Trucos Directorio Activo

Trucos, tcnicas y
conceptos avanzados
de Directorio Activo
Alejandro Mezcua
Responsable tcnico
Zaltor Soluciones Informticas
Microsoft MVP .NET
amezcua@zaltor.com
Agenda
Conceptos
El interior del Directorio Activo
Manejo de LDAP. Bsquedas
Scripts
Extensin de la consola de administracin
MMC
Nuevas Utilidades Windows 2003
Herramientas de diagnstico y
monitorizacin
Agenda
Conceptos
Scripts
MMC
monitorizacin
Conceptos
DNS
Particiones
Replicacin
FSMO
Catlogo Global
Conceptos
DNS (I)
Base de toda la infraestructura del Directorio

Activo
Se puede utilizar cualquier servidor de DNS
para mantener la informacin
Con servidores Windows se dispone de
actualizaciones automticas
Con servidores Windows se puede
almacenar la informacin de zonas en el
propio Directorio Activo y aprovechar la
replicacin para propagar los cambios
Conceptos
DNS (II)
Los servicios se buscan realizando consultas de tipo SRV. Ej.

Consulta para encontrar servidores de GC
C:\Documents and Settings\administrator.ZALTORMOVIL>nslookup
Default Server: gandalf.zaltormovil.local
Address: 192.168.1.254
> set type=SRV
> _gc._tcp.zaltormovil.local
Server: gandalf.zaltormovil.local
Address: 192.168.1.254
_gc._tcp.zaltormovil.local
SRV service location:
priority
= 0
weight
= 100
port
= 3268
svr hostname
= gandalf.zaltormovil.local
_gc._tcp.zaltormovil.local
SRV service location:
priority
= 0
weight
= 100
port
= 3268
svr hostname
= hades.zaltormovil.local
gandalf.zaltormovil.local
internet address = 192.168.1.254
hades.zaltormovil.local internet address = 192.168.1.253
>
Conceptos
DNS (III)
Ej. Consulta para localizar los controladores de dominio

> _ldap._tcp.dc._msdcs.zaltormovil.local.
Server: gandalf.zaltormovil.local
Address: 192.168.1.254
_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location:
priority
= 0
weight
= 100
port
= 389
svr hostname
= hades.zaltormovil.local
_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location:
priority
= 0
weight
= 100
port
= 389
svr hostname
= gandalf.zaltormovil.local
hades.zaltormovil.local internet address = 192.168.1.253
gandalf.zaltormovil.local
internet address = 192.168.1.254
>
Conceptos
Particiones (I)
Particiones = AD Naming Contexts
Permiten disponer de secciones del Directorio Activo

independientes que se pueden replicar de manera individual
Por omisin se cuenta con:
Un contexto es equivalente a una particin
Schema Naming Context

Configuration Naming Context
Domain Naming Context
Se pueden generar nuevos contextos de nombres
Denominados Application Naming Contexts o Application

Directory Partitions
Permitirn la replicacin bajo reglas propias definidas (p.e.
replicados slo a ciertos DCs)
Conceptos
Particiones (II)
Schema Naming Context
Contiene la definicin de todas las definiciones

de clases de todos los objetos y atributos del
directorio activo.
Active Directory Schema MMC
Conceptos
Particiones (III)
Configuration Naming Context
Mantiene informacin acerca de la configuracin

de todo el Forest, incluyendo informacin acerca
de los dominios, controladores de dominio,
replicacin, subredes, etc.
Visible mediante ADSIEdit
Conceptos
Particiones (IV)
Domain Naming Context
Contiene toda la informacin de los objetos

definidos en el dominio. Estos objetos se
replican exclusivamente a aquellos
controladores (DCs) que forman parte del
dominio.
Visible mediante ADSIEdit
Conceptos
Replicacin (I)
Copia de los objetos entre DCs del directorio

activo
AD Desde el punto de vista de la replicacin
Dominios
Sites
Engloba, bajo un mismo contexto de nombres y de

seguridad, N equipos (clientes servidores)
Reflejan la estructura fsica de la red.
Subredes
Una vez definidas, los servidores, segn su direccin IP,

se unirn automticamente a los sites adecuados (en el
momento de la instalacin)
Conceptos
Replicacin (II)
Entre DCs de un site la replicacin es

automtica
Entre DCs de distintos sites hay que

configurar conectores
Los conectores llevan asociados costes

dependiendo de las posibles conexiones
fsicas
Conceptos
FSMO (I)
Flexible Single Master of Operations
La mayora de las tareas funcionan en modo Multiple

Master (cualquier servidor)
Ciertas tareas del directorio activo se dejan en manos de un
solo servidor
Se puede seleccionar a qu servidor asignar cada rol.
Cinco roles FSMO
Emulador de PDC
RID Master
Infrastructure Master
Domain Naming Master
Schema Master
Conceptos
FSMO (II)
Emulador de PDC
Uno por dominio

Da servicio de PDC a equipos no Windows 2k+,
p.e. BDCs NT4.0
Sincroniza tiempos y sincroniza la creacin de
polticas de grupo
Domain Master Browser
Se determina el servidor en:
Active Directory Users and Computers (botn derecho

dominio)
Men Operations Masters
Tab PDC
Conceptos
FSMO (III)
RID Master (Relative ID Master)
Uno por dominio

Encargado de la asignacin de identificadores
nicos (p.e. GUIDs)

dominio)
Tab RID
Conceptos
FSMO (IV)
Infrastructure Master
Uno por dominio

Responsable de la comprobacin de pertenencia
a grupos universales en entornos multidominio
Responsable de la actualizacin de referencias
de objetos de su dominio a otros dominios

dominio)
Tab Infrastructure
Conceptos
FSMO (V)
Domain Naming Master
Uno por forest

Responsable de que los nombres de dominio
sean nicos
Controla el que se puedan aadir nuevos
dominios
Active Directory Domains and Trusts (botn derecho en

raz de la consola)
Men Operations Master
Conceptos
FSMO (VI)
Schema Master
Uno por forest

Controla cambios y actualizaciones del esquema
Registrar MMC de Active Directory Schema

C:\>regsvr32 schmmgmt.dll
Active Directory Schema (botn derecho en raz de la
consola)
Men Operations Master
Conceptos
FSMO (VII)
Los cambios de rol se pueden realizar

tambin con Ntdsutil.exe
Permite realizar mltiples operaciones
Opcin Roles permite realizar cambios de rol de

FSMO
Conceptos
FSMO (VIII)
Qu hacer en caso de fallo completo de un

equipo que gestionaba un FSMO?
A travs de ntdsutil.exe
Opcin Roles -> Seice : Rol
Permite pasar el rol a otro DC
El DC original no se debe volver a poner en la red
Agenda
Conceptos
Scripts
MMC
monitorizacin

Esquema
Definicin formal de todos los objetos

Directorio Activo y sus atributos
Cada tipo de objeto (clase) deriva de una
clase principal Top
Las clases heredan de otras clases su definicin

y comportamiento
Cada objeto dispone de atributos

obligatorios y atributos opcionales
Smil con una tabla de BBDD Relacional
Clase => Definicin en una fila de un objeto

Atributos => Columnas que definen una clase

Esquema (II)
Cada atributo a su vez puede verse como

una coleccin de posibles valores
El Esquema se puede ver en la consola de

Active Directory Schema
Se pueden ver/aadir/modificar clases y atributos

por separado

Nomenclatura de objetos (I)
Cada objeto se designa por su DN

(Distinguished Name)
Este recorre la estructura del DA en forma de

rbol
Cada objeto dispone de un RDN (Relative

Distiguished Name) dentro de su mbito local
(p.e. dentro de una OU)
El DN de un objeto se compone de todos los
RDN de l mismo y de todos sus
contenedores

Nomenclatura de objetos (II)
Ej. De DN
Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local
1.
Common Name = alex

Organizational Unit = usuariosdemo
Domain Component = zaltormovil
Domain Component = local
2.
3.
4.

Nomenclatura de objetos (III)
Cada objeto lleva asignado un GUID nico (asignado

por RID)
Objetos de tipo Security Principals (usuarios, grupos,

equipos; objetos con acceso a recursos) adems disponen
de SID
El nombre de un usuario o de un PC puede cambiar,

pero su GUID no.
EL GUID se puede ver con ADSI Edit
Atributo: objectGUID

Catlogo Global (I)
Dentro de un dominio, cada DC dispone de

una copia completa de la base de datos
En un entorno multi-dominio se pueden

designar servidores que mantengan copias
parciales de los datos de todo el forest
Servidores de Catlogo Global
Para disminuir tamao slo se almacenan los

valores de ciertos atributos

Catlogo Global (II)
Cualquier DC puede tomar el rol de Catlogo

Global
El servidor de GC se usa para facilitar

consultas en entornos multidominio
Es recomendable, en entornos multidominio,

disponer de un servidor de GC en cada site

Catlogo Global (III)
En la consola (MMC) del esquema se puede

indicar qu atributos se replican en el
Catlogo Global

RootDSE
RootDSE es parte del estndar de LDAPv3.0
Definido en RFC 2251
Define la raz de bsqueda en un servidor

LDAP
Muestra, entre otras cosas, las particiones

bsicas a las que se puede conectar un
cliente

Resolucin Ambigua de Nombres (I)
Permite la bsqueda de un determinado

valor en mltiples atributos simultneamente
Se pone a disposicin de los usuarios un

interface de bsqueda de gente
Se puede hacer una bsqueda en la casilla

Nombre y se devolvern N resultados con
diferentes coincidencias

Resolucin Ambigua de Nombres (II)
Por defecto las bsquedas se hacen sobre
sn (surname)
givenName
physicalDeliveryOfficeName
sAMAccountName (cuenta NT)
En el esquema se puede definir qu atributos

estn incluidos en ANR
A travs de la consola (MMC)

Han de estar indexados

Resolucin Ambigua de Nombres (III)
Ejemplo:
Si se quiere que la gente pueda realizar una

bsqueda por telfono mvil del usuario, se
indexa el atributo mobile y se incluye en el ANR
Uso de la consola de Schema de Directorio Activo
Agenda
Conceptos
Scripts
MMC
monitorizacin

LDP (I)
Herramienta de soporte para realizar

bsquedas LDAP
Vale para cualquier tipo de servidor LDAP, no

slo para AD

LDP (II)
Pasos:
Conexin con un servidor LDAP
Antes de consultar hay que validar
Por defecto devuelve RootDSE

Opcin bind con usuario y contrasea
Buscar
Definir el mbito de la bsqueda (Base DN)

Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
Profundidad de la bsqueda (En el mbito dado)
Resultados a devolver (Qu atributos extraer)

LDP (III)
Demo bsqueda sencilla
Lista de usuarios en una OU dada

Obtener su GUID, SID y displayName
Base DN: OU=usuariosdemo,DC=zaltormovil,DC=local

Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName

LDP (IV)
Ejemplo de bsqueda por SID
Obtener los datos del usuario a travs de su SID
Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623>


LDP (V)
Ejemplo de bsqueda por GUID
Obtener los datos del usuario a travs de su

GUID
Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d>


LDP (VI)
Ejemplo de bsqueda compleja.
Lista de todos los atributos que se replican al

catlogo global
Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local

Filter: (&(objectCategory=attributeSchema)
(isMemberOfPartialAttributeSet=TRUE))
Scope: Subtree
Options - > Attributes: lDAPDisplayName

LDP (VII)
Ejemplo de bsqueda de usuarios

eliminados.
Ventana de seguridad muestra usuario en forma

de:
Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)
Base DN: <SID=S-1-5-21-4091595955-23244848454052817843-1112>

Filter: objectClass=*
Scope: Base
Options -> Attributes: objectGUID;objectSid
Options -> Search type -> Extended
Options -> TimeOut -> 120
Options -> Controls -> Return Deleted Objects
Agenda
Conceptos
Scripts
MMC
monitorizacin
Scripts
Windows pone a disposicin del sistema una

librera que permite, entre otras cosas,
acceder al Directorio Activo mediante cdigo
ADSI (Active Directory Services Interface)
La programacin se realiza en lenguajes de

Script
VBScript
JScript
Scripts
Demo Script
Ej de uso de scripts para administracin de

AD. Creacin de 100 usuarios (VBScript)
Set objRootDSE = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://ou=milusuarios," & _
objRootDSE.Get("defaultNamingContext"))
For i = 1 To 100
Set objLeaf = objContainer.Create("User", "cn=UserNo" & i)
objLeaf.Put "sAMAccountName", "UserNo" & i
objLeaf.SetInfo
Next
WScript.Echo "100 Usuarios creados."
Scripts
Technet Script Center
Coleccin de scripts que sirven como base

para realizar tareas de administracin muy
elaboradas
Cientos de ejemplos agrupados por reas en

TechNet Script Center
http://www.microsoft.com/technet/scriptcenter
Agenda
Conceptos
Scripts
MMC
monitorizacin
Extensin de la consola MMC
El entorno de administracin MMC es

extensible
Permite aadir nuevas funcionalidades
Por ejemplo MS Exchange aade nuevas

pginas de propiedades a las propiedades de
un usuario

Display Specifiers
En el esquema de DA existen objetos de tipo

displaySpecifiers
En el apartado de configuracin
Determinan la localizacin o los idiomas en

los que se mostrarn ciertos elementos de la
consola de administracin
409 - ingls

Specifier: user-Display (I)
Permite extender las propiedades de un

usuario
Dependiendo de los valores de sus atributos

mostrar unas cosas u otras
Atributo adminContextMenu
Permite aadir una nueva opcin de men al

men contextual de un usuario

Specifier: user-Display (II)
Ej. Nuevo men
Men sencillo de ejemplo. Simplemente obtiene

la informacin del objeto (path) y extrae su RDN
De esta forma se puede llamar a cualquier

ejecutable que acepte parmetros por la lnea
de comandos
Ms informacin en:
http://msdn.microsoft.com/library/enus/netdir/ad/extending_the_user_interface_for_di
rectory_objects.asp?frame=true

Specifier: user-Display (III)
Ej. Nuevo men
Men que obtiene el listado de grupos a

los que pertenece un determinado usuario
de manera recursiva.
Se modifica la propiedad adminMenu

Obtiene grupos dentro de grupos
Script: getUserGroups.hta

Specifier: computer-Display
Ej. Nuevo men
Men que obtiene la lista de software

instalado en el equipo va WMI
Se modifica la propiedad adminMenu

Script: getSoftInstalado.hta
Agenda
Conceptos
Scripts
MMC
monitorizacin

Group Policy Management SnapIn
MMC que permite gestionar las polticas de

manera mucho ms sencilla
Interface muy intuitivo vlido para todo el

forest
Dispone de informes de aplicacin de GPO
Permite aplicar GPOs por filtros de WMI (no

slo por usuarios o grupos)

ADAM
ADAM: Active Directory Application Mode
Versin de Directorio Activo independiente

de la infraestructura de la red
Permite disponer de un Directorio Activo

aislado y controlado til para aplicaciones
independientes
No interfiere con AD de la red

Sincronizable con AD de la red mediante
Microsoft Identity Integration Server

Descarga de las utilidades
Estas utilidades y ms se pueden descargar

en:
http://www.microsoft.com/windowsserver2
003/downloads/default.mspx
Agenda
Conceptos
Scripts
MMC
monitorizacin
monitorizacin
Netdiag.exe
Realiza diversas comprobaciones de

la red. til para trazar problemas de
conectividad, DNS, LDAP, etc.
monitorizacin
Dcdiag.exe
Realiza diversas comprobaciones de

diagnstico del servidor como
Controlador de Dominio
monitorizacin
Dsastat.exe
Permite determinar si la estructura de

DA de N servidores es igual (para
verificar que se ha realizado la
replicacin correctamente)
monitorizacin
ReplMon.exe
Replication Monitor. Mustra

grficamente el estado de la
replicacin entre servidores
monitorizacin
Repadmin.exe
Utilidad muy extensa que permite

trabajar con cmo est establecida la
configuracin de replicacin
Referencias
Web de Technet en Espaa
www.microsoft.com/spain/TechNet/
Zaltor Soluciones Informticas
www.zaltor.com

Trucos Directorio Activo

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Trucos Directorio Activo

Cargado por

Copyright:

Formatos disponibles

Trucos, tcnicas y

Base de toda la infraestructura del Directorio

Los servicios se buscan realizando consultas de tipo SRV. Ej.

Ej. Consulta para localizar los controladores de dominio

Particiones = AD Naming Contexts

Permiten disponer de secciones del Directorio Activo

Un contexto es equivalente a una particin

Schema Naming Context

Se pueden generar nuevos contextos de nombres

Denominados Application Naming Contexts o Application

Schema Naming Context

Contiene la definicin de todas las definiciones

Active Directory Schema MMC

Configuration Naming Context

Mantiene informacin acerca de la configuracin

Visible mediante ADSIEdit

Domain Naming Context

Contiene toda la informacin de los objetos

Visible mediante ADSIEdit

Copia de los objetos entre DCs del directorio

Engloba, bajo un mismo contexto de nombres y de

Una vez definidas, los servidores, segn su direccin IP,

Entre DCs de un site la replicacin es

Entre DCs de distintos sites hay que

Los conectores llevan asociados costes

Flexible Single Master of Operations

La mayora de las tareas funcionan en modo Multiple

Cinco roles FSMO

Uno por dominio

Active Directory Users and Computers (botn derecho

RID Master (Relative ID Master)

Uno por dominio

Active Directory Users and Computers (botn derecho

Uno por dominio

Active Directory Users and Computers (botn derecho

Domain Naming Master

Uno por forest

Active Directory Domains and Trusts (botn derecho en

Uno por forest

Registrar MMC de Active Directory Schema

Los cambios de rol se pueden realizar

Permite realizar mltiples operaciones

Opcin Roles permite realizar cambios de rol de

Qu hacer en caso de fallo completo de un

Opcin Roles -> Seice : Rol

Permite pasar el rol a otro DC

El DC original no se debe volver a poner en la red

El interior del Directorio Activo

Definicin formal de todos los objetos

Las clases heredan de otras clases su definicin

Cada objeto dispone de atributos

Clase => Definicin en una fila de un objeto

El interior del Directorio Activo

Cada atributo a su vez puede verse como

El Esquema se puede ver en la consola de

Se pueden ver/aadir/modificar clases y atributos

El interior del Directorio Activo

Cada objeto se designa por su DN

Este recorre la estructura del DA en forma de

Cada objeto dispone de un RDN (Relative

El interior del Directorio Activo

Common Name = alex

El interior del Directorio Activo