Infraestructuras de

Active Directory
Presentacin multimedia: Estructura lgica de Active
Directory
Dominio Dominio
Dominio
Dominio
Dominio
Dominio
UO
UO UO
rbol de dominios
Dominio
Bosque
Unidad organizativa
Objetos
Presentacin multimedia: Estructura fsica de Active
Directory
Sitios
Controladores de dominio
Vnculos WAN
Sitio
Controladores de dominio
Vnculo WAN
Sitio
Dominio
UO1
Equipos
Equipo1
Usuarios
Usuario1
Usuarios
Usuario2
UO2
Impresoras
Impresora1
Qu es un servicio de directorio
Un repositorio de informacin estructurado sobre
personas y recursos de una organizacin
JessHernndez
Atributos
Valores
Nombre
Edificio
Planta
Jess
Hernndez
117
1
Qu es un esquema
Una definicin para todo el bosque de clases de objetos
y atributos que se puede extender
Los cambios en el esquema se pueden volver a definir
o desactivar
Ejemplos de clases
de objetos
Usuario
Equipo
Impresora
Ejemplos de
atributos
accountExpires
department
distinguishedName
directReports
dNSHostName
operatingSystem
repsFrom
repsTo
firstName
lastName
Qu son los nombres completos y los nombres
completos relativos
Los nombres completos identifican el dominio de un objeto
y la ruta para llegar a l
Contoso.msft
Finance
Sales
Cristina Martnez
CN=Cristina Martnez,OU=Sales,OU=Finance,DC=contoso,DC=msft
Nombre completo
relativo
Administracin centralizada
Permite que un nico administrador administre los recursos de forma
centralizada
Permite a los administradores localizar informacin y objetos de
grupo
Utiliza directivas de grupo para especificar la configuracin y
controlar el entorno de usuario
Dominio
OU1
Equipos
Equipo1
Usuarios
Usuario1
Usuarios
Usuario2
OU2
Impresoras
Impresora1
OU2 OU1
Equipo1 Usuario1 Usuario2Impresora2
Administracin descentralizada
Permite la delegacin de responsabilidades administrativas de red
para unidades organizativas especficas a otros administradores
Permite la delegacin de tareas especficas en unidades organizativas
Dominio
Admin1
Admin2
Admin3
OU1
OU2
OU3
Administracin centralizada
Permite que un nico administrador administre los recursos
de forma centralizada
Permite a los administradores localizar informacin y objetos
de grupo
Utiliza directivas de grupo para especificar la configuracin y
controlar el entorno de usuario
Administracin descentralizada
Permite la delegacin de responsabilidades administrativas
de red para unidades organizativas especficas a otros
administradores
Permite la delegacin de tareas especficas en unidades
organizativas
Administracin de Active Directory
Herramientas y complementos administrativos de
Active Directory
Complementos MMC administrativos
Usuarios y equipos de Active Directory
Dominios y confianzas de Active Directory
Sitios y servicios de Active Directory
Esquema de Active Directory
Herramientas administrativas de lnea de comandos
Dsadd
Dsmod
Dsquery
Dsmove
Microsoft Windows Script Host
Dsrm
Dsget
CSVDE
LDIFDE
Informacin general del diseo, planeamiento e
implementacin de Active Directory
Basado en los requisitos empresariales de
la organizacin
Diseo de
Active Directory
Basado en los aspectos tcnicos del diseo
Se traduce en directrices de implementacin
Plan de
implementacin
de Active Directory
Crea una estructura de dominios y bosques
Implementacin de
Active Directory
Proceso de diseo de Active Directory
Las tareas de diseo
incluyen:
Recopilacin de
informacin organizativa
Anlisis de informacin
organizativa
Anlisis de las opciones
de diseo
Seleccin de un diseo
Perfeccionamiento del
diseo
La salida del proceso de
diseo incluye:
Diseo de bosques y
dominios
Diseo de unidades
organizativas
Diseo de sitios
Proceso de planeamiento de Active Directory
Estrategia de
cuentas
Estrategia
de auditora
Plan de
implementacin
de unidades
organizativas
Plan de
implementacin
de sitios
Plan de
implementacin
del software
Plan de
ubicacin de
servidores
Plan de
directivas de
grupo
Plan
de
implementacin
de Active
Directory
Proceso de implementacin de Active Directory
Para implementar el plan de Active Directory:
Implemente la estructura de bosques, dominios
y DNS
Cree:
Unidades organizativas y grupos de seguridad
Cuentas de usuario y equipo
Directivas de grupo
Implemente sitios
Implementacin de una
estructura de dominios y
bosques de Active
Directory
Proceso de instalacin
Inicia el protocolo de seguridad y establece la directiva
de seguridad
Crea:
Las particiones, la base de datos y los archivos de registro
de Active Directory
El dominio raz de bosque
La carpeta SYSVOL
Configura la pertenencia del controlador de dominio a
un sitio
Habilita la seguridad en el servicio de directorio y en las
carpetas de replicacin de archivos
Aplica la contrasea del modo de restauracin
Proceso de instalacin de Active Directory
Cmo solucionar problemas de instalacin de Active
Directory
Sntoma
Causas posibles
Se ha denegado el
acceso al crear o
agregar controladores
de dominio
No ha iniciado sesin con una cuenta del grupo
de administradores locales
Las credenciales no pertenecen a una cuenta de
usuario que forme parte del grupo Admins. del
dominio o Administradores de organizacin
Los nombres de
dominio DNS o
NetBIOS no son
exclusivos
Otro dominio tiene el mismo nombre DNS o NetBIOS
No se puede entrar
en contacto con el
dominio
Error de red
Error de DNS
No hay suficiente
espacio en disco
El espacio en disco disponible es inferior al espacio
mnimo necesario para instalar Active Directory
Espacios de nombres de Active Directory y DNS
training
microsoft
= nodo DNS (dominio o equipo) = dominio de Active Directory
sales
computer1
Dominio raz DNS
.
com.
Espacio de nombres DNS
Espacio de nombres de Active Directory
microsoft.msft
sales. microsoft.msft
training. microsoft.msft
Qu son los registros de recursos SRV
Los registros de recursos SRV son registros DNS
que asignan un servicio al equipo que lo proporciona
Formato de registros SRV
Ejemplo
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft
_Servicio_.Protocolo.Nombre Ttl Clase SRV Prioridad Carga Puerto Destino
Registros SRV registrados por controladores de dominio
Los controladores de dominio con Windows Server 2003
registran registros SRV en el subdominio _msdcs con el
siguiente formato:
Ejemplos
_ldap._tcp.NombreDeDominioDns
_ldap._tcp.NombreDeSitio._sites.dc
_msdcs.NombreDeDominioDns
_gc._tcp.NombreDeBosqueDns
_gc._tcp.NombreDeSitio._sites.NombreDeBosqueDns
_kerberos._tcp.NombreDeDominioDns
_kerberos._tcp.NombreDeSitio
_sites.NombreDeDominioDns
_Servicio._Protocolo.TipoDeCd._msdcs.NombreDeDominioDns
Cmo funcionan las confianzas entre bosques
nwtraders.msft
contoso.msft
Confianza de bosque
Catlogo
global
Catlogo
global
Seattle
vancouver.nwtraders.msft
seattle.contoso.msft
Vancouver
2
44
66
1
3
55
7
8
99
Implementacin
de la estructura de una
unidad organizativa
Introduccin a la administracin de unidades
organizativas
Eliminacin
Dominio
UO1
UO2A
Mantenimiento
Dominio
UO1
UO2A
UO3
Implementacin
Dominio
UO1
UO2
UO3
Planeamiento
Plan de unidad
organizativa
Mtodos para crear y administrar unidades organizativas
Usuarios y equipos
de Active Directory
Herramientas del servicio
de directorio
DSadd
DSmod
DSrm
Herramienta de lnea
de comandos Ldifde
Microsoft Windows
Script Host
Qu es la delegacin de privilegios administrativos
Es el proceso de
descentralizacin
de la administracin
de unidades organizativas
La delegacin proporciona:
Autonoma administrativa
Aislamiento de servicios
o datos
Dominio
Admin1
Admin2
Admin3
UO1
UO2
UO3
Tareas administrativas para unidades organizativas
En una unidad organizativa puede:
Cambiar las propiedades de un contenedor
Crear y eliminar objetos de un tipo especfico
Actualizar propiedades especficas en objetos
de un tipo especfico
Proceso de planeamiento de unidades organizativas
Documentar la estructura existente de la organizacin
Identificar reas que mejorar
Determinar el nivel de administracin
Identificar cada cuenta de administrador y usuario
en la organizacin y los recursos que administran
Factores organizativos que afectan a la estructura de
unidades organizativas
Tipo de modelo administrativo de IT
IT centralizado
IT centralizado con administracin descentralizada
IT descentralizado
IT subcontratado
Estructura de modelo administrativo de IT
Administracin basada en la situacin geogrfica
Administracin basada en la organizacin
Administracin basada en la funcin empresarial
Administracin hbrida
Directrices para el planeamiento de una estructura de
unidad organizativa
Modelo administrativo Disear estructura de UO basada en:
Basado en la
situacin geogrfica
Ubicacin
Basado en la
organizacin
Estructura de la organizacin
Basado en
la funcin
empresarial
Funciones de la organizacin
Hbrido
Ubicacin para las unidades organizativas
o dominios superiores
Estructura de la organizacin para unidades
organizativas o dominios inferiores
Accounting
Research
Sales
Directrices para la delegacin del control
administrativo
Asignar control en el nivel de unidad organizativa
y obtener ventajas con la herencia
Reducir los permisos en el nivel de propiedad o tarea
Reducir el nmero de administradores de dominio
Asignar permisos de acceso a grupos en lugar
de a individuos
Implementacin de
cuentas de usuario,
grupo y equipo
Tipos de cuentas
Cuentas de usuario
Permiten a los usuarios iniciar
sesin una nica vez
Proporcionan acceso a recursos
Cuentas de equipo
Permiten la autenticacin
y auditora del acceso
de los equipos a recursos
Cuentas de grupo
Ayudan a simplificar
la administracin
Tipos de grupos
Grupos de distribucin
Se utilizan slo con aplicaciones
de correo electrnico
No estn habilitados para seguridad
Grupos de seguridad
Se utilizan para asignar derechos y
permisos a los grupos de usuarios y equipos
Se utilizan de forma ms eficaz cuando
estn anidados
El nivel funcional determina el tipo de grupos
que puede crear
Qu son los grupos locales de dominio
Grupo de seguridad o distribucin que puede
contener lo siguiente:
Grupos universales, grupos globales y otros
grupos locales de su propio dominio
Cuentas de cualquier dominio del bosque
Qu son los grupos globales
Grupo de seguridad o distribucin que puede contener usuarios,
grupos y equipos como miembros de su propio dominio
Herramientas para crear y administrar varias cuentas
Usuarios y equipos
de Active Directory
Herramientas del servicio
de directorio
Dsadd
Dsmod
Dsrm
Herramientas Csvde y Ldifde Windows Script Host
Qu es un nombre principal de usuario
Nombre de inicio de sesin que slo se utiliza para
conectarse a una red de Windows Server 2003
Ventajas
nico en Active Directory
Puede coincidir con una direccin de correo electrnico
del usuario
cristinam@contoso.msft
Directrices para nombrar cuentas
Defina convenciones de nomenclatura para:
Nombres de cuenta de usuario que identifiquen
al usuario
Equipos que identifiquen al propietario, ubicacin
y tipo de equipo
Grupos que identifiquen el tipo de grupo, su ubicacin
y el propsito del grupo
Directrices para configurar una directiva de
contraseas
Configure Forzar el historial de contraseas para
recordar al menos 24 contraseas anteriores
Configure Duracin mxima de la contrasea
para que no supere los 42 das
Configure Duracin mnima de la contrasea
en al menos dos das
Configure Longitud de la contrasea en 8 caracteres
como mnimo
Habilite el parmetro Las contraseas deben cumplir
los requerimientos de complejidad
Directrices para autenticar, autorizar y administrar cuentas
Establezca el parmetro de directivas Umbral
de bloqueos de la cuenta en un valor alto
Proteja las cuentas administrativas
Utilice la autenticacin con varios factores
Implemente un modelo de seguridad basado
en funciones para conceder permisos
Deshabilite la cuenta Administrador y aplique
una directiva de privilegios mnimos a las cuentas
Directrices para planear una estrategia de grupo
Asigne usuarios con responsabilidades comunes
a grupos globales
Cree un grupo local de dominio para compartir
recursos
Agregue a los grupos locales de dominio grupos
globales que necesiten acceso a los recursos
Utilice grupos universales para conceder acceso
a los recursos en varios dominios
Utilice grupos universales cuando la pertenencia
al grupo sea esttica
Directrices para supervisar cambios en Active Directory
Habilite:
Auditora de sucesos de administracin de cuentas
Auditora de acciones correctas de los cambios
de directivas
Auditora de errores de sucesos del sistema
Auditora de errores de los sucesos de cambio
de directiva y los sucesos de administracin
de cuentas slo cuando sea necesario
Implementacin de
directivas de grupo
Introduccin
Creacin y configuracin de GPO
Configuracin de la frecuencia de actualizacin y
valores de directivas de grupo
Administracin de GPO
Comprobacin y solucin de problemas de directivas
de grupo
Delegacin del control administrativo de directivas
de grupo
Planeamiento de una estrategia empresarial
de directivas de grupo
Leccin: Creacin y configuracin de GPO
Presentacin multimedia: Introduccin a la directiva
de grupo
Componentes de GPO
Por qu especificar un controlador de dominio para la
administracin de GPO
Cmo especificar un controlador de dominio para la
administracin de GPO
Qu son los filtros WMI
Cmo filtrar la configuracin de directivas de grupo
con filtros WMI
Qu es el procesamiento de bucle invertido
Cmo configurar el modo de procesamiento de bucle
invertido de la directiva de grupo de usuario
Presentacin multimedia: Introduccin a la
directiva de grupo
Sitio
Dominio
UO UO
UO
GPO1
GPO2
GPO3
GPO4
Componentes de GPO
Contiene los valores de directivas
de grupo
Almacena el contenido en
dos ubicaciones
Objeto de directiva de grupo
Almacenado en la carpeta
compartida SYSVOL
Proporciona la configuracin
de directivas de grupo
Plantilla de directiva de grupo
Almacenada en Active Directory
Proporciona informacin
de la versin
Contenedor de directivas de grupo
Qu son los filtros WMI
Tiene 500 MB de
espacio libre en disco?
Filtro WMI
Administrador
Instalar
Office XP?
10 GB 400 MB 35 GB
750 MB
GPO
Utilizacin
de directivas de grupo
para implementar y
administrar software
2
Implementacin
1.0
4
Eliminacin
3
Mantenimiento
2.0
Proceso de instalacin y mantenimiento de software
Preparacin
1
Qu es Windows Installer
Windows Installer
Servicio Windows Installer
Automatiza completamente
el proceso de instalacin y
configuracin de software
Modifica o repara la
instalacin de una
aplicacin existente
El paquete de Windows Installer contiene
Informacin acerca de la instalacin
o desinstalacin de una aplicacin
Un archivo .msi y archivos de fuente
externa
Informacin de resumen acerca
de la aplicacin
Una referencia a un punto de instalacin
Ventajas del
uso de Windows
Installer
Instalaciones personalizadas
Aplicaciones resistentes
Eliminacin limpia
Informacin general del proceso de
implementacin de software
Cambie las propiedades de implementacin de software
3
Utilice un GPO para
implementar software
2
Cree un punto de
distribucin de software
1
Publicacin
Asignacin
Propiedad 1 Propiedad 2 Propiedad 3
Comparacin entre la asignacin y la
publicacin de software
Punto de distribucin
de software
Publicar software
mediante la activacin
del documento
?
Publicar software
mediante Agregar o
quitar programas
Asignar software
durante la configu-
racin del equipo
Asignar software
durante la configu-
racin del equipo
Opciones predeterminadas para la instalacin de
software
Especifique si
desea utilizar valores
predeterminados
o definidos por
el usuario
los archivos de paquete
Especifique la
ubicacin
del punto de
distribucin de
software que contiene
los archivos de paquete
con extensin .msi
Especifique cmo Especifique cmo
implementar
el software
Qu es la asociacin de software
Sales
Word 2000
Accounting
Word 2002
Administre las asociaciones de aplicaciones en funcin del GPO
GPO
Accounting
Word 2002
GPO Sales
Word 2000
NombreArchivo.doc
NombreArchivo.doc
Qu es la modificacin de software
Instancia nica
en el servidor
Slo puede agregar y
quitar modificaciones
durante la implementacin
un paquete de software
GPO3
Accounting
GPO2
Marketing
GPO1
Sales
Tipos de actualizaciones de software
Actualizaciones obligatorias
Los usuarios slo
pueden utilizar la
versin actualizada
Actualizaciones opcionales
Los usuarios pueden
decidir cundo realizar
la actualizacin
Actualizaciones
selectivas
Puede seleccionar
usuarios especficos
para una actualizacin
2.0
1.0
2.0
2.0
1.0
Implementacin
de la siguiente
versin de la
aplicacin
2.0
Cmo funciona la reimplementacin de software
2
Vuelva a
implementar
el paquete
Directiva Directiva
de grupo
Introduzca la
actualizacin
de software
en el servidor
1
3
El usuario inicia
sesin y activa el software
4
El usuario inicia
sesin e invoca el software
Actualizacin Actualizacin
Actualizacin Actualizacin
Mtodos para quitar software implementado
Eliminacin forzada
El software se elimina automticamente
de un equipo sin que se anuncie
Eliminacin opcional
El software no se quita de un equipo
y no se puede instalar ninguna actualizacin
del mismo