adam step by step guide

Guía paso a paso para la implementación de ADAM

Microsoft Corporation

Publicada: septiembre de 2005

Autor: Jim Groves

Editor: Carolyn Eller

Resumen

El servicio de directorio Active Directory® Application Mode (ADAM) de Microsoft®

Windows Server™ 2003 R2 proporciona una completa integración de compatibilidad con

directorios, seguridad, escalabilidad y compatibilidad nativa con el protocolo ligero de

acceso a directorios (LDAP) para las aplicaciones habilitadas para el uso de directorios.

ADAM es compatible con una serie de capacidades de LDAP destinadas a los

profesionales de las tecnologías de la información (TI) y los programadores de

aplicaciones. Con esta guía paso a paso, podrá instalar ADAM y ponerlo rápidamente en

funcionamiento en Windows Server 2003 R2 para, de ese modo, explorar algunas de sus

nuevas e importantes características.

La información contenida en este documento, incluidas las direcciones URL y otras

referencias a sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos

que se indique lo contrario, los nombres de las compañías, organizaciones, productos,

nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y

acontecimientos utilizados en los ejemplos son ficticios y no representan de ningún modo

a ninguna compañía, organización, producto, nombre de dominio, dirección de correo

electrónico, logotipo, persona, lugar o acontecimiento real. Es responsabilidad del

usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna

parte de este documento puede ser reproducida, almacenada o introducida en un

sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea

electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa

autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna

limitación a los derechos de propiedad industrial o intelectual.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de

autor u otros derechos de propiedad industrial o intelectual sobre el contenido de este

documento. La entrega de este documento no le otorga ninguna licencia sobre dichas

patentes, marcas, derechos de autor u otros derechos de propiedad industrial o

intelectual, a menos que así se prevea en un contrato de licencia de Microsoft por

escrito.

© 2005 Microsoft Corporation. Reservados todos los derechos.

Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT

y Windows Server son marcas registradas o marcas comerciales de Microsoft

Corporation en EE.UU. y en otros países.

El resto de las marcas comerciales son propiedad de sus respectivos propietarios.

Contenido

Guía paso a paso para la implementación de ADAM.........................................................5

Requisitos de ADAM..........................................................................................................6

Instalar ADAM....................................................................................................................7

Usar las herramientas de administración de ADAM.........................................................18

Detener y reiniciar una instancia de ADAM..................................................................18

Usar la herramienta de administración Editor ADSI de ADAM......................................19

Configurar la herramienta de administración del complemento Esquema de ADAM....24

Usar ADSchemaAnalyzer.............................................................................................26

Usar el Sincronizador de AD a ADAM...........................................................................28

Configurar datos de aplicaciones.....................................................................................30

Paso 1: agregar clases de usuario opcionales al esquema de ADAM..........................30

Paso 2: extender el esquema de ADAM para que admita una aplicación....................32

Paso 3: importar los datos de la aplicación a una instancia de ADAM.........................33

Usar una aplicación con ADAM........................................................................................34

Consultar datos con la Libreta de direcciones de Windows..........................................34

Administrar OU, grupos y usuarios en ADAM..................................................................40

Paso 1: crear una OU...................................................................................................41

Paso 2: crear un grupo.................................................................................................42

Paso 3: crear un usuario de ADAM..............................................................................43

Paso 4: agregar un usuario a un grupo........................................................................45

Deshabilitar y habilitar cuentas de usuario de ADAM...................................................48

Administrar particiones de directorio en ADAM................................................................49

Conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe.............................49

Agregar una partición de directorio de aplicaciones.....................................................51

Eliminar una partición de directorio de aplicaciones.....................................................53

Administrar la autorización en ADAM...............................................................................56

Ver los permisos efectivos............................................................................................56

Conceder permisos......................................................................................................57

Denegar permisos........................................................................................................58

Administrar la autenticación en ADAM.............................................................................61

Enlazar como entidad de seguridad de Windows.........................................................61

Establecer la contraseña de un usuario de ADAM.......................................................62

Enlazar como entidad de seguridad de ADAM.............................................................64

Enlazar mediante un objeto proxy de ADAM................................................................64

Seguridad de enlaces y objetos proxy de ADAM.......................................................65

Crear y enlazar con un objeto proxy de ADAM.........................................................66

Demostrar las funciones de los objetos proxy de ADAM...........................................68

Realizar una copia de seguridad y restaurar Active Directory Application Mode (ADAM)69

Realizar una copia de seguridad de una instancia de ADAM.......................................69

Quitar una instancia de ADAM......................................................................................71

Restaurar una instancia de ADAM................................................................................71

Administrar los conjuntos de configuración......................................................................73

Instalar una réplica mediante el Asistente para instalación de Active Directory

Application Mode (ADAM).........................................................................................73

Instalar una réplica desde los medios utilizando la instalación desatendida................75

Configurar la programación de replicación...................................................................78

Provocar la replicación inmediata de una partición de directorio..................................80

Administrar ADAM mediante programación.....................................................................80

Administrar ADAM mediante programación con secuencias de comandos de Visual

Basic......................................................................................................................... 81

Administrar ADAM mediante programación con la API System.DirectoryServices.......82

Administrar los objetos proxy de ADAM mediante programación.................................84

Guía paso a paso de ADAM

Guía paso a paso para la implementación de ADAM

Este documento es una guía paso a paso para la implementación de Active Directory

Application Mode (ADAM).

El servicio de directorio Active Directory® de Microsoft® Windows® 2000 y Microsoft®

Windows Server™ 2003 es el servicio de directorio de crecimiento más rápido para

intranets y extranets, a causa de su completa integración de compatibilidad con

directorios, seguridad, escalabilidad y compatibilidad con el protocolo ligero de acceso a

directorios (LDAP). Active Directory en Windows Server 2003 se basa en esos principios

ofreciendo una serie de nuevas capacidades LDAP destinadas a los profesionales de

tecnologías de la información (TI) y a los programadores de aplicaciones. ADAM es una

de esas nuevas capacidades. Las organizaciones, los fabricantes independientes de

software (ISV) y los programadores que deseen integrar sus aplicaciones con un servicio

de directorio ahora cuentan con una nueva capacidad en Active Directory que les ofrece

multitud de ventajas.

Con este documento, podrá instalar ADAM y ponerlo rápidamente en funcionamiento

para, de ese modo, explorar algunas de sus nuevas e importantes características.

Más concretamente, en este escenario llevará a cabos las siguientes tareas:

1. Configure el entorno de laboratorio, en el que instalará y configurará ADAM.

2. Instale ADAM.

A continuación, podrá conocer sus características relacionadas con la adición y

administración de datos:

1. Configure los datos de aplicaciones para utilizar ADAM con una aplicación.

2. Consulte y recupere los datos de la aplicación que ha importado a la instancia de

ADAM.

3. Practique la creación y administración de unidades organizativas (OU), grupos y

usuarios en ADAM.

4. Agregue y elimine manualmente una partición de directorio de aplicaciones.

5. Conceda y deniegue permisos de usuario.

Finalmente, pondrá en práctica las tareas administrativas:

1. Enlace con una instancia de ADAM de varias formas.

5


2. Utilice las funciones básicas de ADAM, como iniciar y detener una instancia de

ADAM.

3. Realice copias de seguridad, quite y restaure una instancia de ADAM.

4. Instale réplicas de ADAM.

5. Realice tareas de ADAM mediante programación.

Nota

Se recomienda que, en primer lugar, lleve a cabo los pasos indicados en esta

guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están

diseñadas para ser utilizadas en la implementación de características de

Windows Server sin la documentación correspondiente. Utilice esta guía con

prudencia si la emplea como documento independiente.

Requisitos de ADAM

Antes de empezar a utilizar los procedimientos de esta guía, asegúrese de que cumple

los siguientes requisitos:

Tenga disponible al menos un equipo de pruebas donde pueda instalar ADAM. Con

objeto de seguir los ejercicios de esta guía, puede instalar ADAM en equipos que

ejecuten cualquiera de los siguientes sistemas operativos:

Windows Server 2003 R2 Standard Edition

Windows Server 2003 R2 Enterprise Edition

Windows Server 2003 R2 Datacenter Edition

El equipo debe disponer de 50 MB de espacio libre en disco.

Nota

También puede ejecutar ADAM en equipos con Windows XP y versiones

anteriores de Windows Server 2003. La versión de ADAM que se ejecuta en

esos sistemas operativos está disponible en "Windows Server 2003 Active

Directory Application Mode" en el sitio Web de Microsoft

(http://go.microsoft.com/fwlink?linkid=17797).

Obtenga una copia de la descarga de ADAM, que incluye los archivos de laboratorio

que usará en esta guía. Para este ejercicio, utilice sólo los archivos de laboratorio de

la descarga, pero instale la aplicación ADAM propiamente dicha desde el CD de

Windows Server 2003 R2. La descarga de ADAM está disponible en el Centro de

6

http://go.microsoft.com/fwlink?linkid=29359




descarga de Microsoft (http://go.microsoft.com/fwlink?linkid=29359). Ejecute la

descarga para extraer los archivos de laboratorio necesarios para los ejercicios de

esta guía.

Inicie sesión con la cuenta de administrador.

Para los ejercicios de esta guía, puede instalar instancias de ADAM de réplica en el

primer equipo de pruebas o puede instalarlas en un segundo equipo si dispone de él.

Si ya ha instalado una versión anterior de ADAM, debe desinstalar del equipo la

versión anterior antes de instalar la versión nueva de ADAM.

Instalar ADAM

Puede instalar una instancia de ADAM utilizando el Asistente para instalación de Active

Directory Application Mode (ADAM) o mediante el proceso de instalación desatendida de

ADAM. En el primer ejercicio, utilizará el Asistente para instalación de Active Directory

Application Mode (ADAM) para instalar ADAM. En Administrar los conjuntos de

configuración, se utiliza la instalación desatendida para instalar una réplica de ADAM.

Nota

Para instalar ADAM, debe iniciar sesión en el equipo utilizando una cuenta que

pertenezca al grupo Administradores local.

En este ejercicio, instalará ADAM en primer lugar y, a continuación, instalará una

instancia de ADAM utilizando para ello el Asistente para instalación de Active Directory

Application Mode (ADAM).

Para instalar ADAM

1. Para instalar ADAM, inicie sesión como administrador, haga clic en Inicio,

seleccione Panel de control y, a continuación, haga clic en Agregar o quitar

programas.

2. Haga clic en Agregar o quitar componentes de Windows.

3. Active la casilla de verificación que se encuentra junto a Servicios de Active

Directory y, a continuación, haga clic en Detalles.

4. Active la casilla de verificación que se encuentra junto a Active Directory

Application Mode (ADAM), haga clic en Aceptar y, a continuación, en

Siguiente.

5. Lea el mensaje que aparece. Según el contenido del mensaje, realice una de las

7



siguientes acciones:

Si se muestra "El Asistente para componentes de Windows se ha

completado satisfactoriamente", haga clic en Finalizar.

Si aparece un mensaje de error, anótelo, haga clic en Finalizar y, a

continuación, examine los mensajes de sucesos de ADAM en el Visor de

sucesos.

Para instalar una instancia de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM)

1. Para iniciar el Asistente para instalación de Active Directory Application Mode

(ADAM), haga clic en Inicio, seleccione Todos los programas, ADAM y, a

continuación, haga clic en Crear una instancia de ADAM. La primera página del

Asistente para instalación de Active Directory Application Mode (ADAM) tiene el

siguiente aspecto:

2. En la página Asistente para instalación de Active Directory Application Mode

(ADAM), haga clic en Siguiente.

8


3. En la página Opciones de instalación, debe seleccionar si desea instalar una única

instancia de ADAM o unirse a un conjunto de configuración existente. Puesto que

está instalando la primera instancia de ADAM, haga clic en Una instancia única

(como se muestra en la ilustración) y, a continuación, haga clic en Siguiente. Más

adelante, creará otras instancias de ADAM y las unirá al conjunto de configuración.

4. En la página Nombre de instancia, indique un nombre para la instancia de ADAM

que está instalando. Este nombre se utiliza en el equipo local para identificar de

forma única la instancia de ADAM. En este ejercicio, limítese a aceptar el nombre

predeterminado de instance1 y, a continuación, haga clic en Siguiente.

9


5. En la página Puertos, especifique los puertos de comunicaciones que la instancia

de ADAM utiliza para comunicarse. ADAM puede comunicarse usando los

protocolos LDAP y SSL (Capa de sockets seguros). Por lo tanto, debe indicar un

valor para cada puerto. En este ejercicio, acepte los valores predeterminados de 389

y 636 y, a continuación, haga clic en Siguiente.

10


Nota

Si instala ADAM en un equipo en el que ya se use alguno de los puertos

predeterminados, el Asistente para instalación de Active Directory

Application Mode (ADAM) localiza automáticamente el primer puerto

disponible, empezando a partir del 50000. Por ejemplo, Active Directory

utiliza los puertos 389 y 636, además de los puertos 3268 y 3269 en

servidores de catálogo global. Por lo tanto, si instala ADAM en un

controlador de dominio, el Asistente para instalación de Active Directory

Application Mode (ADAM) proporciona un valor de 50000 para el puerto

LDAP y 50001 para el puerto SSL.

6. En la página Partición de directorio de aplicaciones, puede crear una partición de

directorio de aplicaciones (o un contexto de nomenclatura) haciendo clic en Sí, crear

una partición de directorio de aplicaciones. O bien puede hacer clic en No, no

crear una partición de directorio de aplicaciones, en cuyo caso deberá crear una

partición de directorio de aplicaciones manualmente tras la instalación. Para este

ejercicio, haga clic en Sí, crear una partición de directorio de aplicaciones. Al

crear una partición de directorio de aplicaciones, debe indicar un nombre completo

11


para la nueva partición. En este ejercicio, escriba o=Microsoft,c=US como nombre

completo (según se muestra en la imagen) y, a continuación, haga clic en Siguiente.

Nota

ADAM es compatible con nombres completos de estilo X.500 y de sistema

de nombres de dominio (DNS) para particiones de directorio de nivel

superior.

7. En la página Ubicaciones de archivo, puede ver y modificar los directorios de

instalación de los archivos de datos y recuperación (registro) de ADAM. De manera

predeterminada, los archivos de datos y recuperación de ADAM se instalan en

%ProgramFiles%\Microsoft ADAM\nombreDeInstancia\data, donde

nombreDeInstancia representa el nombre de la instancia de ADAM especificado en

la página Nombre de instancia. En este ejercicio, haga clic en Siguiente para

aceptar las ubicaciones de archivo predeterminadas.

12


Importante

Cuando instale ADAM en un equipo que ejecuta Windows XP, debe instalar

esos archivos en el mismo volumen lógico. Si instala ADAM en Windows

Server 2003 y Windows Server 2003 R2 en un entorno de producción, se

recomienda que instale los archivos en distintos discos físicos.

Nota

La instalación de ADAM instala los archivos de programa y las herramientas

de administración en %windir%\ADAM.

8. En la página Selección de cuentas de servicio, debe seleccionar una cuenta que

se utilizará como cuenta de servicio de ADAM. La cuenta que seleccione determina

el contexto de seguridad en que se ejecuta la instancia de ADAM. A menos que

instale ADAM en un controlador de dominio, el Asistente para instalación de Active

Directory Application Mode (ADAM) utiliza de manera predeterminada la cuenta

Servicio de red. En este ejercicio, haga clic en Siguiente para aceptar el valor

predeterminado de Cuenta del servicio de red. O bien, si está instalando ADAM en

un controlador de dominio, haga clic en Esta cuenta y seleccione la cuenta de

13


usuario de dominio que se utilizará como cuenta de servicio de ADAM.

Nota

Puede cambiar la cuenta de servicio de ADAM después de instalar ADAM

utilizando la herramienta de línea de comandos Dsmgmt. Si instala ADAM

en un controlador de dominio, debe seleccionar una cuenta de usuario de

dominio como cuenta de servicio de ADAM.

9. En la página Administradores de ADAM, debe seleccionar el usuario o el grupo

que será el administrador predeterminado de la instancia de ADAM. El usuario o

grupo que seleccione tendrá total control administrativo de la instancia de ADAM. De

manera predeterminada, el Asistente para instalación de Active Directory Application

Mode (ADAM) especifica el usuario que ha iniciado la sesión actual. Puede cambiar

esta selección y usar cualquier grupo o cuenta local o de dominio de la red. En este

ejercicio, haga clic en el valor predeterminado de Usuario con sesión iniciada y, a

continuación, haga clic en Siguiente.

14


10. En la página Importación de archivos LDIF, puede importar dos archivos .ldf al

esquema de ADAM que contienen definiciones de objeto de clase user. Importar

esas definiciones de objeto de clase user es opcional. No obstante, esas

definiciones de objeto son necesarias más adelantes en esta guía, así que es

recomendable que las importe en este momento:

a. Haga clic en Importar los archivos LDIF seleccionados para esta instancia

de ADAM.

b. Haga clic en MS-InetOrgPerson.LDF y, a continuación, haga clic en Agregar.

c. Haga clic en MS-User.LDF y, a continuación, haga clic en Agregar.

d. Haga clic en MS-UserProxy.LDF, haga clic en Agregar y, a continuación, en

Siguiente.

15


11. La página Listo para instalar le ofrece la oportunidad de revisar las selecciones

que ha realizado para la instalación. Tras hacer clic en Siguiente, el Asistente para

instalación de Active Directory Application Mode (ADAM) empieza a copiar archivos

e instalar ADAM en el equipo.

16


12. Cuando el Asistente para instalación de Active Directory Application Mode (ADAM)

termina de instalar ADAM, aparece el siguiente mensaje: “El Asistente para

instalación de Active Directory Application Mode se finalizó correctamente.” Cuando

aparezca la página Finalización del Asistente para instalación de Active

Directory Application Mode (ADAM), haga clic en Finalizar para cerrar el

asistente.

Nota

Si el Asistente para instalación de Active Directory Application Mode (ADAM) no

finaliza correctamente, aparecerá un mensaje de error que describe la causa del

error en la página Resumen.

Si se produce un error en el Asistente para instalación de Active Directory Application

Mode (ADAM) antes de la página Resumen, puede examinar los mensajes de error que

aparezcan. Además, puede hacer clic en Inicio, Ejecutar y escribir uno de los siguientes

comandos:

%windir%\Debug\adamsetup.log

%windir%\Debug\adamsetup_loader.log

17


Los archivos Adamsetup.log y Adamsetup_loader.log contienen información que le puede

ayudar a solucionar la causa del error de instalación de ADAM.

Usar las herramientas de administración de ADAM

La instancia de ADAM se ejecuta como un servicio de usuario estándar en lugar de como

un servicio del sistema y puede detenerse e iniciarse desde el complemento Servicios de

Microsoft Management Console (MMC). Además, ADAM incluye varias herramientas de

administración para tareas generales de administración. En los siguientes ejercicios,

llevará a cabo las siguientes operaciones:

Usará el complemento Servicios para detener y reiniciar la instancia de ADAM.

Usará el Editor ADSI de ADAM (ADAM-adsiedit.msc) para examinar el directorio.

Configurará el complemento Esquema de ADAM.

Usará ADSchemaAnalyzer con el objetivo de crear un archivo que se pueda utilizar

para extender un esquema con elementos de otro esquema.

Usará el Sincronizador de AD a ADAM para copiar datos desde Active Directory a

una instancia de ADAM.

Detener y reiniciar una instancia de ADAM

Para detener y reiniciar una instancia de ADAM utilizando el complemento Servicios

1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación,

haga clic en Servicios.

2. La instancia de ADAM que acaba de instalar aparece en el panel de detalles del

complemento Servicios, junto con los demás servicios del equipo. Las instancias de

ADAM aparecen en Servicios por su nombre que, en este caso, es instance1. Haga

clic en la instancia de ADAM que ha instalado, según se muestra a continuación:

18


3. Para detener la instancia de ADAM, en el menú Acción, haga clic en Detener.

4. Una vez detenida la instancia de ADAM, en el menú Acción, haga clic en Iniciar

para reiniciar la instancia de ADAM.

Usar la herramienta de administración Editor ADSI de ADAMLa principal herramienta de administración de ADAM es el Editor ADSI de ADAM. En

este ejercicio, utilizará el Editor ADSI de ADAM para enlazar, ver y examinar la instancia

de ADAM.

Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de ADAM

1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,

haga clic en Editor ADSI de ADAM.

2. En el árbol de la consola, haga clic en Editor ADSI de ADAM. El complemento

19


Editor ADSI de ADAM tiene el siguiente aspecto:

3. En el menú Acción, haga clic en Conectar a. Aparecerá el cuadro de diálogo

Configuración de conexión.

4. En Nombre de conexión puede escribir una etiqueta con cuyo nombre aparecerá

esta conexión en el árbol de la consola del Editor ADSI de ADAM. Para esta

conexión, escriba:

ADAM demo

5. En Nombre de servidor, escriba el nombre de host o DNS del equipo donde se esté

ejecutando la instancia de ADAM.

Nota

Ya que en este ejercicio ADAM se ejecuta en el equipo local, puede utilizar

localhost como nombre de servidor.

6. En Puerto, escriba el puerto de comunicaciones LDAP o SSL que use ADAM. O,

como en este caso, acepte el valor predeterminado de 389.

Nota

Para que se muestren los números de puerto utilizados por las instancias de

ADAM, haga clic en Inicio, seleccione Todos los programas, ADAM, haga

clic en Símbolo del sistema de herramientas de ADAM y, en el símbolo

del sistema, escriba: dsdbutil "list instances" quit

7. En Conectar al siguiente nodo, puede conectar con un contexto de nomenclatura

conocido, como la partición de directorio de esquema o configuración, o bien puede

especificar el nombre completo de una partición a la que desee conectarse. Para

este ejercicio, haga clic en Nombre completo (DN) o contexto de nomenclatura, y

escriba:

20


o=Microsoft,c=US

Se trata del nombre completo de la partición de aplicación que ha creado durante la

instalación.

8. En Conectar usando estas credenciales, haga clic en La cuenta del usuario con

sesión iniciada. El cuadro de diálogo Configuración de conexión tendrá el

siguiente aspecto:

9. Haga clic en Aceptar. El complemento Editor ADSI de ADAM tiene el siguiente

aspecto:

21


10. En el árbol de la consola, haga doble clic en ADAM demo y, a continuación, haga

doble clic en O=Microsoft,c=US. El complemento Editor ADSI de ADAM muestra

ahora la partición del directorio de aplicaciones:

11. En el árbol de la consola, haga clic en cualquier contenedor para ver sus objetos.

Por ejemplo, haga clic en CN=Roles.

12. Para abrir otra partición de directorio de la instancia de ADAM, en el árbol de la

consola, haga clic en Editor ADSI de ADAM y, a continuación, en el menú Acción,

haga clic en Conectar a.

13. Rellene el cuadro de diálogo Configuración de conexión como se muestra y, a

continuación, haga clic en Aceptar.

22


El cuadro de diálogo Configuración de conexión tendrá el siguiente aspecto:

Ahora puede examinar el contenido de la partición del directorio de configuración de

la instancia de ADAM.

23


14. Para cerrar el Editor ADSI de ADAM, en el menú Archivo haga clic en Salir.

Configurar la herramienta de administración del complemento Esquema de ADAMPuede utilizar otra herramienta de administración de ADAM, el complemento Esquema

de ADAM, para administrar el esquema de ADAM. Si ha utilizado con anterioridad el

complemento Esquema de Active Directory, el complemento Esquema de ADAM le

resultará muy familiar. Para poder utilizar el complemento Esquema de ADAM, debe

crear un archivo MMC para él, tal y como se describe en este procedimiento.

Para crear un archivo MMC para el complemento Esquema de ADAM

1. Haga clic en Inicio y en Ejecutar, escriba mmc /a y, a continuación, haga clic en

Aceptar.

2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a continuación,

en Agregar.

3. En Complementos independientes disponibles, haga clic en Esquema de ADAM,

Agregar, Cerrar y, a continuación, en Aceptar.

4. Para guardar esta consola, en el menú Archivo, haga clic en Guardar.

5. En Nombre de archivo, escriba lo siguiente y, a continuación, haga clic en Guardar.

%windir%\system32\adamschmmgmt.msc

El complemento Esquema de ADAM tiene el siguiente aspecto:

24


6. Para conectarse a la instancia de ADAM mediante Esquema de ADAM, en el árbol

de la consola haga clic con el botón secundario en Esquema de ADAM, haga clic en

Cambiar el servidor ADAM y, a continuación, rellene el cuadro de diálogo como se

indica a continuación:

7. Haga clic en Aceptar. El complemento Esquema de ADAM ahora tiene el siguiente

25


aspecto: Puede examinar y ver los atributos y clases del esquema de ADAM:

8. Para crear un acceso directo para el complemento Esquema de ADAM en el menú

Inicio:

a. Haga clic con el botón secundario en Inicio, haga clic en Abrir todos los

usuarios, haga doble clic en la carpeta Programas y, a continuación, haga

doble clic en la carpeta ADAM.

b. En el menú Archivo, seleccione Nuevo y, a continuación, haga clic en Acceso

directo.

c. En el asistente Crear acceso directo, en Escriba la ubicación del elemento,

escriba adamschmmgmt.msc y, a continuación, haga clic en Siguiente.

d. En la página Seleccionar un título para el programa, en Escriba un nombre

para este acceso directo, escriba Esquema de ADAM y, a continuación, haga

clic en Finalizar.

Usar ADSchemaAnalyzerPuede utilizar ADSchemaAnalyzer para migrar el esquema de Active Directory a ADAM,

de una instancia de ADAM a otra o de cualquier directorio compatible con LDAP a una

instancia de ADAM. Puede utilizar ADSchemaAnalyzer para cargar un esquema de

destino (origen), marcar los elementos que desee migrar y, a continuación, exportarlos al

esquema de base de ADAM. También puede comparar los dos esquemas.

26


Importante

Si utiliza ADSchemaAnalyzer para crear un archivo LDIF, debe cargar un

esquema de destino y un esquema de base. En caso contrario, es posible que la

herramienta ldifde no pueda utilizar el archivo LDIF resultante.

Para crear un archivo LDIF con ADSchemaAnalyzer

1. Haga clic en Inicio, seleccione Todos los programas, ADAM, haga clic en

Símbolo del sistema de herramientas de ADAM y, en el símbolo del sistema,

escriba:

adschemaanalyzer

2. Para cargar un esquema de destino, haga clic en Archivo y en Cargar

esquema de destino y, a continuación, realice una de las siguientes

operaciones:

Para cargar el esquema de Active Directory de dominio como esquema de

destino, en el cuadro de diálogo escriba su nombre de usuario, contraseña y

dominio y, a continuación, haga clic en Aceptar.

Para cargar otro esquema (como el esquema de un bosque de Active

Directory u otro directorio compatible con LDAP), en el cuadro de diálogo,

escriba el nombre del servidor y el puerto del directorio que contenga el

esquema de destino, escriba su nombre de usuario, contraseña y dominio

según sea necesario y, a continuación, haga clic en Aceptar.

3. Para cargar el esquema de la instancia de ADAM como esquema de base, haga

clic en Archivo, en Cargar esquema de base y, a continuación, en

Servidor[:puerto], escriba el nombre del servidor y el puerto de la instancia de

ADAM.

4. En el cuadro de diálogo, haga clic en Aceptar.

5. En el árbol resultante, marque todos los elementos que desee exportar al

esquema de base haciendo clic con el botón secundario en el elemento y

seleccionando una de las siguientes opciones:

Automático marca automáticamente un elemento como incluido o excluido

en la exportación. Si un elemento se marca como Automático (incluido),

puede hacer clic con el botón secundario en ese elemento y, a continuación,

hacer clic en ¿Por qué se incluye automático? para ver el árbol de

dependencia inverso del elemento.

Incluido marca un elemento como incluido en la exportación.

27


ADSchemaAnalyzer marca todos los elementos relacionados, como

superclases, auxClasses, contenidos obligatorios y opcionales,

defaultObjectCategory y possSuperiors. ADSchemaAnalyzer incluye los

conjuntos de propiedades para los atributos incluidos y vínculos hacia atrás

para los vínculos.

Excluido marca un elemento como no incluido en la exportación. Puede

bloquear determinadas rutas en el gráfico de dependencias. Por ejemplo, es

posible que desee importar domainDns pero no samAccountDomain (que es

una auxClass de domainDns). Puede excluir un elemento completo, como la

clase samAccountDomain, o puede excluir una relación. Por ejemplo, puede

quitar la referencia auxClass de la clase domainDns. Si excluye una relación,

todas las clases que hagan referencia a ese elemento seguirán incluyéndolo.

Presente significa que el elemento está presente en el servidor de destino.

De manera predeterminada, la clase superior se marca como presente.

6. Para crear el archivo LDIF, haga clic en Archivo y, a continuación, haga clic en

Crear archivo LDIF.

Puede utilizar el comando ldifde en el símbolo del sistema de las herramientas de ADAM

para importar los elementos del esquema de destino del archivo LDIF al esquema de

base de ADAM. El comienzo del archivo LDIF contiene instrucciones detalladas para

llevar a cabo esta tarea.

Usar el Sincronizador de AD a ADAMEl Sincronizador de AD a ADAM es una herramienta de línea de comandos que

sincroniza los datos de un bosque de Active Directory con un conjunto de configuración

de una instancia de ADAM.

Importante

El Sincronizador de AD a ADAM no sincroniza contraseñas de usuario entre

Active Directory y ADAM.

Deben cumplirse dos requisitos para que el Sincronizador de AD a ADAM pueda

sincronizar los datos:

El esquema de la instancia de ADAM debe extenderse para que coincida con los

objetos de esquema del bosque de Active Directory de Windows Server 2003.

El esquema de la instancia de ADAM debe extenderse para los objetos de esquema

que necesita el Sincronizador de AD a ADAM.

28


Nota

Debe utilizar la opción -t número_de_puerto con ldifde si la instancia de ADAM

utiliza un puerto distinto del puerto predeterminado 389.

Para utilizar el Sincronizador de AD a ADAM por primera vez

1. Haga clic en Inicio, seleccione Todos los programas, haga clic en ADAM y, a

continuación, haga clic en Símbolo del sistema de herramientas de ADAM

para abrir una ventana de comandos en el directorio de ADAM.

2. Para extender el esquema de ADAM de forma que coincida con los objetos de

esquema predeterminados de Windows Server 2003 de Active Directory, en el

símbolo del sistema escriba el siguiente comando en una sola línea y, a

continuación, presione ENTRAR:

ldifde -i -s localhost -c CN=Configuration,DC=X

#ConfigurationNamingContext -f MS-AdamSchemaW2k3.ldf

3. Para extender el esquema de ADAM de forma que incluya los objetos de

esquema que necesita el Sincronizador de AD a ADAM, en el símbolo del

sistema escriba el siguiente comando en una sola línea y, a continuación,

presione ENTRAR:

ldifde -i -s localhost:389 -c CN=Configuration,DC=X

#ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf

4. Modifique el archivo de configuración MS-AdamSyncConf.xml con los

parámetros apropiados.

Importante

No elimine los campos no utilizados del archivo.

5. Instale el archivo de configuración. En el símbolo del sistema, escriba el

siguiente comando y presione ENTRAR:

ADAMSync /install localhost:389 %windir%\ADAM\MS-AdamSyncConf.xml

6. Sincronice los datos del bosque de Active Directory al conjunto de configuración

de ADAM. En el símbolo del sistema, escriba el siguiente comando y presione

ENTRAR:

ADAMSync /sync localhost:389 "o=microsoft,c=US"

Utilice el Editor ADSI de ADAM para comprobar que los datos se han

sincronizado.

29


Configurar datos de aplicaciones

En la mayor parte de los casos, el esquema de ADAM se extiende con definiciones de

atributos y clases de objetos para los tipos de datos que desea que almacene una

aplicación. Igual que ocurre en Active Directory, el esquema de ADAM es extensible.

Puede extender el esquema de ADAM mediante programación o con la herramienta de

línea de comandos Ldifde.exe.

En los siguientes ejercicios, llevará a cabo las siguientes operaciones:

Paso 1: agregar clases de usuario opcionales al esquema de ADAM.

Paso 2: extender el esquema de ADAM para que admita una aplicación.

Paso 3: importar los datos de la aplicación a una instancia de ADAM.

Nota

Más adelante utilizará los datos de la aplicación que importe en estos ejercicios

con la aplicación Libreta de direcciones de Windows.

Paso 1: agregar clases de usuario opcionales al esquema de ADAMPuede agregar las clases de usuario opcionales que se proporcionan con ADAM durante

su instalación, o bien puede agregarlas manualmente utilizando la herramienta de línea

de comandos Ldifde.exe. Si ha importado los archivos .ldf de definición de clase de

usuario al ejecutar el Asistente para instalación de Active Directory Application Mode

(ADAM), puede omitir este procedimiento.

Para agregar manualmente clases de usuario opcionales al esquema de ADAM


haga clic en Símbolo del sistema de herramientas de ADAM.

2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

ldifde -i -f ms-inetorgperson.ldf -s nombreDeServidor:númeroDePuerto -k -j . -c

"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext

donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el

puerto de comunicaciones LDAP de la instancia de ADAM. Dado que la instancia de

ADAM se está ejecutando en el equipo local, también puede utilizar localhost como

nombre del equipo.

30


Nota

Asegúrese de utilizar la versión de Ldifde.exe incluida en

Windows Server 2003 R2 en lugar de la que acompañaba a la versión

anterior de ADAM o a las herramientas de soporte de Windows.

La ventana Símbolo del sistema de herramientas de ADAM debe tener un

aspecto similar al que se muestra a continuación:

3. Escriba el siguiente comando y presione ENTRAR:

ldifde -i -f ms-user.ldf -s nombreDeServidor:númeroDePuerto -k -j . -c

"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext

La ventana Símbolo del sistema de herramientas de ADAM tiene ahora un

aspecto similar al que se muestra a continuación:

Tras ejecutar estos comandos, el esquema de ADAM incluirá las clases de objeto de

usuario de ADAM e inetOrgPerson. Puede comprobarlo viendo el esquema de ADAM

con el complemento Esquema de ADAM.

31


Paso 2: extender el esquema de ADAM para que admita una aplicaciónEn este ejercicio, extenderá el esquema de ADAM de nuevo agregando para ello una

clase de objeto de contactos. Para lograrlo, volverá a utilizar la herramienta de línea de

comandos ldifde.

Para extender el esquema de ADAM



2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:

ldifde -i -f unidad:\rutaDeAcceso\labs_demo\labs\contact.ldf -

snombreDeServidor:númeroDePuerto-k -j . -c "CN=Schema,CN=Configuration"

#schemaNamingContext

donde unidad:\rutaDeAcceso representa la ubicación donde ha guardado la

descarga de ADAM y nombreDeServidor:númeroDePuerto representa el nombre del

equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Dado que la

instancia de ADAM se está ejecutando en el equipo local, también puede utilizar

localhost como nombre del equipo.

Nota

Asegúrese de utilizar la copia de Ldifde.exe incluida en la versión ADAM en

lugar de la que acompañaba a la versión anterior de ADAM o a las

herramientas de soporte de Windows.

Una vez ejecutado el comando, la ventana Símbolo del sistema de herramientas

de ADAM tendrá el siguiente aspecto:

32


Ahora el esquema de ADAM también incluye la clase de objeto de contactos y está lista

para recibir datos de aplicación.

Paso 3: importar los datos de la aplicación a una instancia de ADAMEn este ejercicio, importará algunos datos de ejemplo a la instancia de ADAM utilizando

la herramienta de línea de comandos ldifde. Estos datos se incluyen en la descarga de

ADAM.

Para importar los datos de la aplicación



2. En el símbolo del sistema, escriba lo siguiente:

ldifde -i -f unidad:\rutaDeAcceso\labs_demo\labs\contactimport.ldf -s

nombreDeServidor:númeroDePuerto-k -j .

donde unidad:\rutaDeAcceso representa la ubicación donde se encuentran los

archivos de ADAM y nombreDeServidor:númeroDePuerto representa el nombre del

equipo y el puerto de comunicaciones LDAP de la instancia de ADAM.

Nota

Asegúrese de utilizar la copia de Ldifde.exe incluida en la versión ADAM en

lugar de la que acompañaba a la versión anterior de ADAM o a las

herramientas de soporte de Windows.

Una vez ejecutado el comando, la ventana Símbolo del sistema de herramientas

de ADAM tendrá el siguiente aspecto:

33


Nota

Ldifde siempre indica el número de entradas importadas al directorio. En

este caso, puede ver que ldifde muestra que contactimport.ldf contiene dos

registros. Para obtener más información acerca de ldifde, escriba ldifde /?

en el símbolo del sistema.

Usar una aplicación con ADAM

En este ejercicio, utilizará la Libreta de direcciones de Windows, una aplicación basada

en LDAP, para consultar y recuperar los datos de aplicación que ha importado a la

instancia de ADAM.

Consultar datos con la Libreta de direcciones de Windows

Para consultar datos con la Libreta de direcciones de Windows

1. Haga clic en Inicio y Ejecutar, escriba wab.exe y, a continuación, haga clic en

Aceptar.

2. En el menú Herramientas, haga clic en Cuentas y, a continuación, en Agregar.

Aparecerá el Asistente para la conexión a Internet.

3. En Servidor de directorio de Internet (LDAP), escriba localhost, haga clic en

Siguiente dos veces y, a continuación, haga clic en Finalizar.

4. En el cuadro de diálogo Cuentas de Internet, en la ficha Servicio de directorio,

haga doble clic en localhost, como se muestra a continuación:

34


5. Rellene la ficha General del cuadro de diálogo Propiedades de localhost como se

muestra en la ilustración siguiente, utilizando la cuenta con la que ha iniciado la

sesión actual en el equipo. Asegúrese de activar las casillas de verificación Este

servidor requiere iniciar sesión e Iniciar sesión usando autenticación de

contraseña segura.

35


6. Haga clic en la ficha Avanzadas y, a continuación, active la casilla de verificación

Usar filtro de búsqueda simple. En Base de búsqueda, escriba

o=Microsoft,c=UScomo se muestra a continuación y haga clic primero en Aceptar y

después en Cerrar en el cuadro de diálogo Cuentas de Internet.

36


7. En la Libreta de direcciones de Windows, haga clic en Buscar personas en la barra

de herramientas. En Buscar en, haga clic en localhost y, a continuación, en

Nombre, escriba:

kim

El cuadro de diálogo Propiedades de localhost tendrá el siguiente aspecto:

37


8. Haga clic en Buscar ahora. La búsqueda debe devolver una entrada del directorio

de ADAM, tal y como se muestra a continuación:

38


9. Haga doble clic en el nombre para ver los detalles de los resultados de la búsqueda.

10. En la ficha Organización, puede ver la relación jerárquica. Haga doble clic en el

nombre del director para ver los detalles de contacto asociados, que serán similares

a los siguientes:

39


Administrar OU, grupos y usuarios en ADAM

ADAM suele usarse con frecuencia para almacenar información acerca de los usuarios,

así como las organizaciones y grupos a los que pertenecen. En estos ejercicios, creará

una unidad organizativa (OU) llamada “ADAM users” en la partición del directorio de

aplicaciones o=Microsoft,c=US y agregará un grupo a ADAM llamado “ADAM testers”.

También creará un usuario de ADAM llamado Mary Baker con una de las clases de

objetos de usuario que importó anteriormente. Mediante el Editor ADSI de ADAM,

realizará las siguientes acciones:

Paso 1: crear una OU.

Paso 2: crear un grupo en la nueva OU.

40


Paso 3: crear un usuario de ADAM.

Paso 4: agregar un usuario de ADAM al grupo ADAM users.

Además, aprenderá a habilitar y deshabilitar cuentas de usuario de ADAM.

Paso 1: crear una OUEn este ejercicio, creará una OU.

Para crear una OU

1. Si no está abierto, abra el Editor ADSI de ADAM y, a continuación, conéctese a la

partición de directorio de aplicaciones o=Microsoft,c=US según se describe en el

procedimiento "Para enlazar, ver y examinar una instancia de ADAM utilizando el

Editor ADSI de ADAM" en Usar las herramientas de administración de ADAM.

2. En el árbol de consola, haga clic con el botón secundario en O=Microsoft,c=US,

seleccione Nuevo y, a continuación, haga clic en Objeto. El cuadro de diálogo Crear

objeto tendrá el siguiente aspecto:

41


3. En la lista Seleccione una clase, haga clic en organizationalUnit y, a continuación,

en Siguiente.

4. En Valor, escriba ADAM users y, a continuación, haga clic en Siguiente.

5. En la página siguiente, puede hacer clic en Más atributos para editar más atributos

del objeto que está creando. En este ejercicio, limítese a hacer clic en Finalizar.

6. En el árbol de la consola, haga doble clic en O=Microsoft,c=US. El complemento

Editor ADSI de ADAM tiene el siguiente aspecto:

Paso 2: crear un grupoEn este ejercicio, creará un grupo en la OU.

Para crear un grupo en una OU

1. En el árbol de la consola, haga clic con el botón secundario en OU=ADAM Users,

seleccione Nuevo y, a continuación, haga clic en Objeto.

2. En Seleccione una clase, haga clic en group y, a continuación, en Siguiente.

3. En Valor, escriba ADAM testers y, a continuación, haga clic en Siguiente.

4. En Valor, escriba 2147483650 (equivalente a 0x80000002 hexadecimal, que

significa una cuenta de grupo), haga clic en Siguiente y, a continuación, haga clic en

42


Finalizar.

Nota

Para obtener más información acerca del atributo groupType, consulte

"Group-Type" en el sitio Web de Microsoft (http://go.microsoft.com/fwlink?

linkid=51093).

El complemento Editor ADSI de ADAM tiene el siguiente aspecto:

Paso 3: crear un usuario de ADAMEn este ejercicio, creará un usuario de ADAM en la OU ADAM Users y, a continuación,

agregará el usuario al grupo ADAM Testers.

Nota

La nueva cuenta de usuario estará deshabilitada de manera predeterminada, ya

que no tiene ninguna contraseña asociada.

Para crear un usuario de ADAM

1. Si no está abierto, abra el Editor ADSI de ADAM.

2. Conéctese y enlace a la instancia de ADAM, según se describe en el procedimiento

"Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de

43



ADAM" en Usar las herramientas de administración de ADAM. A continuación, en el

árbol de la consola, haga doble clic en la instancia de ADAM.

3. Haga doble clic en la partición de directorio de aplicaciones O=Microsoft,c=US.

4. Haga clic con el botón secundario en el contenedor OU=ADAM Users que creó con

anterioridad, seleccione Nuevo y, a continuación, haga clic en Objeto.

5. En Seleccione una clase, haga clic en user y, a continuación, en Siguiente.

Nota

Si no ha cerrado el Editor ADSI de ADAM antes de importar las definiciones

de objeto de clase de usuario Adamuser.ldf, puede aparecer el siguiente

mensaje de advertencia durante este paso: “Se ha pasado un nombre de

directorio de ruta no válido.”

6. En Valor, escriba Mary Baker, como el nombre común (cn) del nuevo usuario,

según se muestra en esta imagen, y después haga clic en Siguiente.

7. Haga clic en Finalizar. El complemento Editor ADSI de ADAM tiene el siguiente

aspecto:

44


Paso 4: agregar un usuario a un grupoPuede agregar usuarios de ADAM y de Windows a los grupos de ADAM, según se

describe en este ejercicio. En primer lugar, debe agregar a Mary Baker, el usuario que

acaba de crear, al grupo ADAM testers.

Para agregar un usuario a un grupo

1. En el panel de detalles del Editor ADSI de ADAM, haga clic con el botón secundario

en CN=ADAM testers y, a continuación, haga clic en Propiedades. El cuadro de

diálogo Propiedades de CN=ADAM testers tendrá el siguiente aspecto:

45


2. En Atributos, haga clic en Member y, a continuación, haga clic en Editar.

3. Haga clic en Agregar cuenta de ADAM, escriba lo siguiente como nombre completo

y, a continuación, haga clic en Aceptar:

CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US

El cuadro de diálogo Nombre completo multivalor con editor de entidad principal

de seguridad tendrá el siguiente aspecto:

46


4. También puede agregar usuarios de Windows a un grupo de ADAM. En el cuadro de

diálogo Nombre completo multivalor con editor de entidad principal de

seguridad, haga clic en Agregar cuenta de Windows. El cuadro de diálogo

Seleccionar usuarios, equipos o grupos tiene el siguiente aspecto:

5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, agregue un

usuario de Windows desde su equipo o dominio al grupo ADAM testers. En Escriba

47


los nombres de objeto que desea seleccionar (ejemplos), escriba un nombre de

cuenta utilizando el formato equipo\cuenta o dominio\cuenta.

6. Haga clic en Aceptar. El nuevo nombre de usuario aparecerá en el cuadro de

diálogo Nombre completo multivalor con editor de entidad principal de

seguridad como miembro del grupo.

7. Haga clic en Aceptar dos veces para volver al Editor ADSI de ADAM.

Deshabilitar y habilitar cuentas de usuario de ADAMPuede deshabilitar y habilitar las cuentas de usuario de ADAM utilizando el complemento

Editor ADSI de ADAM. En este ejercicio, deshabilitará la cuenta de Mary Baker y la

volverá a habilitar.

Para habilitar o deshabilitar una cuenta de usuario de ADAM

1. En el Editor ADSI de ADAM, conéctese y enlace a una instancia de ADAM, tal y

como se describe en el procedimiento "Para enlazar, ver y examinar una

instancia de ADAM utilizando el Editor ADSI de ADAM" en Usar las herramientas

de administración de ADAM.

2. En el árbol de la consola, haga doble clic en la partición de directorio de

configuración O=Microsoft,c=US.

3. En el árbol de la consola, haga clic en el contenedor OU=ADAM Users.

4. En el panel de detalles, haga clic con el botón secundario en CN=Mary Baker y,

a continuación, haga clic en Propiedades.

5. En Atributos, haga clic en msDS-UserAccountDisabled y, a continuación, en

Editar.

6. Haga clic en True y, a continuación, haga clic en Aceptar. La cuenta de Mary

Baker quedará deshabilitada.

7. Para habilitar la cuenta de Mary Baker, edite msDS-UserAccountDisabled de

nuevo y, esta vez, asigne el valor False al atributo.

48


Administrar particiones de directorio en ADAM

En los siguientes ejercicios, se familiarizará con otra herramienta de administración de

ADAM, Ldp.exe. Ldp se instala como parte del conjunto de herramientas de

administración de ADAM. En estos ejercicios, utilizará Ldp para conectarse y enlazar a

una instancia de ADAM y, a continuación, utilizará Ldp para agregar manualmente, y

más tarde eliminar, una partición de directorio de aplicaciones. (Recuerde que también

puede crear una partición de directorio de aplicaciones utilizando el asistente para la

instalación de ADAM.)

Conectarse y enlazar a una instancia de ADAM utilizando Ldp.exePara comenzar este ejercicio, se conectará y enlazará a su instancia de ADAM mediante

Ldp.exe.

Para conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe



2. En el símbolo del sistema, escriba ldp y presione ENTRAR.

3. En el menú Connection, haga clic en Connect.

4. En Server, escriba el nombre de host o DNS del equipo que ejecuta ADAM.

Cuando la instancia de ADAM se ejecuta localmente, también puede escribir

localhost.

5. En Port, escriba el número del puerto de comunicaciones LDAP o SSL de la

instancia de ADAM a la que desee conectarse y haga clic en Aceptar.

49


6. En el menú Connection, haga clic en Bind.

7. Realice una de estas acciones:

Para enlazar utilizando las credenciales con las que inició sesión, haga clic

en Bind as currently logged on user.

Para enlazar utilizando una cuenta de usuario de dominio, haga clic en Bind

using credentials,escriba el nombre de usuario, la contraseña y el nombre

de dominio (o el nombre del equipo, si está usando una cuenta de la

estación de trabajo local) de la cuenta que está usando y haga clic en

Aceptar.

Para enlazar usando sólo un nombre de usuario y una contraseña, haga clic

en Simple bind, escriba el nombre de usuario y la contraseña de la cuenta

que esté usando y haga clic en Aceptar.

Para enlazar utilizando un método avanzado (NTLM, DPA, negotiate o

digest), haga clic en Advanced (método), haga clic en Advanced, en

Method, seleccione el método que desee, defina las demás opciones según

sea necesario y haga clic en Aceptar dos veces.

8. Cuando haya terminado de especificar las opciones de enlace, haga clic en

Aceptar.

50


Agregar una partición de directorio de aplicacionesAhora puede agregar una partición de directorio de aplicaciones.

Para agregar una partición de directorio de aplicaciones utilizando Ldp.exe

1. En el menú Ldp Browse, haga clic en Add child.

2. En Dn, escriba cn=test,o=testpartition,c=us como nombre completo de la nueva

partición de directorio de aplicaciones.

3. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter.

En Attribute, escriba ObjectClass.

En Values, escriba container.


En Attribute, escriba InstanceType.

En Values, escriba 5.

El cuadro de diálogo Add tendrá el siguiente aspecto:

51


5. Haga clic en Run. Una vez agregada la nueva partición de directorio de aplicaciones,

aparece lo siguiente en el panel de detalles:

***Calling Add...ldap_add_s(ld, "cn=test,o=testpartition,c=us", [2] attrs)Added {cn=test,o=testpartition,c=us}.

6. Haga clic en Close.

7. Para actualizar Ldp y ver la nueva partición de directorio, debe desconectarse y

volver a enlazar a la instancia de ADAM. En el menú Connection, haga clic en

Disconnect.

8. Enlace a la instancia de ADAM tal y como lo hizo anteriormente. En el menú

Connection, haga clic en Bind.

9. Para ver el árbol de directorios en Ldp, en el menú View, haga clic en Tree.

10. Para ver todas las particiones de directorio de la instancia de ADAM, deje BaseDN

en blanco y haga clic en Aceptar. La ventana Ldp tendrá el siguiente aspecto:

52


11. Para ver la nueva partición de directorio y sus contenedores y objetos

predeterminados, haga doble clic en CN=test,O=testpartition,C=US en el árbol de

la consola. La ventana Ldp tendrá el siguiente aspecto:

Eliminar una partición de directorio de aplicacionesEn este ejercicio, eliminará la partición de directorio de aplicaciones que ha creado.

53


Para eliminar una partición de directorio de aplicaciones utilizando Ldp.exe

1. En el árbol de la consola de Ldp, haga doble clic en la partición del directorio de

configuración CN=Configuration,CN={GUID}, donde GUID es el identificador único

asignado por ADAM.

2. Para ver los objetos de referencias cruzadas de las particiones de directorio de la

instancia de ADAM, en el árbol de la consola haga doble clic en el contenedor de

particiones CN=Partitions. La ventana Ldp tendrá el siguiente aspecto:

3. En el árbol de la consola, en el contenedor de particiones CN=Partitions, haga

doble clic en el objeto de referencia cruzada para el que el valor de nCName (según

se muestra en el panel de detalles) es igual a CN=test,O=testpartition,C=US, tal y

como se puede ver a continuación :

Nota

Para borrar el panel de detalles de Ldp sin alterar el enlace o la conexión, en

el menú Connection, haga clic en New.

54


4. Para eliminar este objeto de referencia cruzada (y, por tanto, el directorio de partición

asociado), en el árbol de la consola, haga clic con el botón secundario en el objeto

de referencia cruzada apropiado del contenedor de particiones, haga clic en Delete

y, a continuación, en Aceptar.

Precaución

No es posible deshacer la eliminación de una partición después de hacer clic

en Aceptar.

Una vez eliminado el objeto de referencia cruzada, el panel de detalles tendrá una

apariencia similar a la siguiente:

ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}");Deleted "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}"

Nota

Para obtener más información acerca de Ldp, consulte la Ayuda de ADAM. Para

abrir la Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas,

ADAM y, a continuación, haga clic en Ayuda de ADAM.

55


Administrar la autorización en ADAM

La autorización hace referencia al proceso de determinar a qué objetos de directorio

tienen acceso los usuarios. Igual que ocurre en Active Directory, las listas de control de

acceso (ACL) de cada objeto de directorio determinan qué usuarios tienen acceso a ese

objeto. De manera predeterminada, las únicas ACL de ADAM se encuentran en el

contenedor de nivel superior de cada partición de directorio. Todos los objetos de una

partición de directorio determinada heredan esas ACL. Puede ver y modificar las ACL

predeterminadas de ADAM, además de agregar más ACL, utilizando la herramienta de

línea de comandos Dsacls.exe. En los siguientes ejercicios, se verán y modificarán las

ACL de ADAM.

Nota

Puede tener aplicaciones habilitadas para el uso de directorios que implementen

sus propios esquemas de autorización personalizados. Estas aplicaciones

normalmente pasan por alto las ACL de los objetos de directorio de ADAM.

Ver los permisos efectivosEn este ejercicio, se verán los permisos efectivos de la partición de directorio

o=Microsoft,c=US.

Para ver los permisos efectivos



2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:

dsacls \\nombreDeServidor:númeroDePuerto\O=Microsoft,C=US

donde nombreDeServidor:númeroDePuerto es el nombre del equipo y el puerto

de comunicaciones LDAP de la instancia de ADAM.

Este comando muestra todos los permisos que se encuentran establecidos en ese

momento en el objeto de partición de directorio. El contenido de la pantalla debería ser

similar al siguiente:

Access list:Effective Permissions on this object are:Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} SPECIAL ACCESS READ PERMISSONS

56


LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROLAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory ChangesAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replication SynchronizationAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Manage Replication TopologyAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory Changes All

Permissions inherited to subobjects are:Inherited to all subobjectsAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL

The command completed successfully

Conceder permisosEn este ejercicio, se concederá el permiso Eliminar sobre el objeto de grupo ADAM

testers a la cuenta de Mary Baker.

Para conceder el permiso Eliminar



57



dsacls “\\nombreDeServidor:númeroDePuerto\CN=ADAM testers,OU=ADAM

users,O=Microsoft,C=US” /G “CN=Mary Baker,OU=ADAM

users,O=Microsoft,C=US”:SD;;


puerto de comunicaciones LDAP de la instancia de ADAM. Asegúrese de utilizar

una G mayúscula al escribir el parámetro /G y emplee las comillas como se

muestra.

El contenido de la pantalla debería ser similar al siguiente:

Access list:Effective Permissions on this object are:Allow CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US SPECIAL ACCESS DELETEAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>

Permissions inherited to subobjects are:Inherited to all subobjectsAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>


Denegar permisosEn este ejercicio, se denegará el permiso Eliminar al usuario que ha iniciado la sesión

actual en el grupo ADAM testers. Este proceso consta de dos fases:

Denegar los permisos de eliminación en el contenedor principal del grupo ADAM

testers

58


Denegar los permisos de eliminación en el grupo en sí

Para denegar los permisos Eliminar en el contenedor principal de un grupo



2. Para denegar los permisos Eliminar, Eliminar secundario y Eliminar árbol en el

contenedor principal del grupo ADAM testers, que es la OU ADAM users. En el

símbolo del sistema, escriba lo siguiente:

dsacls “\\nombreDeServidor:númeroDePuerto\OU=ADAM

users,O=microsoft,C=US” /D dominio\administrador:SDDCDT;;


puerto de comunicaciones LDAP de la instancia de ADAM y dominio\

administrador representa la cuenta con la que haya iniciado la sesión actual.

Asegúrese de utilizar una D mayúscula al escribir el parámetro /D y emplee las

comillas como se muestra.


Access list:Effective Permissions on this object are:Deny domain\account SPECIAL ACCESS DELETE DELETE CHILD DELETE TREEAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>



59


Para denegar los permisos de eliminación en el grupo



2. Para denegar el permiso Eliminar en el grupo ADAM testers para el usuario que

ha iniciado la sesión actual, escriba lo siguiente en el símbolo del sistema:

dsacls “\\nombreDeServidor:númeroDePuerto\CN=ADAM testers,OU=ADAM

users,O=microsoft,C=US” /D dominio\administrador:SDDCDT;;


puerto de comunicaciones LDAP de la instancia de ADAM y dominio\

administrador representa la cuenta con la que haya iniciado la sesión actual.

Asegúrese de utilizar una D mayúscula al escribir el parámetro /D y emplee las

comillas como se muestra.


Access list:Effective Permissions on this object are:Deny domain\account SPECIAL ACCESS DELETEAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>



60


Administrar la autenticación en ADAM

Con ADAM, puede enlazar como entidad de seguridad de Windows, como entidad de

seguridad de ADAM o mediante un objeto proxy de ADAM. En los siguientes ejercicios,

llevará a cabo las siguientes operaciones:

Llevará a cabo un enlace como entidad de seguridad de Windows.

Establecerá una contraseña para la cuenta de usuario de ADAM Mary Baker, que

creó con anterioridad.

Llevará a cabo un enlace como entidad de seguridad de ADAM.

Llevará a cabo un enlace mediante un objeto proxy de ADAM.

Además, probará los permisos que establezca utilizando la herramienta de línea de

comandos Dsacls.exe en los ejercicios de Administrar la autorización en ADAM.

Enlazar como entidad de seguridad de WindowsEn este ejercicio, enlazará con una instancia de ADAM como una entidad de seguridad

de Windows y, a continuación, probará el enlace.

Para enlazar como entidad de seguridad de Windows y probar el enlace



2. Utilizando el Editor ADSI de ADAM, enlace con la instancia de ADAM utilizando

la entidad de seguridad de Windows con la que haya iniciado sesión y conéctese

con la partición de directorio O=Microsoft,c=US.

3. En el panel de detalles, examine el grupo ADAM testers en el que denegó el

permiso Eliminar a la cuenta de Windows actual.

4. Haga clic con el botón secundario en el grupo ADAM testers y, a continuación,

haga clic en Delete. Aparecerá el mensaje “Acceso denegado”, lo que confirma

que el permiso Eliminar se ha denegado a la cuenta de Windows.

61


Establecer la contraseña de un usuario de ADAMAntes de iniciar sesión en la instancia de ADAM con la cuenta de usuario Mary Baker,

debe establecer una contraseña para la cuenta.

Nota

Además de utilizar Ldp como se describe en este procedimiento, también puede

utilizar el Editor ADSI de ADAM para establecer o modificar contraseñas: haga

clic con el botón secundario en el objeto de directorio que representa la entidad

de seguridad de ADAM en el Editor ADSI de ADAM y, a continuación, haga clic

en Restablecer contraseña.

Para establecer una contraseña en una cuenta de usuario de ADAM



2. En el símbolo del sistema, escriba ldp y presione ENTRAR.

3. En el menú Connection, haga clic en Connect y, a continuación, conéctese a la

instancia de ADAM.

4. En el menú Options, haga clic en ConnectionOptions.

5. En Option Name, haga clic en LDAP_OPT_SIGN, escriba 1 en Value y, a

continuación, haga clic en Set.

6. En Option Name, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Value,

haga clic en Set y, a continuación, en Close.

7. En el menú Connection, haga clic en Bind y, a continuación, enlace con la

instancia de ADAM.

8. En el menú View, haga clic en Tree, deje BaseDN en blanco y, a continuación,

haga clic en Aceptar.

9. En el árbol de la consola, localice la partición de directorio O=Microsoft,C=US.

Haga doble clic en O=Microsoft,C=US y, a continuación, haga doble clic en

OU=ADAM Users,O=Microsoft,C=US.

10. Haga clic con el botón secundario en el objeto de usuario CN=Mary Baker y, a

continuación, haga clic en Modify. Aparecerá el siguiente cuadro de diálogo:

62


11. En Attribute, escriba userpassword y, a continuación, en Values escriba una

contraseña para la cuenta.

12. Haga clic en Enter y, a continuación, en Run. El panel de detalles de Ldp tendrá

un aspecto similar al siguiente:

***Call Modify...ldap_modify_s(ld, 'CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US',[1] attrs);Modified "CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US".

Nota

Cuando ADAM se ejecuta en un equipo con Windows Server 2003,

obliga al cumplimiento de la directiva de contraseñas y la configuración

de bloqueo de cuentas del equipo, unidad organizativa o dominio,

dependiendo de cuál esté en vigor.

63


Enlazar como entidad de seguridad de ADAMEn este ejercicio, enlazará con una instancia de ADAM como una entidad de seguridad

de ADAM y, a continuación, probará el enlace.

Para enlazar como entidad de seguridad de ADAM y probar el enlace

1. Utilizando Ldp, enlace con la instancia de ADAM utilizando CN=Mary

Baker,OU=ADAM users,O=Microsoft,C=US como cuenta, junto con la

contraseña que acaba de asignar a esta cuenta.

2. Para confirmar que ha iniciado sesión como Mary Baker y que el permiso

Eliminar que concedió anteriormente está en vigor, en el árbol de la consola de

Ldp, examine el grupo ADAM testers y elimínelo. Para eliminar el grupo ADAM

testers, haga clic con el botón secundario en el objeto CN=ADAM testers y, a

continuación, haga clic en Delete.

Nota

De manera predeterminada, los nuevos usuarios de ADAM (como Mary

Baker) tienen acceso de lectura en el contenedor de nivel superior de

una partición de directorio dada, un permiso que heredan todos los

objetos de la partición. Pero, dado que ha asignado explícitamente el

permiso Eliminar a Mary Baker en el objeto de grupo ADAM testers, la

operación de eliminación se ha llevado a cabo correctamente. Para

obtener más información acerca del control de acceso y los permisos

predeterminados de ADAM, consulte la Ayuda de ADAM. Para ver la

Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas,

ADAM y, a continuación, haga clic en Ayuda de ADAM.

Enlazar mediante un objeto proxy de ADAMAdemás de enlazar como usuario de Windows o de ADAM, también puede enlazar con

una instancia de ADAM mediante la redirección de enlace de ADAM. Si utiliza la

redirección de enlace, ADAM puede aceptar y procesar las solicitudes de enlace con un

objeto proxy de ADAM que contenga como uno de sus atributos el Id. de seguridad (SID)

de una entidad de seguridad de Active Directory. Con ADAM, puede utilizar la redirección

de enlace para proporcionar a los usuarios de Active Directory acceso a los datos de

ADAM y Active Directory, utilizando las credenciales de dominio de Active Directory como

inicio de sesión único (SSO). Además, puede utilizar los objetos proxy de ADAM para

almacenar datos de usuario específicos de una aplicación particular de ADAM y, al

64


mismo tiempo, emplear Active Directory para almacenar datos de directorio usados de

forma más general.

La redirección de enlace permite a un usuario conectarse a ADAM mediante un enlace

simple y mientras utiliza credenciales de Active Directory. Otros tipos de enlace con

credenciales de Active Directory funcionan sin necesitar un proxy, al contrario que el

enlace simple. Los enlaces de proxy sólo funcionan con los enlaces simples.

Los archivos .ldf de ADAM, que puede importar al esquema de ADAM durante su

instalación, contienen una definición de objeto para el objeto userProxy, que se puede

utilizar para la redirección de enlace. Este objeto contiene atributos que incluyen un

nombre completo y un SID. Si crea un objeto userProxy en ADAM (especificando un

nombre completo que se usará para el enlace) y utiliza un SID válido de una cuenta de

usuario de Active Directory, puede enlazar con ADAM utilizando la redirección de enlace.

Para obtener más información acerca de la autenticación de ADAM, consulte la

referencia técnica de "Active Directory Application Mode" en el sitio Web de Microsoft

(http://go.microsoft.com/fwlink/?LinkId=51640).

Para los siguientes ejercicios, se supone que ya ha importado las clases de usuario

opcionales al esquema de ADAM.

Seguridad de enlaces y objetos proxy de ADAM

De manera predeterminada, es necesaria una conexión SSL para enlazar con ADAM con

redirección de enlace. SSL requiere la instalación y el uso de certificados en el equipo

que ejecuta ADAM y en el que se conecta a ADAM como cliente. Si no tiene certificados

instalados en el entorno de pruebas de ADAM, puede, como alternativa, deshabilitar el

requisito de SSL, según se describe en el siguiente procedimiento.

Nota

Al deshabilitar el requisito de SSL para la redirección de enlace, la contraseña de

la entidad de seguridad de Windows se pasa al equipo que ejecuta ADAM sin

ser cifrada en primer lugar. Por lo tanto, sólo debería deshabilitar el requisito de

SSL en un entorno de pruebas.

Para deshabilitar el requisito de SSL para la redirección de enlace

1. Según se describe anteriormente en el procedimiento "Para enlazar, ver y

examinar una instancia de ADAM utilizando el Editor ADSI de ADAM", conéctese

y enlace con la instancia de ADAM utilizando el Editor ADSI de ADAM y, a

continuación, en el árbol de la consola, examine el siguiente objeto contenedor

de la partición de configuración: CN=Directory

65

http://go.microsoft.com/fwlink/?LinkId=51640


Service,CN=Windows NT,CN=Services.

2. Haga clic con el botón secundario en CN=Directory Service y, a continuación,

haga clic en Propiedades.

3. En Atributos, haga clic en msDS-Other-Settings y, a continuación, en Editar.

4. En Valores, haga clic en RequireSecureProxyBind=1 y, a continuación, en

Quitar.

5. En Valor para agregar, escriba RequireSecureProxyBind=0, haga clic en

Agregar y, a continuación, en Aceptar.

Crear y enlazar con un objeto proxy de ADAM

En estos ejercicios, creará un objeto proxy para un usuario de Active Directory y enlazará

con ADAM utilizando dicho objeto.

Para enlazar con ADAM mediante un objeto proxy de ADAM

1. Según se describió anteriormente en el procedimiento "Para conectarse y

enlazar a una instancia de ADAM utilizando Ldp.exe", conéctese y enlace con la

instancia de ADAM utilizando Ldp y, a continuación, examine O=Microsoft,C=US.

2. En el menú Browse de Ldp, haga clic en Add child.

3. En Dn, escriba cn=testproxy,o=microsoft,c=us como nombre completo para el

nuevo objeto userProxy que se creará en el contenedor O=Microsoft,C=US.


En Attribute, escriba ObjectClass.

En Values, escriba userProxy.

5. De nuevo, en Edit Entry, escriba lo siguiente y, a continuación, haga clic en

Enter:

En Attribute, escriba objectSID.

En Values, escriba el SID válido de un usuario de Active Directory.

El directorio \LABS_DEMO\LABS\bindredirect de la descarga de ADAM

contiene dos comandos del paquete de herramientas de administración de

Windows Server 2003, Dsquery.exe y Dsget.exe, que le ayudarán a

recuperar el SID de un usuario de Active Directory. Puede ejecutar esos

comandos en un equipo con Windows Server 2003.

66


Para recuperar el SID de un usuario de Active Directory con esos comandos,

escriba lo siguiente (como un único comando) en el símbolo del sistema:

dsquery user -samid dominio\cuenta | dsget user -sid

donde dominio\cuenta representa el usuario cuyo SID desea recuperar. En

este comando, el resultado de Dsquery se reenvía a Dsget.

Puede recuperar el SID del usuario que ha iniciado la sesión actual en un

equipo que ejecuta Windows Server 2003 escribiendo lo siguiente en el

símbolo del sistema:

whoami /user

(Algunas versiones de whoami requieren la sintaxis whoami /user /sid.)

6. Haga clic en Run. De este modo se agregará el objeto userProxy con los

atributos que ha especificado al almacén de directorios de ADAM.

7. Para desconectarse de la instancia de ADAM, en el menú Connection, haga clic

en Disconnect.

Ahora puede enlazar con la instancia de ADAM utilizando el objeto proxy de ADAM y la

redirección de enlace.

Para enlazar como un objeto proxy de ADAM mediante redirección de enlace

1. En el menú Connection, haga clic en Connect y, a continuación, conéctese a la

instancia de ADAM en una conexión nueva.

2. En el menú Options, haga clic en ConnectionOptions.

3. En Option Name, haga clic en LDAP_OPT_SIGN, escriba 1 en Value y, a

continuación, haga clic en Set.

4. En Option Name, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Value, haga

clic en Set y, a continuación, en Close.

5. Para enlazar con la instancia de ADAM de nuevo mediante Ldp, en el menú

Connection, haga clic en Bind.

6. En User, escriba:

cn=testproxy,o=Microsoft,c=us

Esto representa el objeto proxy que acaba de crear.

7. Asegúrese de que la opción Domain no esté seleccionada.

8. En Password, escriba la contraseña asociada con el usuario de Active Directory

67


que especificó en el paso 5 del procedimiento anterior y, a continuación, haga

clic en Aceptar.

Demostrar las funciones de los objetos proxy de ADAM

De manera predeterminada, a un usuario de Windows que enlaza con una instancia de

ADAM se le asigna su pertenencia solamente a los grupos de ADAM a los que se ha

agregado explícitamente como miembro. Cuando un usuario enlaza con una instancia de

ADAM mediante un objeto proxy, se le asigna su pertenencia al grupo de usuarios de

todos los contextos de nomenclatura contenidos en la instancia de ADAM.

Puede utilizar esta diferencia en las pertenencias a grupos para demostrar las

diferencias funcionales entre enlazar con una instancia de ADAM como usuario de

Windows y enlazar con una instancia de ADAM mediante un objeto proxy. En el siguiente

ejercicio se demuestra esa diferencia.

Para demostrar el enlace a ADAM mediante un objeto proxy

1. En la partición de directorio O=Microsoft,C=US, agregue el grupo de usuarios

como miembro del grupo de lectores siguiendo las instrucciones generales para

agregar miembros a grupos que puede encontrar en el procedimiento anterior

"Para agregar un usuario a un grupo".

2. Enlace con la instancia de ADAM (utilizando Ldp o el Editor ADSI de ADAM)

como usuario de Active Directory (que no sea el administrador de ADAM, que

cuenta con acceso pleno a todas las particiones de manera predeterminada).

3. Intente leer algún objeto de la partición de directorio O=Microsoft,C=US. Este

intento no debería poder llevarse a cabo, ya que el usuario de Active Directory

no tiene acceso a la partición de manera predeterminada.

4. Enlace con la instancia de ADAM (utilizando Ldp o el Editor ADSI de ADAM)

utilizando el objeto proxy que ha creado.

5. Intente leer algún objeto de la partición de directorio O=Microsoft,C=US. Esta

vez, la operación debería realizarse correctamente, ya que a los usuarios que

enlazan con una instancia de ADAM mediante un objeto proxy se les asigna

automáticamente su pertenencia al grupo de usuarios. Además, puesto que ha

agregado el grupo de usuarios al grupo de lectores en el paso 1 de este

procedimiento, al enlazar con la instancia de ADAM mediante el objeto proxy es

posible leer la partición.

Nota

68


Para obtener más información acerca de la redirección de enlace,

consulte la Ayuda de ADAM. Para ver la Ayuda de ADAM, haga clic en

Inicio, seleccione Todos los programas, ADAM y, a continuación, haga

clic en Ayuda de ADAM. Para obtener información acerca de la

administración de objetos proxy mediante programación, consulte

Administrar ADAM mediante programación más adelante esta guía.

Realizar una copia de seguridad y restaurar Active Directory Application Mode (ADAM)

En los siguientes ejercicios, realizará una copia de seguridad de la instancia de ADAM. A

continuación, quitará ADAM por completo del equipo. Finalmente, restaurará la instancia

de ADAM en el equipo.

Realizar una copia de seguridad de una instancia de ADAMEn este ejercicio, realizará una copia de seguridad de la instancia de ADAM.

Para realizar una copia de seguridad de una instancia de ADAM

1. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas

del sistema y, a continuación, haga clic en Copia de seguridad.

2. En el Asistente para copia de seguridad o restauración, haga clic en el vínculo

Modo avanzado.

3. Haga clic en la ficha Copia de seguridad y, a continuación, en el menú Trabajo,

haga clic en Nuevo.

4. Active la casilla de verificación que se encuentra a la izquierda de la carpeta de la

instancia de ADAM que, de manera predeterminada, es %programfiles%\Microsoft\

ADAM\instance1.

5. Para realizar una copia de seguridad de los archivos de ADAM en un archivo, haga

clic en Archivo en Destino de la copia de seguridad. (Si no tiene una unidad de

69


cinta en el equipo, Archivo estará seleccionado de manera predeterminada.) A

continuación, en Hacer copia de seguridad del medio o del archivo, escriba la

ruta de acceso y el nombre del archivo de copia de seguridad (.bkf). El contenido de

la pantalla debería ser similar al siguiente:

6. Haga clic en Iniciar y, a continuación, realice los cambios que desee en el cuadro de

diálogo Información sobre el trabajo de copia de seguridad.

7. Si desea establecer opciones de copia de seguridad avanzadas, como la

comprobación de datos o la compresión por hardware, en el cuadro de diálogo

Información sobre el trabajo de copia de seguridad, haga clic en Opciones

avanzadas. Cuando haya finalizado la selección de opciones avanzadas de copia

de seguridad, haga clic en Aceptar.

8. Haga clic en Iniciar. Una vez completada la copia de seguridad, cierre la aplicación

de copia de seguridad.

70


Quitar una instancia de ADAMPara simular la pérdida accidental de una instancia de ADAM, puede desinstalar la

instancia de ADAM, con lo que se quitarán tanto los archivos de programa y como de

datos de ADAM.

Para desinstalar una instancia de ADAM

1. Haga clic en Inicio, seleccione Panel de control, haga clic en Agregar o quitar

programas y, a continuación, haga clic en Instancia de Adam instance1. Si se

trata del primer elemento de la lista, Instancia de Adam instance1 ya estará

seleccionado.

2. Haga clic en Quitar y, a continuación, en Sí. A continuación, se quitará Active

Directory Application Mode del equipo.

Restaurar una instancia de ADAMEn este ejercicio, restaurará la instancia de ADAM a partir de la copia de seguridad que

realizó en el ejercicio anterior.

Para restaurar una instancia de ADAM

1. Cree una instancia de ADAM siguiendo los pasos de Instalar ADAM. Utilice la misma

configuración que definió durante la primera instalación de ADAM pero, en este caso,

no cree una partición de directorio de aplicaciones durante la instalación. Puede

restaurar la partición de directorio de aplicaciones original a partir de la copia de

seguridad. Por lo tanto, en la página Partición de directorio de aplicaciones del

Asistente para instalación de Active Directory Application Mode (ADAM), haga clic en

No, no crear una partición de directorio de aplicaciones.



3. Haga clic en el vínculo Modo avanzado del Asistente para copia de seguridad o

restauración.

4. Haga clic en la ficha Restaurar y administrar medios. Para seleccionar la instancia

de ADAM que desea restaurar, en el panel de detalles, active la casilla de

verificación que se encuentra a la izquierda de la carpeta instance1, según se

muestra a continuación:

71


5. En Restaurar archivos en, haga clic en Ubicación original.

6. En el menú Herramientas, haga clic en Opciones, después en la ficha Restaurar,

Reemplazar siempre el archivo en mi equipo y, por último, en Aceptar.

7. Haga clic en Iniciar.

8. Si aparece un mensaje solicitándole que reinicie el equipo, haga clic en Sí.

9. Una vez completada la restauración, cierre la aplicación Copia de seguridad.

10. Para confirmar que los datos de la instancia original de ADAM se han restaurado

correctamente, utilice el Editor ADSI de ADAM para confirmar que la partición de

directorio O=Microsoft,C=US se ha restaurado y que la unidad organizativa

OU=ADAM Users y la cuenta de Mary Baker existen en la partición.

72


Administrar los conjuntos de configuración

En los siguientes ejercicios, creará nuevas instancias de ADAM replicando para ello la

instancia de ADAM existente. De este modo, también creará un conjunto de

configuración de ADAM. Las instancias de ADAM de un conjunto de configuración

replican una partición de esquema y una partición de configuración comunes y también

pueden replicar particiones de directorio de aplicaciones (como O=Microsoft,C=US) entre

ellas.

En los siguientes ejercicios, instalará dos instancias de ADAM de réplica. Creará la

primera instancia de réplica utilizando el Asistente para instalación de Active Directory

Application Mode (ADAM). La segunda instancia de réplica la creará utilizando la

instalación desatendida. A continuación, configurará la programación de replicación para

el conjunto de configuración.

Nota

En un entorno de producción, las instancias de ADAM que pertenecen al mismo

conjunto de configuración no pueden encontrarse en el mismo equipo. Puede

tener varias instancias de ADAM ejecutándose en un equipo, pero deben

pertenecer a distintos conjuntos de configuración. No obstante, a efectos de esta

guía, si no dispone de un segundo equipo, puede instalar las instancias de

ADAM de réplica en el primer equipo.

Instalar una réplica mediante el Asistente para instalación de Active Directory Application Mode (ADAM)Puede instalar una instancia de réplica de ADAM utilizando el Asistente para instalación

de Active Directory Application Mode (ADAM).

Para instalar una instancia de réplica de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM)

1. Inicie el Asistente para instalación de Active Directory Application Mode (ADAM) en

el segundo equipo (si dispone de uno) o en el primero: haga clic en Inicio,

seleccione Todos los programas, ADAM y, a continuación, haga clic en Crear una

instancia de ADAM. Siga los pasos del asistente hasta que llegue a la página

Opciones de instalación.

73


2. En la página Opciones de instalación, haga clic en Una réplica de una instancia

existente y, a continuación, haga clic en Siguiente.

3. En la página Nombre de instancia, acepte el nombre predeterminado instance2 (o

instance1, si instala ADAM en el segundo equipo) y, a continuación, haga clic en

Siguiente.

Nota

Los nombres de instancia de ADAM sólo deben ser únicos en un equipo

determinado.

4. En la página Puertos, acepte los valores predeterminados de 50000 y 50001 (si

está realizando la instalación en el primer equipo) o 389 y 636 (si está usando el

segundo equipo) y, a continuación, haga clic en Siguiente.

5. En la página Unirse a un conjunto de configuración, en Servidor, escriba el

nombre de host o el nombre DNS del equipo donde se ha instalado la primera

instancia de ADAM. A continuación, escriba el número de puerto LDAP que utiliza la

primera instancia de ADAM (el 389 de manera predeterminada) y, a continuación,

haga clic en Siguiente.

Nota

Debe utilizar un nombre de host o nombre DNS válido, en lugar de una

dirección IP o el valor localhost, al especificar un servidor en la página

Unirse a un conjunto de configuración del Asistente para instalación de

Active Directory Application Mode (ADAM).

6. En la página Credenciales administrativas para el conjunto de configuración,

haga clic en la cuenta utilizada como administrador de ADAM en la primera instancia

de ADAM.

7. En la página Copiar particiones de directorio de aplicación, seleccione las

particiones de directorio de aplicaciones que desee replicar en la nueva instancia de

ADAM. (Las particiones de configuración y esquema se replicarán

automáticamente.) Si desea seleccionar la partición de directorio O=Microsoft,C=US

para replicarla, en Particiones disponibles, haga clic en O=Microsoft,C=US y, a

continuación, haga clic en Agregar. El Asistente para instalación de Active

Directory Application Mode (ADAM) tiene el siguiente aspecto:

74


8. Haga clic en Siguiente.

9. Acepte los valores predeterminados de las demás páginas del Asistente para

instalación de Active Directory Application Mode (ADAM) haciendo clic en Siguiente

en cada página y, a continuación, haga clic en Finalizar en la página Finalización

del Asistente para instalación de Active Directory Application Mode (ADAM).

10. Una vez completada la instalación, utilice el Editor ADSI de ADAM para confirmar

que la partición de directorio O=Microsoft,C=US se ha replicado en la segunda

instancia de ADAM.

Instalar una réplica desde los medios utilizando la instalación desatendidaAdemás de utilizar el Asistente para instalación de Active Directory Application Mode

(ADAM), también puede instalar una réplica de una instancia de ADAM desde los

medios. Para este tipo de instalación, debe utilizar una copia restaurada de una copia de

seguridad de ADAM como medio y llevar a cabo una instalación desatendida.

75


En primer lugar, restaurará la copia de seguridad de la instancia de ADAM a una

ubicación diferente de la original para no sobrescribir la primera instancia de ADAM. A

continuación, creará un archivo de respuesta y llevará a cabo la instalación desatendida.

Para instalar una réplica de una instancia de ADAM utilizando la instalación desatendida



2. Utilice la aplicación Copia de seguridad para restaurar la copia de seguridad de la

instancia original de ADAM, tal y como hizo anteriormente. Sin embargo, en esta

ocasión haga clic en Ubicación alternativa en Restaurar archivos en en lugar de

Ubicación original y, a continuación, escriba o desplácese a la ruta de acceso de

directorio alternativa en la que desee restaurar los archivos, como se muestra a

continuación.

3. Tras restaurar los archivos de copia de seguridad, cree un archivo de respuesta para

la instalación desatendida de ADAM. Un archivo de respuesta proporciona los

valores para las opciones de instalación de ADAM (las mismas opciones que

76


aparecen en el Asistente para instalación de Active Directory Application Mode

(ADAM)). Utilice un editor de texto para crear un archivo de texto llamado Answer.txt

y, a continuación, agregue el siguiente contenido al archivo. Sustituya servername

con el nombre de host o nombre DNS del equipo donde se ejecuta la primera

instancia de ADAM. Sustituya C:\media_install\Program Files\Microsoft\ADAM\

instance1\data por la ruta de acceso de la copia restaurada de la primera instancia

de ADAM.

[ADAMInstall]; The following line specifies to install a replica ADAM instance.InstallType=Replica; The following line specifies the name to be assigned to the new instance.InstanceName=instance3; The following lines specify the communication ports to use for LDAP and SSL.LocalLDAPPortToListenOn=50002LocalSSLPortToListenOn=50003; The following lines specify the directory location of the restored files.ReplicationDataSourcePath=C:\media_install\Program Files\Microsoft\ADAM\instance1\dataReplicationLogSourcePath=C:\media _install\Program Files\Microsoft\ADAM\instance1\data; The following lines specify a computer name and ADAM port of an ADAM instance in the ; configuration set you want to join; Replace servername with the name of the computer on which your first ADAM; instance is runningSourceServer=servernameSourceLDAPPort=389

4. Después de guardar el archivo Answer.txt, puede ejecutar la instalación desatendida.

En el símbolo del sistema, escriba lo siguiente:

unidad:\rutaDeAcceso\adamsetup /c:"adaminstall.exe /answer:unidad:\

nombreDeRutaDeAcceso\answer.txt"

donde el primer unidad:\rutaDeAcceso es la ubicación de la descarga de ADAM y el

segundo unidad:\nombreDeRutaDeAcceso es la ubicación del archivo Answer.txt

que ha creado.

5. Tras ejecutar este comando, puede confirmar mediante el complemento Servicios

que la nueva instancia de ADAM se ha instalado y se está ejecutando.

77


Configurar la programación de replicaciónAhora que dispone de varias instancias de ADAM unidas en un único conjunto de

configuración, puede programar la replicación. La programación de replicación es

opcional. Igual que ocurre en Active Directory, ADAM siempre ofrece una programación

de replicación predeterminada.

Para programar la replicación entre instancias de ADAM



2. Conéctese y enlace a una de las instancias de ADAM.

Nota

Dado que todas las instancias de ADAM pertenecen al mismo conjunto de

configuración, puede programar la replicación en cualquiera de ellas.

3. En el árbol de la consola, haga doble clic en la partición de configuración

CN=Configuration,CN={GUID}, donde GUID es el identificador único asignado

durante la instalación de ADAM. Haga doble clic en el contenedor de sitios,

CN=Sites, y, a continuación, haga doble clic en el contenedor de sitios

predeterminado, CN=Default-First-Site-Name. El complemento Editor ADSI de

ADAM tiene el siguiente aspecto:

78


Nota

De manera predeterminada, todas las instancias de ADAM que cree

pertenecen a un único sitio, Default-First-Site-Name. En este ejercicio, todas

las instancias de ADAM pertenecen a un único sitio. Por lo tanto, está

programando la replicación sin salir de un sitio, lo que recibe el nombre de

replicación dentro del sitio. Para obtener más información acerca de los

sitios, los conjuntos de configuración y la replicación de ADAM, consulte la

guía del administrador de Active Directory Application Mode. Para ver la guía

del administrador de Active Directory Application Mode, haga clic en Inicio,

seleccione Todos los programas, ADAM y, a continuación, haga clic en

Ayuda de ADAM.

4. En el panel de detalles, haga clic con el botón secundario en CN=NTDS Site

Settings y, a continuación, haga clic en Programación.

5. En el cuadro de diálogo Programación, seleccione el bloque de tiempo que desea

programar y haga clic en Ninguno, Una vez por hora, Dos veces por hora o

Cuatro veces por hora como frecuencia de replicación y, a continuación, haga clic

en Aceptar. El cuadro de diálogo Programación tendrá el siguiente aspecto:

Nota

En el caso de la replicación dentro del sitio, las instancias de ADAM replican

los cambios mediante las notificaciones de actualización. La programación

79


de la frecuencia de replicación sólo afecta a la replicación dentro del sitio

cuando no se producen notificaciones de actualización en el tiempo

especificado.

Provocar la replicación inmediata de una partición de directorioEl Asistente para instalación de Active Directory Application Mode (ADAM) instala una

versión de ADAM de Repadmin.exe, que cuenta con las mismas funciones que la versión

de Active Directory de Repadmin.exe. Tal y como ocurre con Active Directory, puede

provocar la sincronización inmediata de una partición de directorio con asociados de

replicación utilizando Repadmin.exe, según se explica en este ejercicio.

Para provocar la replicación inmediata de una partición de directorio utilizando Repadmin.exe




repadmin /syncall localhost:389 o=Microsoft,c=us

Nota

Para obtener más información acerca de la sintaxis de repadmin, en el

Símbolo del sistema de herramientas de ADAM, escriba repadmin /?.

Administrar ADAM mediante programación

Mediante programación, puede llevar a cabo buena parte de las tareas que puede

realizar manualmente con las herramientas de administración de ADAM. En la descarga

de ADAM se incluyen varios fragmentos de código y secuencias de comandos de

ejemplo que le ayudarán a empezar.

80


Administrar ADAM mediante programación con secuencias de comandos de Visual BasicEl directorio \LABS_DEMO\LABS\VBScript de la descarga de ADAM incluye secuencias

de comandos de ejemplo producidas en Microsoft® Visual Basic®, Scripting Edition

(VBScript), para las siguientes operaciones comunes:

Extender el esquema para incluir la clase de contactos. (Adamcontact.vbs)

Importar dos contactos. (AdamContactImport.vbs)

En las siguientes secuencias de comandos, se supone que Adamuser.ldf se importó en

un ejercicio anterior:

Agregar OU

Agregar usuario

Agregar grupo

Agregar usuario a grupo

Eliminar usuario

Obtener una lista de objetos específicos de una ruta de acceso (Filter_adam.vbs)

Enumerar usuarios y grupos

Establecer una contraseña

Por ejemplo, la secuencia de comandos para enumerar usuarios y grupos contiene el

siguiente código:

'**************************************************'' This script enumerates the users and groups in the passed in OU' To run: cscript member_adam.vbs [OU] [Group]' Examples: cscript member_adam.vbs ou=testou,c=us testuser''**************************************************set Args = Wscript.ArgumentsouName = Args(0)' If the application OU DN is "ou=adamou,c=us" and the server is "adamhost" and the port is 389. Then this parameter should be passed' as follows: "LDAP://adamhost:389/ou=adamou,c=us"

set ou = GetObject(ouName )wscript.echo "Displaying Groups and Group membership..." & vbcrlf

ou.Filter = Array("group")for each obj in ou

81


wscript.echo "Group : " & obj.Name for each member in obj.Members wscript.echo " |" wscript.echo " -- " & member.Name Next wscript.echo vbcrlfNext

Puede ejecutar cualquiera de estas secuencias de comandos desde el símbolo del

sistema utilizando el comando cscript. (Para obtener ayuda sobre cscript, escriba

cscript /? en el símbolo del sistema.) Cada secuencia de comandos requiere que se

suministren los nombres completos del proveedor y del host junto con el especificador de

puerto.

Nota

La secuencia de comandos Adamcontact.vbs sólo necesita que se suministren

los parámetros nombreDeServidor:númeroDePuerto, ya que extiende el

esquema. Puede abrir el archivo en el Bloc de notas para ver la sintaxis

específica. (Si ejecuta una secuencia de comandos sin parámetros, aparecerá el

siguiente mensaje de error: “El subíndice está fuera del intervalo.”)

Por ejemplo, para ejecutar la secuencia de comandos Member_adam.vbs a fin de

enumerar los usuarios y grupos de un objeto con el nombre completo

O=Microsoft,C=US, escriba:

cscript member_adam.vbs "LDAP://nombreDeServidor:númeroDePuerto

/o=Microsoft,c=us"

donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto

de comunicaciones LDAP de la instancia de ADAM.

Administrar ADAM mediante programación con la API System.DirectoryServicesPara el siguiente ejercicio es necesario que tenga instalado Microsoft® Visual

Studio® .NET.

Para tener acceso a ADAM mediante la interfaz de programación de aplicaciones (API) System.DirectoryServices

1. Inicie Visual Studio .NET.

2. En el menú Archivo, haga clic en Nuevo y, a continuación, en Proyecto.

82


3. En Tipos de proyecto, haga clic en un tipo de proyecto (C#, VB.NET, etcétera).

4. En Plantillas, haga clic en una plantilla de proyecto (Consola, Windows, etcétera).

5. En Nombre, escriba un nombre para el proyecto.

6. Una vez creado el proyecto, haga clic en Agregar referencia en el menú Proyecto.

7. En la columna Nombre de componente, haga clic en

System.DirectoryServices.dll, como se muestra a continuación.

8. Agregue la siguiente línea al principio del código:

C#: using System.DirectoryServices;VB.NET: Imports System.DirectoryServices;

Nota

No es obligatorio agregar el nombre del espacio de nombres, pero resulta

83


más sencillo que escribir un nombre largo. Por ejemplo, en lugar de

System.DirectoryServices.DirectoryEntry, utilice DirectoryEntry.

9. Para leer un objeto de ADAM, agregue el siguiente código:

int portNumber=1025; // put the correct port number here.String serverName="adam01"; // put the correct servername here. String partitionDir = "O=Fabrikam"; //put the correct partition distinguished name.DirectoryEntry ent = new DirectoryEntry("LDAP://"+serverName+":"+portNumber+"/"+partitionDir);Console.WriteLine("Hello World, {0}, with Guid {1}", ent.Name, ent.Guid);

Administrar los objetos proxy de ADAM mediante programaciónEl directorio \LABS_DEMO\LABS\bindredirect de la descarga de ADAM incluye código

de muestra para crear, rellenar y probar objetos proxy de ADAM. Además, el directorio

incluye una versión compilada y lista para ejecutarse del código de ejemplo. Este código

de ejemplo muestra la forma en la que puede automatizar la creación de objetos proxy y

completa los pasos del procedimiento "Para enlazar con ADAM mediante un objeto proxy

de ADAM" de Administrar la autenticación en ADAM.

Nota

Para obtener más información acerca de la redirección de enlace de ADAM,

consulte la guía del administrador de Active Directory Application Mode. Para ver

la guía del administrador de Active Directory Application Mode, haga clic en

Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en

Ayuda de ADAM.

El código de sampleBindRedirect.c realiza todas las siguientes operaciones mediante

programación:

Enlaza a una instancia de ADAM utilizando la cuenta de usuario de Windows que

proporcione.

Lee el atributo tokenGroups del usuario de Windows para recuperar su SID.

Enlaza a una instancia de ADAM utilizando la cuenta de Administrador de ADAM que

proporcione.

Con la cuenta de administrador de ADAM, crea un objeto userProxy para el usuario

de Windows.

84


Agrega el grupo de usuarios de cualquier partición de directorio de aplicaciones dada

al grupo de lectores de la misma partición.

Enlaza a una instancia de ADAM como el usuario de Windows para demostrar que el

usuario de Windows no puede leer la partición del directorio de aplicaciones.

Enlaza a una instancia de ADAM mediante el objeto proxy para demostrar que se

puede leer la partición del directorio de aplicaciones.

Elimina el objeto userProxy.

Puede ejecutar la versión compilada de este código de ejemplo, BindRedirect.exe, para

observar su funcionamiento. Para obtener ayuda sobre la forma de ejecutar el programa

de ejemplo BindRedirect.exe, escriba bindredirect /? en el símbolo del sistema.

Nota

Este código de ejemplo se ejecuta con los siguientes requisitos:

Para ejecutarse correctamente, debe haber disponibles conexiones SSL a ADAM

(para lo que es necesario la instalación de certificados), o bien el atributo

RequireSecureProxyBind del atributo msds-Other-Settings del objeto

nTDsService debe tener un valor de 0. Para obtener más información, consulte

"Seguridad de enlaces y objetos proxy de ADAM" en Administrar la autenticación

en ADAM.

No debe existir ningún objeto de entidad de seguridad externo en ADAM para el

usuario de Windows que especifique.

Cuando utilice un enlace y una conexión SSL, debe proporcionar el nombre DNS

completo del equipo que ejecuta ADAM.

85

adam step by step guide

Documents

adam instalar adam

paso para

adam requisitos

contenidogua paso

grupos y usuarios en

adam es compatible

esta gua paso

y en otros pases