Académique Documents
Professionnel Documents
Culture Documents
/2010
Active Directory
Active Directory es el servicio de directorio de la familia Windows Server 2003. Ampla la funcionalidad bsica de un servicio de directorio y proporciona las siguientes ventajas:
1. Integracin DNS
Active Directory utiliza las convenciones de nomenclatura DNS para crear una estructura jerrquica que proporciona una vista de conexiones de red sencilla, ordenada y escalable. Tambin se utiliza para asignar nombres de host, como microsoft.com, o direcciones TCP/IP numricas, como 192.168.19.2.
2. Escalabilidad
Active Directory est organizado en secciones que permiten el almacenamiento de un mayor nmero de objetos. Por tanto, Active Directory se ampla a medida que la empresa crece. Una empresa que tiene un solo servidor con cientos de objetos puede crecer hasta tener miles de servidores y millones de objetos. Administracin centralizada
Active Directory permite a los administradores gestionar escritorios distribuidos, servicios de red y aplicaciones, desde una ubicacin central y mediante una interfaz de administracin coherente. Adems, ofrece control centralizado de acceso a los recursos de la red, lo que permite a los usuarios iniciar la sesin slo una vez para obtener acceso completo a los recursos a travs de Active Directory. Administracin delegada
La estructura jerrquica de Active Directory permite delegar el control administrativo en segmentos especficos de la jerarqua. Un usuario autorizado por una autoridad administrativa superior puede realizar tareas de administracin en una parte de la estructura designada a l. Por ejemplo, los usuarios pueden tener control administrativo limitado sobre la configuracin de su estacin de trabajo y el administrador del departamento tendr derechos de administracin para crear usuarios nuevos en una unidad organizativa.
Active Directory
Componentes lgicos
Los componentes lgicos de la estructura de Active Directory son los siguientes: Dominio. La unidad principal de la estructura lgica de Active Directory es el dominio. Un dominio es una coleccin de equipos definidos por un administrador que comparten una base de datos de directorios comn. Tiene un nombre nico y proporciona acceso a las cuentas de usuario centralizadas y cuentas de grupo que mantiene el administrador del dominio. Unidad organizativa (OU). Es un tipo de objeto contenedor que se utiliza para organizar objetos dentro de un dominio. Puede contener objetos, como cuentas de usuario, grupos, equipos, impresoras y otras unidades organizativas. Bosque. Es uno o ms dominios que comparten una configuracin, esquema o catlogo global comn. rbol. Est compuesto por dominios de un bosque que comparten un espacio de nombres DNS contiguo.
Active Directory
Esta estructura slo es adecuada para empresas pequeas puesto que los departamentos funcionales de las pequeas y medianas empresas suelen estar bastante diversificados, y no pueden agruparse de forma efectiva en categoras ms amplias.
Active Directory
Jerarqua hbrida
Se llama jerarqua hbrida a aquella que est basada en la ubicacin y, adems, por empresa o cualquier otro tipo de estructura combinada. Esta jerarqua combina las ventajas de diferentes zonas para cubrir las necesidades de la empresa. Adems, cuenta con las siguientes caractersticas: Se adapta al crecimiento geogrfico de departamentos o divisiones. Crea distintos lmites de administracin segn el departamento o divisin. Necesita de la cooperacin entre administradores para garantizar la realizacin de las tareas administrativas si se encuentran en la misma ubicacin pero en departamentos o divisiones diferentes.
Usuarios
Una cuenta de usuario es un objeto que contiene toda la informacin que define a un usuario de Windows Server 2003 y puede ser local o de dominio. Incluye el nombre de usuario y la contrasea con los que el usuario inicia la sesin y los grupos de los que la cuenta es miembro. Se puede utilizar una cuenta de usuario para: Permitir que alguien inicie la sesin en un equipo basndose en la identidad de la cuenta de usuario. Permitir que los procesos y servicios se ejecuten dentro de un contexto de seguridad especfico. Administrar el acceso de un usuario a los recursos, por ejemplo, los objetos de Active Directory y sus propiedades, carpetas, archivos, directorios y colas de impresin compartidos.
Active Directory
Existen 5 tipos de nombres asociados a las cuentas de usuario de dominio. En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesin de usuario, un nombre de inicio de sesin de usuario de versiones anteriores a Windows 2000 (nombre de la cuenta del Administrador de cuentas de seguridad (SAM, Security Accounts Manager), un nombre principal de inicio de sesin de usuario, un nombre completo segn el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) y un nombre relativo asociado al ldap. Al crear una cuenta de usuario, el administrador escribe un nombre de inicio de sesin de usuario. El nombre de inicio de sesin debe ser nico en el bosque en el que se crea la cuenta de usuario. Suele utilizarse como nombre completo relativo. Los usuarios utilizan este nombre slo en el proceso de inicio de sesin. Obtienen acceso con el nombre de inicio de sesin de usuario, una contrasea y el nombre de dominio en diferentes campos de la pantalla de inicio de sesin. Los nombres de inicio de sesin de usuario pueden: Contener hasta 20 caracteres en maysculas y minsculas (el campo admite ms de 20 caracteres, pero Windows Server 2003 slo reconoce 20). Incluir una combinacin de caracteres alfanumricos y especiales, excepto los especificados a continuacin: " / \ [ ] : ; | = , + * ? < >.
Un nombre de inicio de sesin de usuario podra ser, por ejemplo, Jayadams o Jadams.
Active Directory
Para crear una cuenta de usuario de dominio: 1. Haga clic en Inicio, seleccione Herramientas administrativas y, despus, haga clic en Usuarios y equipos de Active Directory. 2. En el rbol de la consola, haga doble clic en el nodo de dominio. 3. En el panel de detalles, haga clic con el botn secundario del mouse (ratn) en la unidad organizativa en la que desea agregar el usuario, seleccione Nuevo y, a continuacin, haga clic en Usuario. 4. En el cuadro de dilogo Nuevo objeto: Usuario, en el cuadro Nombre, escriba el nombre del usuario. 5. En el cuadro Iniciales, escriba las iniciales del usuario. 6. En el cuadro Apellidos, escriba los apellidos del usuario. 7. En el cuadro Nombre de inicio de sesin de usuario, escriba el nombre con el que el usuario iniciar la sesin. 8. En la lista desplegable, haga clic en el sufijo UPN que debe agregar al nombre de inicio de sesin de usuario despus del smbolo @. 9. Haga clic en Siguiente. 10. En los cuadros Contrasea y Confirmar contrasea, escriba la contrasea del usuario. 11. Seleccione las opciones de contrasea adecuadas. 12. Haga clic en Siguiente y, a continuacin, en Finalizar. Nota No puede haber un nombre de usuario idntico a otro nombre de usuario o nombre de grupo en el equipo que se administra. Puede tener hasta 20 caracteres en maysculas o minsculas, excepto los especificados a continuacin: " / \ [ ] : ; | = , + * ? < >
Sintaxis
dsadd user DNUsuario [-samid nombreSAM] [-upn UPN] [-fn nombre] [-mi inicial] [-ln apellidos] [display nombreDescriptivo] [-empid idEmpleado] [-pwd {contrasea | *}] [-desc descripcin] [-memberof grupo ...] [-office oficina] [-tel nmeroDeTelfono] [-email correoElectrnico] [-hometel nmeroDeTelfonoParticular] [-pager nmeroDeLocalizador] [-mobile nmeroDeTelfonoMvil] [-fax nmeroDeFax] [-iptel nmeroDeTelfonoIP] [-webpg pginaWeb] [-title cargo] [-dept departamento] [company compaa] [-mgr director] [-hmdir directorioPrincipal] [-hmdrv letraDeUnidad:] [-profile rutaDeAccesoDePerfil] [-loscr rutaDeAccesoDeSecuenciaDeComandos] [-mustchpwd {yes | no}] [canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires nmeroDeDas] [-disabled {yes | no}] [{-s servidor | -d dominio}] [-u nombreDeUsuario] [-p {contrasea | *}] [-q] [{-uc | -uco | -uci}]
Active Directory
Parmetros DNUsuario Requerido. Especifica el nombre completo (DN) del usuario que desea agregar. Si se omite el nombre completo, se tomar de los datos de entrada estndar (stdin). -samid nombreSAM Especifica el nombre de cuenta SAM exclusivo que debe utilizarse para este usuario (por ejemplo, Laura). Si no se especifica, dsadd intentar crear el nombre de cuenta SAM con los 20 primeros caracteres del valor del nombre comn (CN) de DNUsuario. -upn UPN Especifica el nombre principal de usuario del usuario que desea agregar (por ejemplo, Laura@widgets.microsoft.com). -fn nombre -mi inicial Especifica el nombre del usuario que desea agregar. Especifica la inicial del segundo nombre del usuario que desea agregar.
-ln apellidos Especifica los apellidos del usuario que desea agregar. -display nombreDescriptivo -empid idEmpleado Especifica el nombre descriptivo del usuario que desea agregar.
-pwd {contrasea | *} Especifica que la contrasea del usuario se establezca en contrasea o *. Si se establece en *, se le solicitar una contrasea de usuario. -desc descripcin Especifica la descripcin del usuario que desea agregar. Especifica los nombres completos de los grupos de los que desea que el
Especifica la ubicacin de la oficina del usuario que desea agregar. Especifica el nmero de telfono del usuario que desea agregar.
-tel nmeroDeTelfono
-email Correo electrnico Especifica la direccin de correo electrnico del usuario que desea agregar. -hometel nmeroDeTelfonoParticular Especifica el nmero de telfono particular del usuario que desea agregar. -pager nmeroDeLocalizador Especifica el nmero de localizador del usuario que desea agregar. -mobile nmeroDeTelfonoMvil Especifica el nmero de telfono mvil del usuario que desea agregar. -fax nmeroDeFax Especifica el nmero de fax del usuario que desea agregar. -iptel nmeroDeTelfonoIP Especifica el nmero de telfono IP del usuario que desea agregar. -webpg pginaWeb Especifica la direccin URL de la pgina Web del usuario que desea agregar. -title cargo Especifica el cargo del usuario que desea agregar. -dept departamento Especifica el departamento del usuario que desea agregar. -company compaa Especifica la informacin de compaa del usuario que desea agregar. -mgr DNDirector Especifica el nombre completo del director del usuario que desea agregar. -hmdir directorioPrincipal Especifica la ubicacin del directorio principal del usuario que desea agregar. Si directorioPrincipal se proporciona como una ruta de acceso de Convencin de nomenclatura universal (UNC), debe utilizar el parmetro <NOBR><b>-hmdrv</b></NOBR> para especificar una letra de unidad que se asignar a la ruta de acceso.
Active Directory
-hmdrv letraDeUnidad Especifica la letra de unidad (por ejemplo, E:) del directorio principal del usuario que desea agregar. -profile rutaDeAccesoDePerfil Especifica la ruta de acceso del perfil del usuario que desea agregar. -loscr rutaDeAccesoDeSecuenciaDeComandos Especifica la ruta de acceso de la secuencia de comandos de inicio de sesin del usuario que desea agregar. -mustchpwd {yes | no} Indica si los usuarios deben cambiar su contrasea cuando vuelvan a iniciar una sesin (yes) o no (no). De forma predeterminada, el usuario no necesita cambiar la contrasea (no). -canchpwd {yes | no} Indica si los usuarios pueden cambiar su contrasea (yes) o no (no). De forma predeterminada, el usuario tiene permiso para cambiar la contrasea (yes). El valor de este parmetro deber ser yes si el valor del parmetro -mustchpwd es yes. -reversiblepwd {yes | no} Especifica si la contrasea de usuario debe almacenarse con cifrado reversible (yes) o no (no). De forma predeterminada, el usuario no puede utilizar cifrado reversible (no). -pwdneverexpires {yes | no} Indica si la contrasea del usuario nunca caduca (yes) o caduca (no). De forma predeterminada, la contrasea del usuario caduca (no). -acctexpires nmeroDeDas Especifica el nmero de das contados a partir del da actual al cabo de los cuales la cuenta caducar. El valor 0 establece la caducidad al final del da actual. Un valor positivo establece la caducidad en una fecha futura. Un valor negativo establece la caducidad en una fecha pasada. El valor never establece que la cuenta no caduque nunca. Por ejemplo, el valor 0 implica que la cuenta caduca al final del da actual. El valor -5 implica que la cuenta caduc hace 5 das y establece una fecha de caducidad pasada. El valor 5 define la caducidad de la cuenta en el plazo de 5 das en el futuro. -disabled {yes | no} Indica si la cuenta de usuario est deshabilitada para el inicio de sesin (yes) o no (no). Por ejemplo, el comando dsadd user CN=Nicolettep,CN=Users,DC=Widgets,DC=Microsoft,DC=Com pwd- Password1 -disabled no crea una cuenta de usuario Nicolettep con el estado habilitado. De forma predeterminada, la cuenta de usuario est deshabilitada para el inicio de sesin (yes). Por ejemplo, el comando dsadd user CN=Nathanp,CN=Users,DC=Widgets,DC=Microsoft,DC=Com crea una cuenta de usuario Nathanp con el estado deshabilitado. {-s servidor | -d dominio} Se conecta a un servidor remoto o dominio especificado. De manera predeterminada, el equipo est conectado al controlador de dominio en el dominio de inicio de sesin. -u nombreDeUsuario Indica el nombre de usuario con el cual el usuario iniciar una sesin en un servidor remoto. De forma predeterminada, -u utiliza el nombre de usuario con el que se ha iniciado la sesin. Puede especificar un nombre de usuario utilizando uno de los siguientes formatos: * nombre de usuario (por ejemplo, Laura) * dominio\nombre de usuario (por ejemplo, widgets\Laura) * nombre principal de usuario (UPN) (por ejemplo, Laura@widgets.microsoft.com)
-p {contrasea | *} Especifica si se debe utilizar una contrasea o un * para iniciar una sesin en un servidor remoto. Si escribe *, se le solicitar una contrasea. -q Suprime toda la informacin de salida a la salida estndar (modo silencioso).
Active Directory
{-uc | -uco | -uci} Especifica que los datos de salida o de entrada tendrn formato Unicode. En la siguiente tabla se enumera y describe cada formato. Valor Descripcin -uc Especifica formato Unicode para la entrada desde o salida hacia una canalizacin (|). -uco Especifica formato Unicode para la salida hacia una canalizacin (|) o un archivo. -uci Especifica formato Unicode para la entrada desde una canalizacin (|) o un archivo.
Ejemplo: Crear por lnea de comando un usuario el cual debe ser creado en la ou llamada prueba, asignarlo a un grupo llamado prueba que se encuentra en la misma ou. Adems el nombre de inicio de sesin para versiones anteriores y posteriores a Windows 2000 debe ser igual. La contrasea se debe cambiar al prximo inicio de sesin. Y el CN que es el nombre que se muestra al listar el usuario debe ser igual al del display. dsadd user cn="Jorge Amigo",ou=prueba,dc=prueba,dc=cl -samid jo.amigo -upn jo.amigo@prueba.cl display "Jorge Amigo" -fn Jorge -ln Amigo -pwd abc.123456789 -desc "Usuario del sistema" -mustchpwd yes -canchpwd yes -memberof "cn=prueba,ou=prueba,dc=prueba,dc=cl"
Para modificar una cuenta de usuario se utiliza el comando dsmod user, y se utilizan los mismos parmetros que dsadd user
Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden administrar como una sola unidad. Los grupos: Simplifican la administracin al facilitar la concesin de permisos para recursos a todo un grupo en lugar de a cada una de las cuentas de usuario individualmente. Pueden estar basados en Active Directory o ser locales, de un equipo individual. Se distinguen por su mbito y tipo. Pueden anidarse, es decir, se puede agregar un grupo a otro.
Active Directory
El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesin de permisos. El mbito de grupo determina: Los dominios desde los que puede agregar miembros al grupo Los dominios en los que puede utilizar el grupo para conceder permisos. Los dominios en los que puede anidar el grupo en otros grupos.
El mbito de un grupo determina cules son los miembros del grupo. Las reglas de pertenencia controlan los miembros que puede contener un grupo y los grupos de los que puede ser miembro. Los miembros de un grupo estn formados por cuentas de usuario, cuentas de equipo y otros grupos. Para asignar los miembros correctos a los grupos y para anidar un grupo, es importante conocer las caractersticas del mbito de grupo. Existen los siguientes mbitos de grupo: Global Local de dominio Universal Local
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y otras cuentas de grupo en unidades administrables. Trabajar con grupos en lugar de con usuarios individuales, ayuda a simplificar la administracin y el mantenimiento de la red. Existen los siguientes grupos en Active Directory: Grupos de seguridad Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a grupos de usuarios y equipos. Los derechos especifican las acciones que pueden realizar los miembros de un grupo de seguridad en un dominio o bosque, y los permisos especifican los recursos a los que puede obtener acceso un miembro de un grupo en la red. Tambin puede utilizar grupos de seguridad para enviar mensajes de correo electrnico a varios usuarios. Al enviar un mensaje de correo electrnico al grupo, el mensaje se enva a todos sus miembros. Por lo tanto, los grupos de seguridad tienen funciones de grupos de distribucin. Grupos de distribucin Puede utilizar los grupos de distribucin con aplicaciones de correo electrnico, como Microsoft Exchange, para enviar mensajes de correo electrnico a grupos de usuarios. La finalidad principal de este tipo de grupo es recopilar objetos relacionados, no conceder permisos. Los grupos de distribucin no tienen habilitada la seguridad, es decir, no pueden utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos compartidos, cree un grupo de seguridad. Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribucin, estos ltimos todava son necesarios, porque algunas aplicaciones slo pueden utilizar grupos de distribucin.
Los grupos de distribucin y de seguridad admiten uno de los tres mbitos de grupo.
Active Directory
Las caractersticas de los grupos de Active Directory dependen del nivel funcional de dominio. La funcionalidad de dominio activa funciones que afectan a todo un dominio. Hay tres niveles funcionales de dominio disponibles: Microsoft Windows 2000 mixto, Windows 2000 nativo y Microsoft Windows ServerTM 2003. Los dominios funcionan de forma predeterminada en el nivel funcional Windows 2000 mixto. Puede aumentar el nivel funcional de dominio a Windows 2000 nativo o Windows Server 2003. La tabla anterior enumera los niveles funcionales de dominio junto con los controladores de dominio y mbitos de grupo que admite cada uno de ellos
Un grupo global es un grupo de distribucin o de seguridad que puede contener usuarios, grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos de seguridad globales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque.
A continuacin, se resumen las caractersticas de los grupos globales: Miembros o o En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas de usuario y equipo del mismo dominio que el grupo global. En un nivel funcional nativo, los grupos globales pueden contener cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio que el grupo global.
Active Directory
Puede ser miembro de o o En el modo mixto, un grupo global slo puede ser miembro de grupos locales de dominio. En el modo nativo, un grupo global puede ser miembro de grupos locales de dominio y universales en cualquier dominio, y de grupos globales del mismo dominio que el grupo global.
mbito o Un grupo global es visible dentro de su dominio y de todos los dominios de confianza, en los que se incluyen todos los dominios del bosque.
Permisos o Puede conceder permisos a un grupo global para todos los dominios del bosque.
Un grupo universal es un grupo de distribucin o de seguridad que contiene usuarios, grupos y equipos de cualquier dominio del bosque. Puede utilizar grupos de seguridad universales para asignar derechos y permisos de usuario a los recursos de cualquier dominio del bosque. A continuacin, se resumen las caractersticas de los grupos universales: Miembros o o No puede crear grupos universales en el modo mixto. En el modo nativo, los grupos universales pueden contener cuentas de usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque.
Puede ser miembro de o o No se puede aplicar el grupo universal en el modo mixto. En el modo nativo, el grupo universal puede ser miembro de los grupos locales de dominio y universales de cualquier dominio.
Active Directory
mbito o Los grupos universales son visibles en todos los dominios del bosque y dominios de confianza.
Permisos o Puede conceder permisos a grupos universales para todos los dominios del bosque.
Cundo utilizar grupos universales Utilice grupos universales para anidar grupos globales y poder asignar permisos a recursos relacionados de varios dominios. Un dominio de Windows Server 2003 debe estar en el modo Windows 2000 nativo o superior para poder utilizar grupos universales.
Un grupo local de dominio es un grupo de distribucin o de seguridad que puede contener grupos universales, grupos globales, otros grupos locales de dominio de su propio dominio y cuentas de cualquier dominio del bosque. Puede utilizar grupos de seguridad locales de dominio para asignar derechos y permisos de usuario slo a recursos del mismo dominio en el que se encuentra ubicado el grupo local de dominio. A continuacin, se resumen las caractersticas de los grupos locales de dominio: Miembros o En el modo mixto, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo y grupos globales de cualquier dominio. Los servidores miembros no pueden utilizar grupos locales de dominio en el modo mixto. En el modo nativo, los grupos locales de dominio pueden contener cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque y grupos locales de dominio de su mismo dominio.
Puede ser miembro de o o En el modo mixto, un grupo local de dominio no puede ser miembro de ningn grupo. En el modo nativo, un grupo local de dominio puede ser miembro de grupos locales de dominio de su mismo dominio.
Active Directory
Permisos o Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el grupo local de dominio.
Cundo utilizar grupos locales de dominio Utilice un grupo local de dominio para asignar permisos a recursos ubicados en el mismo dominio que el grupo local de dominio. Puede colocar todos los grupos globales que necesiten compartir los mismos recursos en el grupo local de dominio adecuado.
Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados en un servidor miembro o en un servidor independiente. Puede crear grupos locales para conceder permisos para los recursos que residen en el equipo local. Windows 2000 o Windows Server 2003 crean grupos locales en una base de datos de seguridad local. Los grupos locales pueden contener usuarios, equipos, grupos globales, grupos universales y otros grupos locales de dominio. Debido a que los grupos con un mbito local de dominio reciben a menudo el nombre de grupos locales, es importante distinguir entre un grupo local y un grupo con mbito local de dominio. Los grupos locales a veces reciben el nombre de grupos locales de equipo para distinguirlos de los grupos locales de dominio. Caractersticas de los grupos locales A continuacin, se resumen las caractersticas de los grupos locales: Los grupos locales pueden contener cuentas de usuario locales del equipo en el que se crea el grupo local. Los grupos locales no pueden ser miembros de otro grupo.
Active Directory
Active Directory