Trucos Directorio Activo
-
Upload
desiree-gonzalez-delgado -
Category
Documents
-
view
147 -
download
0
Transcript of Trucos Directorio Activo
Trucos, técnicas y Trucos, técnicas y conceptos avanzados conceptos avanzados de Directorio Activode Directorio Activo
Alejandro Mezcua
Responsable técnico
Zaltor Soluciones Informáticas
Microsoft MVP .NET
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
ConceptosConceptos
DNSDNS ParticionesParticiones ReplicaciónReplicación FSMOFSMO Catálogo GlobalCatálogo Global
ConceptosConceptosDNS (I)DNS (I)
Base de toda la infraestructura del Directorio Base de toda la infraestructura del Directorio ActivoActivo
Se puede utilizar cualquier servidor de DNS Se puede utilizar cualquier servidor de DNS para mantener la informaciónpara mantener la información
Con servidores Windows se dispone de Con servidores Windows se dispone de actualizaciones automáticasactualizaciones automáticas
Con servidores Windows se puede Con servidores Windows se puede almacenar la información de zonas en el almacenar la información de zonas en el propio Directorio Activo y aprovechar la propio Directorio Activo y aprovechar la replicación para propagar los cambiosreplicación para propagar los cambios
ConceptosConceptosDNS (II)DNS (II) Los servicios se buscan realizando consultas de tipo SRV. Ej. Los servicios se buscan realizando consultas de tipo SRV. Ej.
Consulta para encontrar servidores de GCConsulta para encontrar servidores de GC
C:\Documents and Settings\administrator.ZALTORMOVIL>nslookupC:\Documents and Settings\administrator.ZALTORMOVIL>nslookupDefault Server: gandalf.zaltormovil.localDefault Server: gandalf.zaltormovil.localAddress: 192.168.1.254Address: 192.168.1.254
> set type=SRV> set type=SRV> _gc._tcp.zaltormovil.local> _gc._tcp.zaltormovil.localServer: gandalf.zaltormovil.localServer: gandalf.zaltormovil.localAddress: 192.168.1.254Address: 192.168.1.254
_gc._tcp.zaltormovil.local SRV service location:_gc._tcp.zaltormovil.local SRV service location: priority = 0priority = 0 weight = 100weight = 100 port = 3268port = 3268 svr hostname = gandalf.zaltormovil.localsvr hostname = gandalf.zaltormovil.local_gc._tcp.zaltormovil.local SRV service location:_gc._tcp.zaltormovil.local SRV service location: priority = 0priority = 0 weight = 100weight = 100 port = 3268port = 3268 svr hostname = hades.zaltormovil.localsvr hostname = hades.zaltormovil.localgandalf.zaltormovil.local internet address = 192.168.1.254gandalf.zaltormovil.local internet address = 192.168.1.254hades.zaltormovil.local internet address = 192.168.1.253hades.zaltormovil.local internet address = 192.168.1.253>>
ConceptosConceptosDNS (III)DNS (III) Ej. Consulta para localizar los controladores de dominioEj. Consulta para localizar los controladores de dominio
> _ldap._tcp.dc._msdcs.zaltormovil.local.> _ldap._tcp.dc._msdcs.zaltormovil.local.Server: gandalf.zaltormovil.localServer: gandalf.zaltormovil.localAddress: 192.168.1.254Address: 192.168.1.254
_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location:_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0priority = 0 weight = 100weight = 100 port = 389port = 389 svr hostname = hades.zaltormovil.localsvr hostname = hades.zaltormovil.local_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location:_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0priority = 0 weight = 100weight = 100 port = 389port = 389 svr hostname = gandalf.zaltormovil.localsvr hostname = gandalf.zaltormovil.localhades.zaltormovil.local internet address = 192.168.1.253hades.zaltormovil.local internet address = 192.168.1.253gandalf.zaltormovil.local internet address = 192.168.1.254gandalf.zaltormovil.local internet address = 192.168.1.254>>
ConceptosConceptosParticiones (I)Particiones (I)
Particiones = AD Naming ContextsParticiones = AD Naming Contexts Un ‘contexto’ es equivalente a una particiónUn ‘contexto’ es equivalente a una partición
Permiten disponer de ‘secciones’ del Directorio Activo Permiten disponer de ‘secciones’ del Directorio Activo independientes que se pueden replicar de manera individualindependientes que se pueden replicar de manera individual
Por omisión se cuenta con:Por omisión se cuenta con: Schema Naming ContextSchema Naming Context Configuration Naming ContextConfiguration Naming Context Domain Naming ContextDomain Naming Context
Se pueden generar nuevos contextos de nombresSe pueden generar nuevos contextos de nombres Denominados Application Naming Contexts o Application Denominados Application Naming Contexts o Application
Directory PartitionsDirectory Partitions Permitirán la replicación bajo reglas propias definidas (p.e. Permitirán la replicación bajo reglas propias definidas (p.e.
replicados sólo a ciertos DCs)replicados sólo a ciertos DCs)
ConceptosConceptosParticiones (II)Particiones (II)
Schema Naming ContextSchema Naming Context Contiene la definición de todas las definiciones Contiene la definición de todas las definiciones
de clases de todos los objetos y atributos del de clases de todos los objetos y atributos del directorio activo.directorio activo.
Active Directory Schema MMCActive Directory Schema MMC
ConceptosConceptosParticiones (III)Particiones (III)
Configuration Naming ContextConfiguration Naming Context Mantiene información acerca de la configuración Mantiene información acerca de la configuración
de todo el Forest, incluyendo información acerca de todo el Forest, incluyendo información acerca de los dominios, controladores de dominio, de los dominios, controladores de dominio, replicación, subredes, etc.replicación, subredes, etc.
Visible mediante ADSIEditVisible mediante ADSIEdit
ConceptosConceptosParticiones (IV)Particiones (IV)
Domain Naming ContextDomain Naming Context Contiene toda la información de los objetos Contiene toda la información de los objetos
definidos en el dominio. Estos objetos se definidos en el dominio. Estos objetos se replican exclusivamente a aquellos replican exclusivamente a aquellos controladores (DCs) que forman parte del controladores (DCs) que forman parte del dominio.dominio.
Visible mediante ADSIEditVisible mediante ADSIEdit
Copia de los objetos entre DCs del directorio Copia de los objetos entre DCs del directorio activoactivo
AD Desde el punto de vista de la replicaciónAD Desde el punto de vista de la replicación DominiosDominios
Engloba, bajo un mismo contexto de nombres y de Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores)seguridad, N equipos (clientes servidores)
SitesSites Reflejan la estructura física de la red.Reflejan la estructura física de la red.
SubredesSubredes Una vez definidas, los servidores, según su dirección Una vez definidas, los servidores, según su dirección
IP, se unirán automáticamente a los sites adecuados IP, se unirán automáticamente a los sites adecuados (en el momento de la instalación)(en el momento de la instalación)
ConceptosConceptosReplicación (I)Replicación (I)
Entre DCs de un site la replicación es Entre DCs de un site la replicación es ‘automática’‘automática’
Entre DCs de distintos sites hay que Entre DCs de distintos sites hay que configurar conectoresconfigurar conectores
Los conectores llevan asociados ‘costes’ Los conectores llevan asociados ‘costes’ dependiendo de las posibles conexiones dependiendo de las posibles conexiones físicasfísicas
ConceptosConceptosReplicación (II)Replicación (II)
ConceptosConceptosFSMO (I)FSMO (I)
Flexible Single Master of OperationsFlexible Single Master of Operations La mayoría de las tareas funcionan en modo Multiple La mayoría de las tareas funcionan en modo Multiple
Master (cualquier servidor)Master (cualquier servidor) Ciertas tareas del directorio activo se dejan en manos de Ciertas tareas del directorio activo se dejan en manos de
un solo servidorun solo servidor Se puede seleccionar a qué servidor asignar cada rol.Se puede seleccionar a qué servidor asignar cada rol.
Cinco roles FSMOCinco roles FSMO Emulador de PDCEmulador de PDC RID MasterRID Master Infrastructure MasterInfrastructure Master Domain Naming MasterDomain Naming Master Schema MasterSchema Master
ConceptosConceptosFSMO (II)FSMO (II)
Emulador de PDCEmulador de PDC Uno por dominioUno por dominio Da servicio de PDC a equipos no Windows 2k+, Da servicio de PDC a equipos no Windows 2k+,
p.e. BDCs NT4.0p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creación de Sincroniza tiempos y sincroniza la creación de
políticas de grupopolíticas de grupo Domain Master BrowserDomain Master Browser Se determina el servidor en:Se determina el servidor en:
Active Directory Users and Computers (botón derecho Active Directory Users and Computers (botón derecho dominio)dominio) Menú Operations MastersMenú Operations Masters
Tab PDCTab PDC
ConceptosConceptosFSMO (III)FSMO (III)
RID Master (Relative ID Master)RID Master (Relative ID Master) Uno por dominioUno por dominio Encargado de la asignación de identificadores Encargado de la asignación de identificadores
únicos (p.e. GUIDs)únicos (p.e. GUIDs) Se determina el servidor en:Se determina el servidor en:
Active Directory Users and Computers (botón derecho Active Directory Users and Computers (botón derecho dominio)dominio) Menú Operations MastersMenú Operations Masters
Tab RIDTab RID
ConceptosConceptosFSMO (IV)FSMO (IV)
Infrastructure MasterInfrastructure Master Uno por dominioUno por dominio Responsable de la comprobación de pertenencia Responsable de la comprobación de pertenencia
a grupos universales en entornos multidominioa grupos universales en entornos multidominio Responsable de la actualización de referencias Responsable de la actualización de referencias
de objetos de su dominio a otros dominiosde objetos de su dominio a otros dominios Se determina el servidor en:Se determina el servidor en:
Active Directory Users and Computers (botón derecho Active Directory Users and Computers (botón derecho dominio)dominio) Menú Operations MastersMenú Operations Masters
Tab InfrastructureTab Infrastructure
ConceptosConceptosFSMO (V)FSMO (V)
Domain Naming MasterDomain Naming Master Uno por forestUno por forest Responsable de que los nombres de dominio Responsable de que los nombres de dominio
sean únicossean únicos Controla el que se puedan añadir nuevos Controla el que se puedan añadir nuevos
dominiosdominios Se determina el servidor en:Se determina el servidor en:
Active Directory Domains and Trusts (botón derecho en Active Directory Domains and Trusts (botón derecho en raíz de la consola)raíz de la consola) Menú Operations MasterMenú Operations Master
ConceptosConceptosFSMO (VI)FSMO (VI)
Schema MasterSchema Master Uno por forestUno por forest Controla cambios y actualizaciones del esquemaControla cambios y actualizaciones del esquema Se determina el servidor en:Se determina el servidor en:
Registrar MMC de Active Directory SchemaRegistrar MMC de Active Directory Schema C:\>regsvr32 schmmgmt.dllC:\>regsvr32 schmmgmt.dll
Active Directory Schema (botón derecho en raíz de la Active Directory Schema (botón derecho en raíz de la consola)consola) Menú Operations MasterMenú Operations Master
ConceptosConceptosFSMO (VII)FSMO (VII)
Los cambios de rol se pueden realizar Los cambios de rol se pueden realizar también con Ntdsutil.exetambién con Ntdsutil.exe
Permite realizar múltiples operacionesPermite realizar múltiples operaciones Opción Roles permite realizar cambios de rol de Opción Roles permite realizar cambios de rol de
FSMOFSMO
ConceptosConceptosFSMO (VIII)FSMO (VIII)
¿Qué hacer en caso de fallo completo de un ¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO?equipo que gestionaba un FSMO?
A través de ntdsutil.exeA través de ntdsutil.exe Opción Roles -> Seice : RolOpción Roles -> Seice : Rol
Permite pasar el rol a otro DCPermite pasar el rol a otro DC El DC original no se debe volver a poner en la redEl DC original no se debe volver a poner en la red
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
El interior del Directorio ActivoEl interior del Directorio ActivoEsquemaEsquema
Definición formal de todos los objetos Definición formal de todos los objetos Directorio Activo y sus atributosDirectorio Activo y sus atributos
Cada tipo de objeto (clase) deriva de una Cada tipo de objeto (clase) deriva de una clase principal Topclase principal Top Las clases heredan de otras clases su definición Las clases heredan de otras clases su definición
y comportamientoy comportamiento Cada objeto dispone de atributos Cada objeto dispone de atributos
obligatorios y atributos opcionalesobligatorios y atributos opcionales Símil con una tabla de BBDD RelacionalSímil con una tabla de BBDD Relacional
Clase => Definición en una fila de un objetoClase => Definición en una fila de un objeto Atributos => Columnas que definen una claseAtributos => Columnas que definen una clase
El interior del Directorio ActivoEl interior del Directorio ActivoEsquema (II)Esquema (II)
Cada atributo a su vez puede verse como Cada atributo a su vez puede verse como una colección de posibles valoresuna colección de posibles valores
El Esquema se puede ver en la consola de El Esquema se puede ver en la consola de Active Directory SchemaActive Directory Schema Se pueden ver/añadir/modificar clases y atributos Se pueden ver/añadir/modificar clases y atributos
por separadopor separado
El interior del Directorio ActivoEl interior del Directorio ActivoNomenclatura de objetos (I)Nomenclatura de objetos (I)
Cada objeto se designa por su DN Cada objeto se designa por su DN (Distinguished Name)(Distinguished Name) Este recorre la estructura del DA en forma de Este recorre la estructura del DA en forma de
árbolárbol Cada objeto dispone de un RDN (Relative Cada objeto dispone de un RDN (Relative
Distiguished Name) dentro de su ámbito Distiguished Name) dentro de su ámbito local (p.e. dentro de una OU)local (p.e. dentro de una OU)
El DN de un objeto se compone de todos los El DN de un objeto se compone de todos los RDN de él mismo y de todos sus RDN de él mismo y de todos sus contenedorescontenedores
El interior del Directorio ActivoEl interior del Directorio ActivoNomenclatura de objetos (II)Nomenclatura de objetos (II)
Ej. De DNEj. De DN
Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=localCn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local
1.1. Common Name = alexCommon Name = alex2.2. Organizational Unit = usuariosdemoOrganizational Unit = usuariosdemo3.3. Domain Component = zaltormovilDomain Component = zaltormovil4.4. Domain Component = localDomain Component = local
El interior del Directorio ActivoEl interior del Directorio ActivoNomenclatura de objetos (III)Nomenclatura de objetos (III)
Cada objeto lleva asignado un GUID único Cada objeto lleva asignado un GUID único (asignado por RID)(asignado por RID) Objetos de tipo Security Principals (usuarios, grupos, Objetos de tipo Security Principals (usuarios, grupos,
equipos; objetos con acceso a recursos) además equipos; objetos con acceso a recursos) además disponen de SIDdisponen de SID
El nombre de un usuario o de un PC puede cambiar, El nombre de un usuario o de un PC puede cambiar, pero su GUID no.pero su GUID no.
EL GUID se puede ver con ADSI EditEL GUID se puede ver con ADSI Edit Atributo: objectGUIDAtributo: objectGUID
El interior del Directorio ActivoEl interior del Directorio ActivoCatálogo Global (I)Catálogo Global (I)
Dentro de un dominio, cada DC dispone de Dentro de un dominio, cada DC dispone de una copia completa de la base de datosuna copia completa de la base de datos
En un entorno multi-dominio se pueden En un entorno multi-dominio se pueden designar servidores que mantengan copias designar servidores que mantengan copias parciales de los datos de todo el forestparciales de los datos de todo el forest Servidores de Catálogo GlobalServidores de Catálogo Global
Para disminuir tamaño sólo se almacenan Para disminuir tamaño sólo se almacenan los valores de ciertos atributoslos valores de ciertos atributos
El interior del Directorio ActivoEl interior del Directorio ActivoCatálogo Global (II)Catálogo Global (II)
Cualquier DC puede tomar el rol de Catálogo Cualquier DC puede tomar el rol de Catálogo GlobalGlobal
El servidor de GC se usa para facilitar El servidor de GC se usa para facilitar consultas en entornos multidominioconsultas en entornos multidominio
Es recomendable, en entornos multidominio, Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada sitedisponer de un servidor de GC en cada site
El interior del Directorio ActivoEl interior del Directorio ActivoCatálogo Global (III)Catálogo Global (III)
En la consola (MMC) del esquema se puede En la consola (MMC) del esquema se puede indicar qué atributos se replican en el indicar qué atributos se replican en el Catálogo GlobalCatálogo Global
El interior del Directorio ActivoEl interior del Directorio ActivoRootDSERootDSE
RootDSE es parte del estándar de LDAPv3.0RootDSE es parte del estándar de LDAPv3.0 Definido en RFC 2251Definido en RFC 2251
Define la raíz de búsqueda en un servidor Define la raíz de búsqueda en un servidor LDAPLDAP
Muestra, entre otras cosas, las particiones Muestra, entre otras cosas, las particiones básicas a las que se puede conectar un básicas a las que se puede conectar un clientecliente
El interior del Directorio ActivoEl interior del Directorio ActivoResolución Ambigua de Nombres (I)Resolución Ambigua de Nombres (I)
Permite la búsqueda de un determinado Permite la búsqueda de un determinado valor en múltiples atributos simultáneamentevalor en múltiples atributos simultáneamente
Se pone a disposición de los usuarios un Se pone a disposición de los usuarios un interface de búsqueda de genteinterface de búsqueda de gente Se puede hacer una búsqueda en la casilla Se puede hacer una búsqueda en la casilla
Nombre y se devolverán N resultados con Nombre y se devolverán N resultados con diferentes coincidenciasdiferentes coincidencias
El interior del Directorio ActivoEl interior del Directorio ActivoResolución Ambigua de Nombres (II)Resolución Ambigua de Nombres (II)
Por defecto las búsquedas se hacen sobrePor defecto las búsquedas se hacen sobre sn (surname)sn (surname) givenNamegivenName physicalDeliveryOfficeNamephysicalDeliveryOfficeName sAMAccountName (cuenta NT)sAMAccountName (cuenta NT)
En el esquema se puede definir qué atributos En el esquema se puede definir qué atributos están incluidos en ANRestán incluidos en ANR A través de la consola (MMC)A través de la consola (MMC) Han de estar indexadosHan de estar indexados
El interior del Directorio ActivoEl interior del Directorio ActivoResolución Ambigua de Nombres (III)Resolución Ambigua de Nombres (III)
Ejemplo:Ejemplo: Si se quiere que la gente pueda realizar una Si se quiere que la gente pueda realizar una
búsqueda por teléfono móvil del usuario, se búsqueda por teléfono móvil del usuario, se indexa el atributo ‘mobile’ y se incluye en el ANRindexa el atributo ‘mobile’ y se incluye en el ANR
Uso de la consola de Schema de Directorio Uso de la consola de Schema de Directorio ActivoActivo
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (I)LDP (I)
Herramienta de soporte para realizar Herramienta de soporte para realizar búsquedas LDAPbúsquedas LDAP
Vale para cualquier tipo de servidor LDAP, Vale para cualquier tipo de servidor LDAP, no sólo para ADno sólo para AD
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (II)LDP (II)
Pasos:Pasos: Conexión con un servidor LDAPConexión con un servidor LDAP
Por defecto devuelve RootDSEPor defecto devuelve RootDSE Antes de consultar hay que validarAntes de consultar hay que validar
Opción bind con usuario y contraseñaOpción bind con usuario y contraseña BuscarBuscar
Definir el ámbito de la búsqueda (Base DN)Definir el ámbito de la búsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP)Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la búsqueda (En el ámbito dado)Profundidad de la búsqueda (En el ámbito dado) Resultados a devolver (Qué atributos extraer)Resultados a devolver (Qué atributos extraer)
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (III)LDP (III)
Demo búsqueda sencillaDemo búsqueda sencilla Lista de usuarios en una OU dadaLista de usuarios en una OU dada Obtener su GUID, SID y displayNameObtener su GUID, SID y displayName
Base DN: OU=usuariosdemo,DC=zaltormovil,DC=local
Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (IV)LDP (IV)
Ejemplo de búsqueda por SIDEjemplo de búsqueda por SID Obtener los datos del usuario a través de su SIDObtener los datos del usuario a través de su SID
Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623>
Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (V)LDP (V)
Ejemplo de búsqueda por GUIDEjemplo de búsqueda por GUID Obtener los datos del usuario a través de su Obtener los datos del usuario a través de su
GUIDGUID
Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d>
Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (VI)LDP (VI)
Ejemplo de búsqueda compleja.Ejemplo de búsqueda compleja. Lista de todos los atributos que se replican al Lista de todos los atributos que se replican al
catálogo globalcatálogo global
Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local
Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeSet=TRUE))
Scope: Subtree
Options - > Attributes: lDAPDisplayName
Manejo de LDAP. BúsquedasManejo de LDAP. BúsquedasLDP (VII)LDP (VII)
Ejemplo de búsqueda de usuarios Ejemplo de búsqueda de usuarios eliminados.eliminados. Ventana de seguridad muestra usuario en forma Ventana de seguridad muestra usuario en forma
de: de: Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)
Base DN: <SID=S-1-5-21-4091595955-2324484845-4052817843-1112>
Filter: objectClass=*
Scope: Base
Options -> Attributes: objectGUID;objectSid
Options -> Search type -> Extended
Options -> TimeOut -> 120
Options -> Controls -> Return Deleted Objects
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
ScriptsScripts
Windows pone a disposición del sistema una Windows pone a disposición del sistema una librería que permite, entre otras cosas, librería que permite, entre otras cosas, acceder al Directorio Activo mediante códigoacceder al Directorio Activo mediante código ADSI (Active Directory Services Interface)ADSI (Active Directory Services Interface)
La programación se realiza en lenguajes de La programación se realiza en lenguajes de ScriptScript VBScriptVBScript JScriptJScript
ScriptsScripts Demo ScriptDemo Script
Ej de uso de scripts para administración de Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript)AD. Creación de 100 usuarios (VBScript)
Set objRootDSE = GetObject("LDAP://rootDSE")Set objContainer = GetObject("LDAP://ou=milusuarios," & _objRootDSE.Get("defaultNamingContext"))For i = 1 To 100Set objLeaf = objContainer.Create("User", "cn=UserNo" & i)objLeaf.Put "sAMAccountName", "UserNo" & iobjLeaf.SetInfoNextWScript.Echo "100 Usuarios creados."
ScriptsScripts Technet Script CenterTechnet Script Center
Colección de scripts que sirven como base Colección de scripts que sirven como base para realizar tareas de administración muy para realizar tareas de administración muy elaboradaselaboradas
Cientos de ejemplos agrupados por áreas en Cientos de ejemplos agrupados por áreas en TechNet Script CenterTechNet Script Center http://www.microsoft.com/technet/scriptcenterhttp://www.microsoft.com/technet/scriptcenter
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
Extensión de la consola MMCExtensión de la consola MMC
El entorno de administración MMC es El entorno de administración MMC es extensibleextensible Permite añadir nuevas funcionalidadesPermite añadir nuevas funcionalidades
Por ejemplo MS Exchange añade nuevas Por ejemplo MS Exchange añade nuevas páginas de propiedades a las propiedades de páginas de propiedades a las propiedades de un usuarioun usuario
Extensión de la consola MMCExtensión de la consola MMC Display SpecifiersDisplay Specifiers
En el esquema de DA existen objetos de tipo En el esquema de DA existen objetos de tipo displaySpecifiersdisplaySpecifiers En el apartado de configuraciónEn el apartado de configuración
Determinan la ‘localización’ o los idiomas en Determinan la ‘localización’ o los idiomas en los que se mostrarán ciertos elementos de la los que se mostrarán ciertos elementos de la consola de administraciónconsola de administración 409 - inglés409 - inglés
Extensión de la consola MMCExtensión de la consola MMC Specifier: user-Display (I)Specifier: user-Display (I)
Permite extender las propiedades de un Permite extender las propiedades de un usuariousuario
Dependiendo de los valores de sus atributos Dependiendo de los valores de sus atributos mostrará unas cosas u otrasmostrará unas cosas u otras
Atributo adminContextMenuAtributo adminContextMenu Permite añadir una nueva opción de menú al Permite añadir una nueva opción de menú al
menú contextual de un usuariomenú contextual de un usuario
Extensión de la consola MMCExtensión de la consola MMC Specifier: user-Display (II)Specifier: user-Display (II)
Ej. Nuevo menúEj. Nuevo menú Menú sencillo de ejemplo. Simplemente obtiene Menú sencillo de ejemplo. Simplemente obtiene
la información del objeto (path) y extrae su RDNla información del objeto (path) y extrae su RDN
De esta forma se puede llamar a cualquier De esta forma se puede llamar a cualquier ejecutable que acepte parámetros por la ejecutable que acepte parámetros por la línea de comandoslínea de comandos
Más información en:Más información en: http://msdn.microsoft.com/library/en-us/netdir/http://msdn.microsoft.com/library/en-us/netdir/
ad/ad/extending_the_user_interface_for_directory_objeextending_the_user_interface_for_directory_objects.asp?frame=truects.asp?frame=true
Extensión de la consola MMCExtensión de la consola MMC Specifier: user-Display (III)Specifier: user-Display (III)
Ej. Nuevo menúEj. Nuevo menú Menú que obtiene el listado de grupos a Menú que obtiene el listado de grupos a
los que pertenece un determinado usuario los que pertenece un determinado usuario de manera recursiva.de manera recursiva. Se modifica la propiedad adminMenuSe modifica la propiedad adminMenu Obtiene grupos dentro de gruposObtiene grupos dentro de grupos Script: getUserGroups.htaScript: getUserGroups.hta
Extensión de la consola MMCExtensión de la consola MMC Specifier: computer-DisplaySpecifier: computer-Display
Ej. Nuevo menúEj. Nuevo menú Menú que obtiene la lista de software Menú que obtiene la lista de software
instalado en el equipo vía WMIinstalado en el equipo vía WMI Se modifica la propiedad adminMenuSe modifica la propiedad adminMenu Script: getSoftInstalado.htaScript: getSoftInstalado.hta
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Group Policy Management SnapInGroup Policy Management SnapIn
MMC que permite gestionar las políticas de MMC que permite gestionar las políticas de manera mucho más sencillamanera mucho más sencilla
Interface muy intuitivo válido para todo el Interface muy intuitivo válido para todo el forestforest
Dispone de informes de aplicación de GPODispone de informes de aplicación de GPO
Permite aplicar GPOs por filtros de WMI (no Permite aplicar GPOs por filtros de WMI (no sólo por usuarios o grupos)sólo por usuarios o grupos)
Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 ADAMADAM
ADAM: Active Directory Application ModeADAM: Active Directory Application Mode
Versión de Directorio Activo independiente Versión de Directorio Activo independiente de la infraestructura de la redde la infraestructura de la red
Permite disponer de un Directorio Activo Permite disponer de un Directorio Activo aislado y controlado útil para aplicaciones aislado y controlado útil para aplicaciones independientesindependientes No interfiere con AD de la redNo interfiere con AD de la red Sincronizable con AD de la red mediante Sincronizable con AD de la red mediante
Microsoft Identity Integration ServerMicrosoft Identity Integration Server
Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Descarga de las utilidadesDescarga de las utilidades
Estas utilidades y más se pueden descargar Estas utilidades y más se pueden descargar en:en: http://www.microsoft.com/http://www.microsoft.com/
windowsserver2003/downloads/windowsserver2003/downloads/default.mspxdefault.mspx
AgendaAgenda
ConceptosConceptos El interior del Directorio ActivoEl interior del Directorio Activo Manejo de LDAP. BúsquedasManejo de LDAP. Búsquedas ScriptsScripts Extensión de la consola de administración Extensión de la consola de administración
MMCMMC Nuevas Utilidades Windows 2003Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y Herramientas de diagnóstico y
monitorizaciónmonitorización
Herramientas de diagnóstico y Herramientas de diagnóstico y monitorizaciónmonitorización Netdiag.exeNetdiag.exe
Realiza diversas comprobaciones de Realiza diversas comprobaciones de la red. Útil para trazar problemas de la red. Útil para trazar problemas de conectividad, DNS, LDAP, etc.conectividad, DNS, LDAP, etc.
Herramientas de diagnóstico y Herramientas de diagnóstico y monitorizaciónmonitorización Dcdiag.exeDcdiag.exe
Realiza diversas comprobaciones de Realiza diversas comprobaciones de diagnóstico del servidor como diagnóstico del servidor como Controlador de DominioControlador de Dominio
Herramientas de diagnóstico y Herramientas de diagnóstico y monitorizaciónmonitorización Dsastat.exeDsastat.exe
Permite determinar si la estructura de Permite determinar si la estructura de DA de N servidores es igual (para DA de N servidores es igual (para verificar que se ha realizado la verificar que se ha realizado la replicación correctamente)replicación correctamente)
Herramientas de diagnóstico y Herramientas de diagnóstico y monitorizaciónmonitorización ReplMon.exeReplMon.exe
Replication Monitor. Mustra Replication Monitor. Mustra gráficamente el estado de la gráficamente el estado de la replicación entre servidoresreplicación entre servidores
Herramientas de diagnóstico y Herramientas de diagnóstico y monitorizaciónmonitorización Repadmin.exeRepadmin.exe
Utilidad muy extensa que permite Utilidad muy extensa que permite trabajar con cómo está establecida la trabajar con cómo está establecida la configuración de replicaciónconfiguración de replicación
ReferenciasReferencias
Web de Technet en EspañaWeb de Technet en España www.microsoft.com/spain/TechNet/www.microsoft.com/spain/TechNet/
Zaltor Soluciones InformáticasZaltor Soluciones Informáticas www.zaltor.comwww.zaltor.com