código: hol-win61. ► introducción ► el servicio de directorio activo ► los controladores de...
TRANSCRIPT
![Page 2: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/2.jpg)
Agenda
►Introducción►El Servicio de Directorio Activo►Los Controladores de Dominio►RODC ►Novedades Windows Server 2008 R2►Seguridad Directorio Activo
![Page 3: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/3.jpg)
Directorio Activo
►Centraliza el control de los recursos de red
►Centraliza y descentraliza la administración de recursos
►Almacena objetos de manera segura en una estructura lógica
►Optimiza el tráfico de red
![Page 4: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/4.jpg)
DominioDominio
Dominio
Dominio
Dominio
DominioOU
OU OU
ÁrbolÁrbol
DominioDominio
BosqueBosque
Unidad OrganizativaUnidad Organizativa
ObjetosObjetos
Estructura Lógica
![Page 5: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/5.jpg)
Estructura Física
►Sitios►Controladores de dominio►Enlaces WAN SitioSitio
Controlador de dominioControlador de dominio
Enlace WANEnlace WAN
SitioSitio
![Page 6: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/6.jpg)
Domain
OU1Computers
Computer1
Users
User1
Users
User2
OU2
PrintersPrinter1
Servicio de Directorio
Un repositorio organizado de información sobre personas y recursos
KimYoshidaAtributos ValoresNombreEdificioPlanta
Kim Yoshida1171
![Page 7: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/7.jpg)
Schema (I)
► Definición formal de todos los objetos Directorio Activo y sus atributos
► Cada tipo de objeto (clase) deriva de una clase principal TOP Las clases heredan de otras clases su definición y comportamiento
► Cada objeto dispone de atributos obligatorios y atributos opcionales
![Page 8: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/8.jpg)
Schema (II)
► Símil con una tabla de BBDD Relacional Clase => Definición en una fila de un objeto Atributos => Columnas que definen una clase
► Cada atributo a su vez puede verse como una colección de posibles valores
► El Esquema se puede ver en la consola de Active Directory Schema Se pueden ver/añadir/modificar clases y atributos por separado
![Page 9: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/9.jpg)
Schema (III)
Ejemplos de atributos
accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName
![Page 10: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/10.jpg)
Catalogo Global (I)
Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo
Global CatalogGlobal Catalog
Solo LecturaSolo Lectura
![Page 11: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/11.jpg)
Catálogo Global (II)
► Dentro de un dominio, cada DC dispone de una copia completa de la base de datos
► En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global
► Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
![Page 12: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/12.jpg)
Catálogo Global (III)
► Cualquier DC puede tomar el rol de Catálogo Global
► El servidor de GC se usa para facilitar consultas en entornos multidominio
► Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
![Page 13: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/13.jpg)
Requisitos de Instalación DC
►Una máquina ejecutando Windows Server 2008 R2
►250 MB de espacio libre en una partición formateada en NTFS
►Privilegios administrativos para la creación de un dominio
►TCP/IP instalado y configurado para utilizar DNS
![Page 14: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/14.jpg)
Verificar la creación de
SYSVOL
Base de datos del directorio y archivos de transacciones
Estructura básica del AD
Verificación del visor de sucesos
Verificar la creación de
SYSVOL
Base de datos del directorio y archivos de transacciones
Estructura básica del AD
Verificación del visor de sucesos
Verificación de la Instalación
![Page 15: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/15.jpg)
SYSVOL
► Es un recurso compartido que se genera en cada DC al realizar DCpromo.
► Contiene:• Políticas de Sistema (Windows NT, 9X)• GPO para los miembros del dominio• Scripts de Logon y Logoff.
![Page 16: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/16.jpg)
Archivo Descripción
Ntds.dit Archivo de datos del ADAlmacena información de objetos en el DCUbicación por defecto: systemroot\NTDS folder
Edb*.log Archivo de transacciones Archivo de transacciones por defecto: Edb.log
Edb.chk Archivo de comprobaciónGuarda información no escrita al archivo de BBDD
Res1.log Res2.log
Reserva de espacio para archivos de transacciones
Archivos de Datos y Logs
![Page 17: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/17.jpg)
Migración de AD
►Tareas PreviasCredencialesRevisión de hardwareDeterminar tipo de migración
![Page 18: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/18.jpg)
Migración desde 2003
![Page 19: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/19.jpg)
Migracion
![Page 20: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/20.jpg)
Migracion
![Page 21: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/21.jpg)
Migracion
![Page 22: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/22.jpg)
Migracion
![Page 23: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/23.jpg)
Migracion
![Page 24: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/24.jpg)
Initiating a BPA Analysis
Import-Module BestPractices
Invoke-BpaModel Microsoft/Windows/DirectoryServices
Get-BpaResult Microsoft/Windows/DirectoryServices
Desde el Administrador del Servidor
Desde PowerShell
![Page 25: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/25.jpg)
Reglas Best Practice Analyzer
►DNS Registro de recusros SRV/A/AAA
►Recuperacion de desastres Multiples DC por dominio Backups
►Replicacion Un GC por sitio KCC habilitado Escenarios VM
►Topologia/conectividad Asignacion de roles FSMO Disponibilidad FSMO
►Servicio Horario
![Page 26: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/26.jpg)
DEMO
AD Best Practices
►demo
![Page 27: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/27.jpg)
Delegaciones Remotas
Delegaciones
![Page 28: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/28.jpg)
Read-Only Domain ControllerDesafíos de las delegaciones remotas
►Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota
El DC se coloca en una localización física insegura El DC tiene una conexión de red poco fiable con el HUB El personal de la delegación tiene pocos conocimientos o permisos para
gestionar el DC, por lo que:Los Domain Admins gestionan el DC remotamente, oLos Domain Admins delegan privilegios al personal de la delegación
►Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla
![Page 29: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/29.jpg)
Read-Only Domain ControllerSolución segura de Delegación remota
El atacante puedeRobar el RODC
Por defecto, no se cachean secretos
RO PAS evita la replicacion de datos al RODC
Comprometer el RODCBase de datos de solo lectura
Replicación Unidireccional
Interceptar las credencialesSeparacion de roles para reducir el
acceso al AD
REM
EDIO
S DEL R
OD
C
![Page 30: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/30.jpg)
Read-Only Domain ControllerMenor superficie de ataque para los DCs de delegaciones remotas
► Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC► El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las
aplicaciones se repliquen al RODC► Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR► Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas
propias y distintas► La delegación del DCPROMO elimina la necesidad de que el Administrador del
dominio se conecte vía TS al RODC► Los DCs de escritura registran el registro SRV en lugar de los RODCs para evitar el
registro ilegal de nombres en DNS► Los RODCs tienen cuentas de estación de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio
► Los RODC son totalmente compatibles con Server Core
Secure Appliance DC
Admin Role
Separation
RODC
Server
Core
![Page 31: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/31.jpg)
Read-Only Domain ControllerModelos de Administración recomendados►Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión
►La mayor parte de las cuentas cacheadas A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la
administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC
►Solo una pocas contraseñas cacheadas A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad
de los demás En Contra: Requiere una administración granular más fina
Mapear equipos por delegaciónRequiere buscar manualmente el atributo Auth2 para identificar las cuentas
![Page 32: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/32.jpg)
Read-Only Domain Controller Como FuncionaCacheo de secretos en el primer inicio de sesión
Hub`
Read Only DCDC en el Hub
Delegación
2. RODC: No tiene las credenciales de este usuario
3. Reenvía la petición al DC del Hub
4. El DC del Hub autentica la petición
5. Devuelve la petición de autenticación y el TGT al RODC
6. El RODC da el TGT al usuario y encola una peticion de replicación de los
secretos
7. El DC del Hub comprueba la política de replicación de contraseñas para ver si la
contraseña puede ser replicada
1. AS_Req enviado al RODC (TGT request)
1
23
4
5
6
6
7
7
![Page 33: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/33.jpg)
Read-Only Domain Controller
Perspectiva del Administrador del Hub
Lo que ve el atacante
![Page 34: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/34.jpg)
Read-Only Domain ControllerDespliegue paso a paso
►Como desplegar un RODC a partir de un entorno de Windows Server 2003
1. ADPREP /ForestPrep2. ADPREP /DomainPrep3. Promover un DC con Windows Server 20084. Verificar que los modos funcionales del forest y del
dominio son 2003 Nativo5. ADPREP /RodcPrep6. Verificar la lista de actualizaciones necesarias para la
compatibilidad en los clientes7. Promover el RODC
No específico de un RODC
Específico de un RODC
Nota: No se puede convertir un DC en RODC y viceversa sin un proceso de des-promoción/promoción
![Page 35: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/35.jpg)
Read-Only Domain ControllerPromoción "Install-from-media”
►NTDSUtil > IFM►Durante la creación
del RODC IFM: Los “Secretos” se
eliminan La base de datos
DIT se defragmenta para ahorrar espacio en disco
![Page 36: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/36.jpg)
DEMO
Read Only Domain Controlles
![Page 37: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/37.jpg)
DEMO
Password Replication Policy
![Page 38: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/38.jpg)
Novedades
Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Active Directory PowerShell►Active Directory Administrative Center
![Page 39: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/39.jpg)
Papelera de reciclaje de Active Directory
►Problemas:Borrado accidental puede causar perdidas de
tiempoLa restauracion del objeto es complicada
►SolucionRestauracion del objeto con todos sus atributos
![Page 40: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/40.jpg)
Tombstone Object
Recycle Bin for AD Object Life-cycle
RecycledObject
Deleted Object
Windows Server 2008No Recycle bin feature
Windows Server 2008 R2 with Recycle Bin enabled
GarbageCollection
GarbageCollection
LiveObject
Auth Restore
Delete
Delete
Undelete Deleted Object Lifetime180 Days
TombstoneLifetime180 Days
TombstoneLifetime180 Days
LiveObject
![Page 41: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/41.jpg)
Consideraciones
►Donde está la UI? ►Que impactio tiene en el DIT?
Aumento de tamaño de un 5-10% cuando un nuevo DC es instalado Crecimientos posteriores dependen de la frecuencia de borrado de objetos
►Deleted Object Lifetime (DOL) DOL = TSL = 180 dias(Por defecto) Pueden ser modificados Atributos: msDS-deletedObjectLifetime , tombstoneLifetime
►Como puedo borrar un objeto permanentemente?Get-ADObject –Filter {} –IncludeDeletedObjects | Remove-ADObject
![Page 42: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/42.jpg)
Prerequisitos
Nuevos terminos►Deleted Object
Objetos en la papelera de reciclaje
►Recycled Object Objetos que ya no se encuentran
en la papeleraEquivalente a Tombstone
RequirementsNivel funcional del bosque
Windows Server 2008 R2 Caracteristica De la Papelera
de Reciclaje habilitada
![Page 43: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/43.jpg)
DEMO
Papelera de Reciclaje
![Page 44: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/44.jpg)
Agenda
►Active Directory Recycle BinManaged Service Accounts►Offline Domain Join►Active Directory PowerShell►Active Directory Administrative Center
![Page 45: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/45.jpg)
Problemas con las cuentas de servicio
►Cuentas de servicio son un problema de seguridad►Passwords se ponen una vez y no caducan►Cuentas de servicio tienen un tiempo de vida infinito►Cuentas de servicio a menudo tienen excesivos permisos
![Page 46: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/46.jpg)
Cuentas de servicio administradas
►MSA resuelven esos problemasNnueva caracteristica en Windows 7/Windows Server 2008 R2
►Passwords & SPNs administrados por el sistema
![Page 47: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/47.jpg)
DEMO
MSA
![Page 48: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/48.jpg)
Agenda
►Active Directory Recycle Bin►Managed Service AccountsOffline Domain Join►Active Directory PowerShell►Active Directory Administrative Center
![Page 49: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/49.jpg)
Union al dominio Offline
►ProblemasUnir equipos al dominio requiere conectividad de
redRequiere reinicio para completar la accion
►SolucionSe habilita el preaprovisionamiento de cuentas de
equipoInformacion de cuenta de equipo es añadida a la
maquina mientras esta offline Procesos de la maquina añaden informacion al
arranque y se convierte en miembro de dominio sin
![Page 50: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/50.jpg)
DEMO
Modo offline
![Page 51: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/51.jpg)
Agenda
►Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Authentication AssuranceActive Directory PowerShell►Active Directory Administrative Center
![Page 52: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/52.jpg)
Modulo Powershell para Active Directory
►Reemplaza numerosas herramientas de administracion
►Punto de entrada para tareas administrativas►Se Comunica con el AD a traves de Web Service
Web service esta disponible para DC con Windows Server 2008 R2
![Page 53: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/53.jpg)
Ventajas PowerShell
►Vocabulario y sintaxisVerbos: Add, New, Get, Set, Remove, Clear…Nombres: ADObject, ADUser, ADComputer, ADDomain, ADForest, ADGroup, ADAccount, ADDomainController, etc
No necesitamos otras herramientas, utilidades o comandos
![Page 54: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/54.jpg)
DEMO
Powershell Demo
![Page 55: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/55.jpg)
Agenda
►Active Directory Recycle Bin►Managed Service Accounts►Offline Domain Join►Authentication Mechanism Assurance►Active Directory PowerShell►Active Directory Administrative Center
![Page 56: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/56.jpg)
AD Administrative Center
►Nueva interfaz grafica para Active DirectoryBasada en tareas
►Todas las tareas graficas se ejecutan con AD PowerShell►Interfaz soporta multiples dominios y bosques
![Page 57: Código: HOL-WIN61. ► Introducción ► El Servicio de Directorio Activo ► Los Controladores de Dominio ► RODC ► Novedades Windows Server 2008 R2 ► Seguridad](https://reader037.vdocuments.co/reader037/viewer/2022102722/551cecb15503463a7a8b514d/html5/thumbnails/57.jpg)
DEMO
ADAC Demo