Introducción al pentesting sobre entornos de Directorio Activo
Trucos directorio activo[1]
-
Upload
marcelav02 -
Category
Documents
-
view
1.012 -
download
3
Transcript of Trucos directorio activo[1]
![Page 1: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/1.jpg)
![Page 2: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/2.jpg)
Trucos, técnicas y conceptos avanzados de Directorio Activo
Alejandro Mezcua
Responsable técnico
Zaltor Soluciones Informáticas
Microsoft MVP .NET
![Page 3: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/3.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 4: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/4.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 5: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/5.jpg)
Conceptos
DNS Particiones Replicación FSMO Catálogo Global
![Page 6: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/6.jpg)
ConceptosDNS (I)
Base de toda la infraestructura del Directorio Activo
Se puede utilizar cualquier servidor de DNS para mantener la información
Con servidores Windows se dispone de actualizaciones automáticas
Con servidores Windows se puede almacenar la información de zonas en el propio Directorio Activo y aprovechar la replicación para propagar los cambios
![Page 7: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/7.jpg)
ConceptosDNS (II) Los servicios se buscan realizando consultas de tipo SRV. Ej.
Consulta para encontrar servidores de GC
C:\Documents and Settings\administrator.ZALTORMOVIL>nslookupDefault Server: gandalf.zaltormovil.localAddress: 192.168.1.254
> set type=SRV> _gc._tcp.zaltormovil.localServer: gandalf.zaltormovil.localAddress: 192.168.1.254
_gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = gandalf.zaltormovil.local_gc._tcp.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 3268 svr hostname = hades.zaltormovil.localgandalf.zaltormovil.local internet address = 192.168.1.254hades.zaltormovil.local internet address = 192.168.1.253>
![Page 8: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/8.jpg)
ConceptosDNS (III) Ej. Consulta para localizar los controladores de dominio
> _ldap._tcp.dc._msdcs.zaltormovil.local.Server: gandalf.zaltormovil.localAddress: 192.168.1.254
_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = hades.zaltormovil.local_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location: priority = 0 weight = 100 port = 389 svr hostname = gandalf.zaltormovil.localhades.zaltormovil.local internet address = 192.168.1.253gandalf.zaltormovil.local internet address = 192.168.1.254>
![Page 9: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/9.jpg)
ConceptosParticiones (I)
Particiones = AD Naming Contexts Un ‘contexto’ es equivalente a una partición
Permiten disponer de ‘secciones’ del Directorio Activo independientes que se pueden replicar de manera individual
Por omisión se cuenta con: Schema Naming Context Configuration Naming Context Domain Naming Context
Se pueden generar nuevos contextos de nombres Denominados Application Naming Contexts o Application
Directory Partitions Permitirán la replicación bajo reglas propias definidas (p.e.
replicados sólo a ciertos DCs)
![Page 10: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/10.jpg)
ConceptosParticiones (II)
Schema Naming Context Contiene la definición de todas las definiciones
de clases de todos los objetos y atributos del directorio activo.
Active Directory Schema MMC
![Page 11: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/11.jpg)
ConceptosParticiones (III)
Configuration Naming Context Mantiene información acerca de la configuración
de todo el Forest, incluyendo información acerca de los dominios, controladores de dominio, replicación, subredes, etc.
Visible mediante ADSIEdit
![Page 12: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/12.jpg)
ConceptosParticiones (IV)
Domain Naming Context Contiene toda la información de los objetos
definidos en el dominio. Estos objetos se replican exclusivamente a aquellos controladores (DCs) que forman parte del dominio.
Visible mediante ADSIEdit
![Page 13: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/13.jpg)
Copia de los objetos entre DCs del directorio activo
AD Desde el punto de vista de la replicación Dominios
Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores)
Sites Reflejan la estructura física de la red.
Subredes Una vez definidas, los servidores, según su dirección
IP, se unirán automáticamente a los sites adecuados (en el momento de la instalación)
ConceptosReplicación (I)
![Page 14: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/14.jpg)
Entre DCs de un site la replicación es ‘automática’
Entre DCs de distintos sites hay que configurar conectores
Los conectores llevan asociados ‘costes’ dependiendo de las posibles conexiones físicas
ConceptosReplicación (II)
![Page 15: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/15.jpg)
ConceptosFSMO (I)
Flexible Single Master of Operations La mayoría de las tareas funcionan en modo Multiple
Master (cualquier servidor) Ciertas tareas del directorio activo se dejan en manos de
un solo servidor Se puede seleccionar a qué servidor asignar cada rol.
Cinco roles FSMO Emulador de PDC RID Master Infrastructure Master Domain Naming Master Schema Master
![Page 16: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/16.jpg)
ConceptosFSMO (II)
Emulador de PDC Uno por dominio Da servicio de PDC a equipos no Windows 2k+,
p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creación de
políticas de grupo Domain Master Browser Se determina el servidor en:
Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters
Tab PDC
![Page 17: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/17.jpg)
ConceptosFSMO (III)
RID Master (Relative ID Master) Uno por dominio Encargado de la asignación de identificadores
únicos (p.e. GUIDs) Se determina el servidor en:
Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters
Tab RID
![Page 18: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/18.jpg)
ConceptosFSMO (IV)
Infrastructure Master Uno por dominio Responsable de la comprobación de pertenencia
a grupos universales en entornos multidominio Responsable de la actualización de referencias
de objetos de su dominio a otros dominios Se determina el servidor en:
Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters
Tab Infrastructure
![Page 19: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/19.jpg)
ConceptosFSMO (V)
Domain Naming Master Uno por forest Responsable de que los nombres de dominio
sean únicos Controla el que se puedan añadir nuevos
dominios Se determina el servidor en:
Active Directory Domains and Trusts (botón derecho en raíz de la consola) Menú Operations Master
![Page 20: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/20.jpg)
ConceptosFSMO (VI)
Schema Master Uno por forest Controla cambios y actualizaciones del esquema Se determina el servidor en:
Registrar MMC de Active Directory Schema C:\>regsvr32 schmmgmt.dll
Active Directory Schema (botón derecho en raíz de la consola) Menú Operations Master
![Page 21: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/21.jpg)
ConceptosFSMO (VII)
Los cambios de rol se pueden realizar también con Ntdsutil.exe
Permite realizar múltiples operaciones Opción Roles permite realizar cambios de rol de
FSMO
![Page 22: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/22.jpg)
ConceptosFSMO (VIII)
¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO?
A través de ntdsutil.exe Opción Roles -> Seice : Rol
Permite pasar el rol a otro DC El DC original no se debe volver a poner en la red
![Page 23: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/23.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 24: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/24.jpg)
El interior del Directorio ActivoEsquema
Definición formal de todos los objetos Directorio Activo y sus atributos
Cada tipo de objeto (clase) deriva de una clase principal Top Las clases heredan de otras clases su definición
y comportamiento Cada objeto dispone de atributos
obligatorios y atributos opcionales Símil con una tabla de BBDD Relacional
Clase => Definición en una fila de un objeto Atributos => Columnas que definen una clase
![Page 25: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/25.jpg)
El interior del Directorio ActivoEsquema (II)
Cada atributo a su vez puede verse como una colección de posibles valores
El Esquema se puede ver en la consola de Active Directory Schema Se pueden ver/añadir/modificar clases y atributos
por separado
![Page 26: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/26.jpg)
El interior del Directorio ActivoNomenclatura de objetos (I)
Cada objeto se designa por su DN (Distinguished Name) Este recorre la estructura del DA en forma de
árbol Cada objeto dispone de un RDN (Relative
Distiguished Name) dentro de su ámbito local (p.e. dentro de una OU)
El DN de un objeto se compone de todos los RDN de él mismo y de todos sus contenedores
![Page 27: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/27.jpg)
El interior del Directorio ActivoNomenclatura de objetos (II)
Ej. De DN
Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local
1. Common Name = alex2. Organizational Unit = usuariosdemo3. Domain Component = zaltormovil4. Domain Component = local
![Page 28: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/28.jpg)
El interior del Directorio ActivoNomenclatura de objetos (III)
Cada objeto lleva asignado un GUID único (asignado por RID) Objetos de tipo Security Principals (usuarios, grupos,
equipos; objetos con acceso a recursos) además disponen de SID
El nombre de un usuario o de un PC puede cambiar, pero su GUID no.
EL GUID se puede ver con ADSI Edit Atributo: objectGUID
![Page 29: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/29.jpg)
El interior del Directorio ActivoCatálogo Global (I)
Dentro de un dominio, cada DC dispone de una copia completa de la base de datos
En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global
Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
![Page 30: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/30.jpg)
El interior del Directorio ActivoCatálogo Global (II)
Cualquier DC puede tomar el rol de Catálogo Global
El servidor de GC se usa para facilitar consultas en entornos multidominio
Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
![Page 31: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/31.jpg)
El interior del Directorio ActivoCatálogo Global (III)
En la consola (MMC) del esquema se puede indicar qué atributos se replican en el Catálogo Global
![Page 32: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/32.jpg)
El interior del Directorio ActivoRootDSE
RootDSE es parte del estándar de LDAPv3.0 Definido en RFC 2251
Define la raíz de búsqueda en un servidor LDAP
Muestra, entre otras cosas, las particiones básicas a las que se puede conectar un cliente
![Page 33: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/33.jpg)
El interior del Directorio ActivoResolución Ambigua de Nombres (I)
Permite la búsqueda de un determinado valor en múltiples atributos simultáneamente
Se pone a disposición de los usuarios un interface de búsqueda de gente Se puede hacer una búsqueda en la casilla
Nombre y se devolverán N resultados con diferentes coincidencias
![Page 34: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/34.jpg)
El interior del Directorio ActivoResolución Ambigua de Nombres (II)
Por defecto las búsquedas se hacen sobre sn (surname) givenName physicalDeliveryOfficeName sAMAccountName (cuenta NT)
En el esquema se puede definir qué atributos están incluidos en ANR A través de la consola (MMC) Han de estar indexados
![Page 35: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/35.jpg)
El interior del Directorio ActivoResolución Ambigua de Nombres (III)
Ejemplo: Si se quiere que la gente pueda realizar una
búsqueda por teléfono móvil del usuario, se indexa el atributo ‘mobile’ y se incluye en el ANR
Uso de la consola de Schema de Directorio Activo
![Page 36: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/36.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 37: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/37.jpg)
Manejo de LDAP. BúsquedasLDP (I)
Herramienta de soporte para realizar búsquedas LDAP
Vale para cualquier tipo de servidor LDAP, no sólo para AD
![Page 38: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/38.jpg)
Manejo de LDAP. BúsquedasLDP (II)
Pasos: Conexión con un servidor LDAP
Por defecto devuelve RootDSE Antes de consultar hay que validar
Opción bind con usuario y contraseña Buscar
Definir el ámbito de la búsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la búsqueda (En el ámbito dado) Resultados a devolver (Qué atributos extraer)
![Page 39: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/39.jpg)
Manejo de LDAP. BúsquedasLDP (III)
Demo búsqueda sencilla Lista de usuarios en una OU dada Obtener su GUID, SID y displayName
Base DN: OU=usuariosdemo,DC=zaltormovil,DC=local
Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
![Page 40: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/40.jpg)
Manejo de LDAP. BúsquedasLDP (IV)
Ejemplo de búsqueda por SID Obtener los datos del usuario a través de su SID
Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623>
Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
![Page 41: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/41.jpg)
Manejo de LDAP. BúsquedasLDP (V)
Ejemplo de búsqueda por GUID Obtener los datos del usuario a través de su
GUID
Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d>
Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
![Page 42: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/42.jpg)
Manejo de LDAP. BúsquedasLDP (VI)
Ejemplo de búsqueda compleja. Lista de todos los atributos que se replican al
catálogo global
Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local
Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeSet=TRUE))
Scope: Subtree
Options - > Attributes: lDAPDisplayName
![Page 43: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/43.jpg)
Manejo de LDAP. BúsquedasLDP (VII)
Ejemplo de búsqueda de usuarios eliminados. Ventana de seguridad muestra usuario en forma
de: Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)
Base DN: <SID=S-1-5-21-4091595955-2324484845-4052817843-1112>
Filter: objectClass=*
Scope: Base
Options -> Attributes: objectGUID;objectSid
Options -> Search type -> Extended
Options -> TimeOut -> 120
Options -> Controls -> Return Deleted Objects
![Page 44: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/44.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 45: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/45.jpg)
Scripts
Windows pone a disposición del sistema una librería que permite, entre otras cosas, acceder al Directorio Activo mediante código ADSI (Active Directory Services Interface)
La programación se realiza en lenguajes de Script VBScript JScript
![Page 46: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/46.jpg)
Scripts Demo Script
Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript)
Set objRootDSE = GetObject("LDAP://rootDSE")Set objContainer = GetObject("LDAP://ou=milusuarios," & _objRootDSE.Get("defaultNamingContext"))For i = 1 To 100Set objLeaf = objContainer.Create("User", "cn=UserNo" & i)objLeaf.Put "sAMAccountName", "UserNo" & iobjLeaf.SetInfoNextWScript.Echo "100 Usuarios creados."
![Page 47: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/47.jpg)
Scripts Technet Script Center
Colección de scripts que sirven como base para realizar tareas de administración muy elaboradas
Cientos de ejemplos agrupados por áreas en TechNet Script Center http://www.microsoft.com/technet/scriptcenter
![Page 48: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/48.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 49: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/49.jpg)
Extensión de la consola MMC
El entorno de administración MMC es extensible Permite añadir nuevas funcionalidades
Por ejemplo MS Exchange añade nuevas páginas de propiedades a las propiedades de un usuario
![Page 50: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/50.jpg)
Extensión de la consola MMC Display Specifiers
En el esquema de DA existen objetos de tipo displaySpecifiers En el apartado de configuración
Determinan la ‘localización’ o los idiomas en los que se mostrarán ciertos elementos de la consola de administración 409 - inglés
![Page 51: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/51.jpg)
Extensión de la consola MMC Specifier: user-Display (I)
Permite extender las propiedades de un usuario
Dependiendo de los valores de sus atributos mostrará unas cosas u otras
Atributo adminContextMenu Permite añadir una nueva opción de menú al
menú contextual de un usuario
![Page 52: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/52.jpg)
Extensión de la consola MMC Specifier: user-Display (II)
Ej. Nuevo menú Menú sencillo de ejemplo. Simplemente obtiene
la información del objeto (path) y extrae su RDN
De esta forma se puede llamar a cualquier ejecutable que acepte parámetros por la línea de comandos
Más información en: http://msdn.microsoft.com/library/en-us/netdir/
ad/extending_the_user_interface_for_directory_objects.asp?frame=true
![Page 53: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/53.jpg)
Extensión de la consola MMC Specifier: user-Display (III)
Ej. Nuevo menú Menú que obtiene el listado de grupos a
los que pertenece un determinado usuario de manera recursiva. Se modifica la propiedad adminMenu Obtiene grupos dentro de grupos Script: getUserGroups.hta
![Page 54: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/54.jpg)
Extensión de la consola MMC Specifier: computer-Display
Ej. Nuevo menú Menú que obtiene la lista de software
instalado en el equipo vía WMI Se modifica la propiedad adminMenu Script: getSoftInstalado.hta
![Page 55: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/55.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 56: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/56.jpg)
Nuevas Utilidades Windows 2003 Group Policy Management SnapIn
MMC que permite gestionar las políticas de manera mucho más sencilla
Interface muy intuitivo válido para todo el forest
Dispone de informes de aplicación de GPO
Permite aplicar GPOs por filtros de WMI (no sólo por usuarios o grupos)
![Page 57: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/57.jpg)
Nuevas Utilidades Windows 2003 ADAM
ADAM: Active Directory Application Mode
Versión de Directorio Activo independiente de la infraestructura de la red
Permite disponer de un Directorio Activo aislado y controlado útil para aplicaciones independientes No interfiere con AD de la red Sincronizable con AD de la red mediante
Microsoft Identity Integration Server
![Page 58: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/58.jpg)
Nuevas Utilidades Windows 2003 Descarga de las utilidades
Estas utilidades y más se pueden descargar en: http://www.microsoft.com/
windowsserver2003/downloads/default.mspx
![Page 59: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/59.jpg)
Agenda
Conceptos El interior del Directorio Activo Manejo de LDAP. Búsquedas Scripts Extensión de la consola de administración
MMC Nuevas Utilidades Windows 2003 Herramientas de diagnóstico y
monitorización
![Page 60: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/60.jpg)
Herramientas de diagnóstico y monitorización Netdiag.exe
Realiza diversas comprobaciones de la red. Útil para trazar problemas de conectividad, DNS, LDAP, etc.
![Page 61: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/61.jpg)
Herramientas de diagnóstico y monitorización Dcdiag.exe
Realiza diversas comprobaciones de diagnóstico del servidor como Controlador de Dominio
![Page 62: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/62.jpg)
Herramientas de diagnóstico y monitorización Dsastat.exe
Permite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicación correctamente)
![Page 63: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/63.jpg)
Herramientas de diagnóstico y monitorización ReplMon.exe
Replication Monitor. Mustra gráficamente el estado de la replicación entre servidores
![Page 64: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/64.jpg)
Herramientas de diagnóstico y monitorización Repadmin.exe
Utilidad muy extensa que permite trabajar con cómo está establecida la configuración de replicación
![Page 65: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/65.jpg)
Referencias
Web de Technet en España www.microsoft.com/spain/TechNet/
Zaltor Soluciones Informáticas www.zaltor.com
![Page 66: Trucos directorio activo[1]](https://reader033.fdocuments.net/reader033/viewer/2022061609/557adf3bd8b42a8f648b4f82/html5/thumbnails/66.jpg)