4 - active directory

8/9/2019 4 - Active Directory

1/63

Active Directory


2/63


3/63

Servicios de directorio AD de WS 2003 es la consolidacin de Microsoft de los servicios

de directorio en un solo almacn de datos replicables y una

interfaz administrativa

Un directorio es una lista que permite organizar y localizar

elementos.

sus dos elementos

almacn de datos aplicaciones

bases de datos

impresoras

usuarios

otras estaciones de trabajo

servidores

servicios que actan sobre los datos

replicacin

medidas de seguridad

distribucin de datos.


4/63

Definicin de AD

AD es un almacn de objetos y un servido basado en la red queubica y administra recursos

los pone al alcance de usuarios y grupos autorizados

Todo se considera objeto

usuarios servidores

estaciones de trabajo

impresoras

documentos

dispositivos

.

cada objeto tiene atributos y su Lista de control de acceso deseguridad ACL


5/63

Organizacin en AD

los objetos se pueden organizar dentro de AC

a travs de contenedores


6/63

Funciones de AD en Server

almacn para info sobre cada objeto de red y

sus atributos

va de seguridad para autentificacin ACL y lasconfianzas de dominio

Centro de administracin del sistema

sistema de replicacin de datos de objeto


7/63

AD es un servicio de directorio

distribuido

jerarquico replicado

seguro

garantiza la interoperabilidad entre entornos

heterogeneso de servicio de directorio


8/63

AD cataloga los objetos con sus atributos en

una organizacin jerrquica

utiliza resolucin de nombres como DNS

organiza usuarios y grupos en funcin de sus

atributos


9/63

Seguridad

AD identifica las directivas de seguridad en la

red


10/63


11/63

Global Catalog

el usuario hace una solicitud sobre un objeto

pasa por el Catalogo Grobal (GC)

abstraccin de info de objetos contenida en elalmacen de datos de Active Directory

GC resuelve la solicitud

el esquema de AD presenta definiciones de

objeto AD administra el almacn de datos a travs de

un Motor de almacenamiento extensible (ESE)


12/63

Estructura de archivos

AD almacena archivos de BD y de registro

comprender estos archivos para hacer copia de

seguridad y utilizar directiva de restauracin

el archivo de BD es ntds.dit

cada controlador de dominio tiene una copia

de este archivo


13/63

Archivos de registro de AD

AD crea y archiva cuatro tipos de archivos de

registro

archivos de registro de transacciones

archivos de punto de comprobacin

archivos de registro reservado

archivos de revisin


14/63

Elementos estructurales de AD

los elementos lgicos bsicos de AD son

objetos y sus atributos asociados

los objetos de AD se organizan segn unmodelo jerarquico de dominio

cada dominio tiene sus permisos de seguridad

y relaciones nicas con otros dominios

AD utiliza replicacin multimaestra para

comunicar info y cambios a los dominios


15/63

Dominios

un dominio consta de los sistema de equipo y los recursos de redque comparten un limite de seguridad logica

puede almacenar ms de 17TB en el almacn de BD de AD

todos los dominios mantienen sus propias directivas de seguridad yrelaciones de seguridad con otros dominios

se suelen crear para definir limites funcionales entre unidades administrativas

marketing

compras

ventas

tb se les considera agrupaciones de recursos o servidores que usan unnombre de domnio comn, conocido como espacio de nombres

todos los servidores o recursos del espacio de nombres administracion.compertenecen a un solo dominio


16/63

Contenido de controlador de dominio

Cada controlador de dominio incluye en su AD

datos sobre cada objeto y objeto contendor

metadatos sobre otros dominios del arbol oblsque para ofrecer una ubicacin de servicio de

directorio

una lista de todos los dominios del arbol y el

bosque ubicacin del servidor con el catalogo global


17/63

Arboles de dominios

cuando varios dominios comparten

esquema

relaciones de confianza de seguridad catalogo global

tiene un espacio de nombre comn

todos los dominios con nombre final

administracion.com pertenecen al arbol de dominio

administracion


18/63

un arbol de dominio se forma a partir de

expansin de dominios secundarios

ventas.empresa.com

compras.empresa.com

primer dominio creado es dominio raiz

contiene la configuracin y datos de esquema para el arbol

sera empresa.com

al agregar dominios secundarios se forma una

estructura de arbol


19/63

Razones para crear dominios mltiples

en arbol

se pueden gestionar organizaciones diferentes

y proporcionar identidades de unidad

se pueden reforzar lmites de seguridad ydirectivas de contrasea

mejora la replicacin de AD

mejor gestin de gran nmero de objetosadministrados

descentraliza la administracin


20/63

Bosques de dominios

las relaciones de confianza se pueden establecer entrearboles de dominio con distintos espacios de nombres permite tener varios nombres de dominio

empresa.com

fundacion.com todos los arboles del bosque comparten atributos

catalogo global

configracin

esquema

un bosque es un punto de referencia entre arboles y NOtiene un nombre propio

utilizan tecnologa de seguridad Kerberos para crearrelaciones de confianza transitiva entre rboles


21/63

Unidad Organizativa

los dominios y dominios secundarios se

pueden dividir en subestructuras

administrativas

son objetos contenedores que pueden

contener hasta 10 millones de objetos

subconjuto lgico definido por parametros de

seguridad o de administracin


22/63


23/63

Estructura fsica

ofrece mecanismos para comunicacin y

replicacin de datos

definicin del elemento estructural de la subred IP

constituye los sitios de AD

servidor fsico que almacena y replica datos de AD

controlador de dominio

catalogo global


24/63

Sitios

compuesto por una o ms subredes de Protocolo deInternet (IP) unidas por conexiones de alta velocidad yfiables

en redes pequeas una conexin de 128 kbps puede estarbien

ancho de banda en red grande puede necesitar variosmbps

varias subredes pueden pertenecer a un solo sitio pero

una sola subred no puede abarcar varios sitios el rendimiento de la red tb influye en ubicacin de

objetos y en autentificacin en inicio de sesin


25/63

Varios controladores de dominio

un dominio de AD puede tener varios

controladores de dominio que repliquen la

particin del directorio

mejor conectividad de usuario

solucin de errores

redundancia


26/63

Miembro del sitio del controlador de

dominio

al instalar AD se asigna un controlador de

dominioa un sitio

la ubicacin de sitio de un controlador dedominio forma parte de la topologa de

replicacin de AD


27/63

Replicacin

el administrador gestiona la replicacin de AD

entre controladores de dominio sitio a sitio

segn se agregan controladores de dominio sepuede establecer una ruta de acceso de

replicacin

Comprobador de coherencia de la info (KCC)

proceso dinamico que se ejecuta en todos los

controladores de dominio


28/63

AD y sistema de nombres de dominio (DNS)

DNS ofrece nombres dentro de una red TCP/IP

traduciendo un nombre de dominio como

empresa.com en una direccin IP y al revs

desde Windows NT se integra el servicio DNS conel servicio Windows Internet Naming Service

(WINS)

en un entorno de Windows NT

clientes pueden tener direcciones IP fijas

o se les pueda asignar una direccin al inicio que emplee el

protocolo de configuracin dinmica de host (DHCP)


29/63


30/63

Espacio de nombres y nomenclatura

empresa.com/ventas/impresora/ImpresoraLas

erDespacho1

elemento de dominio

empresa.com

unidad organizativa

ventas

nombre comun primario impresora

nombre comun


31/63

Complementos de interfaz

administrativa

AD ofrece sistemas de administracin

consolidada basada en la consola MMC

los principales complementos de la consolaMMC relativos a AD son

administrador de dominios y confianzas de AD

sitios y servicios de AD

usuarios y equipos de AD

Administrador de esquema de AD


32/63

Seguridad administrativa y relaciones

de confianza

los dominios constituyen limites de seguridad

impiden a usuarios de un dominio acceder a

objetos de otro

podemos establecer relaciones de confianza entre

dominios para permitir acceso de objetos


33/63

los privilegios administrativos de otro dominio

pueden ser limitados o totales

para tener los privilegios en otro dominio agregar el usuario al grupo de administradores de

dominio

con los permisos de grupo y unidades

organizativas correspondientes usuario puede utilizar recursos de un dominio


34/63

Relaciones de confianza

los inicios de sesin de usuario se producen

entre dominios de confianza

cuando dos arboles son de confianza en eldominio raz

usuarios de un arbol pueden conectarse con los

dominios del otro arbol


35/63


36/63

Modelos de relacin de confianza

relacin de confianza bidireccional

entre dominios del mismo arbol o dominios raz o

rboles diferentes

relacion de confianza unidireccional

entre dominios de arboles diferentes


37/63


38/63

Espacio de nombres DNS

medio de resolucin de nombres estndar

utiliza Internet para asginar direcciones IP a

espacios de nombres especficos como

empresa.com


39/63

Nombres DNS para dominios

secundarios

secundario2.secundario1.dominio.com

un nombre de dominio debe ser genrico

el nombre secundario es una cadena de texto

descriptivo y exclusivo que se agrega al principio delnombre de dominio y se separa por un punto

los dominios secundarios pueden tener otros a su vez

nombres funcionales de ubicaciones

asia.empresa.com

nombres de funcin

ventas.empresa.com


40/63

Nombres de dominio para uso interno

o externo

Se crean dos zonas DNS

una resuelve el nombre de recursos internos

la otra debe resolver

nombres de sistemas de correo externos

servicios Web

noticias

TCP y conectividad Telnet


41/63

Cambiar nombre de un dominio

WS 2003 soporta cambio de nombre DNS y/oNetBIOS de dominios existentes en un bosque

un dominio renombrado

conserva su identificador unico global (GUID) y su Id de seguridad (SID)

Este proceso requiere bastante trabajo

cada controlador de dominio miembro debereiniciarse

cada servidor miembro debe reiniciarse dos veces


42/63

Planificacin de estructura lgica

en empresas centralizadas

un nico dominio puede cumplir con todos los

requisitos

entornos ms grandes y descentralizados

multiples dominios

a veces es ms eficiente dividir el dominio en

unidades organizativas para gestionar cuentas de

usuario y recursos


43/63

Dominio nico y unidades

organizativas

WS 2003 soporta multiples dominios y unidadesorganizativas

la complejidad aumenta conforme crece elnmero de dominios y unidades organizativas grupo de ventas podria ser una sola UO

los recursos se pueden agrupar en UO todas las impresoras de un dominio

as se puede delgar un administrador para quegestione la UO de impresoras y otro la UO de lascuentas de usuario de grupo


44/63

Cundo crear un dominio secundario en lugar

de una UO?

no respuesta clara

segn amplitud y complejidad


45/63

Arboles de dominio y dominios

secundarios

situaciones en las que debemos crear varios

dominios, arboles y bosques

los limites de seguridad, administrativos y de

conectividad separan los dominios


46/63

Cuando crear dominios secundarios

por defecto, se crea un rbol de dominio

cuanod se promociona el primer controlador

de dominio con su propio Windows Server

Active Directory

cuando se agregan dominios

pasan a ser dominios secundarios de este primer

dominio raz


47/63

los dominios del arbol comparten:

confianzas transitivas automticas

esquema

configuracin

catalogo global


48/63

Crear dominio secundario

si es preferible una administracin

descentralizada

si la organizacin neceista una administracin

estricta y localizada

si las actividades o relaciones comerciales

requieren dominios separados

si la replicacin necesita diferentes dominios


49/63

Bosques

Constituido por la unin de dos o ms rboles de dominioen la raz

las confianzas transitivas se crean por medio de la relacindel bosque

los recursos de la red estn disponibles para cualquier rbol delbosque y sus dominios asociados

cada rbol tiene un espacio de nombres DNS comparte

esquema

configuracin

catalogo global

el propio arbol se identifica por medio del nombre DNS delprimer rbol creado dentro de l


50/63

Creacin del bosque requiere tres pasos

seleccionar y registrar un nombre DNS para los

rboles de dominio

disear la configuracin de cada rbol de dominio

agregar el nuevo rbol al bosque

el primer controlador de dominio se haya

promocionado en el proceso de instalacin de AD en el asistente de instalacin

seleccionar Crear nuevo arbol de dominios en una bosque

existente


51/63

Cuando crear un bosque

administracin bosque es ms compleja que

rboles

si tenemos actividades comerciales difernetes

identidades separadas

empresas que requieren un mayor control sobre

los recursos de red


52/63

Instalacin AD

debe estar instalado el DNS en WS 2003

usar Asistente para instalacin de AD para crear

un nuevo dominio y as crear tb el primer rbol de

dominio

instalacin DNS de Microsoft para soporta AD


53/63

Asistente para instalar AD

si se instala en un dominio existente de Ad o

como dominio secundario

proceso instalacin AD

conexiones oportunas automticamente

establece las relaciones de confianza por defecto


54/63

Ejemplo de promocin de primer

controlador de dominio

iniciar asistente de instalacin de AD

en simbolo de sistema

dcpromo.exe

as el cuadro Administre su servidor se ejecuta como

parte del proceso de inicio de sin

Inicio herramientas Administr su servidor

Funcin servidor Controlador de dominio(AD) Siguiente

aparece texto para convertir el servidor en controlador dedominio


55/63

Siguiente cuadro

controlador para nuevo dominio

agregar a un dominio existente


56/63

ver rboles de los bosques

Crear nuevo

dominio en un nuevo bosque

el primer controlador de dominio es automticamente el

dominio, arbol o bosque raiz

Siguiente


57/63

Nombre de dominio

importante

en todo el dominio y el arbol de dominio

empresa.com


58/63

identifica nombre de NetBios

utilizan los clientes de Windows que emplean

WINS para procesar los nombres de sistema

por defecto se inserta automtico

siguiente


59/63

ubicar la BD y el registro de AD

ubicacin predeterminada de BD y el registro en

donde est instalado WS 2003

\winnt

\NTDS

Siguiente


60/63

ubicar volumen del sistema compartdo

almacena la info compartida que est replicada

entre los controladores de dominio

valor predeterminado

\SYSVOL

Siguiente


61/63

permite camibar permisos asociados con el

servidor RAS

NO


62/63

Pantallas para definir niveles de permisos yestablecer contraseas administrativas

aparece pagina resumen de configuracin de AD Aceptar

reinicar equipo

debe estar instalado DNS pq AD lo requiere

si no est . Asistente instalacin Ad nos lleva a configuracinDSN

tb se puede hacer desde Inicio Herramientas Administrativas Administre su servidor Redes DNS Instalar


63/63

Herramientas del complemento MMC

de Active Directory

4 - active directory

Documents