UT6_Administración de Dominios en AD

8/20/2019 UT6_Administración de Dominios en AD

1/29

25/11/20


2/29

25/11/20

Active Directory

Un directorio es una lista que permite organizar y

localizar elementos.

En términos informáticos los dos elementos de un

directorio son:

• El almacén de datos: contiene los objetos talescomo aplicaciones, bases de datos, impresoras,

usuarios,…

• Los servicios que actúan sobre los datos: lleva a

cabo funciones como: replicación, medidas deseguridad, distribución de datos,…

Active Directory

Definición de Active Directory

Es un almacén de objetos y un servicio basado en la red ,

con una estructura jerárquica que ubica y administra

recursos, poniéndolos al alcance de grupos y usuarios.

En AD todo es un objeto: usuarios, servidores, estacionesde trabajo, documentos,…

Cada objeto tiene sus propios atributos así como una ACL

(Access Control List) asociada.


3/29

25/11/20

Active Directory

FUNCIONES DE AD

Almacén jerárquico de los objetos.

Esquema. Conjunto de reglas que definen la estructurade los objetos que se pueden crear en AD.

Catálogo global. Es el conjunto de todos los objetos deAD.

Sistema de índices y consultas. Se pueden realizarconsultas sobre objetos, es decir, buscar información

sobre un objeto. Esto se realiza mediante LDAP (Protocolo

Ligero de Acceso al Directorio)

Servicio de replicación. Permite la sincronización dedatos entre varios servidores de AD.

Active Directory

FUNCIONES DE AD

Nombres integrados con DNS. Es esquema de nombres

de los diferentes objetos sigue el estándar DNS.


4/29

25/11/20

Active Directory

PROTOCOLOS Y ESTÁNDARES DE AD

DNS( Servicio de nombres de dominio). Realiza latraducción entre nombres de dominio y direcciones IP.

SNTP (Protocolo Simple de tiempo de red). Permitesincronizar el tiempo entre dos ó más máquinas de la red.

Kerberos v5. Es el protocolo utilizado para laautenticación de usuarios y máquinas.

Certificados X.509. Estándar de infraestructura de clavepública, usado para certificados digitales

Active Directory

AD dispone de dos elementos estructurales más un

tercer elemento que sería el esquema:

• Estructura lógica: está compuesta por los objetosasí como sus atributos asociados. Los objetos de AD

se organizan según un modelo jerárquico de

dominio.

• Estructura física: esta estructura presentamecanismos para la replicación y comunicación de

datos. Sus dos aspectos fundamentales son:

• La definición de elemento estructural de la subred

IP, constituido por los sitios de AD

• El servidor físico que almacena y replica datos de AD


5/29

25/11/20

Active Directory

• Esquema: contiene las definiciones de todos losobjetos que se crean y almacenan en Active Directory

y sus propiedades.

Las clases describen los posibles objetos del directorio

que se pueden crear. Cada clase es una colección de

atributos. Al crear un objeto, los atributos almacenan

la información que describe el objeto.

El esquema es responsabilidad del controlador de

dominio.

Una copia se replica a todos los DC del bosque para

asegurar la integridad y coherencia de los datos en

todo el bosque.


6/29

25/11/20

Active Directory

Los bloques organizativos disponibles en la estructura

lógica son:

• Dominios

• Árboles de dominio

• Bosques de dominio

• Unidades organizativas


7/29

25/11/20

Active Directory

Dominio

Consta de los sistemas de equipo y los recursos de

red que comparte un límite de seguridad lógica, es

decir, comparten un nombre, un conjunto de

directivas y unas bases de datos.

Es la estructura principal de AD. Todos los objetos

forman parte de un dominio y la política de seguridad

es uniforme en él.

Active Directory

Cada dominio se identifica unívocamente con un

nombre de dominio DNS, que debe ser el sufijo DNS

principal de todos sus equipos.

Ejemplo: Si equipo1 pertenece al dominio

smrdominio.local, el nombre completo del equipo será

equipo1.smrdominio.local

Objetivos de utilizar un dominio:

Límite de seguridad. La configuración de seguridad

de cada dominio es independiente.

Límite de replicación de información. Cualquier

controlador de dominio admite cambios de

información y es capaz de replicarlos al resto de

controladores del mismo dominio.


8/29

25/11/20

Active Directory

Límite de delegación de permisos administrativos.

Se pueden delegar los derechos administrativos deldominio a otros usuarios pero no a otros dominios

Active Directory

Árboles de dominios

Es un conjunto de dominios comparten un esquema,

relaciones de confianza de seguridad y un catálogo

global , se crea un árbol de dominio, definido por

espacios de nombre común y contiguo.

Ejemplo: hijo1.raiz.com , hijo2.raiz.com e

hijo3.raiz.com pueden formar parte de un árbol, yaque comparten una nomenclatura contigua y pueden

tener un esquema y catálogo global comunes.

El primer dominio creado se conoce como dominio raíz ycontiene la configuración y los datos de esquema para el

árbol.


9/29

25/11/20

Active Directory

Algunos de los motivos para crear diferentes dominios en

un árbol son:

• Se pueden gestionar organizaciones diferentes y

proporcionar identidades de unidad.

• Se pueden reforzar distintos límites de seguridad y

directivas de contraseña

• Proporciona una mejor gestión de un gran número

de objetos administrados

• Descentraliza la administración

Active Directory

Bosques de dominios

Es un conjunto de uno o más árboles, conectados entre

los dominios raíz de dichos árboles a través de relaciones

de confianza bidireccionales.

Si hay más de un árbol en el bosque, estos no tienen el

mismo espacio de nombres.

Pero las relaciones de confianza también se pueden

establecer entre árboles de dominio con distintos

espacios de nombres. Cuando esto ocurre se crean

distintos espacios de nombres.

Un bosque no tiene un nombre propio.


10/29

25/11/20

Active Directory

Bosques de dominios

Las razones para crear árboles son:

Mantener los nombres de dominio de los árboles

Proporcionar una estructura de red (si mi empresa

tiene varias empresas subsidiarias independientes, se

crearía un árbol para cada empresa.

Fusiones de empresas que quieren mantener su

entidad.

NO se pueden mover dominios entre bosques.

Cuando se crea el primer controlador de dominio en la

organización se crea el dominio raíz del bosque

http://delreguero.com/wordpress/wp-

content/uploads/ASO/otros/01_intro_infraestruct_DA/media08_1.htm


11/29

25/11/20

Active Directory

Unidades organizativas

Los dominios se pueden dividir de manera interna en

subestructuras administrativas conocidas como Unidades

Organizativas.

Pueden considerarse como objetos de contenedor.

Las UO pueden anidarse dentro de otras UO, pudiendocrear una estructura jerárquica dentro del dominio.


12/29

25/11/20

CONTROLADOR DE DOMINIO:Contiene la base de datos de objetos del directorio para un determinado dominio,

incluida la información relativa a la seguridad. Además, será responsable de la

autenticación de objetos dentro de su ámbito de control.

En un dominio dado, puede haber varios controladores de dominio asociados, de

modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin

embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo

dominio, tendrán la misma importancia.

Un controlador de dominio de sólo lectura RODC contiene una copia de solo lectura de

AD. Por lo tanto, desde él no se puede administrar el AD.

Su objetivo es proporcionar un acceso rápido y que no suponga un ataque de

seguridad a la red (se suele utilizar en sucursulas)

Componentes de AD


13/29

25/11/20

UN SITIO es un grupo de ordenadores que se encuentranrelacionados, de una forma lógica, con una localización

geográfica particular.

En realidad, pueden encontrarse físicamente en ese lugar o,

como mínimo, estar conectados, mediante un enlace

permanente, con el ancho de banda adecuado.

En otras palabras, un controlador de dominio puede estar en la

misma zona geográfica de los clientes a los que ofrece sus

servicios o puede encontrarse en el otro extremo del planeta

(siempre que estén unidos por una conexión adecuada). Pero en

cualquier caso, todos juntos formarán el mismo sitio.

Componentes de AD

• Una relación de confianza es una relación establecidaentre los dominios de forma que permite a los usuarios de

un dominio ser reconocidos por los DCs de otro dominio.

• Las relaciones de confianza tienen tres rasgos

característicos:• Método de creación: algunos tipos de relaciones e

confianza se crean de forma automática (implícita) y

otros de forma manual (explícita).

Componentes de AD


14/29

25/11/20

• Dirección: algunos tipos de relaciones son

unidireccionales y otros bidireccionales. Si la relación

es unidireccional, los usuarios del dominio A (de

confianza) pueden utilizar los recursos del dominio B

(que confía), pero no al revés.

• Transitividad : una relación de confianza transitiva es

aquella que permite que si un dominio A confía en otro

B, y éste confía en un tercero C, entonces, de forma

automática, A confía en C.

Componentes de AD

• Los tipos de relaciones de confianza válidos en dominios y

bosques son:

• Bidireccionales y transitivas.

• Relación entre dominios del mismo árbol o bosque.

• Cuando se crea un dominio hijo, éste confía en el

padre y viceversa.

• Por defecto se incluyen las confianzas establecidas

de forma automática entre los dominios raíz de losárboles del mismo bosque.

• La relación entre dominio-subdominio

Componentes de AD


15/29

25/11/20

• Los tipos de relaciones de confianza válidos en dominios y

bosques son:

• De acceso directo o atajo. Son relaciones creadas

manualmente que mejoran la eficacia de los inicio de

sesión remotos, acortando la la ruta entre dos

dominios.

• Se utiliza cuando los usuarios de un dominio

necesitan acceder a los recursos de otro.

• Externas o unidireccionales no transitivas. Se crean

entre dos dominios de diferentes bosques. (Usuarios

del dominio A pueden utilizar recursos de dominio B,

pero no al revés).

Componentes de AD

• (Usuarios del dominio A pueden utilizar recursos de

dominio B, pero no al revés).•Confianza del bosque.

•Se crea de forma manual entre dominios raíz de dos bosques

distintos.

•Permite a los usuarios de un bosque acceder a los recursos

de cualquier dominio del otro bosque.

•Es unidireccional y transitiva entre dos bosques.

•Confianza de territorio.•Se establece de forma manual entre un dominio Windows

Server 2008 y un Kerberos que no sea Windows.

Componentes de AD


16/29

25/11/20

Componentes de AD

• A lo largo del tiempo los sistemas Windows

Server han evolucionado respecto a su

funcionalidad.

• Esta evolución se refleja en lo que se conoce

como niveles funcionales.

• Un nivel funcional establece una serie decaracterísticas o funcionalidades disponibles en el

dominio/bosque y la posibilidad de ser

compatible con un versión previa de Windows

Server.

Componentes de AD. Niveles funcionales


17/29

25/11/20

• Windows Server 2008 R2 dispone de los

siguientes niveles funcionales:

• Windows 2000 Nativo

• Windows Server 2003

• Windows Server 2008

• Windows Server 2008 R2

Componentes de AD. Niveles funcionales

• Se estructura de la siguiente manera:

• Nombre completo.

• Cada objeto se identifica de manera única.Para ello, AD utiliza el nombre completo.Ejemplo: Un usuario con nombre común

(CN), se ubica en la Unidad organizativa(OU), y se encuentra en un dominio (DC)

• Ejemplo:

–CN=Rafael Pérez, OU=Users, DC=ejemplo,DC=com

Sistemas de nombres de AD


18/29

25/11/20

• Se estructura de la siguiente manera:

• Nombre completo relativo. Define la ruta del objeto sinmencionar ni el dominio, ni la unidad organizativa.

• Ejemplo: Si estamos dentro de la OU Users del dominioejemplo.com para encontrar el usuario se debeespecificar Rafael Pérez.

• Nombre principal de usuario. Es el nombre con el cual seregistra el usuario. Se debe especificar usuario y dominio.

• Ejemplo: [email protected]

• Identificador único global (GUID) o identificador de

seguridad (SID). Son dos identificadores de un objeto. Sicambio de dominio el SID varía pero GUID no debe cambia.


• AD utiliza el sistema de nombres DNS para

tres funciones:

– Resolver los nombres de dominios y objetos.

• Para localizar un equipo PC1: PC1.ejemplo.com

– Asignar nombres a los dominios y a los objetos.

– Localizar los controladores de dominio y suscomponentes


mailto:[email protected]:[email protected]:[email protected]:[email protected]


19/29

25/11/20

Antes de instalar Active Directory hay que tener un par

de cosas en cuenta:

• Cambia el nombre del equipo en la red ya que

después de promocionarlo a controlador de dominio

será mucho más difícil.

• Siempre es conveniente que el DC tenga las IP

asignadas como estáticas (ya que también va a

funcionar como servidor DNS), por lo que asegúrate

de que tienen esta configuración.

Instalación de Active Directory


20/29

25/11/20


Como cualquier nueva funcionalidad que queramos

asignarle al servidor hemos de hacerlo en

Administrador del servidor y ahí elegimos Agregar

funciones.



21/29

25/11/20




22/29

25/11/20


Nos aseguramos de que la instalación ha finalizado

correctamente.



23/29

25/11/20

Ya tenemos instalada la función de Controlador de

dominio pero el equipo aún no lo es.

Para ello hay que promocionarlo a controlador dedominio.

Esto lo hacemos desde la línea de comandos

utilizando la orden dcpromo.


Seleccionamos la opción de instalación en modo

avanzado.



24/29

25/11/20


Si ya tenemos un dominio en la organización

podremos añadir el dominio al bosque existente.

En caso contrario crearemos un bosque nuevo.



25/29

25/11/20

Debemos asignar un FQDN (Fully Qualified Domain

Name) a nuestro dominio.

Como es un dominio interno para nuestra

organización es buena costumbre poner la extensión

.local


Por compatibilidad con versiones anterior hemos de

asignarle un nombre NetBIOS para el servidor.

Recuerda que NetBIOS/NetBEUI es el protocolo de

asignación de nombres en red utilizado en los

equipos Windows.



26/29

25/11/20

Se indica el nivel funcional del bosque.

Según el nivel funcional que escojamos limitaremos laversión de Windows Server que tienen que tener

otros controladores de dominio del servidor.


Active Directory requiere

un servidor DNS en el

dominio para la

resolución de nombres.

Si no tenemos un

servidor DNS en la red

marcamos la casilla

Servidor DNS para que lo

instale.

Hay otras dos casillas marcadas en gris que solo se muestran si ya

tenemos otro DC en la red:

• Catálogo global: si la marcamos el catálogo global del dominiose almacenará en el DC que estamos instalando.

• DC de solo lectura: si queremos que el controlador de dominioque instalamos sea de solo lectura.



27/29

25/11/20

Indicamos donde queremos guardar la base de datos

de AD, los archivos de registro y SYSVOL.

En un DC en producción es aconsejable hacerlo en un

disco diferente.


El Modo de restauración nos permite recuperar el

sistema en caso de fallo. Aquí indicaremos la

contraseña que necesitaremos en caso de hacerlo.



28/29

25/11/20

Finalmente nos

muestra un

resumen de las

opcionesescogidas y

procede a la

promoción del

DC


Al finalizar reiniciamos el equipo para que se apliquen

los cambios.



29/29

25/11/20

Cuando reiniciemos el

equipo podemos ver que ya

nos estamos validandocontra el dominio y no como

usuario local.

En el controlador de dominio

no hay usuario locales.

Ya veremos que en el resto

de equipos del dominio

podemos entrar como

usuarios locales o como

usuarios del dominio.


Ahora en nuestro servidor

tenemos tres nuevas

entradas para gestionar el

administrar el dominio.


UT6_Administración de Dominios en AD

Documents

Transcript of UT6_Administración de Dominios en AD