Académique Documents
Professionnel Documents
Culture Documents
en Tecnologías de Información y
Comunicaciones
RESUMEN
consolidar dominios y demás entidades del sistema. Se considera que las áreas de
y auditoria del sistema, sólo con la implantación del DA y la revisión de las políticas de
De ahí que se decidiera compartir en este trabajo las experiencias del diseño e
permitiendo una mejor organización de los recursos de la red y a su vez una mejor
soporte 14,190.08 horas de trabajo y $31,860.77 pesos, con un ahorro anual estimado
y/o aplicaciones que faciliten la comunicación con el DA, tanto para los administradores
como para los usuarios finales, que apoyen y faciliten el trabajo de la administración.
2
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
INTRODUCCIÓN
Cada día es más difícil encontrar en el mundo empresarial una computadora como un
ente aislado, sino que se encuentran formando parte de una red de computadoras, de
forma tal que estas puedan intercambiar información y compartir recursos. Si a esto se
le añade que el tener una computadora ha dejado de ser un lujo para ser una necesidad
mantener y administrar las mismas así como los recursos, sistemas, usuarios, entre
otros es un problema que no se puede dejar a un lado y que necesita herramientas que
acabo esta tarea es mediante la creación de un dominio de sistemas, de tal forma que
integrados con un sistema operativo, y otros son aplicaciones como por ejemplo
directorio del sistema operativo, tales como Active Directory o Directorio Activo (DA),
así como compartir las experiencias del diseño e implantación en la red corporativa de
3
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
consolidar dominios y demás entidades del sistema. Se considera que las áreas de
con la implantación del Directorio Activo y la revisión de las políticas de uso del sistema
y sus recursos.
operativo Windows 2000 Server y Windows Server 2003, y el mismo se ejecuta sólo
convertirse en los clientes de dicho servicio de directorio, con lo que reciben toda la
cuentas de usuario, grupo, equipo, etc., sino también los perfiles de usuario y equipo,
directivas de seguridad, servicios de red, etc. Esto hace que el Directorio Activo se
datos y los servicios para hacer que dichos datos estén disponibles, también protege
los objetos de la red de un acceso no autorizado y reproduce los objetos en toda la red
de tal manera que los datos no se pierdan si falla uno de los controladores de dominio.
4
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
puede ser accedido por aplicaciones de otras empresas que actúan de acuerdo a estos
dominios.
esencial para el desarrollo de aplicaciones que utilicen los servicios de directorios. Por
Delegación
En definitiva puede decirse que la Interoperabilidad
Seguridad de la Información
introducción del DA desde el Replicación de la Información
Escalabilidad
Administración con base en políticas
sistema operativo Windows 2000 Capacidad de extensión
Petición flexible
5
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
Dentro de los principales objetos que pueden crearse en el DA están los usuarios
globales o usuarios del dominio, las computadoras, los grupos y las unidades
Las unidades organizativas son objetos contenedores del DA que a su vez pueden
contener otros objetos. Es decir, una UO es un objeto contenedor especial usado para
organizar de forma lógica otros objetos del dominio tales como computadoras, usuarios
forma coherente.
siguientes aspectos para diseñar una eficiente y efectiva estructura de las Unidades
Organizativas en el DA:
administración.
6
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
Disponibilidad Técnica
momentos con Sistema Operativo (SO) Windows Server 2003. Aunque se viene
Personalización
Unidades Organizativas
Si bien desde un inicio para el diseño básico del DA, con respecto a la UOs, se tuvieron
Holguín entre otros aspectos, el transcurso del tiempo ha permitido evaluar el diseño
Este trabajo se limitará a presentar la estructura actual de las UOs, las cuales están
conformadas de acuerdo a:
para una mejor organización de los recursos, para ello se creo una UO para cada
Filial y dentro de cada una de ellas se crearon otras UOs, para agrupar
computadoras y usuarios.
Dentro de cada Filial también se creó otra UO para agrupar las computadoras con
7
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
(proxy.hlg.etecsa.cu).
También para cada filial, se creó una UO para las computadoras de los restantes
con respecto al resto de las que están dentro del municipio cabecera. Como medida
previsora se creó otro usuario administrador, de tal forma que ante una interrupción
forma remota con el auxilio de otra persona, para mayor seguridad se pretende
crear un programa que permita fijar una contraseña al usuario luego de resuelto el
problema.
• Una UO para el resto de los Servidores que contiene a su vez otras UOs según el
TP entre otros. Esto ha permitido aplicar políticas distintivas entre cada uno de ellos,
por ejemplo cambiar el nombre del usuario administrador, que difiere entre cada
grupo, esto está dado porque los administradores de las aplicaciones difieren entre
8
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
cada grupo, de la misma manera se restringen los usuarios que pueden administrar
los mismos.
• Una UO para los Grupos de Usuarios. Aquí están los Grupos del Sistema dentro de
otra UO, y Grupos de Usuarios Globales que se han creado y se corresponden con
Resulta muy conveniente crear un grupo aún cuando lo integre un solo usuario, por
acceso, en caso de que la misma se ausente por dos meses y otro tenga que
9
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
comenzando por el nombre de Filial y Grupo, dan una idea más exacta y luego al
• Una UO para las PC que se están instalando. Hasta tanto no esté firmado el Modelo
primero se aplica a este grupo y se prueba primero en las PC del Grupo de Gestión
Recursos Compartidos
• Además de los recursos que publica por defecto el DA (los más comunes: usuarios y
los cuales se les asigna una letra en el script de inicio de sesión, a través de los
Para este script se utiliza el Kix32, y entre otras cosas de las que él se encarga,
resulta muy conveniente un registro que se actualiza en cada inicio de sesión, con
fecha, hora, nombre de computadora, dirección MAC, usuario que inicia sesión y el
10
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
servidor que lo atiende; este archivo de trazas resulta muy útil y práctico.
Políticas de Grupo
del Firewall, tanto para cuando las computadoras estén conectadas al dominio (perfil
manera se permite el acceso a las aplicaciones ya sea abriendo los puertos como
ejemplo: habilitar todas las conexiones de Red, permitir excepciones para compartir
Holguín, permitir excepciones para el tráfico ICMP (aquí solamente se permite las
entradas de PING), permitir las excepciones por puerto y por Programa, se definen
Como algo tal vez a destacar es que cuando la política se aplica a computadoras se
pone como prefijo al nombre de la misma Computer_ y cuando se aplica por usuarios
se le nombra Users_, esto resulta muy útil pues a simple vista da la idea de por dónde
se aplica.
11
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
No resulta necesario citar todas las políticas asociadas a esta restricción, baste decir
que para cada UO que requiere administración diferenciada se creó una política
Por medio de esta política se definen los miembros de grupos locales de las
computadoras. En esta Gerencia todos los usuarios son miembros del Grupo
USERS, con algunas excepciones (pocas) que por necesidad se les ha dado
forma centralizada de ahí que se crearan estas políticas con este fin. Además se
Informáticos, para evitar el uso de una cuenta común y garantizar una mayor
Se crea una política para la configuración de las directivas relacionadas con las
En el caso de las estaciones de trabajo se tiene que una vez que los
12
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
reinicio no importa cómo esté esto. Para esto se tiene instalado el WSUS en un
servidor.
Esta política es similar a la anterior pero se aplica solamente a las UO que contienen
este caso ni aún cuando hayan sido aprobadas por los administradores, se instalan
mismas de forma manual. Esto se hace con el fin de que el administrador tenga el
control total del proceso, e incluso se recomienda hacer salvas previas. Aquí ha
Aquí se definen las políticas del Dominio, las cuales serán aplicadas a todos los
objetos del mismo (computadoras, usuarios, etc). Entre algunas de ellas por
cuenta, se habilita Kerberos para inicio de sesión, se habilitan las auditorías. Se fijan
normalmente está vacío, y cuando alguno de los informáticos está instalando una
13
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
permiso a los miembros de este grupo a unir máquinas al dominio), este informático
Aquí se definen las políticas de los Controladores de Dominio, parecidas a las del
Dominio en general pero con algunas directivas diferentes, por ejemplo se definen
• Users: Escritorio
Esta política existe desde antes que los usuarios pertenecieran solamente al grupo
USERS (con lo que se ha ganado más limpieza en las computadoras y control, pues
refiere). Con esta política se fija un fondo de pantalla así como un refrescador.
Como fondo de pantalla se escogió uno de los fondos corporativos del Manual de
Por otro lado se hizo un estudio de todos los refrescadores que trae el Windows, y
escogió el ssbzier.scr .
14
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
Esta política surge a partir de limitar la pertenencia de los usuarios del dominio al
pueden liberar dispositivos. Se encontró una herramienta que tiene Microsoft que se
dispositivos. Usando la misma se les creó un script para cada una de las
En esta política entre otras se define la página Web inicial, el proxy de Holguín para
los usuarios del dominio, las excepciones, o sea, los bloques de direcciones para los
En esta política se fija el Proxy de la Habana para los usuarios con acceso a
Internet, es parecida a la anterior con el cambio del Proxy. De esta forma no se tiene
15
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
servidores.
ancho de banda.
Para el cálculo del efecto económico se tuvieron en cuenta los datos correspondientes
al año 2004, 2005 y hasta agosto del 2006, pues aún cuando el DA se implementó
desde antes estos datos no se tuvieron en cuenta en el efecto final pues fueron
16
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
Desde el punto de vista del usuario final, el DA también brinda sus bondades, algunas
la ficha de personas
palabra TISW,
creados dentro de la
en la Figura 3:
17
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
otros se recoge el número telefónico donde se pude contactar al usuario, los datos
muy útil para seguir la cadena de mando). Tener esta información por cada usuario
usuario en particular se devuelve una información más completa del mismo, esta
Gerencia de Holguín, una muestra del resultado de una consulta por el estilo se
muestra en la Figura 4:
18
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
CONCLUSIONES
El Directorio Activo es una parte integral de Windows 2000 Server y Windows Server
2003 que gestiona los servicios esenciales del SO para toda la red y su aplicación en la
Se puede decir además que entre otras ventajas la aplicación del Directorio Activo en
cualquier cambio en los datos del Directorio Activo sea replicado a todos los
equipos) con lo que se ha logrado disminuir los tiempos de soporte técnico y Help
Desk.
modificar que los dominios y por lo tanto están más adecuadas para el papel de la
delegación que en Windows NT 4.0, donde había que crear dominios múltiples
administración.
19
Diseño e Implantación del Directorio Activo en la Gerencia Territorial de ETECSA de Holguín
a los recursos de la red puesto que el Directorio Activo es un servicio de red que
RECOMENDACIONES
1. Continuar trabajando en el Directorio Activo tanto en su diseño como en su
con el Directorio Activo, tanto para los administradores como para los usuarios
BIBLIOGRAFÍA
1. Administración de Dominios Windows 2000. http:// groucho.dsic.upv.es
2. Consolidación de entornos con Windows Server 2003. Microsoft.
3. Daily, Sean K. The Definitive Guide To Active Directory Troubleshooting. NETPRO
The Directory Experts. realtimepublishers.com, Marzo 2001
4. Darren Mar, Elía. La planificación del directorio activo. Windows 2000 Magazine.
Número 48. http://www.w2000mag.com. Diciembre 2000
5. Don Jones. Tips and Tricks Guide To Active Directory Troubleshooting. NETPRO
The Directory Experts. realtimepublishers.com. 2003
6. Don Jones. The Definitive Guide To Active Directory Troubleshooting And Auditing.
NETPRO The Directory Experts. realtimepublishers.com. 2003
7. Doménech, Martí. Mejoras de Seguridad. Winmat IT Security Services.
www.winmat.com. Microsoft.
8. Kearns, Dave; Sheresh, Beth. The Administrators Shortcut Guide To Active Directory
Security. realtimepublishers.com. 2004.
9. Kelly, Bob. The Definitive Guide To Windows Desktop Administration.
realtimepublishers.com. 2003.
10. Microsoft Corporation. Active Directory Benefits for Smaller Enterprises. Septiembre
2004
11. Microsoft Corporation. Arquitectura del Active Directory. Microsoft Windows 2000
Server. 1999.
12. Serrano, María José. Microsoft Windows 2000 Server Active Directory.
20