Dominios 2003 server

UNIDAD DIDACTICA 2

1

DOMINIOS EN REDES WINDOWS

1. DEFINICIÓN DE DOMINIO Y SERVICIO DE DIRECTORIO

2

Un dominio de sistemas permite tener centralizada la información administrativa de una red (cuentas de usuarios, impresoras, directorios, etc.) y de seguridad, en uno o varios servidores, facilitando su gestión. Windows Server utiliza el Concepto de directorio para implementar un dominio de sistemas. Un directorio una estructura jerárquica que guarda información sobre objetos en la red, implementada como una gran base de datos. El Directorio Activo es el servicio de directorio de una red de Windows 2000/2003/2008 Server.

1. DIRECTORIO ACTIVO

3

El Directorio Activo es un servicio de red que guarda información de los recursos de la red y permite organizar, controlar y administrar de forma centralizada el acceso a los recursos de la red.

Al instalar el Directorio Activo en un equipo Windows Server de nuestra red, se convierte en servidor del dominio, o controlador de dominio. El resto de los equipos de la red actúan como clientes del servicio de directorio, y reciben toda la información almacenada en los controladores de dominio (cuentas de usuario, grupo, equipo, etc.).

1. VENTAJAS DEL DIRECTORIO ACTIVO

4

Separa la estructura lógica de la organización (dominios) de la estructura física (topología de red). Permite el acceso de los usuarios y las aplicaciones a dichos recursos. Permite a los administradores crear políticas a nivel de empresa, aplicar actualizaciones a una organización completa, desplegar programas en múltiples ordenadores, etc. Almacena información sobre una organización en una base de datos central.

1. ESTRUCTURA DE UN DIRECTORIO ACTIVO

5

Dominio. Estructura fundamental. La menor unidad constructiva para poder utilizar DA. Permite agrupar todos los objetos que se administran de forma estructurada y jerárquica. Unidad organizativa (UO). Es la unidad jerárquica inferior del dominio, que puede estar compuesta por una serie de objetos y/o por otras UO. Grupos. Conjunto de objetos del mismo tipo que se utilizan fundamentalmente para la asignación de derechos de acceso a los recursos. Objetos. Forman una representación de un recurso de red, como pueden ser usuarios, impresoras, ordenadores, unidades de almacenamiento, etc.

1. CARACTERÍSTICAS DEL DIRECTORIO ACTIVO

6

Los dominios de Windows Server utilizan los nombres DNS para identificar a los equipos en la red. Se desechó Netbios (protocolo propietario de Microsoft) para tal utilidad. Cada dominio de Windows Server queda identificado unívocamente mediante un nombre DNS, por ejemplo local.com El nombre DNS siempre estará representado por un sufijo (com, es, org, etc.) y el nombre propio del dominio Cada equipo basado en Windows Server que forme parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de dicho dominio

1. ESTRUCTURA JERÁRQUICA DE DOMINIOS

Subdominio II

Dominio Principal

Subdominio I

prueba.com

7

local2.prueba.comlocal1.prueba.com

1. FUNCIONALIDAD DE LOS NOMBRES DNS EN EL D.A.

8

Resolución de nombres. DNS permite realizar la resolución de nombres al convertir los nombres de host (nombres de equipo) en direcciones IP.Definición del espacio de nombres. El Directorio Activo utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios.Búsqueda de los componentes del DirectorioActivo. Para iniciar una sesión de red y utilizar los recursos del Directorio Activo, el equipo que se conecta al dominio debe encontrar primero un controlador de dominio o servidor de catálogo global para procesar la autentificación de inicio de sesión o la consulta

1. TÉRMINOS UTILIZADOS EN EL DIRECTORIO ACTIVO

Espacio de nombres y resolución denombres

Árbol de dominio Bosque de dominio

9

1. ESPACIO DE NOMBRE Y RESOLUCIÓN DE NOMBRES

10

Cada servicio de Directorio Activo es un espacio de nombres.La resolución de nombres relaciona objetos con sus nombres.Podemos entender un espacio de nombres como un área delimitada en la cual un nombre puede ser resuelto.La resolución de nombres es el proceso de traducción de un nombre en un objeto o información que lo representa. Los espacios de nombres serían prueba.com.

1. ÁRBOL

11

Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas. El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol existente, este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente encima de otro dominio dentro delmismo árbol de dominio es su padre. Todos los dominios que tengan un dominio raíz común se dice que forman un espacio de nombres contiguo.

1. BOSQUE

12

Un bosque es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas. Un dominio único constituye un árbol de un dominio, y un árbol único constituye un bosque de un árbol. Aunque los diferentes árboles de un bosque no comparten un espacio de nombres contiguo, el bosque tiene siempre un único dominio raíz, llamado precisamente dominio raíz del bosque, y dicho dominio raíz será siempre el primer dominio creado por la organización.

2. ESPECIFICACIONES DE DOMINIO EN WINDOWS SERVER

Consideraciones iniciales previas a la instalación del Directorio Activo. Necesitamos saber:1) Si instalaremos el Activo directorio en un único servidor o controlador de dominio de la red.2) Si habrá más servidores o controladores de dominio de la red además del nuestro, donde tengamos instalado el directorio activo3) El nombre del ordenador donde se instalará el Directorio Activo.4) Inicialmente el equipo con Windows 2003 server pertenecerá a un grupo de trabajo, nombre que no tiene mayor importancia si lo que queremos hacer es instalar el Directorio Activo.

13


Tenemos dos dominios independientes, cada uno con su estructura jerárquica.14

Planificación de la estructura de dominios deseada, antes de instalar el Directorio Activo.Si sólo necesitamos 1 dominio. Un servidor controla todo el sistema, teniendo o no dominios, o subdominios.

Si necesitamos más de un dominio. Son necesarios 2 controladores principales de dominio con sus correspondientes subdominios.

dominioprincipal1.com dominioprincipal2.com


15

La estructura jerárquica de dominios se crea de arriba hacia abajo: Primero se crea el dominio raíz del árbol (dominioprincipal.com), y después el resto de subdominios (subdomino1.dominioprincipal.com). Cuando instalamos el primer controlador de dominio en la organización, se crea el dominio raíz del bosque, que contiene la configuración y el esquema del bosque (compartido por todos los dominios de la organización. Más adelante, se pueden agregar dominios como subdominios de dicha raíz (árbol de dominios) o bien crear otros dominios «hermanos» de la raíz (bosque de dominios), debajo de los cuales podemos crear subdominios, y así sucesivamente.

2. REQUISITOS PARA CREAR UN DOMINIO EN WINDOWS SERVER

16

-Tener instalado un Windows Server-Tener configurado manualmente un protocolo de red TCP/IP.-Presencia de un servidor de nombres DNS instalado y configurado en la red.-Disponer de más de 250 MB de espacio libre en disco y por lo menos una partición debe estar formateada en NTFS (no necesariamente donde está instalado el S.O.)Tras el proceso de instalación podremos hacer que el equipo se convierta en un controlador de dominio, para ejecutar los servicios del Directorio Activo.

3. INSTALACIÓN D.A. EN UN CONTROLADOR DE DOMINIO ÚNICO

Paso 1. Identificación de red del equipo. A través del Panel de Control ir a: Propiedades de conexión de Área Local/Propiedades Protocolo de Internet TCP/IP.

- Dirección IP: 192.168.1.1-Máscara de subred: 255.255.255.0-Puerta de enlace predeterminada: Indicaremos la IP del router o equipo proxy que nos proporciona el acceso a Internet.-Servidor DNS preferido: 127.0.0.1, es decir, que apunte a sí mismo.

17


Paso 2. Identificación del equipo. Ir a: Propiedades de Mi PC/Pestaña Nombre de Equipo. Haremos click en Cambiar para introducir el nuevo nombre, sin espacios en blanco ni caracteres especiales.

Introduciremos como nombre de equipo SERVER2003.

Podemos comprobar que, por defecto, nuestro equipo se encuentra en el grupo de trabajo GRUPO_TRABAJO, cuestión que no debe preocuparnos de momento.

18


19

Paso 3. Credenciales del administrador de red. Es necesario que el Administrador de este equipo tenga una contraseña que cumpla los requisitos de seguridad:

8 caracteres, con mayúsculas, minúsculas y númerosEsta contraseña será la misma para el resto de administradores de equipos a integrar en el D.A.

Para gestionar la contraseña del Administrador, ir a: Inicio/Herramientas administrativas/Administración de equipos/Usuarios y grupos locales/Usuarios.Buscaremos el usuario Administrador y seleccionaremos Establecer contraseña.


Paso 4. Desinstalaremos los servicios previamente instalados (IIS, Terminal Server)Paso 5. Marcaremos la casilla que deshabilita la pantalla de Tareas de configuración inicial y cerramos

20


Paso 6. Ejecutamos el comando dcpromo, que sirve para promover o instalar el Directorio Activo en el equipo en el que estamos. Aparecerá una pantalla en la que se muestra el inicio del asistente de instalación.

21


Paso 7. Pulsaremos en Siguiente y aparecerá una pantalla de advertencia que nos informa dela compatibilidad del sistema operativo respecto de la instalación del Directorio Activo.

22


Paso 8. Pulsaremos Siguiente y aparecerá la 1º pantalla de configuración. Marcaremos la casilla “Controlador de dominio para un dominio nuevo”, ya que no existe ningún controlador principal de dominio todavía.

23


Paso 9. En la siguiente pantalla seleccionaremos la opción “Dominio en un nuevo bosque”, lo cual es lógico, ya que de momento no tenemos nada y lo primero que hay que hacer es crear la estructura de dominio raíz, el árbol al que pertenecerá el dominio y el bosque en el que se integrará. Pulsamos Siguiente.

24


Paso 10. El servicio DNS es imprescindible para el D.A. ya que las identificaciones y validaciones de usuarios se realizan mediante la resolución de nombres DNS (asociación nombres de los equipos con sus direcciones IP)

Si servidor no encontrado Si servidor ya instalado25


Paso 11. Introducir el nombre completo de nuestro dominio raíz, que es el primero del bosque, el cual determinará el espacio de nombres para la gestión que realicemos desde este momento con el dominio.

Este nombre completo tiene que ser un nombre DNS con sufijo incluido. Por ejemplo principal.local.com, donde:principal nombre de dominio raízlocal.com como nombre del bosque o espacio de nombres

26


Paso 12. Indicar el nombre NETBIOS del nuevo dominio, árbol y bosque que estamos creando. Por defecto será el nombre del dominio sin sufijo.

Este nombre se puede cambiar, pero se recomienda no hacerlo ya

que es el que se utiliza para cuestiones de compatibilidad con clientes del dominio que tengan instalados sistemas operativos

antiguos como Windows 98.

27


Paso 13. Introducir la ubicación de los archivos que maneja el Directorio Activo. Por defecto, la ubicación que propone Windows Server es C:\WINNT\NTDS, que recomendamos no modificar.

Es imprescindible que el sistema esté instalado sobre el sistema de archivos NTFS, ya que, si no,

estos archivos no podrán crearse y, por lo tanto, no

podremos dar de alta el dominio.

28


Paso 14. Indicar la ubicación de la carpeta SYSVOL, que es donde se almacena la copia de seguridad del servidor de los archivos públicos del dominio.

Dejaremos la ubicación por defecto, a menos que no

tengamos instalado el sistema de archivos NTFS en esa

ubicación, es decir, C:\WINNT\SYSVOL.

29


Paso 15. La primera opción es para cuando tengamos un Servidor NT 4.0 Server y los usuarios se estén validando en él. Ó cuando tengamos clientes tipo Windows 98 o ME, ya que utilizan validación NETBIOS. NT 4.0 Workstation, 2000/ XP/Vista, admiten autentificación DNS.

La segunda opción es sólo para una red con equipos Windows 2000, XP o Vista.

Esta es la opción recomendable

30


Paso 16. Introducir la contraseña de administración del modo de restauración del directorio activo, para que el Administrador del equipo administre el Directorio Activo.

Se recomienda introducir la misma clave del usuario administrador, aunque el

mensaje diga lo contrario.

31


Paso 17. Pantalla resumen sobre lo que se va a realizar en la instalación del Directorio Activo. Pulsaremos Siguiente y comenzará la instalación y la configuración del controlador de dominio en nuestro equipo.

32


Paso 18. Tras unos minutos el proceso habrá terminado y nos pedirá que pulsemos Finalizar. Reiniciaremos el equipo y ya tendremos preparado nuestro sistema como un controlador de dominio del Directorio Activo para gestionar de forma centralizada los recursos de red.

33


Paso 19. El primer cambio es la inclusión del nombre de dominio en la pantalla de login. Haremos click en Propiedades de MiPC y en la pestaña Nombre del equipo, comprobaremos que nuestro equipo esté integrado en un dominio.

34


Paso 20. En Administre su servidor podremos ver que hemos instalado el controlador de dominio (Directorio Activo) y El servido DNS.

35

4. ELIMINACIÓN DE UN CONTROLADOR DE DOMINIO

36

Paso 0. Al desinstalar el Directorio Activo de nuestro equipo controlador de dominio, ya no se ejecutaran los servicios de directorio y perderemos toda la configuración realizada hasta el momento: cuentas de usuario, grupos, equipos, etc., es decir, los objetos creados hasta el momento se eliminarán, ya que la base de datos y el catálogo global que almacena toda la información desaparecerá.


Paso 1. Para realizar la despromoción, procederemos de forma similar a como realizábamos la promoción.Iniciaremos sesión como Administrador del equipo y ejecutaremos el comando dcpromo.

Se nos mostrará una pantalla de inicio del asistente de

configuración del Directorio Activo.

37


Paso 2. Aparecerá un pequeño cuadro de diálogo de advertencia. Se nos indica que este controlador es un servidor de catálogo global, es decir, que es el controlador principal del dominio y que se utiliza para que los usuarios se validen en él. Este mensaje indica la peligrosidad del proceso.

38


Paso 3. Indicar si se trata del último controlador de dominio. Como en nuestro caso el controlador es único, en un bosque único, y no existen más bosques, podremos realizar la operación.

Si nuestro dominio contase con algún otro bosque, controladores

adicionales de dominio o con subdominios, no marcaríamos esta

casilla para desinstalarlos.Tendríamos que ir eliminando los controladores de dominio en el

orden en que se fueron creando, siendo el primero que instalamos el

último en desinstalar.39


Paso 4. Aparece una pantalla con información sobre las particiones en las que se ha replicado la base de datos del Directorio Activo. Pulsamos Siguiente

40


Paso 5. Pantalla para confirmar la eliminación de la información contenida en las particiones de la base de datos. Es conveniente eliminarlas, siempre y cuando el objetivo sea eliminar completamente los servicios de directorio del equipo Windows Server.

Marcamos la casilla “Eliminar todas las particiones...”.Pulsamos Siguiente.

41


Paso 6. Solicitud de la contraseña del usuario Administrador del equipo que utilizamos para la creación del Directorio Activo. Pulsamos Siguiente

42


Paso 7. En las siguientes pantallas y se inicia el proceso de despromoción.

43


Paso 8. Finaliza la eliminación del Directorio Activo y reiniciamos el equipo

Sólo queda el servicio DNS

44

5. OBJETOS QUE ADMINISTRA UN DOMINIO

45

El Directorio Activo es una base de datos jerárquica de objetos que representan a las entidades o recursos que pueden administrarse en una red de ordenadores.En Windows Server la gestión de un dominio se realiza de forma centralizada, administrando el Directorio Activo.El directorio Activo nos permite crear y configurar los objetos de red existentes en el dominio como: Usuarios Globales Grupos de usuarios Equipos Unidades Organizativas

5. USUARIOS GLOBALES

46

Los usuarios que se gestionan en un Directorio Activo son usuarios globales, y son reconocidos por todos los equipos que forman parte de un dominio (en realidad, por todos los ordenadores del bosque). Las cuentas de usuario globales representan una cuenta única de usuario que se puede utilizar desde cualquier ordenador integrado en el Dominio. Cuando una persona se conecta desde un ordenador del dominio, utilizando para ello su cuenta de usuario global, este ordenador realiza una consulta al Directorio Activo. Este valida las credenciales del usuario y el resultado de la validación es enviado al ordenador cliente, concediendo o rechazando la conexión.

5. USUARIOS GLOBALES vs LOCALES

Los equipos en un grupo de trabajo necesitan disponer de una cuenta de usuario local para poder trabajar en ellos.Los equipos pertenecientes a un dominio, además de conocer a los usuarios globales del dominio, puedan tener también sus propios usuarios locales.Los usuarios locales de un equipo en dominio son únicamente visibles en el equipo que han sido creados.Cuando se accede al sistema utilizando una cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador. El usuario local no podrá acceder a recursos deldominio, ya que allí no tiene cuenta

47

5. GRUPOS DE USUARIOS

48

Los grupos de usuario creados y almacenados en la base de datos del Active Directory, son visibles desde todos los equipos del dominio.Implementan una agrupación de usuarios u objetos para conceder permisos de utilización de recursos del dominio.El concepto de grupo evita tener que ir concediendo los mismos privilegios a un nº determinado de equipos.Si todos los usuarios estuvieran agrupados en un mismo grupo, bastaría con conceder privilegios al grupo sobre un recurso de red. De esta forma todos los usuarios del grupo heredarán los privilegios del grupo.

5. GRUPOS DE USUARIOS

49

Los grupos de usuario creados y almacenados en la base de datos del Active Directory, son visibles desde todos los equipos del dominio.Implementan una agrupación de usuarios u objetos para conceder permisos de utilización de recursos del dominio.El concepto de grupo evita tener que ir concediendo los mismos privilegios a un nº determinado de equipos.Si todos los usuarios estuvieran agrupados en un mismo grupo, bastaría con conceder privilegios al grupo sobre un recurso de red. De esta forma todos los usuarios del grupo heredarán los privilegios del grupo.

5. EQUIPOS

50

La base de datos del Directorio Activo de un dominio, también almacena información relativa a los equipos que forman parte del dominio.

Se almacena el nombre del ordenador y un identificador único y privado que lo identifica unívocamente y que solo conoce el controlador de dominio.

Gracias a esta identificación univoca, a cada equipo se le pueden asignar permisos y derechos.

5. UNIDAD ORGANIZATIVA

51

Son objetos del directorio que, a su vez, pueden contener otros objetos. Se utilizan fundamentalmente para:

Delegar la administración de sus objetos a otros usuarios distintos del administrador del dominioPersonalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas.

Dominios 2003 server

Education

Transcript of Dominios 2003 server