Active Directory

Agenda

Qu son los servicios de Active Directory?

Bosque, rbol, Dominio y DC
Tipos de Objetos
Maestros de operaciones
Roles Relacionados con AD
Niveles Funcionales
Migracin de AD a 2008 R2
Usuario y Equipos de AD
Sitios y Servicios de AD
Monitorizacin de la replicacin
Active Directory Backup & Restore
Directivas de Grupo (GPO)
Funcionalidades incluidas en W2k8 R2

Active Directory de 0 a 100

Que son los servicios de Active Directory?

Active Directory (AD) es el trmino que usa Microsoft para referirse a su

implementacin de servicio de directorio en una red distribuida de
computadores. Utiliza distintos protocolos (principalmente LDAP, DNS,
DHCP, Kerberos...).
Su estructura jerrquica permite mantener una serie de objetos
relacionados con componentes de una red, como usuarios, grupos de
usuarios, permisos y asignacin de recursos y polticas de acceso.
Active Directory permite a los administradores establecer polticas a nivel
de empresa, desplegar programas en muchos ordenadores y aplicar
actualizaciones crticas a una organizacin entera. Un Active Directory
almacena informacin de una organizacin en una base de datos central,
organizada y accesible

Active Directory de 0 a 100

Bosque, rbol Dominio y DC

Bosque: Es un conjunto de rboles de dominio con relaciones de confianza
entre s.
rbol: Es un conjunto de dominios con relaciones de confianza entre s que
comparten recursos, clientes y un sistema de resolucin de nombres.
Dominio: Es un conjunto de normas que especifican y administran los
recursos y los clientes en una red local.
DC (Controlador de dominio): Es el equipo que almacena, mantiene y
gestiona la base de datos de usuarios y recursos de la red.

Active Directory de 0 a 100

Tipos de Objetos
Dominio: Objeto raz de la pantalla Usuarios y equipos de Active Directory; identifica el
dominio que est administrando actualmente el administrador.
Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lgicas de
objetos equipo, usuario y grupo.
Usuario: Representa un usuario de la red y funciona como un almacn de informacin de
identificacin y autenticacin.
Equipo: Representa un equipo de la red y proporciona la cuenta de mquina necesaria
para que el sistema inicie sesin en el dominio.
Contacto: Representa un usuario externo al dominio para propsitos especficos como
envo de correo electrnico; no proporciona las credenciales necesarias para iniciar
sesin en el dominio.
Grupo: Objeto contenedor que representa una agrupacin lgica de usuarios, equipos u
otros grupos (o los tres) que es independiente de la estructura del rbol de Active
Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y
dominios.
Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una
carpeta compartida en un sistema Windows 2000.

Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una

impresora compartida en un sistema Windows 2000.

Active Directory de 0 a 100

Maestros de Operaciones

Maestro de Esquema Es el encargado de realizar todas las operaciones de

cambio en el esquema de AD (role a nivel de bosque)
Maestro de Nombres de Dominio Es el encargado de controlar que los
nombres propuestos para nuevos dominios no existen en el bosque (role a
nivel de bosque)
Emulador PDC Se encarga de sincronizar tiempos y todos aquellas tareas
que los clientes anteriores a win2000 esperaban que realizase un PDC de
NT4 (role a nivel dominio)
RID Master Se encarga de controlar que no se creen objetos en el dominio
con un SID duplicado (role a nivel dominio)
Maestro de Infraestructura Se encarga de actualizar en otros dominios de
su mismo bosque aquellos objetos del dominio propio que son referenciados
por objetos de otros dominios (role a nivel dominio)

Active Directory de 0 a 100

Roles Relacionados con AD

DNS
Domain Services
Certification Services
Federation Services
Lightweight Federation Services
Rights Management Services

Active Directory de 0 a 100

Niveles Funcionales

Windows 2003 nativo Todos los controladores de dominio deben tener

instalado 2003 server o superior y es nivel funcional mnimo requerido para
hacer la preparacin del dominio a windows server 2008 o 2008 R2
Windows 2008 Todos los controladores de dominio deben tener instalado
2008 server como mnimo y es el nivel funcional previo a 2008 R2
Windows 2008 R2 Todos los controladores de dominio deben tener
instalado 2008 R2 server y nos permite tomar partido de las ltimas
funcionalidades aadidas por Microsoft como puede ser la papelera de
reciclaje para el directorio Activo

Active Directory de 0 a 100

Diseo de infraestructura para AD

La oficina central tienes 2 DCS de

los cuales uno aloja los maestros de
operaciones
Configuraremos un sitio por cada
oficina en la consola de sitios y
servicios
Los controladores de dominios de
las delegaciones pueden ser
configurados como rodcs
Los DCS pueden ser instalandos en
modo CORE o en modo GUI

Active Directory de 0 a 100

Migracin de AD a 2008 R2

Elevar el nivel funcional del bosque/dominio a 2003 nativo

Actualizar el esquema del bosque/dominio a w2k8 R2
Instalar el servicio DNS en nuestro server W2k8 R2
Promocionar el nuevo Servidor con W2k8 R2 a DC
Transferir los roles del FSMO a un DC con W2k8 R2
Despromocionar el servidor con W2k3 a servidor miembro
Elevar el nivel funcional del dominio/bosque cuando una vez hayamos
despromocionado todos los DCS con W2k3

Active Directory de 0 a 100

Usuario y Equipos de AD
Nos permite administrar los objetos que componen nuestro Directorio
Activo
Es la consola que usaremos de forma ms habitual para trabajar con active
directory
Es posible utilizar las consolas de active directory desde el propio servidor o
instalando las herramientas administrativas en nuestro equipo
Desde esta consola tambin podemos cambiar el nivel funcional del dominio
Nos permite interactuar con los maestros de operaciones a nivel de dominio

Active Directory de 0 a 100

Sitios y Servicios de AD
Administra la topologa de replicacin en un sitio de una LAN y en otro los
sitios de una WAN
El primer sitio se configura automticamente cuando promocionamos el
primer DC
Para definir un sitio debemos crear previamente la subred con el rango de ips
definidas para el sitio
Los vnculos de entre sitios nos permite definir el protocolo de replicacin
(RPC o SMTP) el costo, la programacin y el intervalo de replicacin.
Existe la posibilidad de crear puentes de vnculos para sitios que no estn
enrutados

Active Directory de 0 a 100

Monitorizacin de la Replicacin
Revisar los eventos del visor de sucesos con el objetivo de encontrar posibles
errores en la replicacin
Repadmin es una herramienta en lnea de comandos que nos permite
monitorizar y administrar la replicacin
Dcdiag es una herramienta en lnea de comandos que nos permite analizar
controladores de dominios para encontrar problemas en los mismos
Management Pack de Active Directory para Microsoft System Center
Operations Manager que nos permitir monitorizar nuestro AD de SCOM

Active Directory de 0 a 100

Active Directory Backup

En versiones 2003 y anteriores usaremos la herramienta Ntbackup para crear
backups del system state
En versiones 2008 y 2008 R2 usaremos Windows Server Backup para hacer
backup del system state o volumenes completos del servidor
Siempre es una buena practica tener ms de controlador de dominio en
nuestra infraestructura de esta manera conseguimos tener la base de datos
de active directory en todos los controladores de dominio
La papelera de reciclaje para Active Directory incorporada en Windows Server
2008 R2 tambin nos permitir restaurar objetos eliminados.
Windows Server backup nos permitira hacer un restore autoritativo y no
autoritativo de AD desde un backup del system state o desde un backup del
volumen que aloja los servicios de AD

Active Directory de 0 a 100

Active Directory Snapshots

Se basan en Volume Service Shadow Copy
Estas instantaneas se generan muy rpidamente y ocupan poco espacio
La herramienta de lnea de comandos Ntdsutil nos permite gestionar las
instantaneas en AD
Las instantaneas de AD pueden ser montadas para trabajar sobre las mismas
sin tocar la instancia de AD actual
A partir de una instantanea montada podemos realizar restore de objetos
hacia nuestra instancia en produccin

Active Directory de 0 a 100

Restores Autoritatios y No Autoritativos

En un restore No Autoritativo prevalece la replicacin
En un restore Autoritativo prevalecen los objetos restaurados en la
recuperacin
Ambos tipos de restores requieren que reiniciemos el controlador de dominio
sobre el que queremos realizar el restore en modo servicio de reparacin de
active directory
Los restore de active directory siempre se realizaran en lnea de comandos
usando wbadmin
Por defecto al hacer restore de AD nos realiza un restore no autoritativo
Para hacer un restore autoritativo usaremos el parametro authsysvol de
wbadmin

Active Directory de 0 a 100

Directivas de Grupo (GPO)

Son conjuntos de configuraciones que se aplican sobre objetos del Directorio
Activo
Las Gpos se configuran a partir de plantillas administrativas que en las
ltimas versiones de windows server son archivos con extensin admx y adml
y estructura de ficheros xml
En un dominio de Driectory Activo se crean dos GPOS por defecto, Default
Domain Policy y Default Domain Controllers Policy
Es posible editar las GPOS creadas por defecto
Tambin es posiblde crear nueva directiva de grupo y linkarla sobre el
contenedor de AD sobre el que queremos que se aplique.

Active Directory de 0 a 100

Aplicacin de GPOS
Una vez definida la GPO se puede linkar sobre un dominio, unidad
organizativa y sitio
Las GPOS definidas se aplican en el siguiente orden: 1 Directivas locales,
2 Directivas de Sitio, 3 Directivas de dominio, 4 Directivas de OU
Los parmetros definidos por una GPO sobre un contenedor son heredados
por los objetos hijos.
A la hora de aplicar la directivas tenemos las siguientes opciones (las cuales
son similares a las gestin de ficheros en windows)
No Sobrescribir: Permite que los valores configurados en la Gpo no sean
machacados
Bloqueo de herencia: Evita que se apliquen GPOS de nivel superior
siendo efectiva sola la ltima aplicada
Procesamiento inverso: Como su propio nombre indica el orden de
procesamiento ser el inverso al Standard

Active Directory de 0 a 100

Configuracin y Gestin de GPOS

La GPMC (Group Policy Management Console) es la consola GUI que nos
permite administrar las GPOS
En la GPMC encontramos RSOP que nos permite sacar un reporte de las
GPOS que se aplican sobre un objeto
El comando gprsult nos ofrece una funcionalidad similar a RSOP desde la
linea de comandos.
El comando gpupdate nos permite forzar la aplicacin de las GPOS en
nuestro equipo.

Active Directory de 0 a 100

Funcionalidades incluidas en W2K8 R2

Incorpora el nuevo nivel funcional W2k8 R2

Papelera de reciclaje del directorio activo (nivel funcional w2k8 R2)
Conexin offline al dominio
Cuentas de Servicio
Analizador de best practices y nuevas consola para mejorar la gestin
Ms de 85 nuevos cmdlets de PowerShell

Active Directory de 0 a 100

Papelera de Reciclaje en AD
Nos permite restaurar tanto objetos como atributos que hayan sido eliminados
Requiere que el dominio este elevado al nivel funcional Windows Server 2008
R2
Podremos restaurar todos aquellos objetos que no hayan superado el periodo
de tiempo definido en el atributo deleted object lifetime
Por defecto esta funcionalidad esta deshabilitada y podemos habilitarla
mediante un comando de Power Shell
Para poder restaurar objetos o atributos que hayan sido eliminados
utilizaremos comandos de Power Shell

Active Directory de 0 a 100

Conexin Offline al dominio

El comando Djoin nos permitir crear y ejecutar un archivo de texto con toda
la informacin necesaria para poder conectar el equipo al dominio con
posterioridad
Esta funcionalidad esta soportada nicamente para clientes que corran
windows 7 o W2K8 R2
Los controladores de dominio que reciban la conexin tambin deben correr
W2K8 R2
Para conectar equipos de manera offline al dominio usaremos un equipo con
conexin como provisioning computer que ser el encargado de crear la
cuenta de equipo en AD y de generar el archivo de texto que utiliza para
conectar al dominio el equipo que se encuentra offline
En nuestro equipo offline ejecutaremos el archivo generado para que termine
la conexin de manera automtica cuando tenga conectividad con los DCS

Active Directory de 0 a 100

Cuentas de Servicio
Comandos PowerShell
Comando

Descrpcin

New-ADServiceAccount

Crea Cuenta

Get-ADServiceAccount

Visauliza Cuenta

Set-ADServiceAccount

Modifica Cuenta

Remove-ADServiceAccount

Elimina Cuenta

Install-ADServiceAccount

Instala Cuenta

UnInstall-ADServiceAccount

Desinstala Cuenta

Reset-ADServiceAccountPassword

Resetea Contrasea

Active Directory de 0 a 100

Analizador de B.Practices y N.Cosola

El Best Practices analyzer verifica y analiza la configuracin del role y nos
proporciona consejos para configurar el mismo
AD administrative Center es una consola que nos permite agilizar los procesos
rutinarios, crear favoritos y obtener mayor informacin de nuestro AD
Desde linea de comandos bajo Power Shell tambin podemos realizar muchas
ms opciones sobre AD puesto que incorporar mas de 85 nuevos cmdlets

Active Directory de 0 a 100