http://es.scribd.

com/doc/8079976/CONCEPTOS-TEORICOS-ACTIVE-DIRECTORY ACTIVE DIRECTORY cl

ACTIVE DIRECTORY (AD) es el trmino utilizado por Microsoft parareferirse a su implementacin de servicio de directorio en una reddistribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, kerberos) Su estructura jerrquica permite mantener una serie de objetosrelacionados con componentes de una red, como usuarios, grupos deusuarios, permisos y asignacin de recursos y polticas de acceso. Active directory provee de forma centralizada la administracin paratodos los recursos de la red; combinando las denominaciones deX.500 y el sistema de nombres de dominio (DNS) como motor debsqueda y como protocolo central utiliza LDAP de igual formaintegra kerberos como servidor de autenticacin.

TERMINOLOGIA Y CONCEPTOS DE ACTIVE DIRECTORY ATRIBUTO Cada fragmento de informacin que describe algn aspecto de unaentrada. Este esta formado por un tipo del atributo y uno o masvalores del atributo. OBJETO Es un conjunto determinado de atributos que representan algocompleto tales como usuarios, impresoras o aplicacin. Los atributoscontienen la informacin que describe lo que se identifica por mediodel objeto de directorio.

Cada objeto en AD tiene una identidad nica, se pueden mover orenombrar pero esta nunca cambia; son conocidos con su identidadmas no con su nombre actual. Su identificador es el GUID (GloballyUnique Identifier usado por el AD para bsqueda de replicacin deinformacin) asignado por el DSA (Directory System Agent) en lacreacin del objeto. CONTENEDOR Similar a un objeto puesto que posee atributos pero a diferencia deeste no representa algo concreto; es decir, un almacn de objetos yotros contenedores. ARBOL Y SUBARBOL Es una jerarqua de objetos y contenedores que muestran como serelacionan los objetos o el camino desde un objeto hasta otro, lospuntos finales de un rbol son generalmente objetos. Un subrbol escualquier camino sin interrupciones del rbol, incluyen todos losmiembros de cada contenedor en dicho camino. ARBOLES Es un espacio de nombres* nico y contiguo donde cada nombre del espacio de nombres desciende directamente de un nico nombre raz. BOSQUE Un bosque es la agrupacin de varios rboles de dominio en unaestructura jerrquica. Dominio de rboles en un bosque con unesquema comn, la configuracin, y el catlogo global. Los dominiosen el bosque estn vinculados por dos vas confianza transitiva.Mediante el nivel funcional del bosque, puede habilitar ms amplia delbosque de Active Directory caractersticas. El bosque nivelesfuncionales que se pueden establecer son Windows 2000, WindowsServer 2003 provisional, y Windows Server 2003. Es una coleccin de arboles esencialmente iguales, sin una nica raz en el espacio de nombres.

NOMBRE DISTINGUIDO Todo objeto en AD tiene un DN (Distinguished Name). En estecontexto, distinguido son las cualidades que permiten distinguir elnombre. Los nombres distinguidos identifican el dominio que contieneel objeto adems del camino completo a travs de la jerarqua del contenedor utilizado para alcanzar el objeto. CN= Se interpreta como nombre propio (Common Name) OU= Unidad Organizacional (Organizacional Unit) DC= significa controlador de dominio (Domain Controller) ESQUEMA Es generalmente utilizado en el trabajo de clases de datos. En AD son todos los fragmentos que lo componen, los que son: objetos,atributos, contenedores, entre otros. AD posee un esquemapredeterminado que define la mayora de las clases de objetos habituales tales como usuarios, grupos, computadores,departamentos, polticas de seguridad y dominios. El esquema sepuede actualizar dinmicamente, sea en la creacin o modificacin dealgn objeto. DSA (DIRECTORY SYSTEM AGENT) Es el proceso que proporciona acceso al almacn fsico de la informacin del directorio ubicado en un disco duro. CATALOGO GLOBAL El catalogo global (GC, Global Catalog) permite a los usuarios y a laaplicaciones encontrar objetos en un rbol de dominio de AD,proporcionando uno o mas atributos del objeto deseado.

Contieneuna copia de cada contexto de denominacin de directorio, tambincontiene el esquema y contextos de la denominacin de laconfiguracin, es decir, contiene una copia de cada objeto de AD perocon solo un pequeo numero de atributos. Los atributos en GC sonutilizados para las operaciones de bsqueda y/o para encontrar unacopia completa de un objeto. El catlogo global esta integrado en el sistema de replicas de AD. La topologa de replicas de GC se genera de forma automtica. SITIO En Active Directory, los sitios se forman a travs de la agrupacin demltiples subredes. Sitios suelen ser definidos como lugares en losque el acceso a la red es altamente fiable, rpido y no muy caro. DOMINIOS Y UNIDADES ORGANIZATIVAS Los arboles de red estn formados por dominios y unidadesorganizativas cada uno proporciona fronteras administrativas entrelas ramas del rbol, pero tienen implicaciones y requisitos de recursosdiferentes. DOMINIOS La unidad principal de AD es el dominio. Todos los objetos de una redforman parte de un dominio, y la poltica de seguridad es uniforme alo largo de un dominio. La diferencia de la seguridad de Windows2000 y Windows 2003 server es que es basado en la versin Kerberos5 y la relaciones de confianza son transitivas. UNIDADES ORGANIZATIVAS Contenedor de objetos albergada en un dominio, dentro de este hay infinidad objetos sean usuarios o equipos. Estas unidades son tiles puesto que pueden usarse cantidad de objetos dentro de las mismas, aplicando: Organizacin de objetos dentro del dominio. Administracin simplificada de recursos agrupados. Delegacin de control. Al crear estas unidades organizativas aplico simplificadamente arecursos reunidos dentro de la misma Directivas, Permisos y Polticas;puesto que a estos objetos (contenedores) (OU) son a los nicos quese les puede asignar GPO

HERRAMIENTAS DE ACTIVE DIRECTORY Este maneja herramientas esenciales para la administracin de los elementos contenidos, tales herramientas son: Usuarios y Grupos: Estos representan una entidad fsica sea comousuario o equipo. Las cuentas de usuarios que gestiona ActiveDirectory son almacenadas en una base de datos SAM (SecurityAccounts Manager), pero AD no slo almacena informacin sobre losusuarios, sino que tambin mantiene informacin sobre servidores,estaciones de trabajo, recursos, aplicaciones, directivas de seguridad,entre otros. La cuenta de un usuario del dominio contiene toda la informacinnecesaria para su autenticacin, incluyendo su nombre de usuario ycontrasea (necesarios para iniciar sesin).

Los grupos cumplen una funcin muy importante dentro del AD yaque permiten la simplificacin de la administracin, se pueden asignarpermisos para los recursos, donde puede estar basado en AD oequipo individual, se diferencia por mbito o por tipo.

DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS

Las GPOs son un conjunto de una o ms polticas del sistema. Cadauna de las polticas del sistema establece una configuracin del objetoal que afecta especficamente. Una directiva de grupo consta de varias componentes configurables.El primero son las plantillas administrativas, que definen las directivasbasadas en el registro. Los otros componentes principales de directivade grupos son los siguientes Configuracin de la seguridad: Configura la seguridad de los usuarios, computadoras y dominios. Secuencia de comandos: Especifica las secuencias de comandos parael inicio y el apagado de las computadoras, as como para los eventosde inicio y cierre de sesin de los usuarios. Redireccin de carpetas: Ubica en la red las carpetas esenciales como mis documentos o las carpetas de aplicacin especificada. Instalacin de Software: Asigna las aplicaciones a los usuarios. Las GPOS almacenan la informacin de dos ubicaciones: En una estructura de carpetas denominada plantillas de directiva de grupo(Group Policy Template, GPT) y en un contenedor de directivas de grupo (Group Policy Container, GPC) de AD. La GPT se halla en la carpeta SYSVOL de todos los controladores de dominio. Contiene informacin sobre las directivas de software, sobre las implantaciones de archivos y aplicaciones, sobre las secuencia de comandos y sobre la configuracin de seguridad. Las GPC contienen propiedades de las GPO, como la informacin declases de AD relacionada con la implantacin de las aplicaciones. Lainformacin almacenada en las GPC no se modifica con frecuencia.

GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS Cuando se establece una relacin de confianza entre dos dominios los usuarios de uno de los dominios pueden tener acceso a los recursos ubicados en el otro. Los arboles de dominios de AD

son conjuntos de dominios que no solo comparten el mismo esquema, la misma configuracin y el mismo espacio de nombres, si no que tambin estn conectados por relaciones de confianza. Windows Server 2003 soporta tres tipos de relaciones de confianza: Las relaciones de confianza explicita: Establecen relaciones manuales para entregar la ruta de acceso para autenticarse. Pueden ser de una o 2 vas. Las relaciones de confianza transitivas jerarquicas: Son confianzas automticas de dos vas existentes entre dominios. Para el flujo utiliza servidores de paso para utilizar recursos de dos o mas arboles no conectados directamente; esto maximiza las relaciones entre Windows porque evita tener exceso de confianza para conectarse con todas las maquinas de la red. Las relaciones de confianza de los bosques: Permiten crear tanto relaciones de confianza transitivas como intransitivas entre dos bosques de Windows Server 2003.

FUNCIONES DEL MAESTRO DE OPERACIONES

Active Directory admite la replicacin de varios maestros del almacnde datos de directorio entre todos los controladores del dominio, demodo que todos ellos se encuentran, bsicamente, en el mismo nivel.No obstante, hay cambios que no se pueden realizar utilizando lareplicacin de varios maestros. En estos casos, un controlador dedominio, denominado maestro de operaciones, acepta las solicitudespara realizar este tipo de cambios. En cada bosque existen, al menos, cinco funciones de maestro deoperaciones que se asignan a uno o varios controladores de dominio.Las funciones de maestro de operaciones de todo el bosque debenaparecer una nica vez en cada bosque. Las funciones de maestro deoperaciones de todo el dominio deben aparecer una nica vez en cadadominio del bosque. Nota Las funciones de maestro de operaciones tambin se denominan funciones flexibles de operaciones de un solo maestro (FSMO). FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL BOSQUE Cada bosque debe tener las siguientes funciones: Maestro de esquema Maestro de nombres de dominio Estas funciones deben ser nicas en el bosque. Es decir, en todo elbosque slo puede haber un maestro de esquema y un maestro denombres de dominio.

MAESTRO DE ESQUEMA El controlador de dominio del maestro de esquema controla todas lasactualizaciones y los cambios que tienen lugar en el esquema. Parapoder actualizar el esquema de un bosque, debe tener acceso almaestro de esquema. Slo puede haber un maestro de esquema entodo el bosque.

MAESTRO DE NOMBRES DE DOMINIO El controlador de dominio con la funcin del maestro de nombres dedominio controla la adicin o eliminacin de los dominios del bosque.Slo puede haber un maestro de nombres de dominio en todo elbosque. Nota Cualquier controlador de dominio que ejecute Windows Server 2003puede desempear la funcin de maestro de nombres de dominio.Los controladores de dominio que ejecutan Windows 2000 Server ydesempean la funcin de maestro de nombres de dominio debenestar habilitados tambin como servidor de catlogo global.

FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL DOMINIO Cada dominio del bosque debe tener las siguientes funciones: Maestro de Id. relativo (RID) Maestro emulador del controlador principal de dominio (PDC) Maestro de infraestructuras

Estas funciones deben ser nicas en cada dominio. Esto significa queen cada dominio del bosque slo puede haber un maestro de RID, unmaestro emulador del PDC y un maestro de infraestructuras. MAESTRO DE RID El maestro de RID asigna secuencias de Id. relativos (RID) a cadauno de los distintos controladores del dominio. En todo momento slopuede haber un controlador de dominio que acte como maestro deRID en cada dominio del bosque. Siempre que un controlador de dominio crea un usuario, un grupo oun objeto de equipo, asigna un Id. de seguridad (SID) nico al objetocreado. Este SID se compone de un SID de dominio, que es el mismopara todos los SID creados en el dominio, y de un RID, que es nicopara cada uno de los SID creados en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debeiniciar la operacin en el controlador de dominio que acta comomaestro de RID en el dominio que contiene el objeto en esemomento. MAESTRO EMULADOR DE PDC

Si el dominio contiene equipos que operan sin el software de clientede Windows 2000 o Windows XP Professional o bien si contienecontroladores de dominio de reserva (BDC) de Windows NT, elmaestro emulador de PDC acta como controlador principal dedominio de Windows NT. Se ocupa de procesar los cambios decontrasea de los clientes y replica las actualizaciones en los BDC. Entodo momento slo puede haber un controlador de dominio que actecomo maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, el maestro emulador del PDC tambin seencarga de sincronizar la hora en todos los controladores del dominio.El emulador del PDC de un dominio sincroniza su reloj con el decualquier otro controlador del dominio principal. El emulador del PDCen el dominio principal se deber configurar para que se sincronicecon un recurso de hora externo. La hora del emulador del PDC sepuede sincronizar con un servidor externo mediante la ejecucin delcomando "net time" con la sintaxis siguiente: net time \\ nombreServidor /setsntp: recursoHora

El resultado final ser que la hora slo variar unos pocos segundosentre todos los equipos del bosque entero que ejecuten WindowsServer 2003 o Windows 2000. El emulador del PDC recibe una replicacin preferencial de loscambios realizados en las contraseas por otros controladores deldominio. Si una contrasea ha cambiado recientemente, ese cambiotarda algn tiempo en replicarse en cada controlador del dominio. Siuna autenticacin de inicio de sesin produce un error en otrocontrolador de dominio debido a una contrasea incorrecta, esecontrolador de dominio reenviar la solicitud de autenticacin alemulador del PDC antes de rechazar el intento de inicio de sesin. El controlador de dominio configurado con la funcin de emulador del PDC admite dos protocolos de autenticacin: el protocolo Kerberos V5 el protocolo NTLM

MAESTRO DE INFRAESTRUCTURAS En todo momento slo puede haber un controlador de dominio queacte como maestro de infraestructuras en cada dominio. El maestrode infraestructuras es el responsable de actualizar las referencias delos objetos de su dominio en los objetos de los otros dominios. Elmaestro de infraestructuras compara sus datos con los del catlogoglobal. Los catlogos globales reciben actualizaciones peridicas delos objetos de todos los dominios mediante la replicacin, de formaque los datos de los catlogos globales siempre estn actualizados. Siel maestro de infraestructuras encuentra datos sin actualizar, solicitalos datos actualizados a un catlogo global. Despus el maestro deinfraestructuras replica los datos actualizados en los otroscontroladores del dominio. Importante A menos que haya un nico controlador de dominio en el dominio, lafuncin de maestro de infraestructuras no debe asignarse alcontrolador de dominio que alberga el catlogo global. Si el maestrode infraestructuras y el catlogo global se encuentran en el mismocontrolador de dominio, el maestro de infraestructuras nofuncionar. El maestro de infraestructuras no encontrar nuncadatos no actualizados, por lo que nunca replicar los cambios en losotros controladores del dominio. Si todos los controladores del dominio tambin albergan el catlogo global, todos los controladores de dominio ya tendrn los datos ms actuales y ser irrelevante conocer el controlador de dominio que desempea la funcin de maestro de infraestructuras. El maestro de infraestructuras tambin es responsable de actualizarlas referencias de grupos a usuarios cada vez que hay algunavariacin o cambio de nombre en los miembros de un grupo. Alcambiar de nombre o mover un miembro de un grupo (si el miembroreside en un dominio distinto del grupo), puede que durante untiempo parezca que el grupo no contiene ese miembro. El maestro deinfraestructuras del dominio del grupo es responsable de actualizar elgrupo de forma que sepa en todo momento el nuevo nombre oubicacin del miembro. As se evita perder

las pertenencias de grupoque estn asociadas a una cuenta de usuario, en caso de mover ocambiar el nombre de dicha cuenta. El maestro de infraestructurasdistribuye la actualizacin a travs de la replicacin de variosmaestros.

La seguridad no se pone en peligro durante el tiempo que transcurreentre el cambio de nombre de un miembro y la actualizacin delgrupo. Slo un administrador que est examinando la pertenencia a ese grupo en particular podra darse cuenta de la falta momentnea de coherencia. BENEFICIOS DE ACTIVE DIRECTORY La utilizacin de un AD proporciona varias ventajas y/o beneficios en el manejo centralizado de los recursos, tales como: y y y y y y La sincronizacin entre los servidores de autenticacin en todo el dominio. Integracin con el DNS, permitiendo la locacin de los objetos. Escalabilidad que permite para el manejo de los objetos. Administracin centralizada. Delegacin de administracin. Delegar administracin