um controlador de domínio para fornecer proteção automática contra failover do diretório. Os controladores de domínio também são idealmente de finalidade única apenas para operações de diretório e não devem executar nenhum outro software ou função.
Certos produtos da Microsoft, como o SQL Server e o Exchange, podem interferir na operação de um controlador de domínio, exigindo o isolamento desses produtos em servidores Windows adicionais. Combiná-los pode dificultar a configuração ou a solução de problemas do controlador de domínio ou de outro software instalado. Portanto, recomenda-se que uma empresa que pretenda implementar o Active Directory adquira várias licenças de servidor Windows, para fornecer pelo menos dois controladores de domínio separados e, opcionalmente, controladores de domínio adicionais para desempenho ou redundância, um servidor de arquivos separado, um servidor Exchange separado, um SQL Server separado e assim por diante para dar suporte às várias funções de servidor.
Os custos de hardware físico para muitos servidores separados podem ser reduzidos por meio do uso da virtualização, embora, para proteção adequada contra failover, a Microsoft recomende não executar vários controladores de domínio virtualizados no mesmo hardware físico.
Banco de dados
O banco de dados do Active Directory, o armazenamento de diretórios, no Windows 2000 Server usa o Extensible Storage Engine (ESE98) baseado em JET Blue e é limitado a 16 terabytes e 2 bilhões de objetos (mas apenas 1 bilhões de entidades de segurança) no banco de dados de cada controlador de domínio. A Microsoft criou bancos de dados NTDS com mais de 2 bilhões de objetos. (Gerenciador de contas de segurança do NT4 não suporta mais de 40.000 objetos). Chamado de NTDS.DIT, ele possui duas tabelas principais: a tabela de dados e a tabela de links. O Windows Server 2003 adicionou uma terceira tabela principal para instância única do descritor de segurança.
Os programas podem acessar os recursos do Active Directory por meio das interfaces COM fornecidas pelas Active Directory Service Interfaces.
Confiar
Para permitir que usuários em um domínio acessem recursos em outro, o Active Directory usa relações de confiança.
Trusts dentro de uma floresta são criados automaticamente quando os domínios são criados. A floresta define os limites padrão de confiança e a confiança implícita e transitiva é automática para todos os domínios em uma floresta.
Terminologia
- Confiança única
- Um domínio permite o acesso aos usuários em outro domínio, mas o outro domínio não permite o acesso aos usuários no primeiro domínio.
- Confiança de dois sentidos
- Dois domínios permitem o acesso aos usuários em ambos os domínios.
- Domínio confiável
- O domínio que é confiável; cujos usuários têm acesso ao domínio confiável.
- Confiança transitória
- Uma confiança que pode estender além de dois domínios para outros domínios confiáveis na floresta.
- Confiança intransitiva
- Uma confiança única que não se estende além de dois domínios.
- Confiança explícita
- Uma confiança que um administrador cria. Não é transitivo e é apenas uma maneira.
- Confiança de links cruzados
- Uma confiança explícita entre domínios em diferentes árvores ou a mesma árvore quando uma relação descendente/ancestor (filho/pai) não existe entre os dois domínios.
- Corte de atalho
- Junta-se a dois domínios em árvores diferentes, transitivas, uma ou duas vias.
- Confiança na floresta
- Aplica-se a toda a floresta. Transitivo, um ou dois sentidos.
- Realmente
- Pode ser transitivo ou não transitivo (intransitivo), uma ou duas vias.
- Execução
- Conecte-se a outras florestas ou domínios de diretório não ativos. Nãotransitivo, um ou dois sentidos.
- Confiança de PAM
- Uma confiança única usada pelo Microsoft Identity Manager de uma floresta de produção (possivelmente de baixo nível) para uma floresta de 'bastion' (nível de funcionalidade do Windows Server 2016), que emite membros de grupo limitados a tempo.
Ferramentas de gerenciamento
As ferramentas de gerenciamento do Microsoft Active Directory incluem:
- Centro Administrativo do Active Directory (Introduzido com o Windows Server 2012 e acima),
- Usuários e Computadores do Active Directory,
- Domínios e Confianças do Active Directory,
- Sites e Serviços do Active Directory,
- ADSI Edit,
- Usuários e Grupos Locais,
- Snap-ins do Active Directory Schema para o console de gerenciamento da Microsoft (MMC),
- SysInternals ADExplorer
Essas ferramentas de gerenciamento podem não fornecer funcionalidade suficiente para um fluxo de trabalho eficiente em ambientes grandes. Algumas ferramentas de terceiros estendem os recursos de administração e gerenciamento. Eles fornecem recursos essenciais para um processo de administração mais conveniente, como automação, relatórios, integração com outros serviços, etc.
Integração Unix
Vários níveis de interoperabilidade com o Active Directory podem ser alcançados na maioria dos sistemas operacionais do tipo Unix (incluindo Unix, Linux, Mac OS X ou programas baseados em Java e Unix) por meio de clientes LDAP compatíveis com os padrões, mas esses sistemas geralmente não interpretar muitos atributos associados a componentes do Windows, como Política de Grupo e suporte para relações de confiança unidirecionais.
Terceiros oferecem integração do Active Directory para plataformas semelhantes ao Unix, incluindo:
- Serviços de Identidade PowerBroker, anteriormente Da mesma forma (Além do teste, anteriormente mesmo Software) – Permite que um cliente não Windows se junte ao Active Directory
- ADmitMac (Thursby Software Systems)
- Samba (software gratuito sob GPLv3) – Pode agir como um controlador de domínio
As adições de esquema enviadas com o Windows Server 2003 R2 incluem atributos que são mapeados de maneira bastante próxima ao RFC 2307 para serem usados de maneira geral. A implementação de referência do RFC 2307, nss_ldap e pam_ldap fornecida por PADL.com, suporta esses atributos diretamente. O esquema padrão para associação de grupo está em conformidade com o RFC 2307bis (proposto). O Windows Server 2003 R2 inclui um snap-in do Microsoft Management Console que cria e edita os atributos.
Uma opção alternativa é usar outro serviço de diretório, pois os clientes não Windows são autenticados nele enquanto os clientes Windows são autenticados no Active Directory. Clientes não Windows incluem 389 Directory Server (anteriormente Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory e Sun Microsystems Sun Java System Directory Server. Os dois últimos são capazes de realizar sincronização bidirecional com o Active Directory e, assim, fornecer um "desviado" integração.
Outra opção é usar o OpenLDAP com sua sobreposição translúcida, que pode estender entradas em qualquer servidor LDAP remoto com atributos adicionais armazenados em um banco de dados local. Os clientes apontados para o banco de dados local veem as entradas contendo os atributos remoto e local, enquanto o banco de dados remoto permanece completamente intocado.
A administração (consulta, modificação e monitoramento) do Active Directory pode ser realizada por meio de várias linguagens de script, incluindo PowerShell, VBScript, JScript/JavaScript, Perl, Python e Ruby. As ferramentas de administração gratuitas e não gratuitas do Active Directory podem ajudar a simplificar e possivelmente automatizar as tarefas de gerenciamento do Active Directory.
Desde outubro de 2017, a Amazon AWS oferece integração com o Microsoft Active Directory.