Professional Documents
Culture Documents
servicio de directorio
ASO
Admn. del servicio de directorio
2
OpenLDAP - Linux
()
Servicio de directorio. Definicin,
elementos y nomenclatura. LDAP (iii)
5
Dominio:
Unidad administrativa con unas caractersticas
determinadas:
Cualquier usuario puede autenticarse a cualquier DC.
Mismas polticas de seguridad.
Los cambios en objetos se replican en todos los DC.
Servicio de directorio. Definicin,
elementos y nomenclatura. LDAP (v)
7
Espacio de nombres:
Conjunto de nombres donde todos los nombres son nicos.
Todos los objetos de un dominio pertenecen al mismo
espacio de nombres.
El Directorio Activo (Microsoft) recurre al servicio DNS para definir su
espacio de nombres (entre otras cosas).
Servicio de directorio. Definicin,
elementos y nomenclatura. LDAP (vi)
8
rbol:
Un rbol es un conjunto de uno o ms dominios que
comparten un espacio de nombres contiguo.
Los distintos dominios de un mismo rbol deben estar
dispuestos jerrquicamente.
Bosque:
Coleccin de rboles que no comparten espacio de
nombres.
Se conectan mediante relaciones de confianza
bidireccionales y transitivas.
Un dominio nico constituye el rbol nico de un bosque.
Todo bosque tiene un nico dominio raz.
Servicio de directorio. Definicin,
elementos y nomenclatura. LDAP (viii)
10
Nivel Funcional:
El nivel funcional de un dominio (o bosque), viene dado
por el menor de los niveles funcionales de los
controladores de dominio presentes.
(Windows 2000, 2003, 2008(R2), 2012(R2), o Windows 2016)
Servicio de directorio. Definicin,
elementos y nomenclatura. LDAP (ix)
11
Tareas previas:
Servidor con SID nico en el dominio (SYSPREP !).
Decidir el nombre de dominio y nombre DNS (midominio.priv).
Para ser compatible con NetBios no usar ms de 15 caracteres.
Fijar nivel funcional del dominio (2003/2008/2012/2016)
Fijar direcciones IP de los controladores de dominio (DC).
Fijar si el servicio DNS lo realizaran el DC o no. (SI)
Tener al menos una particin NTFS en el controlador de dominio.
Tener actualizado el servidor.
Post-Instalacin: Clientes
Configurar la DNS del cliente para que resuelva el nombre del dominio
(midominio.priv)
Es necesario incluir la DNS del DC (o DNS del dominio) como primera DNS
del equipo cliente (bien mediante asignacin por DHCP o manualmente).
Instalacin de AD en W2012-R2
15
Instalacin de AD en W2012-R2
16
Instalacin de AD en W2012-R2
17
Instalacin de AD en W2012-R2
18
Instalacin de AD en W2012-R2
19
Instalacin de AD en W2012-R2
20
Instalacin de AD en W2012-R2
21
Instalacin de AD en W2012-R2
22
Instalacin de AD en W2012-R2
23
Instalacin de AD en W2012-R2
24
Instalacin de AD en W2012-R2
25
Instalacin de AD en W2012-R2
26
Instalacin de AD en W2012-R2
27
Instalacin de AD en W2012-R2
28
Instalacin de AD en W2012-R2
29
Instalacin de AD en W2012-R2
Instalacin de AD en W2012-R2
31
Instalacin de AD en W2012-R2
32
Instalacin de AD en W2012-R2
33
Instalacin de AD en W2012-R2
Aadimos un usuario (i)
34
Instalacin de AD en W2012-R2
Aadimos un usuario (ii)
35
Instalacin de AD en W2012-R2
Aadimos un usuario (iii)
36
Instalacin de AD en W2012-R2
Aadimos un usuario (iv)
37
Esquema del servicio de directorio
(Active Directory)
38
ESTRUCTURA LGICA:
Permite organizar los recursos del directorio.
Se constituye como una estructura arbolada jerrquica
que agrupa, de menor a mayor, los siguientes
componentes:
Objetos.
Objetos contenedores.
Unidades Organizativas.
Dominios.
rboles.
Bosques.
Esquema del servicio de directorio
(Active Directory)
41
Unidades organizativas:
Contenedores del Directorio Activo en los que puede colocar
usuarios, grupos, equipos y otras unidades organizativas.
No pueden contener objetos de otros dominios.
Facilitan la delegacin de funciones en la administracin de
organizaciones. Evita as la creacin de subdominios para la
delegacin de funciones.
Esquema del servicio de directorio
(Active Directory)
42
Controladores de Dominio:
Catlogo Global
Maestro de operaciones
Esquema del servicio de directorio
(Active Directory)
43
Sitio:
Es la combinacin de una o ms subredes conectadas en enlaces
de alta velocidad.
Un sitio crea un lmite de replicacin y el uso del servicio. Los DC
en un mismo sitio replican los cambios en segundos. Los sitios
permiten as optimizar el trfico de red para la replicacin del
directorio por toda la red.
El Directorio Activo permite mltiples dominios en un solo sitio,
al igual que mltiples Sitios en un solo dominio.
Asociados a los Sitios, se pueden crear subredes. (Subnets).
El subnetting asociado a sitios, nos permite optimizar la
bsqueda de controladores de dominio en infraestructuras de
mltiples dominios en un bosque.
Esquema del servicio de directorio
(Active Directory)
44
Sitio:
Para gestionar los sitios se recurre a la herramienta Sitios y
Servicios de Active Directory
Esquema del servicio de directorio
(Active Directory)
45
Las particiones
parciales almacenadas
en el catlogo
contienen los
elementos que ms
habitualmente son
buscados.
De sta forma se
optimiza el trfico de
red.
Catlogo Global (GC)
48
Maestro de operaciones
En una infraestructura de mltiples dominios en un
bosque, el maestro de operaciones realiza las
funciones de:
Maestro de esquema: controla cualquier cambio en el
esquema de directorio del bosque.
Maestro de nombres del dominio: controla la adicin o
eliminacin de dominios dentro del bosque.
Esquema del servicio de directorio
(Active Directory)
50
Consultar:
https://blogs.msdn.microsoft.com/gaurav/2014/06/03/security-identifiersid-
getsid-of-a-userobject-using-registry-wmic-powershell/
Mquinas con idnticos SID bajo un mismo dominio suelen generar
problemas. Especialmente en:
Controladores de Dominio.
Sistemas de ficheros.
Solucin: SYSPREP.
Creacin de dominios:
Problemtica del SID (ii)
54
https://technet.microsoft.com/en-
us/library/hh825209.aspx
Antes:
Tras el SYSPREP
Creacin de dominios:
Problemtica del SID (v)
57
Un bosque de un Un bosque de un
dominio (y 1 DC) dominio (y 2 DC)
Primer Dominio
root domain
(un dominio en un bosque nuevo)
2 DC en Primer Dominio
(controlador de dominio de respaldo)
Creacin de dominios:
Visin General (iii)
60
Dominio secundario
subdominio / child domain
(dominio que cuelga de otro en un
mismo bosque, y mismo rbol)
Secondary Domain
Controller SDC
Domain Controller DC
Dominio de rbol
root domain
(dominio en el mismo bosque
pero nuevo rbol)
Creacin de dominios:
Visin General (i)
61
Un bosque de un Un bosque de un
dominio (y 1 DC) dominio (y 2 DC)
Import-Module ADDSDeployment
Install-ADDSDomainController `
-NoGlobalCatalog:$false `
-CreateDnsDelegation:$false `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DomainName "smr2xx.priv" `
-InstallDns:$true `
-LogPath "C:\Windows\NTDS" `
-NoRebootOnCompletion:$false `
-SiteName "Default-First-Site-Name" `
-SysvolPath "C:\Windows\SYSVOL" `
-Force:$true
Creacin de dominios:
Instalacin de un 2 DC en el dominio
69
Creacin de dominios:
Instalacin de un 2 DC en el dominio
70
El dominio debe tener por lo menos 2 controladores de dominio para tener una
tolerancia a fallo por si uno de ellos se averiara o fallase.
Se debe de tener la suficiente cantidad de DC para poder gestionar todas las
peticiones.
Los DC slo deben de destinarse a almacenar los roles de AD DS y DNS y nada ms.
Lo ms simple es tener un diseo de un solo Bosque con un solo dominio, en el
caso de tener ms dominios dentro de un mismo bosque hay que tener en cuenta
que la carga administrativa va a ser considerable ya que los grupos y las Polticas de
Grupos son diferentes entre dominios.
Si nuestra organizacin tiene varios sitios con una sede central, deberemos de
instalar un DC en cada uno de los sitios o delegaciones, de esta manera
conseguiremos agilizar el inicio de sesin y el acceso a recursos de red. Para ms
seguridad se recomienda usar RODC (Read Only Domain Controler (Controlador de
Dominio de Solo Lectura)).
http://elinformatiku.es/controladores-de-dominio-de-solo-lectura-read-only-
domain-controllers-o-rodc-sobre-windows-server-2012/
Herramientas grficas de administracin del
servicio de directorio (Active Directory)
83
En un DC:
Usuarios y Equipos de Active Directory.
Sitios y Servicios de Active Directory.
Dominios y confianzas de Active Directory.
En un equipo no DC:
Microsoft Remote Server Administration Tools (RSAT).
Objetos que administra un dominio:
usuarios globales, grupos y equipos entre otros.
84
Resultado
Gestin de usuarios
87
GRUPOS:
Un grupo es una recopilacin de cuentas de usuario y de
equipo, contactos y otros grupos que se pueden
administrar como una unidad individual.
Los usuarios y los equipos que pertenecen a un grupo
determinado se designan miembros del grupo.
Objetos que administra un dominio:
usuarios globales, grupos y equipos entre otros.
89
GRUPOS:
Existen grupos locales (asignados en cada equipo) y grupos de directorio
(almacenados en el Active Directory)
En ambos tipos existen grupos predeterminados, con o sin usuarios
asociados por defecto:
http://technet.microsoft.com/es-es/library/cc756898%28WS.10%29.aspx
Objetos que administra un dominio:
usuarios globales, grupos y equipos entre otros.
90
mbitos de Grupos:
mbito Miembros Permisos en
Dominio local Cuentas de cualquier dominio Los permisos de miembro slo se pueden
Grupos globales de cualquier dominio asignar en el mismo dominio que el grupo
Grupos universales de cualquier dominio local de dominio principal
Grupos locales de dominio pero slo del mismo dominio que el
grupo local de dominio principal
Global Las cuentas del mismo dominio que el grupo global principal Los permisos de miembro se pueden asignar
Los grupos globales del mismo dominio que el grupo global en cualquier dominio
principal
Universal Las cuentas de cualquier dominio del bosque en el que se Cualquier dominio o bosque
encuentra este grupo universal.
Los grupos globales de cualquier dominio del bosque en el que se
encuentra este grupo universal.
Los grupos universales de cualquier dominio del bosque en el que
se encuentra este grupo universal.
Objetos que administra un dominio:
usuarios globales, grupos y equipos entre otros.
92
IMPORTANTSIMO!!
Sise intenta algo en poltica que no tenga permisos,
no se ejecutar.
Las polticas de usuario slo tienen sentido sobre los
usuarios.
Las polticas de equipo slo tienen sentido sobre los
equipos.
ES CONVENIENTE ORGANIZAR LAS OU separando
equipos y usuarios.
Actualizar las polticas
107
gpupdate /force
Comprobar las polticas aplicadas
108
Ejemplos bsicos:
1) Scripts de inicio y cierre de sesin.
2) Asignacin unidades de red (mapeo de carpetas).
3) Creacin y asignacin de permisos a carpetas.
4) Copiado de ficheros.
5) Configuracin de usuarios locales.
6) Bloqueo de caracterstica: (Pantalla)
7) Modificacin de tareas programadas.
Creacin de polticas de grupo
1) Scripts de inicio y cierre de sesin.
110
Creacin de polticas de grupo
2) Asignacin de unidades de red
111
Creacin de polticas de grupo
3) Creacin y asignacin de permisos a carpetas
3.a. Creacin de carpetas
112
Creacin de polticas de grupo
3) Creacin y asignacin de permisos a carpetas
3.b. asignacin de permisos
113
Creacin de polticas de grupo
4) Copiado de ficheros
114
Creacin de polticas de grupo
5) Configuracin de usuarios locales
La contrasea
es fcilmente
esnifable!
115
Creacin de polticas de grupo
6) Bloqueo de caracterstica (Pantalla): forzar un fondo de escritorio sin permitir cambios.
116
Creacin de polticas de grupo
7) Modificacin de tareas programadas.
117
Creacin de polticas de grupo
7) Modificacin de tareas programadas.
118