Anexo AD PDF

Tema 13.
13
Configuracin
g
de Active
Directory
Administracin de Sistemas Operativos
M Pilar Gonzlez Frez
Tema 13. Configuracin de Active Directory
ndice
1.
2.
3.
4.
5.
6.
7.
Introduccin al Active Directory

Caractersticas de Active Directory
Organizacin de Active Directory
Conceptos de Active Directory
Directivas en Active Directoryy
Instalacin de Active Directory
Herramientas de Active Directoryy
1.
2.
3.
4.
Dominios y confianzas de Active Directory

Sitios y servicios de Active Directory
Herramientas de lnea de rdenes
Administracin de directivas
Introduccin al Active Directory

Active Directory es un servicio de directorio extensible y
escalable qque ppermite administrar eficientemente los
recursos de red y ayuda a monitorizar y localizar estos
servicios
U
Un servicio
i i de
d directorio
di t i es un lugar
l
donde
d d se centraliza
t li
informacin sobre los recursos de una organizacin
Un directorio es una base de datos optimizada para lectura,
navegacin
i y bsqueda
b
d
Los servicios de directorio son almacenes de informacin acerca
de entidades de red (aplicaciones, archivos, impresoras y usuarios)
Los servicios de directorio proporcionan una manera consistente
de nombrar, describir, localizar, acceder, administrar y asegurar
informacin acerca de los recursos almacenados
Introduccin al AD (ii)
Active Directory permite un punto nico de
administracin para todos los recursos pblicos (ficheros,
di
dispositivos
iti
perifricos,
if i
bases
b
de
d datos,
d t usuarios,
i etc.)
t )
El administrador da acceso a los recursos definidos
Un dominio es una unidad lgica que agrupa objetos

(usuarios o equipos) a los que se dar acceso a los recursos
(ficheros, dispositivos, bases de datos)
Controlador de dominio: equipo con Windows Server 2008 que

mantienen la base de datos del Active Directory
Servidor miembro: equipo que forma parte del dominio haciendo
uso de los servicios del mismo
mismo. Necesita autenticarse en el
dominio (mediante un controlador de dominio) para poder usar los recursos
Caractersticas de Active Directory

Escalabilidad
Puede crecer y soportar un elevado nmero de objetos
Integracin con el DNS

Los nombres de dominio son nombres DNS y tienen que estar
registrados en l
AD usa DNS como servicio de nombres y de localizacin
Es necesario instalar DNS antes de poder instalar AD
Extensible
Permite personalizar las clases y objetos que estn definidas
dentro de AD segn las necesidades propias
Seguridad
Incorpora las caractersticas de seguridad de W2008-Server, p.e.,
se puede controlar el acceso a cada objeto
Caractersticas de AD (ii)
Multimaestro
No distingue entre controladores de dominio primarios o
secundarios
d i
Cualquier controlador de dominio puede procesar cambios del
directorio
Las actualizaciones
li i
o modificaciones
difi i
realizadas
li d en un controlador
l d
se replican al resto, siendo todos iguales
Flexible
Permite reflejar la organizacin lgica y fsica de la empresa u
organizacin donde se instala
Permite que varios dominios se conecten en una estructura de
b l o de
rbol
d bosque
b
Sigue el estndar LDAP (Lightweight Directory Access Protocol)

Organi acin de AD
Organizacin
Objetos de Active Directory
Active Directory almacena informacin sobre los recursos de red y
proporciona los servicios que permiten que la informacin se
encuentre disponible y sea til
Esta informacin la pone a disposicin de los administradores y
los usuarios de la red
P.e.,, almacena informacin sobre las cuentas de usuario ((nombres,,
contraseas, n de telfono, etc.) y permite que otros usuarios autorizados de
la misma red tengan acceso a esa informacin
Los recursos almacenados se denominan objetos y pueden ser:

usuarios impresoras,
usuarios,
impresoras servidores,
servidores bases de datos,
datos grupos,
grupos equipos y
directivas o polticas de seguridad
Un objeto es diferenciado por su nombre y representa un recurso
de red
Un objeto tiene un conjunto de atributos que lo definen y son sus
caractersticas (para un usuario su nombre, apellidos, e-mail, ...)
Definid
dos en el Esq
quema del Acctive Directo
ory
Organizacin de AD (ii)
Active Directory
Objetos
Impresoras
Usuarios
Atributos
Nombre de
impresora
Ubicacin de
la impresora
Atributos
Nombre
Apellidos
Nombre de inicio
de sesin
Impresoras
Impresora1
Impresora2
Impresora3
p
Usuarios
Atributo
Valor
Pilar Gon.
Antonio Ruiz
Los objetos representan los recursos de red

Los atributos definen la informacin relativa a un objeto
j
O
Organizacin
i i de
d AD (iii)
Estructura lgica
Active Directory organiza los recursos mediante una estructura
l i lo
lgica,
l que permite
it localizar
l li un recurso por su nombre
b y no por
su localizacin fsica (que se hace transparente a los usuarios)
Dominio
Coleccin de equipos que comparten la base de datos del Active
Directory y que se administran de forma conjunta
Los controladores de dominio, almacenan una copia de la base de datos
y permiten gestionarla y administrarla.
administrarla Tambin controlan el acceso a la
red, a la BD del directorio y a los recursos compartidos
Los servidores miembros usan los servicios y recursos
El dominio es laa unidad

u dad central
ce t a de laa estructura
est uctu a lgica
g ca de AD
Un dominio se crea al generar el primer controlador del dominio
Organizacin de AD (iv)
Estructura lgica
Dominio (contina...)
(contina )
Un dominio representa:
El lmite para la autenticacin
El lmite para la replicacin de la base de datos
El lmite para las polticas o directivas
El nombre del dominio debe ser nico y ha de estar registrado

en el DNS
El DNS es la base de la infraestructura del Active Directory ya
que permite que los servidores miembros localicen a los
controladores de dominio
Un dominio puede estar en varias subredes

En una red pueden existir varios dominios
10
Organizacin de AD (v)
Estructura lgica
Dominio (contina...)
Mantiene su ACL (lista de control de acceso) con todos los
permisos para los recursos del dominio,
dominio controlando los
usuarios que pueden acceder al mismo y el tipo de acceso
Los elementos de la base de datos del directorio (cuentas de
usuarios,
i grupos, equipos
i
y recursos compartidos,
tid como impresoras
i
y
carpetas) los usarn todos los equipos del dominio
Todos los recursos (u objetos) de la red existen en un dominio

y cada dominio almacena informacin exclusivamente de los
objetos que contiene
11
O
Organizacin
i i de
d AD ((vi)
i)
Estructura lgica
Unidades organizativas
Los recursos del dominio se organizan en Unidades Organizativas
(OU, Organizational Units), que son contenedores (como directorios) que
permiten ordenar los recursos u objetos dentro de un dominio
Contienen agrupaciones lgicas de recursos, como archivos,
impresoras, cuentas, aplicaciones y otros recursos del dominio
Son como subgrupos
g p dentro del dominio qque reflejan,
j normalmente,
la estructura funcional o de negocios de una organizacin
Slo pueden contener objetos del dominio al que estn asociados
Crean vistas del directorio ms pequeas y manejables
Se puede delegar la autoridad sobre las mismas, para manejar con
ms facilidad el acceso a los recursos administrativos
12
Organizacin de AD (vii)
Estructura lgica
A nivel de Administracin permiten
Agrupar objetos con los mismos requerimientos
Delegacin de tareas de una unidad organizativa
A nivel de polticas (directivas) de grupo permiten

Establecer una configuracin
g
distinta a una unidad organizativa
g
Establecer detalles de seguridad distintos a una unidad organizativa
Ejemplo de unidades organizativas
Usuarios (unidad organizativa)

Profesores (unidad organizativa)
AdministracinSistemasOperativos (uo)
Pilar, lvaro, Jos (usuarios)
Arquitectura (uo)
( )
Javier, Manolo, Antonio, Gregorio (usuarios)
Redes (uo)
Juan,, scar,, Flix (usuarios)
13
Organizacin de AD (viii)
Estructura lgica
rboles de dominio
U
Un rbol
b l de
d dominio
d i i es una agrupacin
i de
d uno o ms
dominios que comparten un espacio de nombres continuo

aso.es (ppal), sup.aso.es, sis.aso.es, ges.aso.es (el resto secundarios)
Ell nombre
b de
d dominio
d i i de
d un dominio
d i i secundario
d i es ell nombre
b
relativo a ese dominio agregado al nombre del dominio ppal
Los dominios dentro del rbol comparten el esquema comn,
el catlogo global y los datos de configuracin (topologa del
directorio)
Confianza:
f
los dominios de un rbol estn conectados p
por
medio de relaciones de confianza
Al crear un nuevo dominio ya forma un rbol: es el dominio
principal
p
p de ese rbol
14
O
Organizacin
i i de
d AD
A (i
(ix))
Estructura lgica
Bosques de dominio
Un bosque de dominio est compuesto por uno o ms rboles de
dominio distintos e independientes entre s, que comparten
informacin del directorio comn
aso.es, sup.aso.es, sis.aso.es, ges.aso.es
etc.es, sup.etc.es, sis.etc.es, ges.etc.es
redes.es, sup.redes.es, sis.redes.es, ges.redes.es
Todos los rboles de un bosque comparten el esquema comn, el

catlogo global y los datos de configuracin
Los dominios en un bosque
q operan
p
independientemente,
p
, ppero el
bosque permite la comunicacin a lo largo de toda la organizacin
15
Organizacin de AD (x)
Estructura lgica
Bosques de dominio
El bosque tiene un nico dominio raz, llamado dominio raz
del bosque, que es el primer dominio creado en el mismo
Los nombres de dominio dentro de un bosque pueden ser
discontinuos o continuos en la jerarqua del DNS
Continuos: estn en el mismo rbol de dominio
Discontinuos: forman varios rboles de dominio
Por defecto, un nico dominio ya forma un rbol y un bosque

Se puede ampliar el rbol aadiendo un nuevo dominio con un
nombre
b continuo
i
Se puede ampliar el bosque al aadir un nuevo dominio con un
nombre discontinuo, que formar un nuevo rbol de dominio
16
O
Organizacin
i i de
d AD ((xi)
i)
Estructura
Estr ct ra lgica
Dominios
rboles y bosques
Aso.es
rbol
Sup.aso.es
Bosque
UO
UO
Domain
UO
Sis aso es
Sis.aso.es
Etc.es
rbol
Sup.etc.es
Ges.etc.es
17
Organizacin de AD (xii)
Estructura fsica
Controlador de dominio
Un controlador de dominio es un equipo con W2008Server
que almacena una copia del directorio del dominio (base de
datos local del dominio)
Puede haber varios controladores de dominio, cada uno de
ellos tendr una copia completa del directorio
directorio,
Cada controlador permite realizar cambios en el directorio
administrando los cambios y replicndolos a los otros
controladores de dominio del mismo dominio
Los controladores de dominio administran todas las facetas de
las interacciones de los usuarios en un dominio (localizacin
de objetos o validacin de un intento de inicio de sesin, ...)
18
Organizacin de AD (xiii)
Estructura fsica
Controladores
C t l d
d
de d
dominio
i i (contina)
La replicacin se hace en intervalos de tiempo, pudiendo
establecer la frecuencia a la que se producen las replicaciones
entre controladores de dominio
AD usa un modelo replicacin multimaestro:
Ningn
g controlador del dominio es el maestro
Todos los controladores son iguales y contienen una copia de
la BD del directorio. (En realidad todos los controladores son casi iguales)
Los controladores replican
p
los cambios entre ellos
Cualquier controlador de dominio puede procesar los cambios
del directorio y replicarlos
19
Organizacin de AD (xiv)
Estructura fsica
Controladores de dominio (contina)
Los controladores de dominio replican inmediatamente ciertas
actualizaciones urgentes,
urgentes por ejemplo la eliminacin de una
cuenta de usuario
Establecer varios controladores de dominio dentro de un
dominio permite tener tolerancia a fallos
Todos tienen asignadas las mismas tareas salvo:
Servidor de cabeza de puente para replicar informacin del
directorio con otros sitios
Las funciones del maestro de operaciones
20
Organizacin de AD (xv)
Estructura fsica
Sitios
Un sitio es una agrupacin de equipos que estn conectados
fsicamente por conexiones rpidas y de alta fiabilidad.
Habitualmente equipos conectados en una LAN
La razn bsica de crear sitios es aprovechar los mecanismos
de comunicacin eficientes (rpidos y fiables) entre sistemas bien
com nicados
comunicados
Un sitio es bsicamente una subred TCP/IP
Son independientes de la estructuras lgica de dominio. No
existe relacin entre la estructura fsica de la red y la lgica
del dominio:
Un nico dominio puede estar en varios sitios
En un sitio puede haber varios dominios
Importante no confundir sitio con dominio:
Dominio: agrupacin lgica de usuarios y equipos

Sitio: agrupacin fsica de equipos
21
Organi acin de AD (xvi)

Organizacin
( i)
Estructura fsica
Sitios (contina ...)
Los equipos estn asignados a sitios segn su localizacin en la
subred o en un conjunto de subredes
Si la empresa tiene varias subredes que no tienen buena conexin
entre s o estn en ubicaciones geogrficas distintas, (p.e. una sucursal en
Murcia y otra en Cartagena), hay que definir un sitio por cada subred
Debe tener asociado, al menos, un controlador de dominio en cada
sitio (para facilitar y acelerar el acceso a los datos del AD)
La informacin de los sitios se usa para:
V
Validacin
lid i de
d seguridad
id d en los
l servidores
id
miembros:
i b
ell proceso de
d
autenticacin se hace en los controladores del dominio del sitio en el
que est el servidor miembro (si es posible )
La replicacin de la informacin de directorio se hace con ms
frecuencia dentro de sitios que entre sitios (reduciendo
( d i d ell trfico
t fi de
d la
l red)
d)
Un controlador del dominio ser servidor de cabeza de puente:

realiza la rplica de datos hacia y desde un sitio, y enva los datos
recibidos a los otros controladores del sitio
22
Conceptos de Active Directory

Almacn de datos o Directorio Activo
Contiene informacin sobre objetos del dominio, como
pueden
d ser cuentas de
d usuarios,
i grupos o equipos,
i
recursos
compartidos, unidades organizativas y directivas o polticas
de grupo
E
Esta informacin
i f
i se publica
bli para que otros usuarios
i y
administradores del dominio la utilicen
Se conoce como almacn de datos o directorio, es el propio

Directorio Activo (Active
(A ti Di
Directory)
t )
Se almacena en un fichero llamado ntds.dit que tiene que
estar localizado en una particin de tipo NTFS
Los
L controladores
l d
de
d dominio
d i i replican
li
los
l cambios
bi del
d l
almacn de datos de forma multimaestro: todos los
controladores de dominio tienen la misma base de datos
23
Conceptos de AD (ii)
Catlogo global
El catlogo global es un almacn central de informacin de
todos los objetos del directorio de los dominios del bosque
Tiene una copia
p completa
p
todos los objetos
j
(todos sus atributos) del
directorio de su dominio y una copia parcial de todos los
objetos de los directorios de los otros dominios del bosque
La copia parcial almacena los atributos usados con ms frecuencia en
l operaciones
las
i
de
d bsqueda
b
d
De manera predeterminada, el primer controlador de

dominio creado al instalar AD se convierte en catlogo
global
l b l y es conocido
id como servidor
id de
d catlogo
tl
global
l b l
La informacin que almacena es generada automticamente
en cada dominio mediante el proceso de rplica
Se pueden definir varios CGs en un dominio, pero esto
incrementar el trfico de red para hacer las rplicas (para
actualizar los distintos catlogos)
24
Conceptos de AD (iii)
Catlogo global (contina )
Realiza las siguientes funciones clave en el directorio:
Resuelve las bsquedas de informacin en un dominio, rbol
o bosque, con independencia de la ubicacin de los datos (con
i d
independencia
d i de
d en qu dominio
d i i estn)
)
Resuelve los nombres principales de usuarios (UPN) de otros

dominios del bosque, permitiendo que usuarios esos dominios
se autentiquen en el dominio
La informacin sobre los grupos universales se almacena slo
en el CG. Cuando un usuario inicie una sesin, el CG
proporcionar
p
p
la ppertenencia (o
( no)) a los grupos
g p universales
Permite validar las referencias a objetos de otros dominios del
bosque, informando si son o no correctas
Diseado ppara responder

p
a las ppreguntas
g
sobre objetos
j
de
cualquier dominio del bosque (mxima velocidad y poco trfico de red)
Una pregunta sobre un objeto de otro dominio puede ser resuelta por
el catlogo global del dominio donde se realiza la pregunta
25
Conceptos de AD (iv)
Subconjunto de
atributos de todos
los objetos
Aso.es
Etc.es
Sup.aso.es
Sup.etc.es
Sup
etc es
Sis.aso.es
Ges.etc.es
Ges
etc es
Catlogo global
Consultas
Servidor de
catlogo global
Pertenencia a g
grupos
p
universales cuando el
usuario inicia sesin
26
C
Conceptos
dde AD ((v))
Esquema
E
de
d Active
A i Directory
Di
El esquema define todos los objetos y tipos de datos que se
ppueden almacenar en Active Directoryy
Define los objetos a travs de clases, las propiedades de las clases y
los atributos
Hayy dos tipos

p de definiciones en el esquema:
q
Clases (o clases de objetos): describen las caractersticas de los
objetos de AD. Es una coleccin de atributos
Atributos
Se almacena
l
como un objeto
bj del
d l AD
Proporciona unas clases y atributos por defecto
Pero es un elemento ampliable: se pueden definir nuevos
objetos o atributos a un objeto que ya existe
A user se le puede asociar los nuevos atributos: nota_teora,
nota_pprcticas y nota_ffinal
27
Conceptos de AD (vi)
Maestro de operaciones flexible
Las funciones de maestro de operaciones son realizar tareas que
son impracticables en entornos multimaestro
Pero
P
estas tareas pueden
d ser asignadas
i d a di
distintos
i
controladores
l d
del dominio (no tienen que realizarse en el mismo controlador)
Hay cargos que se asignan slo una vez en el bosque de dominio,
otros se deben definir una vez en cada dominio
Las funciones que realiza son:
Maestro de esquema: controla las actualizaciones y modificaciones
del esquema del directorio
directorio. Slo existe uno en el bosque
Maestro de nombres de dominio: controla la agregacin o
eliminacin de nombres de dominios en el bosque. Uno en todo el
bosque
Maestro de Id. relativo: asigna los Id. Relativos a los controladores
de dominio
28
Conceptos de AD (vii)
Maestro
M
dde operaciones
i
Sus cargos son: (contina...)
M
Maestro
t de
d infraestructuras:
i f
t t
actualiza
t li las
l referencias
f
i a objetos
bj t
comparando sus datos de directorio con el catlogo global,
replicando los cambios si es necesario. (Es preferible que no
coincida
i id con ell CD que hace
h
de
d catlogo
l
global)
l b l)
Emulador PDC:
Recibe una replicacin preferencial de los cambios realizados
en las
l contraseas por otros controladores
l d
del
d l dominio
d i i
Si una autenticacin de inicio de sesin produce un error por una
contrasea incorrecta, se reenviar la solicitud de autenticacin al
emulador del PDC antes de rechazar el intento de inicio de sesin
Sincronizacin horaria en todo el bosque
29
Conceptos de AD (viii)
Espacio de nombres
Los nombres de AD son nombres registrados en el servidor de
DNS, por lo que se pueden usar formatos de nombre estndar
d l tipo
del
ti aso.es
Esto permite la estructuracin jerrquica de AD
Nomenclaturas: 4 nomenclaturas ppara identificar objetos
j
DN (Distinguished Name) (nombre completo)
nico para cada objeto
Contiene suficiente informacin ppara qque un usuario recupere
p el
objeto del directorio, incluyendo el nombre del dominio y la ruta
Se compone de varios atributos: el nombre del dominio al que
pertenece (DC) y de las unidades organizativas en las que est
(OU) y el nombre relativo del objeto (CN)
30
Conceptos de AD (ix)
Espacio de nombres (contina...)
Nomenclaturas:
RDN (Relative Distinguished Name) (nombre completo relativo)
Identifica unvocamente al objeto
j dentro su unidad organizativa
g
Es parte del DN
Podemos tener dos objetos con el mismo nombre si los objetos
pertenecen a distintas Unidades Organizativas
GUID (Globally Unique Name) (identificador global nico)

Nmero de 128 bits, distinto para cada objeto, y que no cambia
nunca
Es
E nico
i y est
t formado
f
d por ell Id de
d seguridad
id d del
d l dominio
d i i (prefijo) y
un Id relativo nico, (asignado por el maestro de operaciones)
UPN (User Principal Name) (nombre principal de usuario)

Son nombres cortos y descriptivos del objeto
El nombre comn del objeto se combina con el dominio para
formar el UPN
31
Conceptos de AD (x)
Espacio de nombres (contina...)
Nomenclaturas:
Supongamos que tenemos el dominio aso.es y dentro de l la
unidad
id d organizativa
i ti users, dentro
d t la
l unidad
id d organizativa
i ti
Profesores y dentro el usuario Pilar:
El nombre completo o distinguished name para este usuario:
CN=Pilar,OU=Profesores,OU=users,DC=aso,DC=es
CN=Pilar OU=Profesores OU=users DC=aso DC=es
El nombre completo relativo o Relative Distinguished Name:
Pilar
Si movemos el usuario Pilar a una nueva unidad organizativa

llamada Investigadores:
El nombre completo o distinguished name ser:
CN
CN=Pilar,OU=Investigadores,DC=aso,DC=es
Pilar,OU Investigadores,DC aso,DC es
UPN: pilar@aso.es
32
Directivas en AD
En un dominio, se pueden definir directivas de grupo a nivel de

sitio, de dominio o de unidades organizativas
Se aplicarn a todos los servidores miembros del dominio
El orden de aplicacin de las directivas es el siguiente:
1)
2)
3)
4)
5)
Directivas de grupo local (las definidas en el equipo local)

Directivas de grupo de sitio
Directivas de grupo de dominio
Directivas de unidad organizativa
Directivas de unidad organizativa secundaria,
secundaria etc.
etc
En caso de conflictos, las que se aplican ms tarde tienen

preferencia y sobrescriben las directivas aplicadas previamente
Se pueden aplicar a todos los usuarios (al dominio) o a un nico
usuario (en una unidad organizativa concreta)
33
I
Instalacin
l i de
d AD
dcpromo.exe es la orden para abrir el Asistente para instalar AD
Al ejecutarlo se puede:
C ea un
Crear
u nuevo
uevo dominio,
do
o, creando
c ea do un
u nuevo
uevo rbol
bo y un
u nuevo
uevo bosque
Unirse como nuevo controlador a un dominio que ya existe
Crear un nuevo dominio en un rbol de dominios ya existente
Crear un nuevo rbol,, creando nuevo dominio,, en un bosque
q de dominios
ya existente
Al unir un nuevo controlador de dominio a un dominio/rbol/bosque que
ya existe, hay que indicar un usuario (y su contrasea) correcto para
autenticarnos en l.
l El usuario a indicar es Administrador
Si AD ya est instalado, lo que hace es desinstalar AD, esto es

degradar el controlador de dominio a servidor miembro (e.d., a
cliente del dominio)

Si al degradarlo fuese el ltimo CD existente, elimina tambin el dominio
34
Instalacin de AD (ii)
( )
Instalando AD:
Nombre del nuevo dominio:
El nombre asignado al dominio tiene que ser un nombre DNS vlido
que debe estar registrado en el mismo
Si el DNS est configurado correctamente, el nuevo nombre se
registrar de forma automtica. Esto es lo conveniente
Al instalar el primer CD de un nuevo dominio/rbol/bosque, si el
DNS no permite actualizaciones automticas, ofrece la posibilidad de
instalar un servidor de DNS para controlar todo lo relacionado con el
nombre del dominio, los controladores de dominio, etc.
Nombre
N b d
de d
dominio
i i N
NetBIOS:
tBIOS para compatibilidad
ibilid d con
versiones anteriores de Windows (nombre corto)
Nivel funcional del bosque:

q
establece la versin mnima de
sistema operativo de los controladores de dominio:
Windows Server 2008, Windows Server 2003, Windows 2000 nativo
y Windows 2000 mixto (p
(predeterminado),
)
35
Instalacin de AD (iii)
( )
Instalar AD:
Ubicacin de la base de datos y el registro de AD
Por defecto %SystemRoot%\ntds\ (el valor de %SystemRoot% es c:\windows\)
La BD de AD contendr los objetos y sus propiedades
Los archivos de registro de AD registrarn las actividades del servicio
de directorio
Tienen que ser en una unidad con formato NTFS
Ubicacin del Volumen de sistema compartido

Por defecto, %SystemRoot%\sysvol
Sysvol es un recurso compartido que contiene informacin del
dominio que se replica al resto de controladores de dominio de la red
Tiene que estar en una unidad NTFS
Almacena la copia de servidor de las carpetas pblicas del dominio
36
Instalacin de AD (iv)
Configurando un Servidor miembro
En la herramienta Propiedades del Sistema en la ficha
Nombre del equipo indicamos el dominio al que
queremos unir ese equipo
Pedir un usuario y su clave para autenticarse en el dominio,
habr q
que indicarle el usuario administrador
En esa ficha tambin se ve si el equipo ya pertenece a

un dominio o bien a un grupo de trabajo
37
Herramientas de AD
Asistente de instalacin de AD
Dominios y confianzas
f
de AD
Cambia el modo de funcionamiento del dominio, gestionando las
relaciones de confianza entre dominios, rboles de dominio y
bosques de dominios
Usuarios y equipos de AD
Crear, gestionar y configurar usuarios, grupos, equipos y unidades
g
del AD
organizativas
Sitios y servicios de AD
Crear y configurar sitios de dominios, y gestionar el proceso de
duplicacin de controladores de dominio
Esquema de AD
Modificar el esquema que definen los objetos y propiedades de AD
38
Dominios y confianzas de AD
Herramientas administrativas/Dominios y confianzas de AD
Permite:
Administrar relaciones de confianza entre dominios:
Los usuarios de un dominio pueden acceder a recursos ubicados en
otro dominio en que se confe
Establecer sufijos de nombre principal de usuario (UPN) y

nodos
d dde ddominio:
i i
Como sufijo del nombre principal de usuario, se utiliza el nombre de
dominio (pilar@aso.es), pero se pueden establecer alternativos
Cambiar el nivel de funcionalidad del dominio

Cambiar el CD que hace de maestro de operaciones
Cambiar el usuario
s ario que
q e es el administrador designado para el
dominio
39
Siti y servicios
Sitios
i i de
d AD
Para ejecutarlo: Herramientas administrativas /Sitios y servicios de AD
Default-First-Site-Name: sitio por defecto creado al crear el

pprimer controlador de dominio
Cada sitio tiene varios contenedores:
Servers (Servidores) con los diferentes controladores de dominio del
j
entre ellos:
sitio,, as como varios objetos
Licensing Site Settings
NTDS Setings, que permite deshabilitar la generacin automtica de
replicacin en todas sus posibilidades
Las propiedades del sitio permiten especificar una descripcin y

su ubicacin, y temas relacionados con la seguridad
Con subnet se ppueden establecer los lmites de un sitio:
direccin de red y mscara de red
Si hay ms de un sitio es necesario definir subredes para que AD sepa
ubicar los controladores de dominio en las subredes y sitios apropiados
40
Siti y servicios
Sitios
i i de
d AD (ii)
Permite, entre otras tareas:
Crear nuevos sitios
Habilitar/deshabilitar un dominio como catlogo global
Designar un servidor de cabeza de puente, que maneja la
transferencia de rplica de datos hacia y desde un sitio, y enva los
datos recibidos a los otros controladores del sitio
Reparar controladores de dominio
Configurar el transporte entre sitios, definiendo posibles
conexiones
i
lgicas
l i
entre dos
d o ms
sitios,
i i para optimizar
i i los
l
procesos de replicacin entre sitios, su velocidad, etc.
41
H
Herramientas
i t en lnea
l
de
d rdenes
d
Dsadd aade equipos, contactos, grupos, unidades
organizativas y usuarios
Dsget muestra propiedades de equipos, contactos, grupos,
unidades organizativas, usuarios, sitios, subredes y servidores
Dsmod modifica las propiedades de equipos, contactos,
grupos, unidades
id d organizativas,
i ti
usuarios
i y servidores
id
Dsmove mueve un objeto a una nueva ubicacin en el
dominio, o lo renombra
Dsquery localiza equipos, contactos, grupos, unidades
organizativas, usuarios, sitios, subredes y servidores dentro de
AD utilizando criterios de bsqueda
Dsrm elimina objetos del AD
42
Administracin de directivas en AD
Con la herramienta Administracin de directivas de grupo
Por defecto no se instala, hay que instalarla mediante la
herramienta Programas
g
y caractersticas,, y aparecer
p
como una
nueva opcin de men dentro de Herramientas Administrativas
Para el dominio, los sitios, o las unidades organizativas se pueden
asignar directivas de grupo,
grupo y editar los valores correspondientes
Dependiendo del nivel de aplicacin afectarn a los
equipos/usuarios correspondientes:
Dominio todos
Sitio equipos de ese sitio
Unidad organizativa equipos/usuarios de esa u.o.
43

Anexo AD PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Anexo AD PDF

Cargado por

Copyright:

Formatos disponibles

Tema 13.

M Pilar Gonzlez Frez

Tema 13. Configuracin de Active Directory

Introduccin al Active Directory

Dominios y confianzas de Active Directory

Introduccin al Active Directory

Un dominio es una unidad lgica que agrupa objetos

Controlador de dominio: equipo con Windows Server 2008 que

Tema 13. Configuracin de Active Directory

Caractersticas de Active Directory

Integracin con el DNS

Sigue el estndar LDAP (Lightweight Directory Access Protocol)

Los recursos almacenados se denominan objetos y pueden ser:

Los objetos representan los recursos de red

El dominio es laa unidad

Tema 13. Configuracin de Active Directory

El nombre del dominio debe ser nico y ha de estar registrado

Un dominio puede estar en varias subredes

Todos los recursos (u objetos) de la red existen en un dominio

A nivel de polticas (directivas) de grupo permiten

Ejemplo de unidades organizativas

Usuarios (unidad organizativa)

dominios que comparten un espacio de nombres continuo

Todos los rboles de un bosque comparten el esquema comn, el

Tema 13. Configuracin de Active Directory

Por defecto, un nico dominio ya forma un rbol y un bosque

Tema 13. Configuracin de Active Directory

Importante no confundir sitio con dominio:

Dominio: agrupacin lgica de usuarios y equipos

Organi acin de AD (xvi)

Un controlador del dominio ser servidor de cabeza de puente:

Conceptos de Active Directory

Se conoce como almacn de datos o directorio, es el propio

De manera predeterminada, el primer controlador de

Tema 13. Configuracin de Active Directory

Resuelve los nombres principales de usuarios (UPN) de otros

Diseado ppara responder

Tema 13. Configuracin de Active Directory

Hayy dos tipos

Tema 13. Configuracin de Active Directory

Sincronizacin horaria en todo el bosque

Tema 13. Configuracin de Active Directory

Tema 13. Configuracin de Active Directory

GUID (Globally Unique Name) (identificador global nico)

UPN (User Principal Name) (nombre principal de usuario)

Si movemos el usuario Pilar a una nueva unidad organizativa

En un dominio, se pueden definir directivas de grupo a nivel de

Directivas de grupo local (las definidas en el equipo local)

En caso de conflictos, las que se aplican ms tarde tienen

Si AD ya est instalado, lo que hace es desinstalar AD, esto es

cliente del dominio)

Tema 13. Configuracin de Active Directory

Nivel funcional del bosque:

Ubicacin del Volumen de sistema compartido

Tema 13. Configuracin de Active Directory

En esa ficha tambin se ve si el equipo ya pertenece a

Tema 13. Configuracin de Active Directory

Establecer sufijos de nombre principal de usuario (UPN) y

Cambiar el nivel de funcionalidad del dominio

Para ejecutarlo: Herramientas administrativas /Sitios y servicios de AD

Default-First-Site-Name: sitio por defecto creado al crear el

Las propiedades del sitio permiten especificar una descripcin y

Tema 13. Configuracin de Active Directory