PDF de programación - Windows 2008 Server - Active Directory - Administración SSII

Windows 2008
Server
Active Directory
Administración SSII

Contenidos

• Introducción
• Estructura lógica
• Estructura física
• Objetos a administrar en AD



Contenidos

• Introducción

 Que es Active Directory?
 Autenticación
 Interoperabilidad
• Estructura lógica
• Estructura física
• Objetos a administrar en AD



Introducción

• Directorio

 Estructura jerárquica que almacena info. sobre objetos

existentes en la red.

• Active Directory Domain Services (AD DS)

 Almacena info. de los recursos disponibles en el dominio
 Permite acceso controlado a usuarios
 Medio centralizado



• Servidor con AD = Controlador de Dominio (DC)

Introducción

Authentication is the process that verifies a user’s identity

Credentials: at least two components required
• Username

• Secret, for example, password

Two types of authentication

• Local (interactive) Logon –

authentication for logon to the
local computer

• Remote (network) logon –
authentication for access to
resources on another
computer

Introducción

• AD es interoperable con los servicios:

 DHCP
 DNS
 SNTP (Simple Network Time Protocol)
 LDAP
 Kerberos V5 (authentication)
 Certificados X.509 (transferencia segura)

Introducción

• Dominios y ordenadores que se presentan como objetos

en el AD, son tambien nodos en el DNS

• AD utiliza el DNS para:
 Resolución de nombres
 Definicion de nombres
 Busqueda de componentes fisicos en el AD



• Un dominio es un conjunto de ordenadores, o equipos, que

comparten una base de datos de directorio común.

Introducción

• Active Directory is a database

 Each “record” is an object

• Users, groups, computers, …

 Each “field” is an attribute

• Logon name, SID, password, description, membership, …

 Identities (security principals or “accounts”)
• Services: Kerberos, DNS, replication, etc.



AD DS is, in the end, a database

and the services that support or use that database

• Accessing the database



 Windows tools, user interfaces, and components
 APIs (.NET, VBScript, Windows PowerShell)
 Lightweight Directory Access Protocol (LDAP)

Install and Configure a Domain Controller

Install the Active Directory Domain Services role
1
using the Server Manager

Run the Active Directory Domain Services
2
Installation Wizard

3
Choose the deployment configuration

4
Select the additional domain controller features

Select the location for the database, log files, and
5
SYSVOL folder

Configure the Directory Services Restore
6
Mode Administrator Password

The MMC Console

Show/Hide

Console

Tree

Show/Hide

Actions
Pane

Console

Tree

Details
Pane

Actions
Pane

Contenidos

• Introducción
• Estructura lógica

 Dominios
 Múltiples Dominios
 Nivel funcional
 Relación de Confianza
 Unidad organizativa

• Estructura física
• Estructura física
• Objetos a administrar en AD



Dominios

• Con el uso de dominios se consigue:

 Delimitar la seguridad
 Replicar información entre los DCs
 Aplicar políticas de grupo
 Delegar permisos administrativos

Múltiples dominios

• Múltiples dominios en una organización

 Árbol
 Bosque

Múltiples dominios

• Arbol:

 Conjunto de 1 o mas dominios dentro de un bosque, que
comparten un espacio de nombres contiguo (sufijo DSN)

treyresearch.net

proseware.com

antarctica.treyresearch.net

Múltiples dominios

• Arbol:

 Los dominios que forman arbol se vinculan mediante

relaciones de confianza bidireccionales.

 IMPORTANTE: El administrador del dominio padre (upm.es)

puede conceder permisos para recursos a cuentas de
cualquiera de los dominios del árbol (fi.upm.es), pero por
defecto no los puede administrar.

Múltiples dominios

• Bosque:

 Colección de uno o mas arboles AD que no comparten espacio
de nombres contiguo pero se conectan mediante relaciones de
confianza.

 Todos los DCs comparten la misma configuración, mismo

esquema de directorio y catalogo global.

Múltiples dominios

• Bosque

 No se pueden mover dominios de Active Directory entre

bosques.

 Sólo se puede eliminar un dominio de un bosque si este no

tiene dominios hijo.

 Después de haber creado el dominio raíz de un árbol, no se

pueden añadir al bosque dominios con un nombre de dominio
de nivel superior.

 No se puede crear un dominio padre de un dominio existente.

Nivel Funcional

• Compatibilidad con otros Windows Server

 Nivel funcional difiere
 Si DCs con Windows Server previos, se mantiene el nivel

funcional de los dominios.

 Actualizar poco a poco cada DCs

• Niveles de funcionalidad en dominios Windows Server

2008 R2
 Windows 2000 nativo (AD + anidar grupos + grupos

universales)

 Windows Server 2003 (previo + cambio nombre DC +

redirección de contenedores)

 Windows Server 2008 (previo + politica seguridad + nuevo

sistema replicación)

 Windows Server 2008 R2 (previo + gestión federada)

Nivel Funcional

• Active Directory Federation Services (AD FS)

 Extends the authority of AD DS to authenticate users
 Traditional “trust”

• Two Windows domains
• Numerous TCP ports open in firewalls
• “Everyone” from trusted domain is trusted

 AD FS uses Web services technologies to implement trust

• One AD DS/LDS directory; other side can be Active Directory or other

platforms

• Port 443: transactions are secure and encrypted
• Rules specifying which users from trusted domain are trusted

 Uses

• Business-to-business: partnership
• Single sign-on

Relación de confianza

• relación establecida entre dos dominios de forma que

permite a los usuarios de un dominio ser reconocidos por
los DCs de otro dominio.

• Creación de relaciones automática y manual
• Relaciones unidireccionales y bidireccionales
• Relaciones transitivas y no transitivas



Relación de confianza

• Tipos de relaciones de confianza

 Raiz de arbol: automática, bidir. y transitiva entre dominios

raiz de un mismo bosque

 Principal-Secundario: automático, bidir. y transitiva entre

dominio y subdominio.

 Acceso directo: manual, transitiva y unidir. Acceso a dominios

distantes

 Externa: manual, unidir y transitiva. Acceso a dominios de

otros bosques o dominios NT4.

 De Bosque: manual, unidir y transitiva. Acceso a dominios raiz

de diferentes bosques (funcional W2003)

 De Territorio: manual, unidir (si/no transitiva). Acceso de

W2008 a terreno no Windows con Kerberos.



Unidad Organizativa

• Containers

 Users
 Computers

Unidad Organizativa

• Tambión llamado Organizational Unit (OU)

 Es un objeto del Directorio Activo que puede contener a otros

objetos del directorio

 Podemos crear una jerarquía de objetos en el directorio
 Cada OU es única
 Funciones:

• Delegar administración
• Establecer comportamientos a usuarios y equipos

Contenidos

• Introducción
• Estructura lógica
• Estructura física

 Sitios
 DCs
 Funciones de DC
 Servidor de catálogo global
 Operaciones de maestro único
• Objetos a administrar en AD



Sitios

• Un sitio es una combinación de una o varias subredes IP

que están conectadas por un vínculo de alta velocidad.

• Definir sitios permite configurar la topología de replicación
y el acceso a Active Directory de forma que los sistemas
Windows Server 2008 utilicen los vínculos y programas
más efectivos para el tráfico de inicio de sesión y
replicación.


• Se crean por dos razones principalmente:

 Para optimizar el tráfico de replicación.
 Para permitir que los usuarios se conecten a un controlador de

dominio concreto mediante una conexión confiable de alta
velocidad.

Controladores de Dominio

• También llamado Domain Controller (DC)
• Es un equipo donde se ejecuta Windows Server y que

almacena una replica del Directorio.

• Información almacenada

 Directorio de esquema: definición de tipos de objetos y
atributos a poder crearse en AD. ALL DCs de bosques.

 Directorio de configuración: estructura de dominios y

topología. ALL DCs de bosques.

 Directorio de dominio: objetos del directorio para un dominio

especifico. ALL DCs de ese dominio.

 Directorio de aplicaciones: datos específicos de aplicación (NO

cuentas de usuario, grupos y equipos).

 Catálogo global…

Funciones de DC

• Funcionamiento de maestro único (NT4)
• Primario y secundario o backup
• Replicación multi-maestro (problema de trafico)



Servidor de catálogo global

• Catálogo global

 Es una partición de sólo lectura que almacena una copia

parcial (subconjunto de atributos mas consultados) de las
particiones de dominio de todos los dominios del bosque.

 Incorpora la información necesaria para determinar la

ubicación de cualquier objeto del directorio.

 Contiene información de usuarios pertenecientes a grupos

universales

• Servidor de catálogo global

 DC que almacena una copia del catálogo y procesa las

consultas al mismo.

 En cada bosque debe existir al menos un DC configurado como

servidor de catálogo global

 Por defecto, el primer DC que se crea en el bosque se

configura automáticamente como un servidor de catálogo
global.

Operaciones de maestro único

• Un maestro de operaciones es un DC al que se le ha
asignado una o varias funciones de maestro único en un
dominio o bosque de AD.

• Funciones de bosque:

 Maestro de esquema: Controla todas las actualizaciones y

modificaciones del esquema

 Maestro de nombres de dominio: operaciones de agregar,
quitar y renombrar dominios del bosque, asegurando que los
nombres de dominio sean únicos en el bosque.

Operaciones de maestro único

• Funciones de dominio:

 Maestro de

identificadores relativos (RID): asigna
secuencias de identificadores relativos a cada uno de los
distintos co