P. 1
Windows 2008 Server, Directorio Activo

Windows 2008 Server, Directorio Activo

|Views: 164|Likes:
Publicado porchorchinho

More info:

Published by: chorchinho on Apr 17, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

04/17/2012

pdf

text

original

WINDOWS SERVER 2008

Novedades de Windows Server 2008
1. Server Core: es una versión que nos permite instalar un sistema operativo sin interfaz gráfica. 2. PowerShell: inclusión de una consola mejorada con soporte GUI para administración. Permite programar scripts. 3. Virtualización de Windows Server: mejoras en el rendimiento de la virtualización. Nuevo motor de virtualización llamado Hyper-V (sustituye al VirtualPC). 4. Windows Hardware Error Architecture (WHEA): protocolo mejorado y estandarizado de reporte de errores. 5. Address Space Load Randomization (ASLR): protección contra malware en la carga de drivers en memoria. 6. Sistema de archivos SMB2: versión 2 de SMB, de 30 a 40 veces más rápido el acceso a los servidores multimedia. 7. Kernel Transaction Manager: mejoras en la gestión concurrente de recursos. 8. Cierre limpio de Servicios: se acabó el tiempo de espera antes de la finalización de servicios. 9. Creación de sesiones de usuario en paralelo: reduce tiempos de espera en los Terminal Services y en la creación de sesiones de usuario a gran escala. 10. Nuevo proceso de reparación de sistemas NTFS: proceso en segundo plano que repara los archivos dañados. 11. Arranque diferido de servicios: también incluido en Windows Vista y 7, permite hacer más rápido el inicio de Windows ya que no se cargan todos los servicios al inicio, sino que alguno se cargan en una segunda fase. 12. Windows Deployment Services (WDS): permite instalar sistemas operativos Windows por red. Es el sucesor de Remote Installation Services (RIS). Inicialmente pensado para desplegar Windows Vista, 7 y 2008 Server, también se puede utilizar con sistemas Windows anteriores.

1

A diferencia con Windows 2003. Incluye servidor de archivos. 64 GB de RAM en 32 bits y 2 TB en 64 bits. Clúster de hasta 16 nodos. de impresión y de comunicaciones. Soporta hasta 8 procesadores (de 32 o 64 bits).Ediciones Web Editión: para albergar servidores web. Con EFS (Encrypted File System) se mejora la seguridad cifrando el contenido. Servidor de impresión: publica las impresoras disponibles y establece privilegios de uso a los usuarios. Datacenter Edition: para grandes empresas de datos. Soporta el mismo hardware que la Web Edition. Conexión en caliente de memoria y procesadores. Se permite compartir carpetas entre usuarios. despliegue de servicios web usando UDDI. hasta 4 GB de RAM en 32 bits y 32 GB en 64 bits. memoria igual que la versión anterior. fijar privilegios por usuario o por grupo.0. Con DFS (Distributed File System) se puede crear un sistema de archivos distribuido para que los usuarios accedan a los datos sin saber su ubicación física. También hace copias de seguridad. No limita el número de conexiones VPN (como hace la versión standard). Standard Edition: para pequeñas y medianas empresas. Servidor de aplicaciones: con IIS 7. Servidor web 2 - - - . Ofrece los drivers para los sistemas operativos que utilizarán la impresora liberando al administrador de tener que instalar los drivers localmente. Contiene el IIS pero no servidores de archivos ni de impresión. No limita la creación de imágenes virtuales con hyper-V. Permite ejecutar hasta 4 imágenes virtuales con hyper-V. Es la edición más utilizada. esta edición permite arquitecturas de 64 bits. Soporta hasta 32 procesadores de 32 bits y 64 procesadores de 64 bits. Directorio Activo y Terminal Server. Clúster de 16 nodos. Enterprise Edition: para medianas y grandes empresas. y establecer cuotas de disco por usuario. Soporta hasta 4 procesadores (de 32 o 64 bits). NUMA. Sólo permite utilizar una imagen virtual con hyper-V. - - Funciones de un servidor Servidor de archivos: facilita el acceso compartido de los datos a los usuarios aunque utilicen otro sistema operativo gracias al uso de NFS (Netword File System). Permite añadir memoria en caliente.

El directorio activo se basa en el estandar LDAP. puede estar instalado en otro equipo de la red con otro sistema operativo. convirtiendose así en un servidor de acceso a Internet. La instalación de un controlador de dominio implica la instalación de un servidor DNS que se ocupará de resolver las direcciones de los equipos del dominio. puede hacer NAT. Servidor DHCP Servidor WDS (Windows Deployment Service): sustituye a RIS (Remote Installation Service) de Windows 2003. El sistema tendrá una base de datos con información de todos los objetos del dominio. - - - - DIRECTORIO ACTIVO Controladores de dominio Una de las principales funciones del servidor es la autenticación y la autorización de los usuarios para acceder a los recursos y la comunicación entre los clientes. Esta carpeta compartida 3 . Permite instalar sistemas operativos Windows en los clientes desde el servidor de forma desatendida. Aunque dicho servidor no tiene porque ser Windows. Servidor de enrutamiento de tráfico: Windows Server 2008 puede funcionar como un router y. Los DC tienen la base de datos del dominio (ntds. por tanto. Los servidores que tienen dicha base de datos son los controladores de dominio (DC). También puede funcionar como un servidor de tipo RADIUS para autenticar y autorizar a usuarios de conexiones remotas como VPN o redes inalámbricas. un archivo de registro y una carpeta compartida (SYSVOL) donde se guarda todo el contenido público del dominio y que se replicará por todos los DC del dominio. Servidor DNS: proporciona a los clientes las direcciones IP de los servidores de la empresa. pero si la empresa es grande y requiere acceso desde el exterior puede ser necesario instalar un servidor DNS.- Servidor de terminales: permite que los clientes abran sesión en el servidor y ejecuten sus aplicaciones de forma remota. Servidor de Directorio Activo: administración centralizada de la red. Terminal server. Normalmente con WINS es suficiente.util). y deben tener instalado el servicio de directorio activo. Servidor de acceso y directivas de red: puede trabajar como servidor de acceso remoto (RAS) utilizando VPN y NAP (Network Access Protection) para crear una red virtual entre un usuario remoto y el servidor de forma que este tenga acceso a los recursos de la red como si estuviera en la LAN.

Estructura del Directorio Activo Un dominio se identifica por un nombre del tipo banpato. existiendo una relación de confianza entre ellos y compartiendo una réplica de la base de datos (el esquema). No se puede utilizar un servidor como controlador de 2 dominios. según el cual cualquier DC es capaz de procesar cambios en el dominio y propargarlos automáticamente al resto de DC. equipos. Varios árboles forman un bosque.com. Windows Server 2008 utiliza un modelo de replicación multimaestro. secuencias de comandos de inicio y fin de sesión.patosa. grupos. con 3 dominios: uno ráiz y 2 subdominios. La estructura que forman es de árbol. etc. la base de datos y los datos del 4 . El primer dominio que se cree en el bosque será la raíz del bosque. Puede haber más de un dominio. En la imagen tenemos un árbol.contiene datos como las políticas de grupo. Los dominios pueden contener unidades organizativas. usuarios y directivas de grupo. Entre árboles se puede crear una relación de confianza. cada uno con su DC. Todos los árboles de un bosque comparten un catálogo global.

grupos y otras unidades organizativas. no se utilizan para la asignación ni la administración de acceso. por ejemplo. la autenticación comprueba si el usuario tiene permisos. Los permisos asignados a las cuentas de usuario y de grupo determinan qué acciones podrán llevar a cabo los usuarios. 5 . Cuando un usuario inicia sesión con una cuenta de usuario de dominio. en departamentos. Son el elemento más pequeño al que pueden aplicarse directivas de grupo. Permite organizar los objetos simulando su estructura real.directorio. se utilizan como listas de distribución de correo electrónico. Existen tres tipos de grupos en Windows Server: Grupos locales: sólo válidos en un equipo local. Después. así como a qué equipos y recursos tendrán acceso. Un usuario de un grupo tiene unos privilegios para acceder a unos recursos. equipos. Se utilizan para gestionar los recursos de varios usuarios a la vez. La autenticación consta de 2 partes: por un lado el inicio de sesión y por otro la autenticación de red. Tienen una serie de atributos. y cuentan con relaciones de confianza lo que permite que un usuario de un dominio inicie sesión en otro dominio del bosque. por defecto. nombre. el sistema comprueba su identidad y le da acceso a los servicios del AD. Cuentas de usuario Se utilizan para permitir que usuarios inicien sesión en la red y accedan a recursos compartidos. Un usuario puede pertenecer a varios grupos. Pueden ser locales o de dominio. Cuentas de grupos o grupos Son conjuntos de atributos a los que otros objetos pueden pertenecer. dirección y telefono. cuando el usuario intenta acceder a los recursos de la red. Las cuentas se crean a nivel de dominio o de OU y una cuenta siempre pertenece a un dominio. contraseña. Un grupo afecta a la seguridad del dominio mientras que la OU afecta a la funcionalidad. Grupos de distribución: definidos en el dominio. Unidades Organizativas Contenedor que puede tener usuarios. También permiten dividir las tareas de administración. No pueden tener asociados descriptores de seguridad. Una cuenta permite la autenticación del servidor y también define unos permisos por defecto a parte de los definidos en los grupos a los que pertenezca. utiliza Kerberos v5. por ejemplo. Windows Server 2008 admite muchos protocolos de autenticación de red.

grupos globales y universales de cualquier dominio. Grupos universales: utilícelos para consolidar grupos que se extienden por varios dominios. Entonces. Grupos globales: se utilizan para definir conjuntos de usuarios o equipos del mismo dominio que comparten una función o trabajo similar. para conceder permiso de acceso a un recurso sólo tendrá que hacer miembro del grupo local de dominio al grupo global. grupos locales de dominio sólo del mismo dominio.- Grupos de seguridad: definidos en el dominio y se utilizan para asignar permisos a los recursos compartidos. Existen dos tipos de replicación: Intrasite: se realiza entre DC del mismo sitio. 6 . Esto se consigue añadiendo gupos globales como miembros. global y universal: Grupos locales de dominio: utilícelos para administrar el acceso a los recursos. Grupos globales: utilícelos para administrar cuentas de usuario y de grupo de un dominio concreto. Esta replicación se activa por un evento. Sus miembros pueden ser cuentas de grupos globales del mismo dominio. Ámbitos de un grupo Dentro del AD los grupos pueden tener varios ámbitos: - Grupos locales de dominio: se utilizan para asignar permisos de acceso a recursos dentro de un único dominio. como por ejemplo. Normalmente se utilizan los sitios para optimizar el tráfico de replicación entre los DC. Esta replicación es programada cada cierto tiempo y se realiza exista o no cambios. a los 15 segundos de producirse un cambio se activa la replicación. Intersite: se realiza entre DC de distintos sitios. - - Utilización de los grupos de dominio local. Pueden ser también grupos de distribución. impresoras o carpetas compartidas. Son útiles en grandes organizaciones con muchos dominios. Sus miembros pueden ser cuentas de cualquier dominio y grupos globales y universales de cualquier dominio. ya que simplifican la administración del sistema. Grupos universales: se utilizan para definir conjuntos de usuarios o equipos que deberían tener permisos aplicables a todo un dominio o bosque. Cuentas de equipo … Sitios Un sitio es una agrupación de subredes. Sus miembros pueden ser cuentas.

El esquema se modifica desde la consola de esquema.dll. si se modifica el esquema en un dominio lo estoy haciendo para todos los dominios del bosque. OU=patosoft. cuando un equipo realiza una llamada a un DC lo hará preferentemente a un DC de su propio sitio. un usuario se autentificará a cualquiera de los DC del dominio. DC=patosa. este cambio afectaría a todos los usuarios del Active Directory y se aplicaría a todos los usuarios del bosque. OU=formacion. Por ejemplo.patosa. las OU con OU y el objeto con CN. si quisiesemos añadir un nuevo atributos a la clase usuarios. Ejemplo: CN=nombre. - Esquema del Directorio Activo El esquema del directorio activo es el esquema de la base de datos donde podemos ver una definición formal de todas las clases de objetos que se pueden crear dentro del bosque así como de sus atributos. garantizamos que los usuarios se autentificarán a DC de su propia red o subred. Otra ventaja para crear sitios es que. aunque se encuentren en otra red o en una ubicación lejana. Para habilitarla es necesario registrar la dll regsvr32schmmgmt. Un equipo reconoce a un DC de su red por la dirección IP. Los dominios de un bosque comparten el mismo esquema. Ejemplo: CN=francisco. A esos servidores se les llama maestros.com/formacion/francisco Esta forma se llama nombre canónico. por tanto. De esta forma. Absoluta: debemos ir desde la raíz del dominio superior hasta llegar al dominio. 7 . DC=com Esto recuperaría la cuenta de usuario francisco.Por tanto. Otra forma sería: Patosoft. Relativa: si estamos dentro de un dominio o de una OU podemos efectuar una búsqueda usando el nombre relativo. Maestros de operaciones Existen algunas funciones que sólo pueden ser realizadas por un servidor dentro del dominio y otras que sólo pueden ser realizadas por un servidor dentro del bosque. con los sitios reducimos la transferencia de información entre los DC de distintos sitios. OU y el objeto. Si no existen sitios. Los dominios se identifican con DC. Referencias a objeto Para hacer referencia a un objeto podemos utilizar una referencia absoluta o relativa.

Maestro de infraestructura: tiene información parcial de todos los objetos del bosque para sincronizar cambios en los dominios del bosque.Funciones que deben estar disponibles dentro del bosque de un AD y que sólo podrá haber un equipo que realice cada una de estas funciones (puede que las realice un único equipo): - Maestro de esquema: controla las actualizaciones y cambios del esquema. si cambiamos una contraseña. - Funciones que deben estar disponibles en todos los dominios AD. También gestiona las directivas de contraseña. Los CD asignan un id de seguridad a cada usuario. Maestro emulador de PDC (Primary Domain Controller): permite compatibilidad con Windows NT. los cambios de contraseña y replica las actualizaciones en los BDC (Backup Domain Controller). se encarga de validar los nombres de los nuevos CD para que no coincidan con otros. Y algunas tareas más. nuestro CD recibe la petición de cambio y se la envía al maestro PDC para que sea él el que realice el cambio. Entre otras cosas. Ese ID está formado por el id. de esta forma centralizamos la tarea y evitamos problemas de incoherencia. El esquema sólo se puede modificar desde un CD. existe un maestro RID único en el dominio que se encarga de darle rangos de id. relativo.relativos a cada CD de forma que un CD utilizará un rango ID distinto al de cualquier otro CD. Maestro de nombres de dominio: controla la incorporación o eliminación de dominios al bosque. el maestro de infraestructura los notifica al resto de maestros de - - 8 . Procesa los inicios de sesión desde Windows NT. Si hay cambios en un objeto. Para que no se pueda dar el caso de que dos CD le den el mismo ID a dos objetos. de seguridad del dominio y el id. grupo o equipo que se cree. Cuando un CD acaba su rango de ids le hace una petición al maestro para que le asigne un nuevo rango de ids. El ID de un objeto debe ser único dentro del dominio. normalmente el primero en ser creado. pero que sólo va a poder realizar un equipo: - Maestro ID relativo o Maestro RID: asigna identificadores relativos a los CD. También se encarga de gestionar la marca horaria que se utiliza para la sincronización de los CD.

en automovilismo. Maestro emulador de PDC y un Maestro de infraestructura. un subdominio y el dominio raíz de otro árbol del bosque. en las telecomunicaciones. El dominio raíz del bosque sería patosa. de software. Cada uno de ellos es un servidor diferente y en localizaciones distintas. La configuración lógica sería: BANPATO tiene sucursales en varios paises. AUZDA y de catering. así como un árbol separado para la filial LCL con sus subdominios.infraestructura de los otros dominios. con subdominios para cada empresa. para facilitar un rápido inicio de sesión y asegurar la disponibilidad en caso de que fallen las líneas de comunicación necesitaríamos un DC en cada país. BANPATO. PATOSOFT. CATEL a través de la filial LCL. de esta forma el bosque se mantiene actualizado. Ejemplo de directorio activo La empresa Patosa tiene empresas en la banca. 9 .com. PATOTEL. En un dominio sólo puede haber un Maestro ID relativo. Vamos a implementar el dominio raíz. pero con la infraestructura necesaria para comunicarse.

com.com. Debemos indicar para que dominios queremos crear el DC. patosa. al crear el subdomoino debemos indicar el dominio raíz del que formará parte. mientras que los subdominios se registrarían en un servidor DNS propio. Nuestro server DNS puede estar instalado en cualquier ordenador con cualquier sistema operativo. Existen grupos ya predefinidos y podemos crear otros. Vamos a añadir un nuevo árbol al bosque. por ejemplo. Ahora tenemos en la organización un bosque con un árbol compuesto por un dominio raíz y un sudominio.com y lcl. es necesario tener al menos una unidad de almacenamiento con NTFS.com. Lo recomendable es que la base de datos esté en una unidad de almacenamiento distinta a la del registro. 10 . Administracion de la seguridad Los DC alojan la información y las funciones para autenticar los inicios de sesión y autorizar el acceso a los recursos.com) deberían registrarse en un servidor DNS público. le damos el nombre patosa. patosoft. por ejemplo. El aspecto más interesante de las OU es enlazar directivas de grupo.com. Una vez instalado el DC raíz pasaremos a instalar los controladores de los subdominios. lcl.patosa. que se replicarán entre todos los DC. Instalación del DC raíz: será la raíz del primer árbol y del bosque de dominios de la empresa. Ahora tenemos en la organización un bosque con un árbol compuesto por un dominio raíz del que formará parte. de esta forma se mejora el rendimiento del dominio. El DA crea en cada DC una base de datos con información de todos los objetos que se van definiendo y un archivo de registro. En una OU podemos meter de todo. patosa. Ahora debemos crear las OU y cuentas de equipos y usuarios. excepto dominios. También se necesita una carpeta compartida donde se almacena el contenido público del dominio. Al crear el nuevo DC. este nombre debe estar ya registrado en el servidor DNS (en el público). es decir. Gestión de grupos Cada cuenta de usuario puede formar parte de varios grupos. El nuevo DC puede configurarse como de sólo lectura de manera que será una copia idéntica del primer DC pero no permitirá realizar modificaciones. de forma que éstas recaigan sobre los objetos de la OU. La carpeta compartida sirve para almacenar elementos públicos del dominio como políticas de grupo. lo único necesario es que los servidores que sean DC estean configurados de forma que puedan utilizar esos servidores de DNS.El primer paso será registrar los dominios y subdominios que vamos a utilizar. que será la raíz del árbol y del bosque. Será patosa.com. También podríamos instalar nuevos DC para un dominio. Los dominios de primer nivel (patosa. porque el dominio abarca varias localizaciones geográficas.com. El DC contendrá OU y éstas a su vez podrán contener más OU. es decir.

El siguiente paso sería establecer los recursos compartidos. son: Usuarios y equipos: para crear usuarios. De esta forma. si ese controlador de dominio no es el que tiene el rol maestro. carpetas. por tanto. Se suelen utilizar este tipo de DC en oficinas donde no existe un administrador de sistemas y. Cambio de contraseñas El cambio de las contraseñas por parte de los usuarios es una tarea que se encuentra centralizada en un único DC. se evita el problema de que dos usuarios conectados con la misma cuenta intenten cambiar la contraseña de forma simultanea. 11 . Nos permite crear consolas personalizadas con los objetos que deseemos administrar.Cuentas de usuario Dentro de las OU crearemos las cuentas de usuario (también se pueden crear fuera de la OU). Los RODC no hacen caché de contraseñas. grupos. esta petición es enviada hasta el DC correspondiente. Dominios y relaciones de confianza: para crear dominios y relaciones de confianza entre dominios. Podemos agregarle a las cuentas de usuario grupos. sólo almacenan las contraseñas de los usuarios que se hayan establecido previamente. que será el único que puede realizar el cambio de las contraseñas. Estos DC tienen una copia de la base de datos (…). impresoras que pueden estar en el DC o en cualquier equipo del dominio. Por ejemplo. Herramientas de administración MMC (Microsoft Management Console) Interfaz gráfica que nos permite agregar complementos para actuar sobre determinados objetos del sistema. Existen 3 consolas creadas por defecto en el sistema operativo. con este tipo de DC se garantiza la seguridad ya que nadie puede realizar cambios desde ellos. va a redirigir dicha petición hacia el DC que posee ese rol. Para que existan este tipo de DC es necesario que exista previamente un DC normal. cuando un usuario desde un equipo cambia su contraseña. Se ejecuta con el comando mmc. Contralodores de dominio de sólo lectura En Windows Server 2008 se introdujo el concepto de controlador de dominio de sólo lectura (RODC). pero esta información no puede ser modificada por este tipo de DC. y gestionarlos. Estos DC reciben los datos de replicación desde otros DC pero ellos no replican la información. es lo que se conoce como rol maestro. equipos y OU.

como VBScript o JScript. Un archivo por lotes es un fichero que contiene comandos (iguales que los que se introducen en la línea de comandos) que se ejecutan como un lote. Se ejecuta con el comando cmd. WSH (Windows Scripting Host) o PowerShell Permite crear archivos por lotes y secuencias de comandos para realizar tareas repetitivas. que funciona sobre sistemas operativos GNU/Linux y otro UNIX. El servicio de DNS es un servicio poco pesado y que normalmente puede funcionar perfectamente dentro del mismo servidor donde tenemos un DC. trabajarían como servidores DNS primarios. es decir. Una secuencia de comandos es un fichero que contiene un determinado lenguaje de script. En Windows Server 2008 podemos integrar el servicio de DNS con el DC. es decir. “Samba”. El único requisito es que sea accesible desde el DC y que permita actualizaciones dinámicas. todos los DC pasan a compartir dicha información y a poder modificarla. Suele utilizarse por personal con un nivel técnico alto y permite realizar ciertas tareas de una forma más rápida que a través de la mmc. Notas SMB Server Message Block (SMB) es un protocolo de la capa de aplicación que permite compartir archivos e impresoras entro los nodos de una red. En el estándar DNS. Existe una implementación libre del protocolo. Con esto el DC integra el fichero de DNS dentro de la base de datos del controlador pasando a formar parte de la información del directorio activo y. 12 . Es utilizado principalmente en ordenadores con Microsoft Windows. Servidor DNS Para instalar un DC es necesario tener un servidor de DNS. Dicho servidor puede ser un servidor windows o cualquier otro. por tanto.- Sitios y servicios Línea de comandos Permite administrar el sistema mediante la introducción de comandos. uno de servidores será de lectura y escritura (DNS primario) y el resto de servidores (DNS secundarios) copiarán la información del primario. que permita registrar dominios.

Internet Acad. 2008. ANAYA. Francisco Chante Ojeda. Postal 13 .Fuentes Manual avanzado de Windows Server 2008.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->