Configuracion de Active Directoty PDF

Tema 13 Tema 13.
Configuracin de Active g
Directory
Administracin de Sistemas Operativos
M Pilar Gonzlez Frez
Tema 13. Configuracin de Active Directory 1
ndice ndice
1. Introduccin al Active Directory
2. Caractersticas de Active Directory
3. Organizacin de Active Directory
4. Conceptos de Active Directory
5. Directivas en Active Directoryy
6. Instalacin de Active Directory
7. Herramientas de Active Directoryy
1. Dominios y confianzas de Active Directory
2. Sitios y servicios de Active Directory
3. Herramientas de lnea de rdenes
4. Administracin de directivas
Introduccin al Active Directory
Active Directory es un servicio de directorio extensible y
escalable que permite administrar eficientemente los q p
recursos de red y ayuda a monitorizar y localizar estos
servicios
U i i d di t i l d d t li Un servicio de directorio es un lugar donde se centraliza
informacin sobre los recursos de una organizacin
Un directorio es una base de datos optimizada para lectura,
i b d navegacin y bsqueda
Los servicios de directorio son almacenes de informacin acerca
de entidades de red (aplicaciones, archivos, impresoras y usuarios)
Los servicios de directorio proporcionan una manera consistente
de nombrar, describir, localizar, acceder, administrar y asegurar
informacin acerca de los recursos almacenados
Introduccin al AD (ii)
Active Directory permite un punto nico de
administracin para todos los recursos pblicos (ficheros,
di iti if i b d d t i t ) dispositivos perifricos, bases de datos, usuarios, etc.)
El administrador da acceso a los recursos definidos
Un dominio es una unidad lgica que agrupa objetos Un dominio es una unidad lgica que agrupa objetos
(usuarios o equipos) a los que se dar acceso a los recursos
(ficheros, dispositivos, bases de datos)
Controlador de dominio: equipo con Windows Server 2008 que Controlador de dominio: equipo con Windows Server 2008 que
mantienen la base de datos del Active Directory
Servidor miembro: equipo que forma parte del dominio haciendo
uso de los servicios del mismo Necesita autenticarse en el uso de los servicios del mismo. Necesita autenticarse en el
dominio (mediante un controlador de dominio) para poder usar los recursos
Caractersticas de Active Directory
Escalabilidad
Puede crecer y soportar un elevado nmero de objetos
Integracin con el DNS
Los nombres de dominio son nombres DNS y tienen que estar
registrados en l
AD usa DNS como servicio de nombres y de localizacin
Es necesario instalar DNS antes de poder instalar AD
Extensible Extensible
Permite personalizar las clases y objetos que estn definidas
dentro de AD segn las necesidades propias
Seguridad Seguridad
Incorpora las caractersticas de seguridad de W2008-Server, p.e.,
se puede controlar el acceso a cada objeto
Caractersticas de AD (ii)
Multimaestro
No distingue entre controladores de dominio primarios o
d i secundarios
Cualquier controlador de dominio puede procesar cambios del
directorio
li i difi i li d l d Las actualizaciones o modificaciones realizadas en un controlador
se replican al resto, siendo todos iguales
Flexible
Permite reflejar la organizacin lgica y fsica de la empresa u
organizacin donde se instala
Permite que varios dominios se conecten en una estructura de
b l d b rbol o de bosque
Sigue el estndar LDAP (Lightweight Directory Access Protocol)
Organi acin de AD Organizacin de AD
Objetos de Active Directory Objetos de Active Directory
Active Directory almacena informacin sobre los recursos de red y
proporciona los servicios que permiten que la informacin se
encuentre disponible y sea til encuentre disponible y sea til
Esta informacin la pone a disposicin de los administradores y
los usuarios de la red
P.e., almacena informacin sobre las cuentas de usuario (nombres, , ( ,
contraseas, n de telfono, etc.) y permite que otros usuarios autorizados de
la misma red tengan acceso a esa informacin
Los recursos almacenados se denominan objetos y pueden ser:
usuarios impresoras servidores bases de datos grupos equipos y usuarios, impresoras, servidores, bases de datos, grupos, equipos y
directivas o polticas de seguridad
Un objeto es diferenciado por su nombre y representa un recurso
de red de red
Un objeto tiene un conjunto de atributos que lo definen y son sus
caractersticas (para un usuario su nombre, apellidos, e-mail, ...)
Organizacin de AD (ii)
Active Directory Active Directory
Objetos Objetos
Organizacin de AD (ii)
o
r
y
Atributos Atributos
Nombre de
Impresoras
Impresora1
Objetos Objetos
c
t
i
v
e

D
i
r
e
c
t
o
impresora
Ubicacin de
la impresora
Impresora2
Atributo Atributo
Impresoras
Impresora3
q
u
e
m
a

d
e
l

A
c
Atributos Atributos
Nombre
Apellidos
Usuarios
Pilar Gon.
Valor Valor
p
d
o
s

e
n

e
l

E
s
q
Apellidos
Nombre de inicio
de sesin
Antonio Ruiz
Usuarios
D
e
f
i
n
i
d
Los objetos representan los recursos de red
Los atributos definen la informacin relativa a un objeto
j
O i i d AD (iii) Organizacin de AD (iii)
Estructura lgica
Active Directory organiza los recursos mediante una estructura
l i l it l li b lgica, lo que permite localizar un recurso por su nombre y no por
su localizacin fsica (que se hace transparente a los usuarios)
Dominio
Coleccin de equipos que comparten la base de datos del Active
Directory y que se administran de forma conjunta
Los controladores de dominio, almacenan una copia de la base de datos
y permiten gestionarla y administrarla Tambin controlan el acceso a la y permiten gestionarla y administrarla. Tambin controlan el acceso a la
red, a la BD del directorio y a los recursos compartidos
Los servidores miembros usan los servicios y recursos
El dominio es la unidad central de la estructura lgica de AD dominio es a u dad ce t a de a est uctu a g ca de
Un dominio se crea al generar el primer controlador del dominio
Organizacin de AD (iv)
Estructura lgica
Dominio (contina ) Dominio (contina...)
Un dominio representa:
El lmite para la autenticacin
El lmite para la replicacin de la base de datos El lmite para la replicacin de la base de datos
El lmite para las polticas o directivas
El nombre del dominio debe ser nico y ha de estar registrado
en el DNS en el DNS
El DNS es la base de la infraestructura del Active Directory ya
que permite que los servidores miembros localicen a los
controladores de dominio
Un dominio puede estar en varias subredes
En una red pueden existir varios dominios
Organizacin de AD (v)
Estructura lgica
Dominio (contina...)
Mantiene su ACL (lista de control de acceso) con todos los
permisos para los recursos del dominio controlando los permisos para los recursos del dominio, controlando los
usuarios que pueden acceder al mismo y el tipo de acceso
Los elementos de la base de datos del directorio (cuentas de
i i tid i usuarios, grupos, equipos y recursos compartidos, como impresoras y
carpetas) los usarn todos los equipos del dominio
Todos los recursos (u objetos) de la red existen en un dominio
y cada dominio almacena informacin exclusivamente de los
objetos que contiene
O i i d AD ( i) Organizacin de AD (vi)
Estructura lgica
Unidades organizativas
Los recursos del dominio se organizan en Unidades Organizativas
(OU, Organizational Units), que son contenedores (como directorios) que
permiten ordenar los recursos u objetos dentro de un dominio
Contienen agrupaciones lgicas de recursos, como archivos,
impresoras, cuentas, aplicaciones y otros recursos del dominio
Son como subgrupos dentro del dominio que reflejan, normalmente, g p q j
la estructura funcional o de negocios de una organizacin
Slo pueden contener objetos del dominio al que estn asociados
Crean vistas del directorio ms pequeas y manejables Crean vistas del directorio ms pequeas y manejables
Se puede delegar la autoridad sobre las mismas, para manejar con
ms facilidad el acceso a los recursos administrativos
Organizacin de AD (vii) Organizacin de AD (vii)
Estructura lgica Estructura lgica
Unidades organizativas
A nivel de Administracin permiten
Agrupar objetos con los mismos requerimientos Agrupar objetos con los mismos requerimientos
Delegacin de tareas de una unidad organizativa
A nivel de polticas (directivas) de grupo permiten
Establecer una configuracin distinta a una unidad organizativa g g
Establecer detalles de seguridad distintos a una unidad organizativa
Ejemplo de unidades organizativas
Usuarios (unidad organizativa)
Profesores (unidad organizativa)
AdministracinSistemasOperativos (uo)
Pilar, lvaro, Jos (usuarios)
Arquitectura ( ) Arquitectura (uo)
Javier, Manolo, Antonio, Gregorio (usuarios)
Redes (uo)
Juan, scar, Flix (usuarios)
, ,
Organizacin de AD (viii)
Estructura lgica
rboles de dominio
U b l d d i i i d Un rbol de dominio es una agrupacin de uno o ms
dominios que comparten un espacio de nombres continuo
aso.es (ppal), sup.aso.es, sis.aso.es, ges.aso.es (el resto secundarios)
l b d d i i d d i i d i l b El nombre de dominio de un dominio secundario es el nombre
relativo a ese dominio agregado al nombre del dominio ppal
Los dominios dentro del rbol comparten el esquema comn,
el catlogo global y los datos de configuracin (topologa del
directorio)
Confianza: los dominios de un rbol estn conectados por f p
medio de relaciones de confianza
Al crear un nuevo dominio ya forma un rbol: es el dominio
principal de ese rbol
p p
O i i d A (i ) Organizacin de AD (ix)
Estructura lgica
Bosques de dominio
Un bosque de dominio est compuesto por uno o ms rboles de
dominio distintos e independientes entre s, que comparten
informacin del directorio comn
aso.es, sup.aso.es, sis.aso.es, ges.aso.es
etc.es, sup.etc.es, sis.etc.es, ges.etc.es
redes.es, sup.redes.es, sis.redes.es, ges.redes.es
Todos los rboles de un bosque comparten el esquema comn, el
catlogo global y los datos de configuracin
Los dominios en un bosque operan independientemente, pero el q p p , p
bosque permite la comunicacin a lo largo de toda la organizacin
Organizacin de AD (x)
Estructura lgica
Bosques de dominio Bosques de dominio
El bosque tiene un nico dominio raz, llamado dominio raz
del bosque, que es el primer dominio creado en el mismo
Los nombres de dominio dentro de un bosque pueden ser
discontinuos o continuos en la jerarqua del DNS
Continuos: estn en el mismo rbol de dominio
Discontinuos: forman varios rboles de dominio
Por defecto, un nico dominio ya forma un rbol y un bosque
Se puede ampliar el rbol aadiendo un nuevo dominio con un
b i nombre continuo
Se puede ampliar el bosque al aadir un nuevo dominio con un
nombre discontinuo, que formar un nuevo rbol de dominio
O i i d AD ( i) Organizacin de AD (xi)
Estr ct ra lgica Estructura lgica
Dominios
Unidades organizativas Unidades organizativas
rboles y bosques
Aso.es Aso.es
rbol
UO
Domain Domain Sup.aso.es Sup.aso.es
Bosque
Sis aso es
UO
UO UO
Etc.es Etc.es
Sis.aso.es
Ges.etc.es Ges.etc.es Sup.etc.es Sup.etc.es
rbol
Organizacin de AD (xii)
Estructura fsica
Controlador de dominio Controlador de dominio
Un controlador de dominio es un equipo con W2008Server
que almacena una copia del directorio del dominio (base de
datos local del dominio) datos local del dominio)
Puede haber varios controladores de dominio, cada uno de
ellos tendr una copia completa del directorio
Cada controlador permite realizar cambios en el directorio Cada controlador permite realizar cambios en el directorio,
administrando los cambios y replicndolos a los otros
controladores de dominio del mismo dominio
Los controladores de dominio administran todas las facetas de Los controladores de dominio administran todas las facetas de
las interacciones de los usuarios en un dominio (localizacin
de objetos o validacin de un intento de inicio de sesin, ...)
Organizacin de AD (xiii)
Estructura fsica
C t l d d d i i Controladores de dominio (contina)
La replicacin se hace en intervalos de tiempo, pudiendo
establecer la frecuencia a la que se producen las replicaciones
entre controladores de dominio
AD usa un modelo replicacin multimaestro:
Ningn controlador del dominio es el maestro g
Todos los controladores son iguales y contienen una copia de
la BD del directorio. (En realidad todos los controladores son casi iguales)
Los controladores replican los cambios entre ellos p
Cualquier controlador de dominio puede procesar los cambios
del directorio y replicarlos
Organizacin de AD (xiv)
Estructura fsica
Controladores de dominio (contina)
Los controladores de dominio replican inmediatamente ciertas
actualizaciones urgentes por ejemplo la eliminacin de una actualizaciones urgentes, por ejemplo la eliminacin de una
cuenta de usuario
Establecer varios controladores de dominio dentro de un
dominio permite tener tolerancia a fallos
Todos tienen asignadas las mismas tareas salvo:
Servidor de cabeza de puente para replicar informacin del Servidor de cabeza de puente para replicar informacin del
directorio con otros sitios
Las funciones del maestro de operaciones
Organizacin de AD (xv) Organizacin de AD (xv)
Estructura fsica
Sitios
Un sitio es una agrupacin de equipos que estn conectados
fsicamente por conexiones rpidas y de alta fiabilidad.
Habitualmente equipos conectados en una LAN
La razn bsica de crear sitios es aprovechar los mecanismos
de comunicacin eficientes (rpidos y fiables) entre sistemas bien
com nicados comunicados
Un sitio es bsicamente una subred TCP/IP
Son independientes de la estructuras lgica de dominio. No
existe relacin entre la estructura fsica de la red y la lgica existe relacin entre la estructura fsica de la red y la lgica
del dominio:
Un nico dominio puede estar en varios sitios
En un sitio puede haber varios dominios En un sitio puede haber varios dominios
Importante no confundir sitio con dominio:
Dominio: agrupacin lgica de usuarios y equipos
Sitio: agrupacin fsica de equipos
Organi acin de AD ( i) Organizacin de AD (xvi)
Estructura fsica Estructura fsica
Sitios (contina ...)
Los equipos estn asignados a sitios segn su localizacin en la
subred o en un conjunto de subredes subred o en un conjunto de subredes
Si la empresa tiene varias subredes que no tienen buena conexin
entre s o estn en ubicaciones geogrficas distintas, (p.e. una sucursal en
Murcia y otra en Cartagena), hay que definir un sitio por cada subred
Debe tener asociado, al menos, un controlador de dominio en cada
sitio (para facilitar y acelerar el acceso a los datos del AD)
La informacin de los sitios se usa para:
V lid i d id d l id i b l d Validacin de seguridad en los servidores miembros: el proceso de
autenticacin se hace en los controladores del dominio del sitio en el
que est el servidor miembro (si es posible )
La replicacin de la informacin de directorio se hace con ms
frecuencia dentro de sitios que entre sitios ( d i d l t fi d l d) frecuencia dentro de sitios que entre sitios (reduciendo el trfico de la red)
Un controlador del dominio ser servidor de cabeza de puente:
realiza la rplica de datos hacia y desde un sitio, y enva los datos
recibidos a los otros controladores del sitio
Conceptos de Active Directory
Almacn de datos o Directorio Activo
Contiene informacin sobre objetos del dominio, como
d d i i pueden ser cuentas de usuarios, grupos o equipos, recursos
compartidos, unidades organizativas y directivas o polticas
de grupo
E i f i bli i Esta informacin se publica para que otros usuarios y
administradores del dominio la utilicen
Se conoce como almacn de datos o directorio, es el propio
Directorio Activo (A ti Di t ) Directorio Activo (Active Directory)
Se almacena en un fichero llamado ntds.dit que tiene que
estar localizado en una particin de tipo NTFS
L l d d d i i li l bi d l Los controladores de dominio replican los cambios del
almacn de datos de forma multimaestro: todos los
controladores de dominio tienen la misma base de datos
Conceptos de AD (ii) Conceptos de AD (ii)
Catlogo global
El catlogo global es un almacn central de informacin de
todos los objetos del directorio de los dominios del bosque
Tiene una copia completa todos los objetos (todos sus atributos) del p p j
directorio de su dominio y una copia parcial de todos los
objetos de los directorios de los otros dominios del bosque
La copia parcial almacena los atributos usados con ms frecuencia en
l i d b d las operaciones de bsqueda
De manera predeterminada, el primer controlador de
dominio creado al instalar AD se convierte en catlogo
l b l id id d tl l b l global y es conocido como servidor de catlogo global
La informacin que almacena es generada automticamente
en cada dominio mediante el proceso de rplica
Se pueden definir varios CGs en un dominio, pero esto
incrementar el trfico de red para hacer las rplicas (para
actualizar los distintos catlogos)
Conceptos de AD (iii) Conceptos de AD (iii)
Catlogo global (contina )
Realiza las siguientes funciones clave en el directorio:
Resuelve las bsquedas de informacin en un dominio, rbol
o bosque, con independencia de la ubicacin de los datos (con
i d d i d d i i ) independencia de en qu dominio estn)
Resuelve los nombres principales de usuarios (UPN) de otros
dominios del bosque, permitiendo que usuarios esos dominios
se autentiquen en el dominio se autentiquen en el dominio
La informacin sobre los grupos universales se almacena slo
en el CG. Cuando un usuario inicie una sesin, el CG
proporcionar la pertenencia (o no) a los grupos universales p p p ( ) g p
Permite validar las referencias a objetos de otros dominios del
bosque, informando si son o no correctas
Diseado para responder a las preguntas sobre objetos de p p p g j
cualquier dominio del bosque (mxima velocidad y poco trfico de red)
Una pregunta sobre un objeto de otro dominio puede ser resuelta por
el catlogo global del dominio donde se realiza la pregunta
Conceptos de AD (iv) Conceptos de AD (iv)
Subconjunto de
atributos de todos atributos de todos
los objetos
Aso.es
Etc.es
Sis.aso.es Sup.aso.es
Ges.etc.es Sup.etc.es
Catlogo global Catlogo global
Ges etc es Sup etc es
Consultas Consultas
Pertenencia a grupos Pertenencia a grupos
Servidor de
catlogo global
g p g p
universales cuando el universales cuando el
usuario inicia sesin usuario inicia sesin
catlogo global
C d AD ( ) Conceptos de AD (v)
E d A i Di Esquema de Active Directory
El esquema define todos los objetos y tipos de datos que se
pueden almacenar en Active Directory p y
Define los objetos a travs de clases, las propiedades de las clases y
los atributos
Hay dos tipos de definiciones en el esquema: y p q
Clases (o clases de objetos): describen las caractersticas de los
objetos de AD. Es una coleccin de atributos
Atributos
l bj d l Se almacena como un objeto del AD
Proporciona unas clases y atributos por defecto
Pero es un elemento ampliable: se pueden definir nuevos Pero es un elemento ampliable: se pueden definir nuevos
objetos o atributos a un objeto que ya existe
A user se le puede asociar los nuevos atributos: nota_teora,
nota prcticas y nota final
_p y _f
Conceptos de AD (vi)
Maestro de operaciones flexible Maestro de operaciones flexible
Las funciones de maestro de operaciones son realizar tareas que
son impracticables en entornos multimaestro
P d i d di i l d Pero estas tareas pueden ser asignadas a distintos controladores
del dominio (no tienen que realizarse en el mismo controlador)
Hay cargos que se asignan slo una vez en el bosque de dominio,
otros se deben definir una vez en cada dominio otros se deben definir una vez en cada dominio
Las funciones que realiza son:
Maestro de esquema: controla las actualizaciones y modificaciones
del esquema del directorio Slo existe uno en el bosque del esquema del directorio. Slo existe uno en el bosque
Maestro de nombres de dominio: controla la agregacin o
eliminacin de nombres de dominios en el bosque. Uno en todo el
bosque
Maestro de Id. relativo: asigna los Id. Relativos a los controladores
de dominio
Conceptos de AD (vii) Conceptos de AD (vii)
M d i Maestro de operaciones
Sus cargos son: (contina...)
M t d i f t t t li l f i bj t Maestro de infraestructuras: actualiza las referencias a objetos
comparando sus datos de directorio con el catlogo global,
replicando los cambios si es necesario. (Es preferible que no
i id l CD h d l l b l) coincida con el CD que hace de catlogo global)
Emulador PDC:
Recibe una replicacin preferencial de los cambios realizados
l l d d l d i i en las contraseas por otros controladores del dominio
Si una autenticacin de inicio de sesin produce un error por una
contrasea incorrecta, se reenviar la solicitud de autenticacin al
emulador del PDC antes de rechazar el intento de inicio de sesin
Sincronizacin horaria en todo el bosque
Conceptos de AD (viii) Conceptos de AD (viii)
Espacio de nombres Espacio de nombres
Los nombres de AD son nombres registrados en el servidor de
DNS, por lo que se pueden usar formatos de nombre estndar
d l ti del tipo aso.es
Esto permite la estructuracin jerrquica de AD
Nomenclaturas: 4 nomenclaturas para identificar objetos p j
DN (Distinguished Name) (nombre completo)
nico para cada objeto
Contiene suficiente informacin para que un usuario recupere el p q p
objeto del directorio, incluyendo el nombre del dominio y la ruta
Se compone de varios atributos: el nombre del dominio al que
pertenece (DC) y de las unidades organizativas en las que est
(OU) y el nombre relativo del objeto (CN) (OU) y el nombre relativo del objeto (CN)
Conceptos de AD (ix) Conceptos de AD (ix)
Espacio de nombres (contina...)
Nomenclaturas:
RDN (Relative Distinguished Name) (nombre completo relativo)
Identifica unvocamente al objeto dentro su unidad organizativa j g
Es parte del DN
Podemos tener dos objetos con el mismo nombre si los objetos
pertenecen a distintas Unidades Organizativas
GUID (Globally Unique Name) (identificador global nico)
Nmero de 128 bits, distinto para cada objeto, y que no cambia
nunca
E i t f d l Id d id d d l d i i Es nico y est formado por el Id de seguridad del dominio (prefijo) y
un Id relativo nico, (asignado por el maestro de operaciones)
UPN (User Principal Name) (nombre principal de usuario)
Son nombres cortos y descriptivos del objeto Son nombres cortos y descriptivos del objeto
El nombre comn del objeto se combina con el dominio para
formar el UPN
Conceptos de AD (x) Conceptos de AD (x)
Espacio de nombres Espacio de nombres (contina...)
Nomenclaturas:
Supongamos que tenemos el dominio aso.es y dentro de l la
id d i ti d t l id d i ti unidad organizativa users, dentro la unidad organizativa
Profesores y dentro el usuario Pilar:
El nombre completo o distinguished name para este usuario:
CN=Pilar OU=Profesores OU=users DC=aso DC=es CN=Pilar,OU=Profesores,OU=users,DC=aso,DC=es
El nombre completo relativo o Relative Distinguished Name:
Pilar
Si movemos el usuario Pilar a una nueva unidad organizativa Si movemos el usuario Pilar a una nueva unidad organizativa
llamada Investigadores:
El nombre completo o distinguished name ser:
CN=Pilar,OU=Investigadores,DC=aso,DC=es CN Pilar,OU Investigadores,DC aso,DC es
UPN: pilar@aso.es
Directivas en AD Directivas en AD
En un dominio, se pueden definir directivas de grupo a nivel de
sitio, de dominio o de unidades organizativas
Se aplicarn a todos los servidores miembros del dominio
El orden de aplicacin de las directivas es el siguiente: El orden de aplicacin de las directivas es el siguiente:
1) Directivas de grupo local (las definidas en el equipo local)
2) Directivas de grupo de sitio
3) Directivas de grupo de dominio
4) Directivas de unidad organizativa
5) Directivas de unidad organizativa secundaria etc 5) Directivas de unidad organizativa secundaria, etc.
En caso de conflictos, las que se aplican ms tarde tienen
preferencia y sobrescriben las directivas aplicadas previamente
Se pueden aplicar a todos los usuarios (al dominio) o a un nico
usuario (en una unidad organizativa concreta)
I l i d AD Instalacin de AD
dcpromo.exe es la orden para abrir el Asistente para instalar AD
Al ejecutarlo se puede:
Crear un nuevo dominio, creando un nuevo rbol y un nuevo bosque C ea u uevo do o, c ea do u uevo bo y u uevo bosque
Unirse como nuevo controlador a un dominio que ya existe
Crear un nuevo dominio en un rbol de dominios ya existente
Crear un nuevo rbol, creando nuevo dominio, en un bosque de dominios , , q
ya existente
Al unir un nuevo controlador de dominio a un dominio/rbol/bosque que
ya existe, hay que indicar un usuario (y su contrasea) correcto para
autenticarnos en l El usuario a indicar es Administrador autenticarnos en l. El usuario a indicar es Administrador
Si AD ya est instalado, lo que hace es desinstalar AD, esto es
degradar el controlador de dominio a servidor miembro (e.d., a
cliente del dominio) cliente del dominio)
Si al degradarlo fuese el ltimo CD existente, elimina tambin el dominio
Instalacin de AD (ii) ( )
Instalando AD:
Nombre del nuevo dominio:
El nombre asignado al dominio tiene que ser un nombre DNS vlido
que debe estar registrado en el mismo
Si el DNS est configurado correctamente, el nuevo nombre se
registrar de forma automtica. Esto es lo conveniente
Al instalar el primer CD de un nuevo dominio/rbol/bosque, si el
DNS no permite actualizaciones automticas, ofrece la posibilidad de
instalar un servidor de DNS para controlar todo lo relacionado con el
nombre del dominio, los controladores de dominio, etc.
N b d d i i N tBIOS ibilid d Nombre de dominio NetBIOS: para compatibilidad con
versiones anteriores de Windows (nombre corto)
Nivel funcional del bosque: establece la versin mnima de q
sistema operativo de los controladores de dominio:
Windows Server 2008, Windows Server 2003, Windows 2000 nativo
y Windows 2000 mixto (predeterminado),
y (p )
Instalacin de AD (iii) ( )
Instalar AD: Instalar AD:
Ubicacin de la base de datos y el registro de AD
Por defecto %SystemRoot%\ntds\ (el valor de %SystemRoot% es c:\windows\)
La BD de AD contendr los objetos y sus propiedades
Los archivos de registro de AD registrarn las actividades del servicio
de directorio
Tienen que ser en una unidad con formato NTFS
Ubicacin del Volumen de sistema compartido
Por defecto, %SystemRoot%\sysvol Por defecto, %SystemRoot%\sysvol
Sysvol es un recurso compartido que contiene informacin del
dominio que se replica al resto de controladores de dominio de la red
Tiene que estar en una unidad NTFS Tiene que estar en una unidad NTFS
Almacena la copia de servidor de las carpetas pblicas del dominio
Instalacin de AD (iv)
Configurando un Servidor miembro
En la herramienta Propiedades del Sistema en la ficha
Nombre del equipo indicamos el dominio al que
queremos unir ese equipo queremos unir ese equipo
Pedir un usuario y su clave para autenticarse en el dominio,
habr que indicarle el usuario administrador q
En esa ficha tambin se ve si el equipo ya pertenece a
un dominio o bien a un grupo de trabajo
Herramientas de AD
Asistente de instalacin de AD
Dominios y confianzas de AD y f
Cambia el modo de funcionamiento del dominio, gestionando las
relaciones de confianza entre dominios, rboles de dominio y
bosques de dominios
Usuarios y equipos de AD
Crear, gestionar y configurar usuarios, grupos, equipos y unidades
organizativas del AD g
Sitios y servicios de AD
Crear y configurar sitios de dominios, y gestionar el proceso de
duplicacin de controladores de dominio duplicacin de controladores de dominio
Esquema de AD
Modificar el esquema que definen los objetos y propiedades de AD
Dominios y confianzas de AD Dominios y confianzas de AD
Herramientas administrativas/Dominios y confianzas de AD Herramientas administrativas/Dominios y confianzas de AD
Permite:
Administrar relaciones de confianza entre dominios:
Los usuarios de un dominio pueden acceder a recursos ubicados en
otro dominio en que se confe
Establecer sufijos de nombre principal de usuario (UPN) y
d d d i i nodos de dominio:
Como sufijo del nombre principal de usuario, se utiliza el nombre de
dominio (pilar@aso.es), pero se pueden establecer alternativos
Cambiar el nivel de funcionalidad del dominio
Cambiar el CD que hace de maestro de operaciones
Cambiar el s ario q e es el administrador designado para el Cambiar el usuario que es el administrador designado para el
dominio
Siti i i d AD Sitios y servicios de AD
Para ejecutarlo: Herramientas administrativas /Sitios y servicios de AD
Default-First-Site-Name: sitio por defecto creado al crear el
primer controlador de dominio p
Cada sitio tiene varios contenedores:
Servers (Servidores) con los diferentes controladores de dominio del
sitio, as como varios objetos entre ellos: , j
Licensing Site Settings
NTDS Setings, que permite deshabilitar la generacin automtica de
replicacin en todas sus posibilidades
Las propiedades del sitio permiten especificar una descripcin y
su ubicacin, y temas relacionados con la seguridad
Con subnet se pueden establecer los lmites de un sitio: p
direccin de red y mscara de red
Si hay ms de un sitio es necesario definir subredes para que AD sepa
ubicar los controladores de dominio en las subredes y sitios apropiados
Siti i i d AD (ii) Sitios y servicios de AD (ii)
Permite, entre otras tareas:
Crear nuevos sitios
Habilitar/deshabilitar un dominio como catlogo global Habilitar/deshabilitar un dominio como catlogo global
Designar un servidor de cabeza de puente, que maneja la
transferencia de rplica de datos hacia y desde un sitio, y enva los
datos recibidos a los otros controladores del sitio datos recibidos a los otros controladores del sitio
Reparar controladores de dominio
Configurar el transporte entre sitios, definiendo posibles
i l i d i i i i l conexiones lgicas entre dos o ms sitios, para optimizar los
procesos de replicacin entre sitios, su velocidad, etc.
H i t l d d Herramientas en lnea de rdenes
Dsadd aade equipos, contactos, grupos, unidades
organizativas y usuarios
Dsget muestra propiedades de equipos, contactos, grupos, Dsget muestra propiedades de equipos, contactos, grupos,
unidades organizativas, usuarios, sitios, subredes y servidores
Dsmod modifica las propiedades de equipos, contactos,
id d i ti i id grupos, unidades organizativas, usuarios y servidores
Dsmove mueve un objeto a una nueva ubicacin en el
dominio, o lo renombra
Dsquery localiza equipos, contactos, grupos, unidades
organizativas, usuarios, sitios, subredes y servidores dentro de
AD utilizando criterios de bsqueda AD utilizando criterios de bsqueda
Dsrm elimina objetos del AD
Administracin de directivas en AD Administracin de directivas en AD
Con la herramienta Administracin de directivas de grupo Con la herramienta Administracin de directivas de grupo
Por defecto no se instala, hay que instalarla mediante la
herramienta Programas y caractersticas, y aparecer como una g y , y p
nueva opcin de men dentro de Herramientas Administrativas
Para el dominio, los sitios, o las unidades organizativas se pueden
asignar directivas de grupo y editar los valores correspondientes asignar directivas de grupo, y editar los valores correspondientes
Dependiendo del nivel de aplicacin afectarn a los
equipos/usuarios correspondientes:
Dominio todos
Sitio equipos de ese sitio
Unidad organizativa equipos/usuarios de esa u.o.

Configuracion de Active Directoty PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configuracion de Active Directoty PDF

Cargado por

Copyright:

Formatos disponibles

Tema 13 Tema 13.

También podría gustarte