TEMA 8: « LA ADMINISTRACIÓN DE

DOMINIOS»Implantación de Sistemas Operativos

INDICE1. CONCEPTOS PREVIOS2. DIRECTORIO ACTIVO3. INSTALACIÓN DEL DIRECTORIO ACTIVO4. LAS UNIDADES ORGANIZATIVAS5. LOS USUARIOS6. LOS EQUIPOS7. LOS GRUPOS

1. CONCEPTOS PREVIOS

1.1 ESTRUCTURA DE TRABAJO EN GRUPO

Los servicios de directorio se administran de forma centralizada.

Los grupos de trabajo son dirigidos por los usuarios cuando reúnen los recursos de sus ordenadores.◦ Los usuarios individuales administran los recursos de sus

ordenadores indicando que recursos pueden ser compartidos y cuales no.

◦ Problemas: Algunos recursos compartidos son difíciles de localizar por los

usuarios Los recursos se comparten con un grupo limitado.

1. CONCEPTOS PREVIOS

1.2 ESTRUCTURA CLIENTE-SERVIDOR

Servidor: ordenador que permite compartir recursos con otros ordenadores que estén conectados a él.

◦ S. de Archivos: Mantiene los archivos en subdirectorios privados y compartidos para los usuarios de la red

◦ S. de impresión: Tiene conectadas dos o más impresoras que comparte con los demás usuarios

◦ S. de comunicaciones: Permite enlazar diferentes redes locales con grandes ordenadores

◦ S. de correo electrónico: Proporciona servicios de correo electrónico para la red

◦ S. Web: Proporciona un lugar donde guardar y administrar documentos HTML, que pueden ser accesibles a través de navegadores

◦ S. FTP: Guarda archivos que pueden ser descargados por los usuarios de la red

◦ S. Proxy. Se usa para monitorizar y controlar el acceso entre las redes.

1. CONCEPTOS PREVIOS

1.2 ESTRUCTURA CLIENTE-SERVIDOR

Según el S.O. que se utilice y las necesidades de la empresa, distintos tipos de servidores pueden residir en el mismo ordenador o encontrarse distribuidos entre aquellos que formen parte de la red.

El resto de los ordenadores de la red se denominan estaciones de trabajo o clientes, y desde ellos se facilita el acceso a los servidores y periféricos de la red.

Cada estación de trabajo, por lo general, es un ordenador con su propio S.O. conectado físicamente al servidor.

1. CONCEPTOS PREVIOS

1.3 PROTOCOLO LDAP

Es un protocolo a nivel de aplicación que accede a un

servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red.

También es considerado una base de datos en la que pueden realizarse consultas.

Un directorio es una estructura jerárquica que almacena información de los objetos existentes en la red

Un servicio de directorio proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red.

1. CONCEPTOS PREVIOS

1.4 DOMINIOS Introducido por Windows NT Son un sistema que posibilita dividir redes extensas en redes

parciales reducidas que simplifican el trabajo de administración.

Comprende un grupo de ordenadores, usuarios y recursos de red con una base de datos de seguridad común.

Colocan los recursos de varios servidores en una única estructura organizativa. Así los usuarios se les conceden privilegios de conectarse a un dominio, no a un servidor independiente.

Se pueden ver los recursos de un dominio mucho mejor que en un grupo de trabajo y con un nivel de seguridad mayor

El acceso de un usuario a los recursos de un dominio es supervisado por un controlador de dominio.

2. El DIRECTORIO ACTIVO

Es el servicio de directorio incorporado en Windows Server 2003/2008.

Proporciona los mecanismos para: ◦Almacenar información acerca de usuarios, equipos

y otros dispositivos y servicios de la red de la empresa de forma centralizada

◦Autenticar usuarios y equipos ◦Permitir o denegar el acceso de un usuario o equipo

a un recurso de red. ◦Facilitar a los usuarios la búsqueda de impresoras,

recursos compartidos y otros usuarios. Su estructura se basa en: Dominios, Unidades

Organizativas, Grupos y Objetos.

2. EL DIRECTORIO ACTIVO

2.1 ELEMENTOS • Dominios: Es la estructura fundamental. Permite agrupar todos

los objetos que se administran de forma estructurada y jerárquica.• Unidades Organizativas: Es un elemento contenedor que puede

estar compuesta por una serie de objetos , por otras unidades organizativas o por ambas., que actúa como límite administrativo. Esto es así porque a las unidades organizativas pueden enlazar unos objetos llamados objetos de Políticas de grupo (GPO). Estos GPO contienen opciones de configuración que se aplicarán automáticamente a los usuarios y equipos de la UO a la que se encuentren vinculados.

• Grupos: Son conjuntos de objetos del mismo tipo. Se utilizan fundamentalmente, para la asignación de los derechos de acceso a los recursos

• Objetos: Son representaciones de los recursos de red: usuarios, ordenadores, impresoras…

2. El DIRECTORIO ACTIVO

2.2 OTROS CONCEPTOS DE INTERÉS

Árbol de dominios: a una estructura jerárquica de dominios que comparte un espacio de nomenclatura contiguo, un esquema común y un catálogo global común.

Espacio de nomenclatura es el conjunto de nombres que representa a un dominio y un espacio de nomenclatura contiguo significa que la primera parte del nombre del dominio es común.

Bosque es una colección de árboles de directorio, que aunque no comparten un espacio de nomenclatura contiguo, tienen un esquema común y un catálogo global. Al primer dominio del bosque se le llama dominio raíz. Un bosque es una instancia única del directorio y ningún dato del directorio se replica fuera de los límites del bosque.

2. El DIRECTORIO ACTIVO

2.2 OTROS CONCEPTOS DE INTERÉS

Relación de confianza. Las relaciones de confianza permiten la compartición de las bases de datos de usuarios entre varios dominios de la red, es decir, establecen un vínculo o relación por la que una cuenta de un dominio es reconocida por los servidores de los dominios que confíen en él. Mediante estos vínculos, un usuario tiene una única cuenta en un dominio, pero puede acceder a cualquier servidor de la red formado por los dominios que constituyen la relación. Gracias a las relaciones de confianza, al crear una cuenta de usuario en un dominio, ésta queda habilitada en todos los servidores de dominio de la red de confianza. También es necesario aclarar que si un dominio confía en otro y éste último confía en un tercero, el primero no confía automáticamente en el tercero.

Base de datos del directorio activo. Es donde se guarda toda la información de los objetos del dominio (usuarios, equipos, grupos, etc.).

Equipo. Es un equipo que se ha dado de alta en el directorio activo y por tanto su administración se realiza a través de las herramientas de administración del dominio.

2. EL DIRECTORIO ACTIVO

2.2 OTROS CONCEPTOS DE INTERÉS

Para establecer una tolerancia a fallos, proporciona un servicio de replicación que distribuye los datos del directorio por toda la red. Para ello todos los controladores de dominio participan en la replicación y contienen una copia completa de toda la información del directorio y cualquier cambio se replica en todos los controladores de dominio

El Directorio Activo utiliza los nombres DNS para:◦ Resolver los nombres de equipos en direcciones IP◦ Asignar nombre a los dominios.

Por ello es necesario que en cada bosque haya al menos un servidor DNS

2. DIRECTORIO ACTIVO

2.3 SERVIDORES

En Windows Server 2003/2008 los servidores dentro del dominio pueden tener uno de los siguientes papeles:

◦Controladores de Dominio: Pertenecen al domino y contienen una copia de las cuentas de usuario y de otros datos del Directorio Activo. Es obligatorio que haya al menos uno de ellos.

◦Servidores Miembro. Pertenecen al dominio y no contienen una copia de las cuentas de usuario y de otros datos del AD. Se utilizan para almacenar archivos y otros recursos de red.

◦Servidores independientes. No pertenecen al dominio, que pertenecen a un grupo de trabajo.

2. INSTALACIÓN DEL DIRECTORIO ACTIVO

2.1 TAREAS PREVIASHay que tener en cuenta los siguientes aspectos: El nombre del dominio y el nombre DNS. Igualmente el

nombre netbios. El nivel funcional del dominio según la versión del

sistema operativo de los servidores que forman el dominio.

Los controladores de dominio requieren una IP y una máscara de subred fijas.

El controlador de dominio debe tener un servidor DNS que realice la resolución de nombres. Si realiza la instalación de un nuevo bosque, el asistente instala automáticamente el rol de servidor DNS.

El servidor que actúa de controlador de dominio debe tener una partición NTFS.

3. INSTALACIÓN DEL DIRECTORIO ACTIVO

2.2 COMPROBACIÓN DEL FUNCIONAMIENTO

Existe la carpeta SysVol y del resto de carpetas compartidas. Para ello iniciamos la línea de comandos (“cmd”) y ejecutamos el comando “net share” y observamos si las carpetas SysVol y NetLogon están disponibles.

Comprobamos la creación de la Base de Datos y de los Archivos de Registro del Directorio Activo. Para ello, desde el comando “Ejecutar” de Windows escribimos la ruta “c:\Windows\ntds”, pulsamos en aceptar y comprobamos la existencia del archivo ntds.dit.

Comprobamos la creación de la Estructura Predeterminada del Directorio Activo. Para ello, en el menú del botón inicio “Herramientas Administrativas” pulsamos sobre la opción “Usuarios y Equipos de Active Directory”. Una vez dentro de la ventana de dicha opción desplegamos el árbol de carpetas de nuestro dominio (situado en la parte izquierda de la ventana) y comprobamos que existen las carpetas “Builtin”, “Computers”, “Domain Controllers”, “ForeignSecurityPrincipals” y “Users”.

3. LAS UNIDADES ORGANIZATIVAS

Son contenedores del Directorio Activo, en los que se pueden colocar usuarios, grupos , equipos y otras unidades organizativas.

No puede contener objetos de otros dominiosEs la unidad más pequeña a la que se puede

asignar derechos o a la que se puede delegar el control administrativo

El control administrativo de cada unidad se puede delegar en personas específicas.

Utilizando unidades organizativas se pueden ver más fácilmente los objetos del directorio de un dominio y simplificar su administración

Cada dominio puede implementar su propia jerarquía de unidades organizativas.

3. LAS UNIDADES ORGANIZATIVAS

¿Dividir la red en unidades organizativas o dominios?• Si distintos usuarios y recursos son administrados por

grupos diferentes dividir en dominios independientes• Si dos partes de la misma red están separadas por un

vínculo lento que hace casi imposible la replicación dividir en dominios independientes.

• Si se necesita reflejar la estructura de la organización

• dividir el dominio en unidades organizativas• Si se desea delegar el control administrativo en

pequeños conjuntos de usuarios, grupos y recursos dividir en unidades organizativas

• Si la estructura de la organización puede sufrir modificaciones en el futuro dividir en unidades organizativas.

4. LOS USUARIOS

• Representa a una persona y se denominan principales de seguridad dentro del Directorio Activo, ya que son objetos del directorio a los que se asignan automáticamente identificadores de seguridad para iniciar sesiones en la red y tener acceso a los recursos

• Permite que un usuario inicie sesiones en equipos o dominios con una identidad que se puede autentificar y autorizar para tener acceso a recursos del dominio

• Se usa para:• Autentificar la identidad del usuario• Autorizar o denegar el acceso a recursos del dominio• Administrar otros principales de seguridad• Auditar las acciones realizadas con la cuenta de usuario

4. LOS USUARIOS

Tipos

• Usuarios globales o usuarios del dominio. Se crean en los Servicios de dominio del Directorio Activo, se guardan en los controladores de dominio y pueden usarse para conectarse a los dominios en que está creada y en los que confía.

• Usuarios locales. Se crean y se guardan en equipos que no son controladores de dominio.

5. LOS EQUIPOS

• Las cuentas de equipos de un dominio del Directorio Activo, al igual que los usuarios, son entidades de seguridad que representan a los equipos físicos.

• Se denominan también principales de seguridad.• A una cuenta de equipo se le pueden conceder

permisos y derechos para el dominio donde se está creando la cuenta.

6. LOS GRUPOS

• Las cuentas de grupo, representan a un grupo y se denominan principales de seguridad.

• Tipos:• Grupos de ámbito universal. Únicamente puede crearse en servidores que

tengan instalado el Directorio Activo y que se encuentren en modo nativo. Puede contener otros grupos universales, globales y cuentas de cualquier otro dominio.

• Grupos de ámbito global. Únicamente puede crearse en servidores que tengan instalado el Directorio Activo y que se encuentren en modo nativo. Puede contener otros grupos globales y cuentas únicamente del domino en el que se ha definido el grupo y se le pueden conceder permisos en cualquier dominio.

• Grupos de ámbito local de dominio. Únicamente puede crearse en servidores que tengan instalado el Directorio Activo y que se encuentren en modo nativo. Puede contener otros grupos globales, locales y cuentas de cualquier otro dominio, y sólo se pueden utilizar para conceder permisos en el dominio que contiene el grupo.

• Grupos locales. Únicamente pueden crearse en equipos que no tienen instalado el Directorio Activo. Pueden contener cuentas locales y grupos del propio dominio, podrán también tener cuentas y grupos del propio dominio y de los dominios de confianza, y se puede utilizar para conceder permisos en el equipo en ele que se crea el grupo.