Microsoft

Windows 2000 Server

Active Directory

M Jos Serrano
Responsable Tecnolgico Divisin de Grandes Organizaciones

Microsoft Corporation

Agenda

Qu es el Directorio Activo?
Qu relacin mantiene con Windows 2000 Beneficios

Qu es el Directorio Activo?

El Directorio Activo es una parte integral de Windows 2000 Server que gestiona los servicios esenciales del SO para toda la red:

Punto nico para gestionar los distintos objetos (usuarios, aplicaciones, dispositivos...) Repositorio centralizado para seguridad (autentificacin, autorizaciones,..) Plataforma Abierta para desarrollo e integracin con otros sistemas

Arquitectura del DA
Organizacin Jerrquica
Almacenamiento Orientado a Objetos
Estructura Arbrea Objetos en Contenedores Contenedores en Contenedores Soporta mltiples modelos de Objetos La informacin de Objetos: Atributos Seguridad a nivel Objeto y Atributo Soporta Rplicas Mltiples Lectura/Escritura completa por Rplica Replicacin Optimizada Automticamente

Replicacin Multi-Master

Arquitectura del AD
Raz

Usuarios

Mquinas

Dispositivos

Aplicaciones

Docentes

Administracin

= Contenedor = Objeto

Organizacin jerarquizada para una fcil y centralizada gestin de la red

Arquitectura del AD
Raz

Usuarios

Mquinas

Dispositivos

Aplicaciones

Docentes

RRHH

Name: Bob Jones Email: bob@abc.com Phone: 555-1234 SSN: 456-78-9101

Los Objetos del Directorio tienen atributos Objetos y Atributos estn protegidos mediante ACLs

Arquitectura AD
Dominio a Nivel Alto Site Cambio de Norte Amrica Aula a 110 Site Europa

DC1 DC4 DC3 DC2

DC5

Alta de Alumna: M Jose

DC6

Replicacin Multi-Master flexible, alta disponibilidad y performance

Beneficios del DA
Simplifica la Gestin de Windows Refuerza la Seguridad Windows
Extiende la Interop. Windows
nico punto de Gestin Distribucin Automtica de Software Gestin Centralizada de Ficheros e Impresoras Acceso nico a los Recursos de Red Configuracin del Desktop de acuerdo con los servicios de seguridad de Internet Basado en Estndares Interfaces y Conectores abiertos Fuerte soporte de los mayores proveedores

Simplifica la Gestin
Delega Tareas de Gestin al Administrador de Office
Raz

Usuarios

Mquinas

Dispositivos

Aplicaciones

Docentes

Administracin

Impresora Color en Edifico 6 Dar la App. de Gestin de Alumnos a Administacin

DA organiza jerrquicamente a Usuarios y Recursos de Red para simplicar la gestin

Seguridad Reforzada
Kerberos X.509 Smart Card
Alumnos Raz

Mquinas

Dispositivos

Aplicaciones

Lectivos

Extranet

Restringir los Derechos de Acceso a Externos Certificados PKI

DA proporciona seguridad para servicios de Internet con proteccin de datos mientras se facilita el acceso Protocolos seguros, single sign-on

Windows 2000 Tarjeta Inteligente

Logon
SC
Lector 1 Insercin tarjeta provoca ventana GINA de Pin 4 LSA accede a la tarjeta y obtiene el certificado

2 Pin de Usuario

3 GINA pasa el PIN a LSA

8 La tarjeta descifra el Ticket usando la clave privada, y autorizando al LSA el login del usuario

6 KDC verifica el certificado y consulta en AD

5 Kerberos enva el certificado en peticin de login al KDC Kerberos 7 KDC devuelve Ticket cifrado con clave de sesin , que a su vez es cifrado utilizando la clave pblica del usuario

Kerberos

LSA

KDC

Windows 2000 PKI

Web Segura (Autenticacin de Servidor)

Web Segura
HTTP con SSL/TLS Internet Emisin de Certificado Relacin de confianza

Cliente

Autoridad Certificacin

Windows 2000 PKI

Firma del Software (Authenticode)
HTTP Internet Publicacin de Software
Certificado de firmar Codigo

Servidor Web

Usuario
Relacin de confianza Autoridad

Certificacin
Lector
Cert

SC

Desarrollador

Windows 2000 EFS

Cifrado de ficheros locales
Aplicacin
Escritura: La reunin Lectura: La reunin

de esta
Encrypting File System Driver

de esta

Texto en claro

Texto cifrado A#2Cxs %k;0)a A#2Cxs %k;0)a

Almacenamiento Local

Windows 2000 Kerberos

1. Cliente se autentifica al DC KDC (Autentificacion) Directorio Activo

Ticket 2. El servidor le asigna un Ticket al cliente

Dispositivos

Controlador Dominio De Windows 2000

Ticket

ACL
Ficheros Aplicaciones

ACL ACL

Peticion (Autorizacion)

3.

Cliente pide acceso a un recurso y presenta su ticket

4. Recurso

4.

Maquina Cliente

El Servidor verifica el ticket, lo compara con la Lista de Control de Accesos (ACL) del recurso y permite o deniega el acceso

Servidores Windows 2000

Interoperabilidad Extendida
Aplicacin: Polticas de Buzn de Exchange
Root

Permisos: Cambio de Salario

Users

Machines

Devices

Applications

Finance

Personnel

Derechos: Dar a Adm. Fiananciera ms Ancho de Banda a fin de mes

DA proporciona una plataforma integrada y extensible a otros sistemas a travs de interfaces activas, conectores y mecanismos de sincronizacin

ADSI Active Directory Service Interface

Basado WSH (Windows Scripting Host) Ejemplo ejecucin: cscript //T:30 samplescrip.vbs /parametro

CreateObject: Permite la llamada a otros objetos OLE (Ej. Llamar a Excel, Word, ..)
Set oXL=Wscript.CreateObject(Aplicacin Excel) oXL.workbooks.open TextXL

En Windows 2000 el entorno WSH puede acceder al objeto Directorio Activo

Directorio Activo
Acceso por LDAP

2 Modalidades

Distinguised (DN) /O=Internet/DC=COM/DC=Microsoft/C N=Alumno/CN=Pepe Perez

Relative Distinguised Name (RDN) CN=Pepe Perez

Directorio Activo
Usuarios Windows Info cuentas Privilegios Perfiles Poltica Otros Directorios Pginas blancas Comercio electrnico Otros NOS Registro usuario Seguridad Poltica Servidores E-Mail Info buzones Libreta direcciones Clientes Windows Perfil administracin info redes Poltica

Servidores Windows Perfil administracin info redes Servicio Impresoras Compartir archivos Poltica
Dispositivos redes Configuracin Poltica Calidad de Servicio Poltica Seguridad

Directorio Punto focal de: Activo Administracin Seguridad Interoperatibilidad

Aplicaciones Config. servidor Sign-On nico Info de directorio de aplicaciones Poltica

Servicios de Firewall Configuracin Poltica Seguridad Poltica VPN

Internet

El Directorio Activo le ofrece un punto focal de gestin, seguridad e interoperatibilidad