ASO Tema1 - Administración de Servicio de Directorio

administracin de
servicio de directorio
ASO
Admn. del servicio de directorio
2
Servicio de directorio. Definicin, elementos y nomenclatura.

LDAP.
Esquema del servicio de directorio.
Controladores de dominio.
Funciones del dominio. Relaciones de confianza.
Instalacin, configuracin y personalizacin del servicio de
directorio.
Creacin de dominios.
Objetos que administra un dominio: usuarios globales, grupos
y equipos entre otros.
Herramientas grficas (y comandos) de administracin del
servicio de directorio.
Servicio de directorio. Definicin,
elementos y nomenclatura. LDAP (i)
3
Un servicio de directorio es un servicio de red

donde se almacena la informacin de los recursos
de la red para hacer ms fcil la accesibilidad a las
aplicaciones y a los usuarios.
El servicio de directorio proporciona una manera
consistente de nombrar, describir, localizar,
acceder, administrar y asegurar la informacin los
recursos.
elementos y nomenclatura. LDAP (ii)
4
Los servicios de directorio utilizan repositorios

(bases de datos) para almacenar la informacin.
La mayor parte de las implementaciones se basan
en el modelo distribuido LDAP (basado en X.500).
Ejemplos de servicios de directorio:
eDirectory Novell
Active Directory (Directorio Activo) Microsoft
OpenLDAP - Linux
Open Directory Apple.
()
elementos y nomenclatura. LDAP (iii)
5
Base de datos del directorio:

Repositorio que almacena toda la informacin de los objetos
del directorio (usuarios, grupos, equipos, permisos). (Base
de datos NO RELACIONAL)
Controladores de Dominio (DC):
Servidor que mantiene la base de datos del directorio.
Incluye herramientas de administracin para gestionar los
objetos.
El controlador de dominio suele, y debe, no
ser nico. Varios controladores de dominio,
convenientemente sincronizados garantizarn
la accesibilidad al dominio.
elementos y nomenclatura. LDAP (iv)
6
Dominio:
Unidad administrativa con unas caractersticas
determinadas:
Cualquier usuario puede autenticarse a cualquier DC.
Mismas polticas de seguridad.
Los cambios en objetos se replican en todos los DC.
elementos y nomenclatura. LDAP (v)
7
Espacio de nombres:
Conjunto de nombres donde todos los nombres son nicos.
Todos los objetos de un dominio pertenecen al mismo
espacio de nombres.
El Directorio Activo (Microsoft) recurre al servicio DNS para definir su
espacio de nombres (entre otras cosas).
elementos y nomenclatura. LDAP (vi)
8
rbol:
Un rbol es un conjunto de uno o ms dominios que
comparten un espacio de nombres contiguo.
Los distintos dominios de un mismo rbol deben estar
dispuestos jerrquicamente.
El primer dominio creado

es el dominio raz del rbol.
elementos y nomenclatura. LDAP (vii)
9
Bosque:
Coleccin de rboles que no comparten espacio de
nombres.
Se conectan mediante relaciones de confianza
bidireccionales y transitivas.
Un dominio nico constituye el rbol nico de un bosque.
Todo bosque tiene un nico dominio raz.
elementos y nomenclatura. LDAP (viii)
10
Nivel Funcional:
El nivel funcional de un dominio (o bosque), viene dado
por el menor de los niveles funcionales de los
controladores de dominio presentes.
(Windows 2000, 2003, 2008(R2), 2012(R2), o Windows 2016)
elementos y nomenclatura. LDAP (ix)
11
LDAP (Lightweight Directory Access Protocol):

Protocolo de aplicacin que permite el acceso a un
servicio de directorio (dominio).
Los servidores LDAP utilizan sistemas de bases de
datos para almacenar y gestionar las entradas al
directorio.
elementos y nomenclatura. LDAP (x)
12
LDAP ofrece 4 modelos de servicios a sus clientes:

Modelo de informacin:
Establece estructura y tipos de datos del directorio: esquemas,
entradas, atributos.
Modelo de asignacin:
Define cmo referenciar de forma nica en el directorio.
Cada entrada: DN (Distinguised Name) compuesta por un RDN
(Relative DN, seguido de los DN de sus ancestros).
Modelo Funcional:
Establece operaciones de acceso al directorio: Autenticacin,
solicitudes y actualizaciones.
Modelo de seguridad:
Establece mecanismos de autenticacin y autorizacin a clientes.
Funciones del Dominio
13
Los dominios proporcionan mecanismos para:

Almacenar informacin acerca de usuarios, equipos y
otros dispositivos y servicios de red de forma
centralizada.
Autenticar usuarios y equipos.
Permitir o denegar el acceso de los usuarios a

servicios y recursos.
Facilitar la bsqueda de recursos en la red.
Creacin de Dominios
(Active Directory)
14
Tareas previas:
Servidor con SID nico en el dominio (SYSPREP !).
Decidir el nombre de dominio y nombre DNS (midominio.priv).
Para ser compatible con NetBios no usar ms de 15 caracteres.
Fijar nivel funcional del dominio (2003/2008/2012/2016)
Fijar direcciones IP de los controladores de dominio (DC).
Fijar si el servicio DNS lo realizaran el DC o no. (SI)
Tener al menos una particin NTFS en el controlador de dominio.
Tener actualizado el servidor.
Post-Instalacin: Clientes
Configurar la DNS del cliente para que resuelva el nombre del dominio
(midominio.priv)
Es necesario incluir la DNS del DC (o DNS del dominio) como primera DNS
del equipo cliente (bien mediante asignacin por DHCP o manualmente).
Instalacin de AD en W2012-R2
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
31
32
33
Aadimos un usuario (i)
34
Aadimos un usuario (ii)
35
Aadimos un usuario (iii)
36
Aadimos un usuario (iv)
37
Esquema del servicio de directorio
(Active Directory)
38
El funcionamiento del directorio activo est basado

en la existencia de dos estructuras independientes
que se dan soporte mutuamente:
ESTRUCTURA LGICA
ESTRUCTURA FSICA
(Active Directory)
39
ESTRUCTURA LGICA:
Permite organizar los recursos del directorio.
Se constituye como una estructura arbolada jerrquica
que agrupa, de menor a mayor, los siguientes
componentes:
Objetos.
Objetos contenedores.
Unidades Organizativas.
Dominios.
rboles.
Bosques.
(Active Directory)
41
Unidades organizativas:
Contenedores del Directorio Activo en los que puede colocar
usuarios, grupos, equipos y otras unidades organizativas.
No pueden contener objetos de otros dominios.
Facilitan la delegacin de funciones en la administracin de
organizaciones. Evita as la creacin de subdominios para la
delegacin de funciones.
(Active Directory)
42
ESTRUCTURA FSICA: Define como configurar y

administrar el trfico de red que soporta la
estructura lgica del directorio.
Consta de:
Sitios.
Controladores de Dominio:
Catlogo Global
Maestro de operaciones
(Active Directory)
43
Sitio:
Es la combinacin de una o ms subredes conectadas en enlaces
de alta velocidad.
Un sitio crea un lmite de replicacin y el uso del servicio. Los DC
en un mismo sitio replican los cambios en segundos. Los sitios
permiten as optimizar el trfico de red para la replicacin del
directorio por toda la red.
El Directorio Activo permite mltiples dominios en un solo sitio,
al igual que mltiples Sitios en un solo dominio.
Asociados a los Sitios, se pueden crear subredes. (Subnets).
El subnetting asociado a sitios, nos permite optimizar la
bsqueda de controladores de dominio en infraestructuras de
mltiples dominios en un bosque.
(Active Directory)
44
Sitio:
Para gestionar los sitios se recurre a la herramienta Sitios y
Servicios de Active Directory
(Active Directory)
45
Controladores de Dominio (DC):

Servidores Windows que almacenan una copia del
directorio activo.
Administran los cambios en el directorio.
Gestionan el proceso de logon y bsquedas.
Cada Dominio puede tener uno o ms DC.
Utilizan replicacin multi-master: todos los DC del dominio
tienen la misma informacin.
Al iniciar sesin un equipo cliente:
enva una consulta de nombre DNS.
la respuesta contiene las IPs de todos los DCs.
el cliente se conecta a la primera IP que responda.
(Active Directory)
46
Catlogo Global (GC)

Controlador de dominio que almacena una copia
completa de la base de datos con todos los objetos del
Directorio Activo de un bosque.
Almacena una copia completa de todos los objetos
del directorio para su dominio host y una copia
parcial de todos los objetos de los dems dominios
del bosque.
Catlogo Global (GC)
47
Las particiones
parciales almacenadas
en el catlogo
contienen los
elementos que ms
habitualmente son
buscados.
De sta forma se
optimiza el trfico de
red.
Catlogo Global (GC)
48
En Sitios y servicios de Active Directory podemos ver que

servidores que actan como Catlogos Globales:
(Active Directory)
49
Maestro de operaciones
En una infraestructura de mltiples dominios en un
bosque, el maestro de operaciones realiza las
funciones de:
Maestro de esquema: controla cualquier cambio en el
esquema de directorio del bosque.
Maestro de nombres del dominio: controla la adicin o
eliminacin de dominios dentro del bosque.
(Active Directory)
50
Maestro de operaciones: desde Dominios y confianzas de AD podemos

ver y modificar el Maestro de Operaciones.
Instalacin de un
52
segundo controlador de dominio.
Creacin de dominios:
Problemtica del SID (i)
53
Al usar mquinas virtuales clonadas se estn utilizando mquinas

con idntico SID (Security Identifier Identificador de seguridad).
Para obtenerlo desde PowerShell:
(([wmi] ("Win32_userAccount.Domain='" + $env:COMPUTERNAME + "',Name='Administrador'")).SID).SubString(0,40)
Consultar:
https://blogs.msdn.microsoft.com/gaurav/2014/06/03/security-identifiersid-
getsid-of-a-userobject-using-registry-wmic-powershell/
Mquinas con idnticos SID bajo un mismo dominio suelen generar
problemas. Especialmente en:
Controladores de Dominio.
Sistemas de ficheros.
Solucin: SYSPREP.
Problemtica del SID (ii)
54
Ejecutar la herramienta sysprep desde su ubicacin en la carpeta de sistema:
https://technet.microsoft.com/en-
us/library/hh825209.aspx
O desde la lnea de comandos (pudiendo incluir la opcin /mode:vm): la opcin

/mode:vm slo
se aplica a
MVs no sirve
en equipos
http://www.sysadmit.com/2014/11/windows-sysprep-sid.html fsicos.
Problemtica del SID (iii)
55
Problemtica del SID (iv)
56
Antes:
Tras el SYSPREP
Problemtica del SID (v)
57
Otras formas de obtener el SID:

a) PsGetSid (de PsTools):
http://technet.microsoft.com/en-us/sysinternals/bb897417.aspx
b) Usando whoami /user (y truncar en el ltimo guin -)
Visin General (i)
58
Un bosque de un Un bosque de un
dominio (y 1 DC) dominio (y 2 DC)
Un bosque con un Un bosque con

dominio, 2 dominios
y un subdominio. (y 1 DC por
(1 DC por cada uno) cada uno)
Visin General (ii)
59
Domain Controller DC
Primer Dominio
root domain
(un dominio en un bosque nuevo)
Backup Domain Controller

BDC
2 DC en Primer Dominio
(controlador de dominio de respaldo)
Visin General (iii)
60
Dominio secundario
subdominio / child domain
(dominio que cuelga de otro en un
mismo bosque, y mismo rbol)
Secondary Domain
Controller SDC
Domain Controller DC
Dominio de rbol
root domain
(dominio en el mismo bosque
pero nuevo rbol)
Visin General (i)
61
Un bosque de un Un bosque de un
dominio (y 1 DC) dominio (y 2 DC)
Un bosque con un Un bosque con

dominio, 2 dominios
y un subdominio. (y 1 DC por
(1 DC por cada uno) cada uno)
Instalacin de un 2 DC en el dominio
62
63
64
65
66
67
68
# Script de Windows PowerShell para implementacin de AD DS
Import-Module ADDSDeployment
Install-ADDSDomainController `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$false `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "smr2xx.priv" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
69
70
En las herramientas de administracin del

controlador de dominio podemos ver que ahora
hay dos DCs:
71
En cada controlador de dominio, tenemos una conexin a los

servicios del Directorio Activo.
Automtica y peridicamente, los distintos DC replican su informacin.
Podemos forzar una sincronizacin desde los Sitios y servicios de active
Directory
Relaciones de confianza
72
Para que dos dominios puedan establecer una

relacin de confianza, es necesario que funcione la
resolucin de nombres de ambos dominios en
ambos dominios.
Pulsamos NUEVA CONFIANZA

para iniciar el asistente:
73
Indicamos el dominio en el que vamos a confiar
ATENCION: Si el DNS no est configurado

para resolver tambin en el servidor DNS del
nuevo dominio a confiar, ste paso fallar!.
Indicamos que queremos confiar dentro

del mismo bosque:
74
75
76
77
78
Creacin de un nuevo dominio
en el bosque
79
Al agregar un nuevo rbol de dominio al

bosque se crea automticamente una
relacin de confianza transitiva.
Se crea
automticamente
Desmontando relacin de confianza
80
Retirando la confianza de salida

Desmontando relacin de confianza
81
Retirando la confianza de entrada

Recomendaciones al instalar
Active Directory
82
El dominio debe tener por lo menos 2 controladores de dominio para tener una
tolerancia a fallo por si uno de ellos se averiara o fallase.
Se debe de tener la suficiente cantidad de DC para poder gestionar todas las
peticiones.
Los DC slo deben de destinarse a almacenar los roles de AD DS y DNS y nada ms.
Lo ms simple es tener un diseo de un solo Bosque con un solo dominio, en el
caso de tener ms dominios dentro de un mismo bosque hay que tener en cuenta
que la carga administrativa va a ser considerable ya que los grupos y las Polticas de
Grupos son diferentes entre dominios.
Si nuestra organizacin tiene varios sitios con una sede central, deberemos de
instalar un DC en cada uno de los sitios o delegaciones, de esta manera
conseguiremos agilizar el inicio de sesin y el acceso a recursos de red. Para ms
seguridad se recomienda usar RODC (Read Only Domain Controler (Controlador de
Dominio de Solo Lectura)).
http://elinformatiku.es/controladores-de-dominio-de-solo-lectura-read-only-
domain-controllers-o-rodc-sobre-windows-server-2012/
Herramientas grficas de administracin del
servicio de directorio (Active Directory)
83
En un DC:
Usuarios y Equipos de Active Directory.
Sitios y Servicios de Active Directory.
Dominios y confianzas de Active Directory.
En un equipo no DC:
Microsoft Remote Server Administration Tools (RSAT).
Objetos que administra un dominio:
usuarios globales, grupos y equipos entre otros.
84
Mediante la herramienta Usuarios y equipos de Active

Directory podemos gestionar la creacin de usuarios.
Normalmente agruparemos los usuarios en grupos

para facilitar su gestin (permisos).
Mediante polticas de grupo (GPO)
automatizaremos los parmetros de uso
habituales y comunes.
Creacin de un usuario del dominio
85
Creacin de un usuario del dominio
86
Resultado
Gestin de usuarios
87
Lo ms cmodo para la gestin de usuarios es

utilizar Unidades Organizativas y Grupos.
En una unidad organizativa, insertamos dentro los
usuarios, y asignamos a alguno la gestin de la
unidad organizativa.
88
GRUPOS:
Un grupo es una recopilacin de cuentas de usuario y de
equipo, contactos y otros grupos que se pueden
administrar como una unidad individual.
Los usuarios y los equipos que pertenecen a un grupo
determinado se designan miembros del grupo.
89
GRUPOS:
Existen grupos locales (asignados en cada equipo) y grupos de directorio
(almacenados en el Active Directory)
En ambos tipos existen grupos predeterminados, con o sin usuarios
asociados por defecto:
http://technet.microsoft.com/es-es/library/cc756898%28WS.10%29.aspx
90
Tipos de Grupos de usuarios:

Grupos de seguridad:
Permite establecer qu puede hacer cada usuario del
grupo en los distintos recursos del directorio.
Grupos de distribucin:
Slo se pueden utilizar con aplicaciones de correo
electrnico (Exchange). No tienen habilitada la
seguridad
91
mbitos de Grupos:
mbito Miembros Permisos en
Dominio local Cuentas de cualquier dominio Los permisos de miembro slo se pueden
Grupos globales de cualquier dominio asignar en el mismo dominio que el grupo
Grupos universales de cualquier dominio local de dominio principal
Grupos locales de dominio pero slo del mismo dominio que el
grupo local de dominio principal
Global Las cuentas del mismo dominio que el grupo global principal Los permisos de miembro se pueden asignar
Los grupos globales del mismo dominio que el grupo global en cualquier dominio
principal
Universal Las cuentas de cualquier dominio del bosque en el que se Cualquier dominio o bosque
encuentra este grupo universal.
Los grupos globales de cualquier dominio del bosque en el que se
encuentra este grupo universal.
Los grupos universales de cualquier dominio del bosque en el que
se encuentra este grupo universal.
92
Consideraciones con la creacin de usuarios:

La pestaa perfil suele ser insuficiente para la
configuracin del usuario:
Slo permite una unidad de red.
No configura impresoras.
No modifica opciones del entorno.
Por otro lado, en los equipos, suelen ser necesarias
operaciones de mantenimiento colectivo:
Configuracin de Windows Update.
Instalacin de aplicaciones.
Copiado remoto de ficheros.

93 Polticas de Grupo.
94
Administracin de Directivas de Grupo:

Las Polticas de Grupo, son una caracterstica aparecida
en Windows NT que permiten controlar el entorno de
trabajo de usuarios y equipos.
Ofrecen una gestin centralizada de la configuracin de
los sistemas operativos, aplicaciones y opciones de
usuario dentro de un Active Directory
Se las conoce ms por GPO (Group Policy Object),
Directivas de Grupo.
En equipos clientes fuera de dominio, tambin existen
en versin reducida: LGPO (Local GPO),
Creacin de polticas de grupo (GPO)
95
En equipos Locales, para acceder a las LGPO, abrimos Editar

directiva de grupo (gpedit.msc)
96
Donde tienen ms sentido es en el Dominio. Desde un DC,

abrimos el Administrador de directivas de grupo
97
Default Domain Policy es

la poltica que se aplica por
defecto a todas las entidades
del dominio (usuarios y
equipos)
Podemos ver su contenido
(resumido) en la pestaa
configuracin.
Podemos ver, por ejemplo,
que estn establecidas unas
directrices de contraseas.
98
Desplegamos la ruta de la configuracin de contraseas:
Nos desplegar un Editor de administracin de directivas de grupo

(similar al Editor de directivas de grupo locales):
99
Buscamos la ruta de la poltica:

100
Para modificar una poltica, pulsamos Editar sobre la

configuracin:
101
Las polticas de grupo se aplican sobre Unidades

Organizativas o Sitios, y son (por defecto)
acumulativas:
En la imagen, los Domain Controllers tienen asociadas dos polticas (Default

Domain Controllers Policy y Default Domain policy)
102
Para crear una GPO asociada a una unidad organizativa, nos

colocaremos sobre la OU, y pulsaremos:
103
Todas las polticas se

almacenan en Objetos
de directiva de grupo
GPO. Despus
simplemente se
vinculan a una o varias
OU:
104
Para vincular en una OU, una GPO existente:

105
Existen dos tipos de configuraciones:
Configuracin del Equipo:

Se aplican sobre los equipos con permisos
administrativos.
Configuracin del Usuario:
Se aplican sobre el perfil de usuario, con los permisos
que tenga el usuario actual.
Creacin de polticas de grupo
106
IMPORTANTSIMO!!
Sise intenta algo en poltica que no tenga permisos,
no se ejecutar.
Las polticas de usuario slo tienen sentido sobre los
usuarios.
Las polticas de equipo slo tienen sentido sobre los
equipos.
ES CONVENIENTE ORGANIZAR LAS OU separando
equipos y usuarios.
Actualizar las polticas
107
Las polticas no se activan en cliente si no se

reinicia el equipo.
Para no reiniciarlo hay que forzar la actualizacin
de la poltica a travs de lnea de comandos
escribiendo: gpupdate /force
gpupdate /force
Comprobar las polticas aplicadas
108
Para comprobar si se ha aplicado una poltica de grupo en

concreto se recurre al comando: gpresult /r
109
Ejemplos bsicos:
1) Scripts de inicio y cierre de sesin.
2) Asignacin unidades de red (mapeo de carpetas).
3) Creacin y asignacin de permisos a carpetas.
4) Copiado de ficheros.
5) Configuracin de usuarios locales.
6) Bloqueo de caracterstica: (Pantalla)
7) Modificacin de tareas programadas.
1) Scripts de inicio y cierre de sesin.
110
2) Asignacin de unidades de red
111
3) Creacin y asignacin de permisos a carpetas
3.a. Creacin de carpetas
112
3) Creacin y asignacin de permisos a carpetas
3.b. asignacin de permisos
113
4) Copiado de ficheros
114
5) Configuracin de usuarios locales
La contrasea
es fcilmente
esnifable!
115
6) Bloqueo de caracterstica (Pantalla): forzar un fondo de escritorio sin permitir cambios.
116
117
118

ASO Tema1 - Administración de Servicio de Directorio

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ASO Tema1 - Administración de Servicio de Directorio

Uploaded by

Copyright:

Available Formats

administracin de

Servicio de directorio. Definicin, elementos y nomenclatura.

Un servicio de directorio es un servicio de red

Los servicios de directorio utilizan repositorios

Open Directory Apple.

Base de datos del directorio:

El primer dominio creado

LDAP (Lightweight Directory Access Protocol):

LDAP ofrece 4 modelos de servicios a sus clientes:

Los dominios proporcionan mecanismos para:

Permitir o denegar el acceso de los usuarios a

El funcionamiento del directorio activo est basado

ESTRUCTURA FSICA: Define como configurar y

Controladores de Dominio (DC):

Catlogo Global (GC)

En Sitios y servicios de Active Directory podemos ver que

Maestro de operaciones: desde Dominios y confianzas de AD podemos

Al usar mquinas virtuales clonadas se estn utilizando mquinas

Ejecutar la herramienta sysprep desde su ubicacin en la carpeta de sistema:

O desde la lnea de comandos (pudiendo incluir la opcin /mode:vm): la opcin

Otras formas de obtener el SID:

Un bosque con un Un bosque con

Backup Domain Controller

Un bosque con un Un bosque con

# Script de Windows PowerShell para implementacin de AD DS

En las herramientas de administracin del

En cada controlador de dominio, tenemos una conexin a los

Para que dos dominios puedan establecer una

Pulsamos NUEVA CONFIANZA

Indicamos el dominio en el que vamos a confiar

ATENCION: Si el DNS no est configurado

Indicamos que queremos confiar dentro

Al agregar un nuevo rbol de dominio al

Retirando la confianza de salida

Retirando la confianza de entrada

Mediante la herramienta Usuarios y equipos de Active

Normalmente agruparemos los usuarios en grupos

Lo ms cmodo para la gestin de usuarios es

Tipos de Grupos de usuarios:

Consideraciones con la creacin de usuarios:

Administracin de Directivas de Grupo:

En equipos Locales, para acceder a las LGPO, abrimos Editar

Donde tienen ms sentido es en el Dominio. Desde un DC,

Default Domain Policy es

Desplegamos la ruta de la configuracin de contraseas:

Nos desplegar un Editor de administracin de directivas de grupo

Buscamos la ruta de la poltica:

Para modificar una poltica, pulsamos Editar sobre la

Las polticas de grupo se aplican sobre Unidades

En la imagen, los Domain Controllers tienen asociadas dos polticas (Default

Para crear una GPO asociada a una unidad organizativa, nos

Todas las polticas se

Para vincular en una OU, una GPO existente:

Existen dos tipos de configuraciones:

Configuracin del Equipo:

Las polticas no se activan en cliente si no se

Para comprobar si se ha aplicado una poltica de grupo en

You might also like