Instalacin de Active Directory en Windows Server 2003

Arquitectura del AD
Raz

Usuarios

Mquinas

Dispositivos

Aplicaciones

Docentes

Administracin

= Contenedor = Objeto

Organizacin jerarquizada para una fcil y centralizada gestin de la red

Arquitectura del AD
Raz

Usuarios

Mquinas

Dispositivos

Aplicaciones

Docentes

RRHH

Name: Bob Jones Email: bob@abc.com Phone: 555-1234 SSN: 456-78-9101

Los Objetos del Directorio tienen atributos Objetos y Atributos estn protegidos mediante ACLs

Arquitectura AD
Dominio a Nivel Alto Site Cambio de Norte Amrica Aula a 110 Site Europa

DC1 DC4 DC3

DC5

DC2

Alta de Alumna: M Jose

DC6

Replicacin Multi-Master flexible, alta disponibilidad y performance

Beneficios del DA
Simplifica la Gestin de Windows Refuerza la Seguridad Windows Extiende la Interop. Windows
nico punto de Gestin Distribucin Automtica de Software Gestin Centralizada de Ficheros e Impresoras Acceso nico a los Recursos de Red Configuracin del Desktop de acuerdo con los servicios de seguridad de Internet Basado en Estndares Interfaces y Conectores abiertos Fuerte soporte de los mayores proveedores

Simplifica la Gestin
Delega Tareas de Gestin al Administrador de Office
Raz

Usuarios

Mquinas

Dispositivos

Aplicaciones

Docentes

Administracin

Impresora Color en Edifico 6 Dar la App. de Gestin de Alumnos a Administacin

DA organiza jerrquicamente a Usuarios y Recursos de Red para simplicar la gestin

Qu funciones desempea Active Directory

Active Directory almacena informacin acerca de los usuarios, equipos y recursos de red y permite el acceso a los recursos por parte de usuarios y aplicaciones. Asimismo, proporciona una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la informacin de estos recursos.

Funcin de Active Directory

Active Directory proporciona las siguientes funciones: Centralizar el control de los recursos de red. Al centralizar el control de recursos como servidores, archivos compartidos e impresoras, slo los usuarios autorizados pueden obtener acceso a los recursos de Active Directory. Centralizar y descentralizar la administracin de recursos. Los administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicacin central mediante una interfaz de administracin coherente o pueden distribuir tareas administrativas mediante la delegacin del control de los recursos a otros administradores. Almacenar objetos de forma segura en una estructura lgica. Active Directory almacena todos los recursos como objetos en una estructura lgica, jerrquica y segura. Optimizar el trfico de red. La estructura fsica de Active Directory permite utilizar el ancho de banda de red de forma ms efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesin en la red, la autoridad de autenticacin ms cercana a l lo autentique, reduciendo as la cantidad de trfico de red.

Estructura lgica de Active Directory

Introduccin
Fundamentos de Active Directory Instalacin de Active Directory Cambio de niveles funcionales

Leccin: Fundamentos de Active Directory

Qu es el servicio de directorio Active Directory Qu son los dominios y los controladores de dominio Comparacin entre sincronizacin y replicacin Qu es una unidad organizativa Qu son rboles, bosques y confianzas Qu es un sitio Qu es el esquema

Qu es el servicio de directorio Active Directory

Un servicio para identificar recursos de red

Proporciona una manera coherente para asignar a los recursos de red: Nombre Descripcin Ubicacin Acceso Administracin Seguridad

Ventajas de Active Directory Integracin de DNS Escalabilidad Administracin centralizada Administracin delegada

Servicio de directorio Active Directory

Un servicio de directorio es un repositorio de informacin estructurado sobre personas y recursos de una organizacin. En una red de Windows Server 2003,el directorio de servicio es Active Directory. Active Directory dispone de las siguientes capacidades: Permite a usuarios y aplicaciones obtener acceso a informacin sobre objetos. Esta informacin se almacena en forma de valores de atributos. Se pueden buscar objetos basndose en su clase, atributos, valores de atributos, ubicacin dentro de la estructura de Active Directory o cualquier combinacin de estos valores. Clarifica la topologa de red fsica y los protocolos. De este modo, un usuario de una red puede obtener acceso a cualquier recurso, como una impresora, sin saber el lugar donde se encuentra o el modo en que est conectado fsicamente a la red.

Los

Dominios: son la principal

estructura lgica de Active Directory porque contienen objetos de Active Directory. Red de objetos como usuarios, impresoras, recursos compartidos, y ms, son almacenados en todos los dominios. Los dominios son tambin los lmites de seguridad. El acceso a los objetos en el dominio est controlado por listas de control de acceso (ACLs).

Qu son los dominios y los controladores de dominio

Un dominio es una unidad de replicacin Los controladores de un dominio participan en la replicacin y contienen una copia completa de la informacin de directorio de su dominio

Controlador de dominio
usuario 1 usuario 2 usuario 1 Replicacin Replicacin usuario 2

Controlador de dominio

Comparacin entre sincronizacin y replicacin

Modelo de replicacin con varios maestros
Familia de Windows Server 2003 Los cambios en un objeto de Active Directory pueden realizarse en cualquier controlador de dominio

Sincronizacin
Producto Dnde se realizan los cambios? Windows NT 4.0 Todos los cambios se realizan en el PDC

Dnde se propagan los cambios?

Los cambios realizados en el PDC se replican en el BDC

Cualquier cambio en un controlador de dominio se replica en todos los dems controladores del dominio

 Unidad

de organizacin (OU): Una

OU es un contenedor que le permite organizar los objetos como usuarios, ordenadores e incluso otros tes en un dominio para formar un grupo de lgica administrativa. Una OU es el ms pequeo componente de Active Directory en los que puede delegar autoridad administrativa. Un dominio puede tener su propia y singular jerarqua OU.

Qu es una unidad organizativa

Un objeto de Active Directory para organizar otros objetos en un dominio Usos habituales: Delegar el control administrativo Asignar directivas a un conjunto de objetos como una sola unidad S C M

S - Sales C - Consultants M - Marketing

 Los

rboles de Dominio: Cuando

usted grupo de varios dominios en una estructura jerrquica mediante la adicin de dominios nio a un padre de dominio, usted es bsicamente la formacin de un rbol de dominio.

Bosques: Un bosque es la agrupacin de

varios rboles de dominio en una estructura jerrquica. Dominio de rboles en un bosque con un esquema comn, configuracin y catlogo global. Los dominios dentro del bosque estn vinculados por dos vas libres confianza. A travs de la selva nivel funcional, puede activar ms amplia del bosque de Active Directory caractersticas. El bosque niveles funcionales que pueden establecerse son Windows 2000, Windows Server 2003 Provisional, y Windows Server 2003.

10

Qu son rboles, bosques y confianzas

Relaciones de confianza de bosque transitivas bidireccionales
contoso.msft

Bosque rbol
nwtraders.msft contoso.msft contoso.msft

rbol

Relacin de confianza externa no transitiva unidireccional

nwtraders.msft

nwtraders.msft

Dominio Windows NT 4.0

Estructura fsica de Active Directory

A diferencia de la estructura lgica, que se basa en requisitos administrativos, la estructura fsica de Active Directory optimiza el trfico de red mediante la determinacin del lugar y el momento en que se produce la replicacin y el trfico de conexin. Para optimizar el uso del ancho de banda de red de Active Directory, se debe comprender la estructura fsica. Los elementos de la estructura fsica de Active Directory son los siguientes: Controladores de dominio. En estos equipos se ejecuta Microsoft Windows Server 2003 o Microsoft Windows 2000 Server y Active Directory. Cada controlador de dominio realiza funciones de almacenamiento y replicacin. Un controlador de dominio slo puede admitir un dominio. Para asegurarse de la disponibilidad continua de Active Directory, cada dominio debe disponer de ms de un controlador de dominio.

11

controlador de dominio es un servidor que almacena una copia de la escritura de Active Directory. Ellos mantienen el Active Directory almacn de datos. Algunos capitn funciones pueden ser asignados a los controladores de dominio dentro de un dominio y de bosque. Controladores de dominio que se asignan funciones especiales capitn se denominan Operaciones de Maestros.

Controladores de dominio (PD): Un

Sitios: En Active Directory, los sitios se forman a travs de la agrupacin de mltiples subredes. Sitios suelen ser definidos como lugares en los que el acceso a la red es altamente fiable, rpida y no muy caro. Sitios de Active Directory. Estos sitios son grupos de equipos conectados correctamente. Al establecer sitios, los controladores de dominio de un nico sitio se comunican con frecuencia. Esta comunicacin minimiza la latencia dentro del sitio, es decir, el tiempo necesario para que un cambio realizado en un controlador de dominio pueda replicarse en otros controladores de dominio. Se pueden crear sitios para optimizar el uso del ancho de banda entre los controladores de dominio que estn en ubicaciones diferentes.

12

Qu es un sitio

Seattle Nueva York Chicago Los ngeles

Sitio
Subred IP

Subred IP

Particiones de Active Directory. Cada controlador de dominio contiene las siguientes particiones de Active Directory: La particin del dominio contiene replicados de todos los objetos de ese dominio. La particin del dominio slo puede replicarse en otro controlador de dominio del mismo dominio. La particin de configuracin contiene la topologa del bosque. La topologa es un registro de todos los controladores de dominio y las conexiones entre ellos en un bosque. La particin del esquema contiene el esquema de todo el bosque. Cada bosque tiene un esquema para que la definicin de las clases de objetos sea coherente. Las particiones de configuracin y del esquema pueden replicarse en los controladores de dominio del bosque. Las particiones de aplicaciones opcionales contienen objetos no relacionados con la seguridad y utilizados por una o varias aplicaciones. Las particiones de aplicaciones pueden replicarse en controladores de dominio especificados del bosque.

13

El Master Schema es un maestro forestwide funcin se aplica a un controlador de dominio que gestiona todos los cambios en el esquema de Active Directory. La asignacin de nombres de dominio de Master es un maestro forestwide funcin se aplica a un controlador de dominio que gestiona los cambios en el bosque, como agregar y quitar un dominio. El controlador de dominio al servicio de esta funcin tambin maneja a los cambios de nombres de dominio.

La relativa ID (RID) Master es un maestro domainwide funcin se aplica a un controlador de dominio que crea nmeros de identificacin nica para los controladores de dominio y gestiona la asignacin de estos nmeros. El emulador PDC es un maestro domainwide funcin se aplica a un controlador de dominio que opera como un equipo con Windows NT controlador de dominio principal. Esta funcin suele ser necesario cuando hay computadoras en su entorno antes de ejecutar Windows 2000, XP y sistemas operativos. El Maestro de Infraestructura es un maestro domainwide funcin se aplica a un controlador de dominio que gestiona los cambios realizados en grupo en cada uno.

14

Esquema de Active Directory

Qu es el esquema
Ejemplo de de clases de objetos Disponible dinmicamente, actualizable y protegido por DACL Ejemplo de atributos de esquema Computers Ejemplo de atributos de usuario Lista de atributos accountExpires badPasswordTime mail cAConnect dhcpType eFSPolicy fromServer governsID Name

Users

accountExpires badPasswordTime mail name

Servers

15

Qu es un esquema
El esquema de Active Directory define las clases de objetos, los tipos de informacin sobre dichos objetos y la configuracin de seguridad predeterminada para ellos que se puede almacenar en Active Directory.

El esquema de Active Directory contiene las definiciones de todos los objetos, como usuarios, equipos e impresoras, almacenadas en Active Directory. En los controladores de dominio con Windows Server 2003, slo existe un esquema para un bosque completo. De este modo, todos los objetos creados en Active Directory ajustan a las mismas reglas.
El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las clases de objetos, como usuario, equipo e impresora, describen los objetos de directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos.

Schema clase de objetos, tambin conocido como el esquema de clases: Definir los objetos que pueden ser creados y almacenados en Active Directory. El esquema de atributos almacenar informacin sobre el esquema de clase objeto cuando se crea una nueva clase. Un esquema de clase es, por tanto, se limita a un conjunto de objetos de esquema atributo. Schema atributo objetos, tambin conocido como el esquema de atributos: los atributos Schema proporcionar informacin sobre clases de objetos. Los atributos de un objeto se le llama tambin las propiedades del objeto.

16

Qu es el catlogo global
Qu es el catlogo Global
El catlogo global es un repositorio de informacin que contiene un subconjunto de los atributos de todos los objetos de Active Directory. Los miembros del grupo Administradores de esquema pueden cambiar los atributos almacenados en el catlogo global, en funcin de los requisitos de la organizacin. El catlogo global contiene los siguientes elementos: Los atributos utilizados con ms frecuencia en consultas, como el nombre, apellido y nombre de inicio de sesin de un usuario. La informacin necesaria para determinar la ubicacin de cualquier objeto en el directorio. Un subconjunto predeterminado de atributos para cada tipo de objeto. Los permisos de acceso para cada objeto y atributo almacenado en el catlogo global. Si busca un objeto para el que no dispone de los permisos adecuados para verlo, el objeto no aparecer en los resultados de la bsqueda. Los permisos de acceso aseguran que los usuarios slo puedan encontrar los objetos para los que se les ha asignado acceso.

Catlogo Global
El catlogo global es un almacn central de informacin sobre los objetos en un bosque y de dominio, y se utiliza para mejorar el rendimiento en la bsqueda de objetos en Active Directory. El primer controlador de dominio instalado en un dominio haya sido designado como el servidor de catlogo global por defecto. El servidor de catlogo global almacena una rplica completa de todos los objetos en su dominio de acogida, y una rplica parcial de objetos para el resto de los dominios en el bosque.b

17

Qu son los nombres completos y los nombres Introduccin, Los equipos cliente utilizan el Protocolo completos relativos ligero de acceso a directorios (LDAP,Lightweight Directory
Access Protocol) para buscar y modificar objetos en una base de datos de Active Directory. LDAP es un subconjunto de X.500, un estndar del sector que define cmo estructurar directorios. LDAP utiliza la informacin acerca de la estructura de un directorio para buscar objetos individuales, cada uno de los cuales tiene un nombre nico.

Definicin LDAP utiliza un nombre que representa un objeto de Active Directory mediante una serie de componentes que se relacionan con la estructura lgica. Esta representacin, denominada el nombre completo del objeto, identifica el dominio en el que el objeto est ubicado y la ruta completa para llegar a l. Los nombres completos deben ser nicos en un bosque de Active Directory. El nombre completo relativo de un objeto nicamente identifica el objeto en su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo nombre. El nombre completo relativo es siempre el primer componente del nombre completo, pero puede que no siempre sea un nombre comn.

Ejemplo de un nombre completo LDAP

Para un usuario llamado Cristina Martnez de la unidad organizativa Sales en el dominio Contoso.msft, cada elemento de la estructura lgica se representa con el nombre completo siguiente: CN=Cristina Martnez,OU=Sales,DC=contoso,DC=msft CN es el nombre comn del objeto en su contenedor. OU es la unidad organizativa que contiene el objeto. Puede haber ms de un valor de OU si el objeto reside en una unidad organizativa anidada. DC es un componente de dominio, como com o msft. Siempre hay por lo menos dos componentes de dominio, pero es posible que existan ms si el dominio es secundario. Los componentes de dominio del nombre completo se basan en el Sistema de nombres de dominio (DNS, Domain Name System). En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad (Ejemplo de un nombre completo relativo) organizativa que se representa mediante la siguiente ruta de nombre de LDAP: OU=Sales,DC=contoso,DC=msft

18

Cmo permite Active Directory que se pueda iniciar sesin una nica vez
Al permitir que se inicie sesin una nica vez, Active Directory facilita al usuario los complejos procesos de autenticacin y autorizacin. Los usuarios no necesitan administrar varios conjuntos de credenciales. Un inicio de sesin una nica vez consta de los siguientes aspectos: Autenticacin, que comprueba las credenciales del intento de conexin. Autorizacin, que comprueba que el intento de conexin est permitido. Como ingeniero de sistemas, debe comprender cmo funcionan estos procesos para optimizar y solucionar los problemas de la estructura de Active Directory.

Administracin de Active Directory

Mediante Active Directory, se puede administrar un gran nmero de usuarios, equipos, impresoras y recursos de red desde una ubicacin central, con herramientas y complementos administrativos en Windows Server 2003. Active Directory tambin admite la administracin descentralizada. Un administrador con la autoridad adecuada puede delegar un conjunto de privilegios administrativos seleccionado a otros usuarios o grupos de una organizacin.

19

Cmo admite Active Directory la administracin Centralizada

Active Directory incluye varias caractersticas que admiten la administracin centralizada: Contiene informacin acerca de todos los objetos y sus atributos. Los atributos contienen datos que describen el recurso que el objeto identifica. Puesto que la informacin acerca de todos los recursos de red se almacena en Active Directory, un administrador puede administrar los recursos de forma centralizada. Se puede consultar Active Directory mediante protocolos como LDAP. Se puede localizar fcilmente la informacin acerca de objetos mediante la bsqueda de atributos seleccionados del objeto, utilizando herramientas que admitan el protocolo LDAP. Se pueden organizar en unidades organizativas objetos que posean requisitos administrativos y de seguridad similares. Las unidades organizativas proporcionan varios niveles de autoridad administrativa, de modo que se puede aplicar la configuracin de directivas de grupo y delegar el control administrativo. Esta delegacin simplifica la tarea de administracin de estos objetos y permite estructurar Active Directory para que se ajuste a los requisitos de la organizacin. Se puede especificar la configuracin de directivas de grupo para un sitio, un dominio o una unidad organizativa. Active Directory impone esta configuracin de directivas de grupo a todos los usuarios y equipos del contenedor.

Cmo admite Active Directory la administracin descentralizada

Active Directory tambin admite la administracin descentralizada. Se pueden asignar permisos y conceder derechos de usuario de formas muy especficas. Por ejemplo, se pueden delegar privilegios administrativos para determinados objetos a los equipos de ventas y mercadotecnia de una organizacin. Se puede delegar la asignacin de permisos en los siguientes casos: Para unidades organizativas especficas a distintos grupos locales de dominio. Por ejemplo, se puede delegar el permiso Control total para la unidad organizativa Sales. Para modificar los atributos especficos de un objeto en una unidad organizativa. Por ejemplo, se puede asignar el permiso para cambiar el nombre, la direccin y el nmero de telfono y para restablecer contraseas de un objeto de cuenta de usuario. Para realizar la misma tarea, como restablecer contraseas, en todas las unidades organizativas de un dominio.

20

Grupo de Polticas y Active Directory

Active Directory le permite realizar la poltica basada en la administracin a travs de la poltica de grupo. A travs de polticas de grupo, puede desplegar aplicaciones y configurar scripts para ejecutar en el arranque, cierre, logon, o al trmino de sesin. Tambin puede aplicar una contrasea de seguridad, control de determinadas configuraciones de escritorio, y reorientar las carpetas.

Tipos de grupo y alcance

Comprender los tipos de grupo

Grupos de distribucin

Grupos de seguridad

21

Tipos de grupo y alcance

Comprender los tipos de grupo

Grupos de distribucin

Grupos de seguridad

Tipos de grupo y alcance

Alcance del grupo Grupos locales de dominio
Otorgan permisos a los recursos del dominio local Pueden incluir miembros de todo el Bosque Disponibles en todos los niveles funcionales del dominio

Grupo local del dominio

22

Tipos de grupo y alcance

Alcance del grupo Grupos globales
Otorgan permisos a los recursos en cualquier dominio Pueden incluir miembros nicamente del dominio local Disponibles en todos los niveles funcionales del dominio

Grupo global

Tipos de grupo y alcance

Alcance del grupo Grupos universales
Otorgan permisos a los recursos en cualquier dominio Pueden incluir miembros de todo el Bosque Disponibles nicamente en: Windows 2000 nativo Dominios a nivel funcional de Windows Server 2003

Grupo universal

23

Tipos de grupo y alcance

Anidar grupos

Grupo global

Tipos de grupo y alcance

Anidar grupos

Grupo global

Grupo universal

24

Tipos de grupo y alcance

Anidar grupos

Grupo global

Grupo universal

Grupo local del dominio

Tipos de grupo y alcance

Anidar grupos

Grupo global

Grupo local del dominio

25

Tipos de grupo y alcance

Utilizar la anidacin de grupos

Tipos de grupo y alcance

Utilizar la anidacin de grupos

26

Tipos de grupo y alcance

Utilizar la anidacin de grupos

Tipos de grupo y alcance

Utilizar la anidacin de grupos

27

Tipos de grupo y alcance

Utilizar la anidacin de grupos

28