Académique Documents
Professionnel Documents
Culture Documents
Active Directory
Active Directory almacena informacin sobre los recursos disponibles en la red y
hace ms sencillo a los usuarios localizar, gestionar y usar estos recursos. Active
Directory est compuesto de mltiples componentes.
Active Directory es el servicio de directorio en las redes Windows desde su
aparicin con Windows 2000 Server. Un servicio de directorio es un servicio de red
que, como hemos comentado, almacena informacin sobre los recursos de la red y
los hace accesibles a los usuarios y a las aplicaciones. Los servicios de directorio
facilitan una manera consistente de gestionar, localizar, acceder, nombrar y
securizar informacin sobre estos recursos.
Instalacin y configuracin
Leccin 1
Introduccin a Active Directory
Active Directory provee la funcionalidad de los servicios de directorio, lo que incluye
una gestin y administracin centralizada del control de acceso, de la gestin y de
la organizacin de los recursos de la red. Active Directory consigue que la topologa
de la red y los protocolos usados en la misma sean transparentes al usuario para
que pueda obtener acceso a cualquier recurso sin conocer donde est ubicado o
como est conectado a la red. Cuando se habla de recursos podemos referirnos a
ficheros, impresoras o discos externos.
Active Directory est organizado en secciones que permiten almacenar una gran
cantidad de objetos lo que le permite adaptarse a redes de cualquier tamao, ya
sean grandes de inicio o vayan creciendo progresivamente. Active Directory puede
gestionar desde redes pequeas con un servidor y unos pocos cientos de objetos
hasta redes muy grandes con cientos de servidores y millones de objetos.
Cualquier servidor Windows (a partir de Windows 2000) guarda en Active Directory
configuracin del sistema, perfiles de usuario e informacin de las aplicaciones.
Combinado con las Directivas de grupo Active Directory permite a los
administradores gestionar escritorios distribuidos, servicios de red y aplicaciones
desde una ubicacin central, todo ellos desde una nica interface de administracin
consistente.
Active tambin provee un control centralizado de acceso a los recursos de la red
permitiendo a los usuarios logarse en la red una nica vez para tener acceso
completo a todos los recursos disponibles en Active Directory, an cuando estos se
encuentren en otro servidor o dominio.
Instalacin y configuracin
El esquema de Active Directory contiene las definiciones de todos los objetos, como
mquinas, usuarios e impresoras que estn almacenados en Active Directory.
Los dos tipos de definiciones que existen en el esquema son clases de objetos y
atributos. Clases de objetos son los posibles objetos que pueden ser creados en
Active Directory. Cada clase de objeto es una coleccin de atributos, los cuales son
definidos de forma independiente de las clases de objetos. Cada atributo es definido
solo una vez aunque puede ser usado muchas veces en diferentes clases de
objetos. Un ejemplo de esto es el campo Nombre.
La base de datos de Active Directory almacena el esquema, lo que permite lo
siguiente:
Est dinmicamente disponible para las aplicaciones de usuario, lo que
significa que las aplicaciones pueden leer el esquema para descubrir que
objetos y propiedades estn disponibles para usar.
Es dinmicamente actualizable, lo cual habilita a una aplicacin a
extender el esquema con nuevos atributos y clases de objeto y usar estas
nuevas actualizaciones inmediatamente
Pueden usar ACL (listas de control de acceso) para proteger todas las
clases y atributos. El uso de ACL dinmicas permite que solo usuarios
autorizados puedan realizar cambios en el esquema.
Objetos
Atributos o propiedades
Usuario
Nombre
Departamento
Contrasea
Mquina
Nombre
Ubicacin
Impresora
Nombre
Ubicacin
El protocolo LDAP
Instalacin y configuracin
Instalacin y configuracin
El catalogo global
El catlogo global es un repositorio de informacin que contiene un subconjunto de
los atributos de todos los objetos en Active Directory. Por defecto, los atributos que
se guardan en el catlogo global son aquellos que ms frecuentemente son usados
en las consultas al Active Directory como el primer nombre del usuario, el apellido y
el nombre con el que se identifica en la red (logon).
El catlogo global contiene la informacin que es necesaria para determinar la
ubicacin de cualquier objeto en Active Directory.
El catlogo global permite a los usuarios realizar dos funciones importantes:
Encontrar en Active Directory toda la informacin relativa al bosque, sin
importar donde est ubicado el dato a buscar.
Usar la informacin de pertenencia a grupos universales para identificarse en
la red.
Instalacin y configuracin
Hay algunas tareas de Active Directory que no se puede realizar en todos los
controladores de dominio ya que podran intentar hacerse en varios
controladores de dominio al mismo tiempo y provocar conflictos en
operaciones esenciales. Por ello hay tareas asignadas a controladores de
dominio especficos, llamados maestros de operaciones. Un maestro de
operaciones es un controlador de dominio que tiene asignada una o ms de
estas tareas en un dominio o bosque de Active Directory. Estos
controladores de dominio realizan tareas como aadir o eliminar un dominio
a un bosque, algo que no est permitido que se realice en diferentes
controladores de dominio al mismo tiempo.
Sitios: un sitio consiste de una o ms subredes IP que estn conectadas por
enlaces de alta velocidad, como Ethernet a 100 Mb o 1 Gb. Si creamos
sitios tenemos la posibilidad de configurar la topologa de replicacin de
Active Directory para que los controladores de dominio utilicen de una
manera ms eficiente los enlaces de conexin as como programar cuando y
como se realizar la replicacin.
Creamos sitios por dos razones principales:
1. Optimizar el trfico de replicacin.
2. Permitir a los usuarios que se conecten a un controlador de dominio
usando enlaces confiables y de alta velocidad.
Los sitios definen la estructura fsica de la red al igual que los dominios
definen la estructura lgica de la misma. Las estructura fsica y lgica son
independientes una de la otra por lo que:
No es necesario que exista ningn tipo de relacin entre la estructura
fsica y la estructura lgica.
Active Directory permite mltiples dominios en un nico sitio y
mltiples sitios en un nico dominio.
No es necesaria ninguna relacin entre los espacios de nombres de
los sitios y los dominios.
Instalacin y configuracin
Adems, las zonas DNS pueden integrarse en Active Directory de tal manera que la
replicacin de las mismas se realiza dentro del proceso de replicacin de Active
Directory. Por otro lado, proporciona ms seguridad al permitir nicamente que
actualicen las zonas DNS aquellos clientes que se han autenticado correctamente.
Por todo ello se necesita que exista una infraestructura DNS adecuada cuando
pretendemos instalar Active Directory.
Una vez instalado Active Directory, como ya hemos comentado, los dominios y las
mquinas son representados como objetos en Active Directory y como registros de
recursos en el DNS. Por tanto, el nombre de host DNS de una mquina es el mismo
que se usa para una cuenta de mquina en el Active Directory.
El nombre de mquina es el nombre distinguido relativo del objeto en Active
Directory. El nombre de dominio DNS, conocido como sufijo DNS primario es
tambin el mismo nombre del dominio Active Directory en el cual se ha integrado la
mquina. Esto quiere decir que una mquina es representada con el mismo nombre
tanto
en
el
DNS
como
en
Active
Directory.
Un
ejemplo
sera
maquina1.dominio1.com (FQDN).
Para que los clientes puedan encontrar a los servidores que ofrecen un servicio de
Active Directory determinado, cada vez que un servidor con Active Directory
instalado (controlador de dominio) se inicia, se registra en el DNS y anuncia todos
los servicios que ofrece para cada uno de los cuales se crea un registro de recurso
SRV.
DNS debe ofrecer soporte para los registros de recurso SRV. Estos registros de
recursos apuntan al nombre de mquina DNS que alberga el servicio en cuestin,
que ser resuelto a una direccin IP a travs del registro A del DNS.
Cuando se instala el servicio DNS por primera vez carece de este tipo de registros y
conforme se van aadiendo a la red servidores con Active Directory instalado, cada
servidor aade los registros necesarios para ofrecer todos sus servicios a la red.
Si buscamos entre los diferentes registros creados una vez que se han registrado
en DNS uno o ms servidores controladores de dominio encontraremos registros
cuyo nombre, en parte, nos indica el servicio que se ofrece a travs de l, como por
ejemplo:
Kerberos_tcp: los servicios con esta parte de nombre permiten a una
mquina localizar a un servidor capaz de autenticarle
Gc._tcp: este tipo de servicio permite encontrar un servidor que sea
Catlogo global.
dc: servicios con esta clave en su nombre identifican a un controlador de
dominio (Domain Controller).
Instalacin y configuracin
10
Instalacin y configuracin
11
Instalacin y configuracin
12
13
14
Instalacin y configuracin
15
Instalacin y configuracin
16
Leccin 2
Administracin de Active Directory
Creacin de un dominio
Un dominio se crea cuando instalamos Active Directory por primera vez en un
servidor Windows.
Cuando ejecutamos el asistente de instalacin de Active Directory una de las
primeras cosas que nos pregunta es qu tipo de dominio vamos a crear
exactamente en base a la estructura ya existente.
Tenemos varias opciones:
1. Tipo de controlador de dominio: si creamos un controlador de dominio
para un nuevo dominio, lo que lo convertir en el principal del nuevo
dominio y crear el dominio o es un controlador de dominio adicional para
un dominio ya existente. En este caso no creamos dominios nuevos, solo
creamos al propio controlador de dominio.
2. Nuevo rbol o dominio hijo: si hemos elegido crear un nuevo dominio, en
esta opcin nos pregunta si vamos a crear un nuevo rbol en el bosque o va
a ser un dominio hijo que cuelgue de un rbol ya existente.
3. Nuevo bosque o integrar en un bosque existente: si hemos
seleccionado Crear un nuevo rbol, aqu se nos preguntar si creamos un
nuevo bosque o si el nuevo rbol va a pertenecer a un bosque ya existente.
Posteriormente tenemos que facilitar el nombre DNS y el nombre Netbios del nuevo
dominio si estamos creando uno.
Con estos paso en cada creacin de un nuevo controlador de dominio vamos
construyendo nuestra estructura jerrquica de Active Directory, al mismo tiempo
que establecemos el nmero de controladores de dominio de los que dispondr
cada dominio.
Para que todas las instalaciones sean satisfactorias debemos estar seguros de que
la configuracin de nuestra red as como del propio servidor donde instalamos
Active Directory es correcta, ya que si algo no est bien tenemos unas
probabilidades muy altas de que falle la instalacin.
Debemos estar seguros que los valores de configuracin TCP/IP, del DNS y las
credenciales utilizadas para la instalacin son los adecuados.
Instalacin y configuracin
17
Instalacin y configuracin
18
Publicacin de recursos
La publicacin significa crear objetos en Active Directory que contienen la
informacin que queremos hacer disponible a los usuarios
o que tienen una referencia a la misma.
Por ejemplo, podemos crear un objeto Carpeta compartida
que apunta a una carpeta compartida real que puede estar
en cualquier servidor de la red. Una vez hecho los usuarios
pueden realizar bsquedas en el Active Directory para
encontrar carpetas compartidas en la red, siendo
transparente al usuario la ubicacin de la misma. Esto
mismo nos sirve, por ejemplo, para impresoras. A travs
de la publicacin tambin podemos encontrar informacin adicional de usuarios y
mquinas.
La publicacin permite que estn siempre disponibles a los usuarios los recursos
que se publican aunque cambien de ubicacin, ya que basta con actualizar los
objetos de Active Directory para que apunten a la nueva ubicacin.
La publicacin de objetos se realiza de forma automtica cuando se crean en Active
Directory por lo que nada ms crearlos pueden ser localizados a travs de las
bsquedas. Algunos objetos como las impresoras permiten, en sus propiedades,
seleccionar si deben publicarse o no.
En todos los objetos existe la posibilidad de configurar permisos (al igual que se
hace sobre las carpetas y archivos en el disco) para los usuarios, para establecer si
se les permite o no ver y usar un objeto. Cuando un usuario no tiene permisos
sobre un objeto, este objeto no le aparecer en ninguna de sus bsquedas.
Tenemos que diferenciar bien los objetos publicados en Active Directory de los
recursos compartidos. En ambos podemos especificar permisos pero cada uno tiene
los suyos de manera que un usuario puede tener permisos sobre el objeto
publicado y por tanto lo encontrar en las bsquedas y sin embargo no tener
permisos sobre el recurso compartido con lo que aunque pueda encontrarlo a
travs de las bsquedas en Active Directory cuando intente acceder al recurso
compartido se le denegar al acceso.
Instalacin y configuracin
19
Sin embargo las dos funciones principales de las unidades organizativas son las
siguientes:
1. Aplicar directivas de grupo a los objetos: las directivas de grupo sirven
para aplicar parmetros de seguridad y de gestin del dominio a los objetos
que estn dentro de cada unidad organizativa. Este tema lo veremos en un
captulo posterior.
2. Delegar el control administrativo: podemos delegar ciertas o todas las
tareas administrativas sobre los objetos que queramos creando una unidad
organizativa y metiendo en ella los objetos para los que deseemos delegar el
control administrativo. Despus, con un asistente de configuracin podemos
establecer que usuarios podrn realizar las tareas administrativas y qu
exactamente, que puede ir desde realizar solo el reseteo de contraseas
hasta el control total de todos los objetos.
20
Instalacin y configuracin
21
Leccin 3
Active Directory y Windows Server 2008
Active Directory incorpora en Windows Server 2008 nuevas tecnologas y
funcionalidades.
En Windows Server 2008 las tecnologas que abarca la solucin completa de Active
Directory son las siguientes:
Active Directory Domain Services AD DS - (Identity) (Servicios de
dominio de Active Directory): provee un repositorio central para la
gestin autenticacin y la seguridad. Provee servicios de autenticacin y
autorizacin en la rd y soporta la administracin de objetos a travs de las
directivas de grupo. Tambin provee gestin de la informacin y servicios
compartidos, habilitando a los usuarios para encontrar cualquier
componente del directorio como servidores de archivos, impresoras, grupos
y usuarios realizando bsquedas en el mismo.
Es la tecnologa primaria de Active Directory y debe ser instalada en
cualquier red que ejecute sistemas operativos Windows Server 2008.
Active Directory Lightweight Directory Services AD LDS (Applications): bsicamente es una versin independiente de Active
Directory. En Windows 2003 era conocida como Active Directory Application
Mode (ADAM) (Modo de aplicacin de Active Directory) y su funcin es
proveer soporte para las aplicaciones habilitadas para usar Active Directory.
AD LDS es realmente un subconjunto de AD DS, ya que ambos estn
basados en el mismo ncleo. AD LDS solo almacena y replica informacin
relativa a las aplicaciones. Es utilizado por las aplicaciones que necesitan
almacenar informacin en Active Directory pero no necesitan que se replique
a todos los controladores de dominio. Tambin permite la utilizacin de un
esquema personalizado para ser modificado por las aplicaciones sin
actualizar el esquema principal del AD DS. Igualmente posibilita que cada
aplicacin tenga su configuracin personalizada.
AD LDS puede funcionar en entornos independientes o de grupo de trabajo.
Sin embargo, en entornos de dominio puede usar AD DS para temas de
autenticacin de usuarios, grupos y mquinas.
AD LDS tambin puede utilizarse para proveer autenticacin en entornos no
seguros como extranets. En esta situacin tiene menos riesgo que AD DS.
Active Directory Certificate Services AD
CS - (Trust) (Servicios de certificados de
Active Directory): las empresas pueden
utilizar los Servicios de Certificados para crear y
configurar una autoridad certificadora para
suministrar certificados digitales como parte de
una infraestructura de clave pblica (PKY) que
enlaza la identidad de una persona, dispositivo
o servicio a su correspondiente clave privada.
Instalacin y configuracin
22
Instalacin y configuracin
23