ut6_administración de dominios en ad
TRANSCRIPT
-
8/20/2019 UT6_Administración de Dominios en AD
1/29
25/11/20
-
8/20/2019 UT6_Administración de Dominios en AD
2/29
25/11/20
Active Directory
Un directorio es una lista que permite organizar y
localizar elementos.
En términos informáticos los dos elementos de un
directorio son:
• El almacén de datos: contiene los objetos talescomo aplicaciones, bases de datos, impresoras,
usuarios,…
• Los servicios que actúan sobre los datos: lleva a
cabo funciones como: replicación, medidas deseguridad, distribución de datos,…
Active Directory
Definición de Active Directory
Es un almacén de objetos y un servicio basado en la red ,
con una estructura jerárquica que ubica y administra
recursos, poniéndolos al alcance de grupos y usuarios.
En AD todo es un objeto: usuarios, servidores, estacionesde trabajo, documentos,…
Cada objeto tiene sus propios atributos así como una ACL
(Access Control List) asociada.
-
8/20/2019 UT6_Administración de Dominios en AD
3/29
25/11/20
Active Directory
FUNCIONES DE AD
Almacén jerárquico de los objetos.
Esquema. Conjunto de reglas que definen la estructurade los objetos que se pueden crear en AD.
Catálogo global. Es el conjunto de todos los objetos deAD.
Sistema de índices y consultas. Se pueden realizarconsultas sobre objetos, es decir, buscar información
sobre un objeto. Esto se realiza mediante LDAP (Protocolo
Ligero de Acceso al Directorio)
Servicio de replicación. Permite la sincronización dedatos entre varios servidores de AD.
Active Directory
FUNCIONES DE AD
Nombres integrados con DNS. Es esquema de nombres
de los diferentes objetos sigue el estándar DNS.
-
8/20/2019 UT6_Administración de Dominios en AD
4/29
25/11/20
Active Directory
PROTOCOLOS Y ESTÁNDARES DE AD
DNS( Servicio de nombres de dominio). Realiza latraducción entre nombres de dominio y direcciones IP.
SNTP (Protocolo Simple de tiempo de red). Permitesincronizar el tiempo entre dos ó más máquinas de la red.
Kerberos v5. Es el protocolo utilizado para laautenticación de usuarios y máquinas.
Certificados X.509. Estándar de infraestructura de clavepública, usado para certificados digitales
Active Directory
AD dispone de dos elementos estructurales más un
tercer elemento que sería el esquema:
• Estructura lógica: está compuesta por los objetosasí como sus atributos asociados. Los objetos de AD
se organizan según un modelo jerárquico de
dominio.
• Estructura física: esta estructura presentamecanismos para la replicación y comunicación de
datos. Sus dos aspectos fundamentales son:
• La definición de elemento estructural de la subred
IP, constituido por los sitios de AD
• El servidor físico que almacena y replica datos de AD
-
8/20/2019 UT6_Administración de Dominios en AD
5/29
25/11/20
Active Directory
• Esquema: contiene las definiciones de todos losobjetos que se crean y almacenan en Active Directory
y sus propiedades.
Las clases describen los posibles objetos del directorio
que se pueden crear. Cada clase es una colección de
atributos. Al crear un objeto, los atributos almacenan
la información que describe el objeto.
El esquema es responsabilidad del controlador de
dominio.
Una copia se replica a todos los DC del bosque para
asegurar la integridad y coherencia de los datos en
todo el bosque.
-
8/20/2019 UT6_Administración de Dominios en AD
6/29
25/11/20
Active Directory
Los bloques organizativos disponibles en la estructura
lógica son:
• Dominios
• Árboles de dominio
• Bosques de dominio
• Unidades organizativas
-
8/20/2019 UT6_Administración de Dominios en AD
7/29
25/11/20
Active Directory
Dominio
Consta de los sistemas de equipo y los recursos de
red que comparte un límite de seguridad lógica, es
decir, comparten un nombre, un conjunto de
directivas y unas bases de datos.
Es la estructura principal de AD. Todos los objetos
forman parte de un dominio y la política de seguridad
es uniforme en él.
Active Directory
Cada dominio se identifica unívocamente con un
nombre de dominio DNS, que debe ser el sufijo DNS
principal de todos sus equipos.
Ejemplo: Si equipo1 pertenece al dominio
smrdominio.local, el nombre completo del equipo será
equipo1.smrdominio.local
Objetivos de utilizar un dominio:
Límite de seguridad. La configuración de seguridad
de cada dominio es independiente.
Límite de replicación de información. Cualquier
controlador de dominio admite cambios de
información y es capaz de replicarlos al resto de
controladores del mismo dominio.
-
8/20/2019 UT6_Administración de Dominios en AD
8/29
25/11/20
Active Directory
Límite de delegación de permisos administrativos.
Se pueden delegar los derechos administrativos deldominio a otros usuarios pero no a otros dominios
Active Directory
Árboles de dominios
Es un conjunto de dominios comparten un esquema,
relaciones de confianza de seguridad y un catálogo
global , se crea un árbol de dominio, definido por
espacios de nombre común y contiguo.
Ejemplo: hijo1.raiz.com , hijo2.raiz.com e
hijo3.raiz.com pueden formar parte de un árbol, yaque comparten una nomenclatura contigua y pueden
tener un esquema y catálogo global comunes.
El primer dominio creado se conoce como dominio raíz ycontiene la configuración y los datos de esquema para el
árbol.
-
8/20/2019 UT6_Administración de Dominios en AD
9/29
25/11/20
Active Directory
Algunos de los motivos para crear diferentes dominios en
un árbol son:
• Se pueden gestionar organizaciones diferentes y
proporcionar identidades de unidad.
• Se pueden reforzar distintos límites de seguridad y
directivas de contraseña
• Proporciona una mejor gestión de un gran número
de objetos administrados
• Descentraliza la administración
Active Directory
Bosques de dominios
Es un conjunto de uno o más árboles, conectados entre
los dominios raíz de dichos árboles a través de relaciones
de confianza bidireccionales.
Si hay más de un árbol en el bosque, estos no tienen el
mismo espacio de nombres.
Pero las relaciones de confianza también se pueden
establecer entre árboles de dominio con distintos
espacios de nombres. Cuando esto ocurre se crean
distintos espacios de nombres.
Un bosque no tiene un nombre propio.
-
8/20/2019 UT6_Administración de Dominios en AD
10/29
25/11/20
Active Directory
Bosques de dominios
Las razones para crear árboles son:
Mantener los nombres de dominio de los árboles
Proporcionar una estructura de red (si mi empresa
tiene varias empresas subsidiarias independientes, se
crearía un árbol para cada empresa.
Fusiones de empresas que quieren mantener su
entidad.
NO se pueden mover dominios entre bosques.
Cuando se crea el primer controlador de dominio en la
organización se crea el dominio raíz del bosque
http://delreguero.com/wordpress/wp-
content/uploads/ASO/otros/01_intro_infraestruct_DA/media08_1.htm
-
8/20/2019 UT6_Administración de Dominios en AD
11/29
25/11/20
Active Directory
Unidades organizativas
Los dominios se pueden dividir de manera interna en
subestructuras administrativas conocidas como Unidades
Organizativas.
Pueden considerarse como objetos de contenedor.
Las UO pueden anidarse dentro de otras UO, pudiendocrear una estructura jerárquica dentro del dominio.
-
8/20/2019 UT6_Administración de Dominios en AD
12/29
25/11/20
CONTROLADOR DE DOMINIO:Contiene la base de datos de objetos del directorio para un determinado dominio,
incluida la información relativa a la seguridad. Además, será responsable de la
autenticación de objetos dentro de su ámbito de control.
En un dominio dado, puede haber varios controladores de dominio asociados, de
modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin
embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo
dominio, tendrán la misma importancia.
Un controlador de dominio de sólo lectura RODC contiene una copia de solo lectura de
AD. Por lo tanto, desde él no se puede administrar el AD.
Su objetivo es proporcionar un acceso rápido y que no suponga un ataque de
seguridad a la red (se suele utilizar en sucursulas)
Componentes de AD
-
8/20/2019 UT6_Administración de Dominios en AD
13/29
25/11/20
UN SITIO es un grupo de ordenadores que se encuentranrelacionados, de una forma lógica, con una localización
geográfica particular.
En realidad, pueden encontrarse físicamente en ese lugar o,
como mínimo, estar conectados, mediante un enlace
permanente, con el ancho de banda adecuado.
En otras palabras, un controlador de dominio puede estar en la
misma zona geográfica de los clientes a los que ofrece sus
servicios o puede encontrarse en el otro extremo del planeta
(siempre que estén unidos por una conexión adecuada). Pero en
cualquier caso, todos juntos formarán el mismo sitio.
Componentes de AD
• Una relación de confianza es una relación establecidaentre los dominios de forma que permite a los usuarios de
un dominio ser reconocidos por los DCs de otro dominio.
• Las relaciones de confianza tienen tres rasgos
característicos:• Método de creación: algunos tipos de relaciones e
confianza se crean de forma automática (implícita) y
otros de forma manual (explícita).
Componentes de AD
-
8/20/2019 UT6_Administración de Dominios en AD
14/29
25/11/20
• Dirección: algunos tipos de relaciones son
unidireccionales y otros bidireccionales. Si la relación
es unidireccional, los usuarios del dominio A (de
confianza) pueden utilizar los recursos del dominio B
(que confía), pero no al revés.
• Transitividad : una relación de confianza transitiva es
aquella que permite que si un dominio A confía en otro
B, y éste confía en un tercero C, entonces, de forma
automática, A confía en C.
Componentes de AD
• Los tipos de relaciones de confianza válidos en dominios y
bosques son:
• Bidireccionales y transitivas.
• Relación entre dominios del mismo árbol o bosque.
• Cuando se crea un dominio hijo, éste confía en el
padre y viceversa.
• Por defecto se incluyen las confianzas establecidas
de forma automática entre los dominios raíz de losárboles del mismo bosque.
• La relación entre dominio-subdominio
Componentes de AD
-
8/20/2019 UT6_Administración de Dominios en AD
15/29
25/11/20
• Los tipos de relaciones de confianza válidos en dominios y
bosques son:
• De acceso directo o atajo. Son relaciones creadas
manualmente que mejoran la eficacia de los inicio de
sesión remotos, acortando la la ruta entre dos
dominios.
• Se utiliza cuando los usuarios de un dominio
necesitan acceder a los recursos de otro.
• Externas o unidireccionales no transitivas. Se crean
entre dos dominios de diferentes bosques. (Usuarios
del dominio A pueden utilizar recursos de dominio B,
pero no al revés).
Componentes de AD
• (Usuarios del dominio A pueden utilizar recursos de
dominio B, pero no al revés).•Confianza del bosque.
•Se crea de forma manual entre dominios raíz de dos bosques
distintos.
•Permite a los usuarios de un bosque acceder a los recursos
de cualquier dominio del otro bosque.
•Es unidireccional y transitiva entre dos bosques.
•Confianza de territorio.•Se establece de forma manual entre un dominio Windows
Server 2008 y un Kerberos que no sea Windows.
Componentes de AD
-
8/20/2019 UT6_Administración de Dominios en AD
16/29
25/11/20
Componentes de AD
• A lo largo del tiempo los sistemas Windows
Server han evolucionado respecto a su
funcionalidad.
• Esta evolución se refleja en lo que se conoce
como niveles funcionales.
• Un nivel funcional establece una serie decaracterísticas o funcionalidades disponibles en el
dominio/bosque y la posibilidad de ser
compatible con un versión previa de Windows
Server.
Componentes de AD. Niveles funcionales
-
8/20/2019 UT6_Administración de Dominios en AD
17/29
25/11/20
• Windows Server 2008 R2 dispone de los
siguientes niveles funcionales:
• Windows 2000 Nativo
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
Componentes de AD. Niveles funcionales
• Se estructura de la siguiente manera:
• Nombre completo.
• Cada objeto se identifica de manera única.Para ello, AD utiliza el nombre completo.Ejemplo: Un usuario con nombre común
(CN), se ubica en la Unidad organizativa(OU), y se encuentra en un dominio (DC)
• Ejemplo:
–CN=Rafael Pérez, OU=Users, DC=ejemplo,DC=com
Sistemas de nombres de AD
-
8/20/2019 UT6_Administración de Dominios en AD
18/29
25/11/20
• Se estructura de la siguiente manera:
• Nombre completo relativo. Define la ruta del objeto sinmencionar ni el dominio, ni la unidad organizativa.
• Ejemplo: Si estamos dentro de la OU Users del dominioejemplo.com para encontrar el usuario se debeespecificar Rafael Pérez.
• Nombre principal de usuario. Es el nombre con el cual seregistra el usuario. Se debe especificar usuario y dominio.
• Ejemplo: [email protected]
• Identificador único global (GUID) o identificador de
seguridad (SID). Son dos identificadores de un objeto. Sicambio de dominio el SID varía pero GUID no debe cambia.
Sistemas de nombres de AD
• AD utiliza el sistema de nombres DNS para
tres funciones:
– Resolver los nombres de dominios y objetos.
• Para localizar un equipo PC1: PC1.ejemplo.com
– Asignar nombres a los dominios y a los objetos.
– Localizar los controladores de dominio y suscomponentes
Sistemas de nombres de AD
mailto:[email protected]:[email protected]:[email protected]:[email protected]
-
8/20/2019 UT6_Administración de Dominios en AD
19/29
25/11/20
Antes de instalar Active Directory hay que tener un par
de cosas en cuenta:
• Cambia el nombre del equipo en la red ya que
después de promocionarlo a controlador de dominio
será mucho más difícil.
• Siempre es conveniente que el DC tenga las IP
asignadas como estáticas (ya que también va a
funcionar como servidor DNS), por lo que asegúrate
de que tienen esta configuración.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
20/29
25/11/20
Instalación de Active Directory
Como cualquier nueva funcionalidad que queramos
asignarle al servidor hemos de hacerlo en
Administrador del servidor y ahí elegimos Agregar
funciones.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
21/29
25/11/20
Instalación de Active Directory
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
22/29
25/11/20
Instalación de Active Directory
Nos aseguramos de que la instalación ha finalizado
correctamente.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
23/29
25/11/20
Ya tenemos instalada la función de Controlador de
dominio pero el equipo aún no lo es.
Para ello hay que promocionarlo a controlador dedominio.
Esto lo hacemos desde la línea de comandos
utilizando la orden dcpromo.
Instalación de Active Directory
Seleccionamos la opción de instalación en modo
avanzado.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
24/29
25/11/20
Instalación de Active Directory
Si ya tenemos un dominio en la organización
podremos añadir el dominio al bosque existente.
En caso contrario crearemos un bosque nuevo.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
25/29
25/11/20
Debemos asignar un FQDN (Fully Qualified Domain
Name) a nuestro dominio.
Como es un dominio interno para nuestra
organización es buena costumbre poner la extensión
.local
Instalación de Active Directory
Por compatibilidad con versiones anterior hemos de
asignarle un nombre NetBIOS para el servidor.
Recuerda que NetBIOS/NetBEUI es el protocolo de
asignación de nombres en red utilizado en los
equipos Windows.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
26/29
25/11/20
Se indica el nivel funcional del bosque.
Según el nivel funcional que escojamos limitaremos laversión de Windows Server que tienen que tener
otros controladores de dominio del servidor.
Instalación de Active Directory
Active Directory requiere
un servidor DNS en el
dominio para la
resolución de nombres.
Si no tenemos un
servidor DNS en la red
marcamos la casilla
Servidor DNS para que lo
instale.
Hay otras dos casillas marcadas en gris que solo se muestran si ya
tenemos otro DC en la red:
• Catálogo global: si la marcamos el catálogo global del dominiose almacenará en el DC que estamos instalando.
• DC de solo lectura: si queremos que el controlador de dominioque instalamos sea de solo lectura.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
27/29
25/11/20
Indicamos donde queremos guardar la base de datos
de AD, los archivos de registro y SYSVOL.
En un DC en producción es aconsejable hacerlo en un
disco diferente.
Instalación de Active Directory
El Modo de restauración nos permite recuperar el
sistema en caso de fallo. Aquí indicaremos la
contraseña que necesitaremos en caso de hacerlo.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
28/29
25/11/20
Finalmente nos
muestra un
resumen de las
opcionesescogidas y
procede a la
promoción del
DC
Instalación de Active Directory
Al finalizar reiniciamos el equipo para que se apliquen
los cambios.
Instalación de Active Directory
-
8/20/2019 UT6_Administración de Dominios en AD
29/29
25/11/20
Cuando reiniciemos el
equipo podemos ver que ya
nos estamos validandocontra el dominio y no como
usuario local.
En el controlador de dominio
no hay usuario locales.
Ya veremos que en el resto
de equipos del dominio
podemos entrar como
usuarios locales o como
usuarios del dominio.
Instalación de Active Directory
Ahora en nuestro servidor
tenemos tres nuevas
entradas para gestionar el
administrar el dominio.
Instalación de Active Directory