Año del Centenario de Machu Picchu para el Mundo

IESTP. “CAP. FAP. JOSÉ ABELARDO QUIÑONES G.

carrera: Computación e Informática II.

Profesor: César Farfán

Área: Software de servidores de Red

Tema: Active Directory de Windows 2003

Alumna: Aranda Nunto Yulisa E.

Fecha: 31 Octubre 2011

Tumbes -- Perú

ACTIVE DIRECTORY 

Está basado en una serie de estándares llamados X.500, aquí se encuentra una definición lógica a modo jerárquico.Dominios y subdominios se identifican utilizando la misma notación de las zonas DNS, razón por la cual Active Directory requiere uno o más servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lógicos de la red, como el listado de usuarios.Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, será reconocido en todo el árbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.

INTRODUCCIÓN Esta guía es una introducción a la administración del

servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administración del servicio de directorio. Puede utilizar las herramientas estándar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administración únicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas.

Las herramientas administrativas de Active Directory sólo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory están disponibles en el menú Herramientas administrativas:

Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory

OBJETOS ACTIVE DIRECTORY

Active Directory se basa en una estructura jerárquica de objetos. Los objetos se enmarcan en tres grandes categorías. — recursos (p.ej.impresoras), servicios (p.ej. correo electrónico), y usuarios (cuentas, o usuarios y grupos). El DA proporciona información sobre los objetos, los organiza, controla el acceso y establece la seguridad.

Cada objeto representa una entidad individual — ya sea un usuario, un equipo, una impresora, una aplicación o una fuente compartida de datos— y sus atributos. Los objetos pueden contener otros objetos. Un objeto está unívocamente identificado por su nombre y tiene un conjunto de atributos—las características e información que el objeto puede contener—definidos por y dependientes del tipo. Los atributos, la estructura básica del objeto, se definen por un esquema, que también determina la clase de objetos que se pueden almacenar en el DA.

FUNCIONAMIENTO Su funcionamiento es similar a otras estructuras de LDAP

 (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la información relativa a un dominio de autenticación. La ventaja que presenta esto es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.

A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo «email», etcétera, las impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo "usuarios que pueden acceder", etc). Toda esta información queda almacenada en Active Directory replicándose de forma automática entre todos los servidores que controlan el acceso al dominio.

INTERCAMBIO ENTRE DOMINIO Para permitir que los usuarios de un dominio

accedan a recursos de otro dominio, Active Directory usa un trust (en español, relación de confianza). El trust es creado automáticamente cuando se crean nuevos dominios. Los límites del trust no son marcados por dominio, sino por el bosque al cual pertenece. Existen trust transitivos, donde los trust de Active Directory pueden ser un acceso directo (une dos dominios en árboles diferentes, transitivo, una o dos vías), bosque (transitivo, una o dos vías), reino (transitivo o no transitivo, una o dos vías), o externo (no transitivo, una o dos vías), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 deKerberos, aunque también soporta NTLM y usuarios webs mediante autenticación SSL / TLS

FIGURA : DOMINIO

AGREGAR UNA UNIDAD ORGANIZATIVA

Este procedimiento crea una unidad organizativa adicional en el dominio Contoso Tenga en cuenta que se pueden crear unidades organizativas anidadas, y que no hay límite de niveles de anidación.Estos pasos se basan en la estructura de Active Directory establecida en las guías detalladas de infraestructura común. Si no ha creado esa estructura, agregue las unidades organizativas y los usuarios directamente bajo Contoso.com; es decir, donde se hace referencia a Cuentas en el procedimiento, sustituya Contoso.com. Para agregar una unidad organizativa:1.Haga clic en el signo + situado junto a Cuentas para expandirlo.2.Haga clic con el botón secundario del mouse en Cuentas.3.Seleccione Nuevo y haga clic en Unidad organizativa. Escriba Construcción como el nombre de la nueva unidad organizativa y, a continuación, Aceptar.Repita los pasos anteriores para crear otras unidades organizativas, como las siguientes:•Unidad organizativa Ingeniería bajo Cuentas.•Unidad organizativa Fabricación bajo Cuentas.•Unidad organizativa Consumidor bajo la unidad organizativa Fabricación. (Para ello, haga clic con el botón secundario del mouse en Fabricación, seleccione Nuevo y, a continuación, haga clic en Unidad organizativa.)•Unidades organizativas Empresa y Gobierno bajo la unidad organizativa Fabricación. Haga clic en Fabricación para que su contenido se muestre en el panel de la derecha.

DEBERÍA TENER LA JERARQUÍA QUE APARECE A CONTINUACIÓN EN LA FIGURA

FIGURA: UNIDAD ORGANIZACIONAL

ARBOL

Un árbol de dominio es un conjunto de dominios que están conectados mediante unas relaciones de confianza por así decirlo, y así mismo, cuando varios árboles se conectan mediante relaciones, se forma un bosque.

Bosque de Árboles de Dominios.- Es el conjunto de árboles de dominio que no constituyen un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raíz de nombre "OTROCENTRO.EDU", este nuevo dominio, junto con el anterior ("MICENTRO.EDU") formarían el bosque de árboles de dominios).mediante relaciones, se forma un bosque.

FIGURA: ARBOL Y DOMINIO

CONFIANZA ENTRE BOSQUES

La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.

Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional se establece en Windows Server 2003, tendrá a su disposición todas las funciones para dominios y bosques completos.

FIGURA: LAS REDES DOMINIO

FIGURA: REDES DE BOSQUE

CONFIANZA DE ACCESO DIRECTO

La Confianza de acceso directo es, esencialmente, una confianza explícita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticación.

SITIOS

El objetivo principal del complemento Sitios y servicios de Active Directory de Windows Server 2003 es administrar la topología de replicación de un entorno empresarial en un sitio de una LAN y entre sitios de una WAN.

Un sitio es una región de la red con una conexión de gran ancho de banda y, por definición, es un conjunto de equipos con una buena conexión, basado en subredes con Protocolo Internet (IP). Como los sitios controlan cómo se produce la replicación, los cambios realizados con el complemento Sitios y servicios afectan a la eficacia de la comunicación de los controladores de dominio en un dominio (aunque separados por grandes distancias).

El concepto de sitio difiere del concepto de dominio de Windows Server 2003, ya que un sitio puede abarcar varios dominios y un dominio puede abarcar varios sitios. Los sitios no forman parte del espacio de nombres del dominio. Los sitios controlan la replicación de la información del dominio y ayudan a determinar la proximidad de los recursos. Por ejemplo, una estación de trabajo seleccionará un controlador de dominio dentro de su sitio para realizar la autenticación.