Está en la página 1de 38

Diseño de Active Directory

Documento de Diseño

Preparado para:
PNP

martes, 28 de mayo de 2013

Versión 1.0 Final

Preparado por:
Carlos Moreno - Especialista

Preparado por:
Noemí Inga - Especialista

Preparado para: Policía Nacional del Perú

Hoja de Revisión y Firmas
Historial de Cambios

Fecha Autor Versión Referencia del Cambio

03/04/2013 Carlos Moreno 0.9 Preparación del documento.

04/04/2013 Noemi Inga 1.0 Revisión del documento.

Revisiones y Aprobaciones

Nombre Versión Aprobada Cargo Fecha Firma

Page 1
Diseño de Active Directory, Documento de Diseño, Versión 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseño - v1 0" última modificación 28 may. 13, Rev 20

Preparado para: Policía Nacional del Perú

Tabla de Contenidos
1 Introducción .......................................................................................................................... 5

2 Conceptos de Active Directory ................................................................................................ 6

2.1 Arquitectura de Dominio .............................................................................................................. 6

2.2 Unidades Organizativas ................................................................................................................ 7

2.3 Delegación de tareas Administrativas en el AD............................................................................ 8

2.4 Read-only Domain Controllers (RODC)......................................................................................... 8

2.4.1 ¿Qué es un RODC? ........................................................................................................... 8

2.4.2 ¿Dónde utilizar el RODC? .............................................................................................. 10

2.4.3 Pre-requisitos de Implementación ................................................................................ 10

2.5 Roles FSMO................................................................................................................................. 11

2.5.1 Schema Master (uno por bosque) ................................................................................. 11

2.5.2 Domain Naming Master (uno por bosque) ................................................................... 11

2.5.3 RID Master (uno por dominio) ...................................................................................... 11

2.5.4 PDC Emulator (uno por dominio) .................................................................................. 12

2.5.5 Infrastructure Master (uno por dominio)...................................................................... 12

2.6 Distribución de roles FSMO ........................................................................................................ 12

2.6.1 Infrastructure Master .................................................................................................... 12

2.6.2 Domain Naming Master ................................................................................................ 12

2.7 Integridad de Roles FSMO y Recuperación ................................................................................ 13

2.7.1 Roles durante el proceso de DCPROMO ....................................................................... 13

2.8 Sites ............................................................................................................................................ 14

2.9 Grupos de usuarios ..................................................................................................................... 14

2.10 Catálogos Globales.................................................................................................................. 15

2.11 Sincronización de tiempo........................................................................................................ 16

2.12 Servicios de Infraestructura de Red ........................................................................................ 17

2.12.1 Dynamic Domain Naming System (DDNS) ..................................................................... 17

Page 2
Diseño de Active Directory, Documento de Diseño, Versión 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseño - v1 0" última modificación 28 may. 13, Rev 20

......................................................1............................. 34 4..... 33 4.......................3 Roles a Desarrollar por el Personal de DIRTEL ...........................3 WINS .................................................................... 19 4 Diseño implementado de Active Directory ............. 26 4................................................................................................... 33 4......2 Diseño Físico ...... Versión 1...12.......................................................................1 Seguridad Física ..........................2 Esquema de Unidades Organizativas ....................1 Diseño Lógico.....................3....................3................................. 27 4....................................................4 Administración de Servicio .............. 37 Page 3 Diseño de Active Directory......................................................................................................................... 17 3 Escenario actual ..........................1. 24 4..... 13...........................................................................................................................................1.........v1 0" última modificación 28 may.............................................1 DNS .............................................................................4 Windows Timer Service .............................................................................. 32 4.......... Preparado para: Policía Nacional del Perú 2.......6 Hardware y Software para Controladores de Dominio ............1 Número de Bosques y Dominios .........................................1..............2....... 27 4. 21 4....................................... 35 5 Conclusiones......2 DHCP .. 25 4.................. 34 4...........................2...............................................3 Diseño de Redes ................................ 32 4............... 20 4.......................1................................3 Ubicación y Número de Catálogos Globales ............................................1 Esquema de GPO ............................................................................................................................Documento de Diseño ...................................... 25 4................................................................................3............... 35 4............................4 Ubicación de los Roles de Operations Master (FSMO) ...... 26 4............ 28 4............................................................................................................... 24 4............................................2.5 Administración de Datos ...................................................................................4...................................................................... 33 4........................................ 20 4.........................................................1 Ubicación y Número de Controladores de Dominio .............................................2 Dynamic Host Configuration Protocol (DHCP) ........... Rev 20 ........................................0 Final Preparado por Carlos Moreno "PNP ..............5 Diseño de Sitios .......3................................. 29 4....................................AD ....... 27 4... Documento de Diseño.................................................... 20 4............................................................2.......5 Políticas de Grupo ......5.....2 Domain Controller Virtuales ........................................6 Relaciones de confianza ......................2.............................................2................4 Seguridad Física .1.......................

Preparado para: Policía Nacional del Perú Page 4 Diseño de Active Directory. Documento de Diseño. 13.v1 0" última modificación 28 may. Rev 20 .Documento de Diseño .AD .0 Final Preparado por Carlos Moreno "PNP . Versión 1.

0 Final Preparado por Carlos Moreno "PNP . Rev 20 . este documento también contiene información acerca del concepto de Active Directory. operación y de negocio. en el marc de una cultura de paz y de respeto a los derechos humanos. viligar y controlar las fronteras. prevenir. A su vez. En este sentido. mejores prácticas de diseño. Preparado para: Policía Nacional del Perú 1 Introducción La Policía Nacional del Perú es una institución del Estado que tiene por misión garantizar. Page 5 Diseño de Active Directory. lógico y físico de la infraestructura de Active Directory necesaria y acorde a los requerimientos solicitados por La Policía Nacional del Perú. otorgando además un nivel de seguridad superior y por ende una protección mayor para los activos y propiedad intelectual. El presente documento define el diseño conceptual. se hace necesaria una revisión de las infraestructuras tecnológicas que soportan los procesos de comunicación. 13. la cual es necesaria para soportar su actual infraestructura así como para el crecimiento futuro a nivel nacional.AD . a fin de permitir su pleno desarrollo. prestar protección y ayuda a las personas y a la comunidad. Debido a su crecimiento experimentado e independencia. con el propósito de defender a la sociedad y a las personas. garantizar el cumplimiento de las leyes y la seguridad del patrimonio público y privado.Documento de Diseño . requerimientos para la migración e información de referencia. mantener y restablecer el orden interno. implementar un conjunto de políticas estándar que simplifiquen la gestión de recursos y eleven el nivel de seguridad. La Policía Nacional requier el rediseño de su arquitectura de Active Directory. investigar y combatir la delincuencia. Documento de Diseño.v1 0" última modificación 28 may. Versión 1. a fin de asegurar que el estrato tecnológico que soporta las operaciones de la Policía Nacional del Perú funcione como un conjunto integrado que permita una gestión centralizada y estandarizada de los accesos hacia los sistemas e información. Como objetivos principales de este diseño y restructuración de Active Directory se tiene: contar con una solución robusta y escalable en el tiempo.

13. correo) y usuarios (cuentas de usuario y grupos). 2. manejar el control de acceso y aplicar políticas de seguridad sobre ellos. cada Page 6 Diseño de Active Directory. En la siguiente figura se muestra una posible organización de dominios de un árbol. Estos objetos incluyen datos tales como información de usuario. distribuir software e inclusive aplicar actualizaciones críticas dentro de la organización. y servidores de archivos compartidos.AD . el cual está organizado en relaciones de “padre-hijo” hacia uno o más dominios subordinados. y así sucesivamente. Versión 1. dar permisos para el acceso a recursos de red. Toda esta información es consolidada en una base de datos central la cual puede soportar millones de estos objetos. el cual forma parte de un bosque. Una estructura de Active Directory permite a los administradores asignar políticas. un bosque es la colección de uno o más árboles. o dominios hijos. impresoras).1 Arquitectura de Dominio Active Directory de está conformado por una colección de dominios. Rev 20 . recursos de impresora. definir como están organizados. Documento de Diseño.Documento de Diseño . Esta colección de dominios. es conocido como un árbol.v1 0" última modificación 28 may.0 Final Preparado por Carlos Moreno "PNP . y las Unidades Organizacionales (OU). Para proveer administración delegada de tareas diarias. Figura: Árbol en Active Directory Cada dominio define una frontera administrativa y una unidad de replicación para una colección de objetos. Las tareas fundamentales de Active Directory son las de proveer información acerca de los objetos. los dominios del bosque. servicios (p. Preparado para: Policía Nacional del Perú 2 Conceptos de Active Directory El propósito principal de un servicio de Active Directory es el de proveer una gestión centralizada para la autorización y autenticación de usuarios y estaciones de trabajo dentro de nuestra organización. Bajo este contexto. Dichos objetos están categorizados en tres grupos: recursos (p. Esta estructura jerárquica incluye el bosque. Active Directory es básicamente una estructura jerárquica de objetos.e. Un dominio hijo también puede ser el padre de uno o más dominios hijos.e.

Page 7 Diseño de Active Directory. computadoras. impresoras.Documento de Diseño . El Sistema de Espacio de Nombres de Dominio (DNS) es una parte integral de Active Directory. Esto significa que el diseño de la arquitectura de Active Directory debe incluir una arquitectura de DNS. es recomendable consolidar los GPO. Para tener disponible la información de un dominio a los usuarios de otros dominios que forman parte del mismo bosque.0 Final Preparado por Carlos Moreno "PNP . los cuales sirven como contenedores de otros objetos del mismo dominio. así como para la cuenta de usuario que inició la sesión. Estos controladores de dominio pueden aceptar actualizaciones y replicar los cambios hacia otros controladores de dominio del mismo dominio. de manera que minimice el tiempo necesario para evaluar los GPO que se deben aplicar. Dentro de un dominio todos los servidores que mantienen una copia de la información del dominio son conocidos como controladores de dominio.AD . el servicio de cliente de la estación identifica la jerarquía de OU definida para la cuenta del computador. Rev 20 . estos controladores de dominio se denominan servidores de catálogo global (GC). es decir. grupos de usuarios. y permiten administrar el ambiente operativo de las estaciones o asignar procedimientos de inicio de sesión o finalización de sesión a un grupo de usuarios. Debido a esto. y la segunda es para proveer una manera de aplicar directivas sobre usuarios y computadoras. tanto por usuario y por la estación de trabajo donde se inició la sesión. Estas directivas son aplicables al nivel de OU. permite organizar lógicamente objetos dentro de un dominio. Documento de Diseño.2 Unidades Organizativas Las Unidades Organizacionales (OU) son objetos de un dominio de Active Directory. Existen dos razones principales para utilizar una jerarquía de OU dentro de un Dominio: la primera es para proveer un modelo de delegación de tareas administrativas. carpetas compartidas. y otras OU del mismo dominio al que pertenecen. Esta jerarquía es luego evaluada para determinar que grupos de directivas (GPO) asociadas a las OU son aplicables. cada dominio puede implantar su propia jerarquía de OU. Preparado para: Policía Nacional del Perú dominio puede ser adicionalmente subdividido en contenedores lógicos conocidos como Unidades Organizacionales (OU). 13. Versión 1. Las OU pueden contener los siguientes objetos: usuarios. Cada dominio de Active Directory registra sus servicios en el DNS y adicionalmente utiliza el DNS para localizar otros recursos y servicios. un subconjunto de la información de todos los objetos de Active Directory es almacenado y replicado entre controladores de dominio específicos. 2. Cuando existen múltiples dominios dentro del bosque de Active Directory. Cuando un usuario inicia una sesión en el dominio.v1 0" última modificación 28 may.

o Actualizar las propiedades de objetos de un tipo específico.AD . Los objetos que pueden actualizar son: usuarios. En este sentido.0 Final Preparado por Carlos Moreno "PNP . grupos.1 ¿Qué es un RODC? Un RODC es un controlador de dominio que contiene particiones de solo lectura de la base de datos del Directorio Activo.4. Preparado para: Policía Nacional del Perú 2. Versión 1. Documento de Diseño. o Crear y borrar objetos de un tipo especifico bajo unidades organizacionales.v1 0" última modificación 28 may. o impresoras. 2. Algunas tareas administrativas que pueden delegarse son: o Cambiar las propiedades de un contenedor específico. es posible definir niveles de administración sobre un dominio o sobre una o todas las unidades organizacionales de un dominio. pobre seguridad física. Figura: Read-only Domain Controller Page 8 Diseño de Active Directory. Rev 20 .4 Read-only Domain Controllers (RODC) 2. De esta manera. 13.Documento de Diseño .3 Delegación de tareas Administrativas en el AD Delegación es la habilidad para asignar responsabilidades de administración a usuarios o grupos de usuarios sobre parte o todos los objetos de Active Directory. Por ejemplo: es posible delegar permisos para cambiar las contraseñas sobre un objeto. es posible reducir o eliminar la capacidad innecesaria de delegar tareas administrativas sobre todo el dominio. bajos anchos de banda y poco conocimiento técnico por parte de los administradores locales. El RODC ha sido diseñado principalmente para ser implementado en localidades remotas con pocos usuarios.

Esto quiere decir que cualquier cambio o corrupción ocasionada por un usuario malicioso en una localidad remota no será replicado desde los RODC al resto del bosque. estos no pueden escribir información en la base de datos del Directorio Activo. Algunas aplicaciones que utilizan AD DS para almacenar datos de credenciales (como contraseñas y llaves de encriptación) que no se deseen guardar en los RODC. o Separación del Rol de Administrador. La separación del rol de administrador especifica que cualquier usuario de dominio o del grupo de seguridad puede ser delegado como administrador local del RODC sin necesidad de asignar permisos sobre el dominio u otros controladores de dominio a estos usuarios. o Filtrado de Atributos. 13. Sin embargo los DNS instalados en los RODC no soportan actualización de los clientes directamente. los controladores de dominio de escritura no tienen que tomar información de cambios desde los RODC. Los clientes. Versión 1. por lo que los clientes de las localidades remotas podrán consultar sobre resolución de nombres de manera local. Los RODC serán capaces de replicar todas las particiones utilizadas por el DNS.v1 0" última modificación 28 may. Aplicaciones locales que requieran de acceso de lectura al Directorio Activo obtendrán acceso mediante el RODC. en caso estos sean robados o comprometidos. pueden utilizar el filtrado de atributos para prevenir que esta información sea replicada a los RODC del bosque. Se podrá instalar el servicio de DNS en los RODC. Por defecto los RODC no almacenan credenciales de usuario o computador. Estas credenciales consisten en un pequeño grupo de aproximadamente diez (10) contraseñas que están asociadas a personal de seguridad. Esto hace que la potencial exposición de credenciales en caso de robo sea limitada a las almacenadas en cache. Tener en cuenta que existen algunas funciones no disponibles en los RODC que normalmente utilizan los controladores de dominio de escritura: o Tener un rol de Operations Master (también conocido como roles de FSMO). A excepción de las contraseñas de usuarios. sin embargo. Preparado para: Policía Nacional del Perú Las siguientes características de los RODCs ayudan a mitigar los problemas arriba mencionados: o Base de datos del Directorio Activo de Solo Lectura. mientras que las aplicaciones LDAP que requieren ejecutar operaciones de escritura serán referidos a un controlador de dominio de escritura en un site adyacente. El administrador deberá explícitamente que algunas credenciales sean almacenadas en cache en los RODC.AD . un RODC contiene todos los objetos y atributos que un controlador de dominio de escritura tiene.Documento de Diseño . Esta funcionalidad almacena las credenciales de usuarios y computadoras en los RODC. Debido a que la naturaleza de los RODC es de solo lectura. Documento de Diseño. Al no haber datos escritos directamente en los RODC.0 Final Preparado por Carlos Moreno "PNP . o Replicación Unidireccional. o DNS de Solo Lectura. o Cache de Credenciales. y por consiguiente no puede tener un rol de Operations Page 9 Diseño de Active Directory. no tienen la capacidad de escribir cambios directamente en el RODC. Además de un mejor manejo del ancho de banda puesto que la replicación será unidireccional en lugar de bidireccional. Rev 20 . Esta actualización la deberá manejar un DNS de escritura en un site adyacente.

Documento de Diseño . Los RODCs han sido diseñados para ser implementados en localidades que requieran un servicio de autenticación rápido. Este paso no es requerido si se está creando un nuevo bosque con solo controladores de dominio en Windows Server 2008.4.3 Pre-requisitos de Implementación Los servidores deberán cumplir con los siguientes pre-requisitos para el despliegue de RODC: o El nivel funcional del bosque deberá ser Windows Server 2003. extranet. Page 10 Diseño de Active Directory. Los servidores de bridgehead están diseñados para replicar cambios a otros sites.4. 13. RODCs deben ser implementados en localidades remotas. Preparado para: Policía Nacional del Perú Master. Documento de Diseño. Ser un servidor de Bridgehead. Debido a que los RODC solo tienen replicación de entrada. 2. Las siguientes graficas muestras como están estructurados los controladores de domino con sistema operativo Windows Server 2000/2003 y como la misma red estaría después de la implementación de RODCs ejecutando en Windows Server 2008. 2. Sin embargo el factor de seguridad local es determinante para tomar la decisión de instalar un RODC o un controlador de dominio de escritura. confiable y robusto. Esto provee al RODC un partner de replicación.AD . o Se deberá desplegar al menos un controlador de dominio de escritura sobre Windows Server 2008 en el mismo dominio del RODC. o Como mejor practica no desplegar un RODC en un site que tenga un controlador de dominio de escritura. o Ejecutar el comando adprep / rodcprep antes de instalar el primer RODC.2 ¿Dónde utilizar el RODC? Como regla general. o en cualquier localidad en donde un controlador de domino sea necesario principalmente para soportar una aplicación que requiere acceso al directorio. Versión 1. Esto provee un alto nivel de consistencia de replicación. Rev 20 . ellos no pueden tener la función de bridgehead a otros sites.0 Final Preparado por Carlos Moreno "PNP .v1 0" última modificación 28 may.

2.5 Roles FSMO En Active Directory existen cinco roles maestros de operación FSMO (Flexible Single Master Operations): o Schema Master o Domain Naming Master o Relative Identifier Master (RID) o Primary Domain Controller (PDC) Emulator o Infrastructure Master El Schema Master y Domain Naming Master son roles a nivel de bosque. 2.5. Para lograr esto.1 Schema Master (uno por bosque) El controlador de dominio que tiene el rol de Schema Master es el único controlador de dominio que puede ejecutar operaciones de actualización del esquema del directorio. Documento de Diseño. esto significa que en el bosque solamente existe un controlador de dominio con el rol Schema Master y un controlador de dominio con el rol Domain Naming Master. existen uno por dominio.2 Domain Naming Master (uno por bosque) El controlador de dominio que tiene el rol de Domain Naming Master.AD . Primary Domain Controller (PDC) Emulator.5. Si el controlador de dominio no dispone de identificadores (SID). no es posible crear nuevos objetos de seguridad en ese controlador de dominio. cualquier petición para agregar o retirar dominios. es posible agregar y eliminar usuarios y computadoras desde cualquier controlador de dominio. deben comunicarse con el controlador de dominio que contiene el rol RID Master del dominio. será solicitado al controlador de dominio que tenga este rol. pues no es necesario solicitarlo a un controlado de dominio primario (PDC).3 RID Master (uno por dominio) Con Active Directory. Versión 1. es necesario que cada controlador de dominio tenga un conjunto de identificadores de usuarios y computadoras (SID). esto permite que la respuesta del controlador de dominio sea rápida. e Infrastructure Master. los roles: Relative Identifier Master (RID). Cualquier actualización del esquema es replicada desde el Schema Master hacia todos los controladores de dominio del bosque. Rev 20 .Documento de Diseño . es el único que puede agregar o retirar dominios del bosque. Es decir. 13. y el RID Master no está disponible. Page 11 Diseño de Active Directory. 2.v1 0" última modificación 28 may.0 Final Preparado por Carlos Moreno "PNP . los cuales después de haber creado cientos de estos objetos podrían no contar con SIDs disponibles para continuar creando objetos. Por otro lado. Preparado para: Policía Nacional del Perú 2. y en caso de que los controladores de dominio requieran crear mas objetos.5.

Cuando un objeto de un controlador de dominio hace referencia a un objeto que no forma parte del mismo dominio. Si el rol de Infrastructure Master no está disponible. Documento de Diseño. 2. La replicación urgente de cambios de clave secretas al PDC Emulator ocurre de manera inmediata sin tomar en cuenta el cronograma de replicación entre Sitios en los Site Links. Page 12 Diseño de Active Directory. El Infrastructure Master para un dominio examina periódicamente dentro de su réplica las referencias de los datos de directorio hacia los objetos no contenidos en el mismo dominio. el requerimiento de autenticación es enviado de manera inmediata al PDC Emulator.AD . es decir. provee compatibilidad con los BDC de Windows NT (cuando se opera en modo Mixto). 13. El PDC Emulator también provee sincronización de tiempo y control del parámetro de configuración: Password Latency. para luego replicar los nuevos valores hacia el resto de controladores de dominio del mismo dominio.0 Final Preparado por Carlos Moreno "PNP . y el DN siempre cambia. el SID cambia si el movimiento es entre dominios.v1 0" última modificación 28 may. Debido a que con Active Directory se puede realizar un cambio a la contraseña de una cuenta de seguridad en cualquier controlador de dominio. el Infrastructure Master realiza el cambio en su réplica local.Documento de Diseño .6. Preparado para: Policía Nacional del Perú 2. por lo tanto la contraseña no sería consistente en el dominio. Para solucionar esto.4 PDC Emulator (uno por dominio) El controlador de dominio que tiene el rol de PDC Emulator. el cual tiene la contraseña actual.1 Infrastructure Master El Infrastructure Master no debe ser un servidor de Catálogo Global en un bosque de dominio múltiple.2 Domain Naming Master El Domain Naming Master debe ser un servidor de catálogo global. el GUID no cambia.5. 2.6. a este se le identifica mediante el GUID. estas actualizaciones serán postergadas. El Infrastructure Master actualiza estas referencias localmente y utiliza la replicación para asegurar que todas las otras réplicas del dominio se actualicen. el SID y el DN del objeto referenciado. Si el objeto referenciado se moviera. la replicación podría demorar. 2.5 Infrastructure Master (uno por dominio) El controlador de dominio que tiene el rol de Infrastructure Master en un dominio es responsable de actualizar las referencias de grupo-a-usuarios (entre dominios) para reflejar el nombre del nuevo usuario. y el usuario tendría problemas para iniciar una sesión. Si esta información ha cambiado. si la autenticación falla en un controlador de dominio. En este sentido. Rev 20 .5. esto puede traer consigo un problema de latencia de replicación. Las búsquedas de un objeto se realizan en un Catálogo Global mediante el DN y SID de cada objeto referenciado. Versión 1.6 Distribución de roles FSMO 2. cualquier cambio de contraseña se actualiza directamente en el PDC Emulator.

7. El deseado nuevo dueño de rol puede obtener el rol de las siguientes maneras: o Típicamente. (Esto no requiere ninguna acción de su parte. localiza otro controlador de dominio disponible para el rol y transfiere el rol hacia éste. 13. 2. Si el deseado nuevo dueño del rol falla antes de realizar su actualización.v1 0" última modificación 28 may. En cambio. o No se debe depender de la transferencia cuando elimina Active Directory de un controlador de dominio. Si otro controlador de dominio no está disponible durante el proceso de DCPROMO. Respecto al respaldo de los Roles Maestros. el controlador de dominio intenta “abandonar” sus roles. El Domain Naming Master logra esto satisfactoriamente cuando también es un Catálogo Global. el cual contiene una réplica parcial de cada objeto en el bosque. Documento de Diseño. también se respaldan los roles que tiene. no contendrá todavía su rol. los roles también son restaurados. Preparado para: Policía Nacional del Perú Cuando el Domain Naming Master crea un objeto representando un nuevo dominio.7 Integridad de Roles FSMO y Recuperación Cuando una transferencia de roles toma lugar.1 Roles durante el proceso de DCPROMO o Cuando se elimina Active Directory del controlador de dominio que es dueño de los roles maestros de operación. se actualiza el dueño del rol actual antes de actualizarlo al deseado nuevo dueño del rol. o Permitir la replicación de actualizar el deseado nuevo dueño de rol con el cambio realizado con el actual dueño de rol. Versión 1. Para cada rol que el controlador de dominio contiene. cuando se realiza un respaldo del controlador de dominio. pero sí puede tomar más tiempo que repetir el intento de transferencia de rol). 2.Documento de Diseño . se debe transferir cualquier rol antes de empezar el proceso de eliminación de tal forma que el reemplazo del rol está como debe ser. Page 13 Diseño de Active Directory. Cuando un controlador de dominio es restaurado desde un medio de respaldo.0 Final Preparado por Carlos Moreno "PNP . y debe asegurar que ningún otro objeto o dominio tengan el mismo nombre. Rev 20 .AD . el proceso no será exitoso. se debe repetir el intento de transferencia de rol.

los cuales están interconectados utilizando una red de alta velocidad. Rev 20 . de tal manera que puedan tener acceso a los recursos. De preferencia. de tal forma que se pueda especificar un esquema de comunicación contra estos SITES. Cuando se opera Page 14 Diseño de Active Directory. así como también puede contener otros grupos locales de dominio de su propio dominio. 13.Documento de Diseño . Los grupos de distribución solamente pueden ser utilizados para agrupar usuarios en funciones no relacionadas a seguridad. Para poder controlar de manera adecuada el tráfico de red. debido a que están relacionados a la estructura física de la red. Versión 1. tales como controladores de dominio y servidores de Catálogo Global. Los SITES son utilizados por las computadoras clientes para encontrar eficientemente recursos de red. La definición de SITES debería estar enfocada a minimizar el esfuerzo administrativo relacionado a la topología de redes de Windows Server.0 Final Preparado por Carlos Moreno "PNP . Los grupos locales son típicamente usados para otorgar acceso a recursos en una computadora específica. Los SITES también son utilizados para proveer a los administradores la habilidad de controlar el tráfico de replicación que se requiere para definir los límites de la WAN. Un grupo local de dominio puede contener usuarios y grupos globales de cualquier dominio del bosque. Existe poco beneficio de crear un SITE que no contenga por lo menos un controlador de dominio. es necesario que los administradores estén constantemente supervisando los SITES definidos. tales como un esquema de replicación programada.v1 0" última modificación 28 may. tales como: listas de correo electrónico. Preparado para: Policía Nacional del Perú 2. Los SITES son independientes de los dominios. o Local Group .Local Groups o Grupos Locales son grupos de seguridad que pueden contener usuarios y grupos globales desde cualquier dominio del mismo bosque. típicamente una LAN. Los grupos de seguridad y distribución tienen atributos de alcance (Attribute Scope). Un grupo de seguridad tiene todas las capacidades de un grupo de distribución. o Domain Local Group (modo nativo solamente) – Un Domain Local Group o Grupo Local de Dominio puede ser utilizado para otorgar permisos a recursos dentro de su propio dominio. Los grupos locales son específicos a una computadora y no son reconocidos en ninguna otra parte del dominio.AD .8 Sites Un SITE de Active Directory es una colección de uno o más segmentos de red TPC/IP. Los grupos de seguridad son utilizados para asignar o denegar derechos y permisos a grupos de usuarios y computadoras. mientras que los dominios están organizados en base a una estructura lógica de la organización. o Domain Global Group – Un Domain Global Group o Grupo Global de dominio puede ser utilizado para otorgar permisos a recursos en cualquier lugar del bosque. 2. Documento de Diseño. El alcance de un grupo determina quien puede ser un miembro del grupo y dónde puede ser utilizado para brindar permisos a los recursos en el árbol de Active Directory. se deberían definir SITES adicionales para segmentos de red con enlaces de baja velocidad.9 Grupos de usuarios Active Directory provee dos tipos de grupos de usuarios: grupos de seguridad y grupos de distribución.

AD . Page 15 Diseño de Active Directory. para lo cual no necesita conocer en qué dominio en el árbol se encuentra el objeto. Cuando se opera en modo nativo. Los grupos de Seguridad de Windows Server deben ser utilizados para asignar permisos a los recursos en vez de otorgar permisos directamente a los usuarios individuales. De igual manera. grupos globales. y usuarios de cualquier parte del bosque. Rev 20 . el grupo global de dominio puede también contener otros grupos globales de dominio desde su propio dominio. Para crear los diferentes grupos en Active Directory. Dado uno o más atributos de un objeto para realizar una búsqueda. se debe tener en cuenta el nivel de acceso apropiado para el acceso a los recursos. La estrategia recomendada para utilizar grupos globales y grupos locales de dominio es poner las cuentas de usuarios en grupos globales y luego poner los grupos globales en grupos locales de dominio y asignar los permisos a recursos a los grupos locales de dominio. Documento de Diseño. grupos globales.10 Catálogos Globales El Catálogo Global mantiene una réplica de cada objeto en un bosque de Windows Server. Para mantener el tamaño de los datos del Catálogo Global a un mínimo. o Universal Group (modo nativo solamente) – Un Universal Group o Grupo Universal es la forma más simple de grupo. Los Administradores pueden especificar propiedades adicionales para lograr las necesidades de su instalación. así como de la carga ocasionada por motivos de replicación.v1 0" última modificación 28 may. así como los más requeridos para localizar una réplica total de un objeto. Por esta razón. Los miembros del grupo Universal son mantenidos en el catálogo global. Los atributos replicados en el catálogo global incluyen un conjunto definido por Microsoft. en vez de cuentas de usuarios. el catálogo global tiene un rol crítico en las operaciones de Active Directory. y grupos universales de otros dominios del bosque operando en modo nativo. un grupo global de dominio puede contener usuarios.0 Final Preparado por Carlos Moreno "PNP . y puede contener otros grupos universales. el catálogo global permite a los usuarios y aplicaciones buscar objetos en Active Directory. Los atributos en el catálogo global son las más frecuentemente usados en operaciones de búsqueda (tal como el primer nombre y apellido). Versión 1. 2. Se debe limitar los miembros del Grupo Universal a otros grupos locales o grupos globales. La replicación de Active Directory automáticamente construye el catálogo global luego que un administrador ha designado un servidor como servidor de catálogo global. Esta estrategia provee mayor flexibilidad y reduce la complejidad de asignar permisos de acceso a los recursos de la red.Documento de Diseño . Los grupos Universales deberán ser usados principalmente para permitir el acceso a los recursos donde tanto los usuarios y recursos se encuentren en mas de un dominio. Preparado para: Policía Nacional del Perú en modo Mixto. éste contiene una copia completa de los objetos de su dominio y un subconjunto de los atributos de cada objeto de otros dominios en el bosque. 13. es imprescindible considerar que los administradores tengan la habilidad de otorgar permisos a los recursos con la menor carga administrativa. Los Grupos Universales pueden ser utilizar para otorgar permisos a recursos en cualquier parte del bosque. Esto reduciría la cantidad de tráfico de replicación que el catálogo global incurriría debido a que los miembros de estos otros grupos se mantendrían dentro de cada Active Directory de dominio.

Versión 1.11 Sincronización de tiempo Windows Server incluye el servicio W32Time que es requerido por el protocolo de autenticación de Kerberos. los controladores de dominio que tienen el rol de PDC FSMO en los diferentes dominios de un bosque deberían ser configurados para sincronizar su reloj con una fuente autoritativa de tiempo. Rev 20 . Simple Network Time Protocol (SNTP). Si la diferencia es mayor. El objetivo principal del servicio es mantener los relojes de las computadoras de Microsoft Windows dentro de un bosque completamente sincronizados con una fuente autoritativa de tiempo. El servicio de tiempo de Windows utiliza una relación jerárquica.v1 0" última modificación 28 may. En este sentido. El objetivo del servicio de tiempo es asegurarse que todas las computadoras utilizando Windows Server dentro de una corporación utilicen una hora común. La sincronización de tiempo entre controladores de dominio es una medida de seguridad para evitar ataques de repetición de tráfico de red. se invalidará el ticket de Kerberos para el controlador de dominio desfasado (el que no contenga el rol de Emulador de PDC). con un mínimo esfuerzo administrativo. Page 16 Diseño de Active Directory. o Reducir el tiempo requerido para inicio de sesión de clientes cuando se opere en modo nativo. Preparado para: Policía Nacional del Perú Los objetivos principales del Catalogo Global son: o Reducir el tiempo requerido para encontrar información acerca de usuarios y recursos en cualquier lugar de la red. En la política de grupo Default Domain Controller Policy se define que la máxima diferencia de tiempo entre controladores de dominio es de 5 minutos. de tal forma que se asegure la aplicación de un tiempo único.Documento de Diseño . es posible lograrlo ejecutando un SCRIPT para que realice dichos cambios. es necesario tener más de un catalogo global en cada SITE. para lo cual se aplica el RFC 1361. la cual controla la autoridad y no permite desviaciones. 13. o Si las búsquedas son criticas y el tiempo de respuesta es lento. o Si el inicio de sesión de cliente es lento.0 Final Preparado por Carlos Moreno "PNP . Documento de Diseño. 2. Esta fuente horaria debería ser un servidor de tiempo habilitado dentro de la empresa o una fuente horaria basada en Internet. Para configurar todos los controladores de dominio de servidores de catálogo global. Algunas de las consideraciones que se deben tener son: o Para cada SITE de Active Directory debe haber al menos un servidor de catálogo global.AD . es necesario tener más de un catalogo global en cada SITE.

de tal forma que sea mucho más rápido ubicar a todos los equipos de cómputo y servicios que conforman el bosque. trayendo como principales beneficios: seguridad incrementada. y los servidores y estaciones que requieran de asignación automática de la configuración TCP/IP. Con la introducción de la asignación automática de direcciones IP utilizando DHCP.0 Final Preparado por Carlos Moreno "PNP . esto se debió a que inicialmente se esperaba que la frecuencia de cambios fuese baja. es necesario tener al menos un servidor DHCP. donde la principal ventaja es la posibilidad de replicación multi-master del DDNS. está diseñado para integrarse con el Active Directory. la estación de trabajo automáticamente obtendrá y actualizará su configuración TCP/IP basado en la información que recibe desde un servidor DHCP. Luego de estar configurado para utilizar DHCP. Todos los dominios son identificados por un nombre de dominio FQDN. Rev 20 . por lo tanto las actualizaciones se realizaban manualmente en un archivo texto. por lo que se desarrolló el Dynamic DNS definido en el RFC 2136.v1 0" última modificación 28 may.AD . Versión 1. Su principal rol es el traducir nombres FQDN de las computadoras hacia direcciones de TCP/IP. para de esta manera utilizar un enfoque estándar para resolución de nombres de la industria.12.2 Dynamic Host Configuration Protocol (DHCP) El Dynamic Host Configuration Protocol (DHCP) fue diseñado para reducir la carga administrativa de asignación de direcciones TCP/IP en estaciones de trabajo dentro de nuestra organización. así como definir configuraciones TCP/IP en cada computadora sin necesidad de hacerlo individualmente de forma manual. La aplicación del servidor DDNS en Windows Server 2008. Page 17 Diseño de Active Directory.12 Servicios de Infraestructura de Red 2. 13. 2. ayudará a reducir las dependencias en archivos HOSTS o de superar los problemas del DNS estático. El objetivo principal del DDNS en Windows Server 2008. Preparado para: Policía Nacional del Perú 2. soporte a caracteres internacionales. en la mayoría de los casos.1 Dynamic Domain Naming System (DDNS) El Domain Name System (DNS) es el sistema de nombres “de facto” para redes basados en TCP/IP. De igual manera. el cual permite a los usuarios y sistemas ubicar recursos en la red. y administración simplificada de nombres. es formar parte de la infraestructura de nombre de dominio de Active Directory. el proceso de actualizar manualmente los registros de red se tornó ineficiente. El DNS fue originalmente diseñado para soportar la búsqueda de nombres en una base de datos estática.Documento de Diseño . Para implantar DHCP en una empresa. El uso de DHCP permite que los administradores de red puedan administrar de manera centralizada la asignación de direcciones TCP/IP.12. la configuración de una estación de trabajo como un cliente DHCP es muy sencilla. Documento de Diseño. El Active Directory utiliza el DNS como el servicio localizador. deben estar configurados como clientes DHCP.

Esta base de datos sirve como un repositorio central de todas las direcciones relevantes de TCP/IP distribuidos por el servidor DHCP. Documento de Diseño. 13.0 Final Preparado por Carlos Moreno "PNP . Page 18 Diseño de Active Directory.Documento de Diseño . El objetivo principal del DHCP es simplificar la administración de direcciones TCP/IP dentro de una entorno de red. Versión 1.v1 0" última modificación 28 may.AD . Preparado para: Policía Nacional del Perú Un servidor DHCP mantiene la información de configuración TCP/IP en una base de datos. Rev 20 . permite asegurar con una alta fiabilidad que los equipos de los usuarios podrán obtener direcciones TCP/IP en cualquier lugar de la organización sin requerir alguna intervención administrativa. De igual manera.

 Dominio PNP. Rev 20 . este dominio sólo cumple esta funcionalidad. con la autorización correspondiente. a continuación mayor detalle de los mismos:  Dominio INTRANET. 13. Page 19 Diseño de Active Directory.ORG: los usuarios de este dominio son utilizados exclusivamente para la conexión VPN.  Dominio REDPNP.0 Final Preparado por Carlos Moreno "PNP . Versión 1.PNP: Este dominio es utilizado para que todos los usuarios inicien sesión en las estaciones de trabajao.PE: este dominio contiene cuentas de usuarios que son utilizados exclusivamente por el correo. se crean usuarios que a través de un servidor TMG realizan la conexión VPN.v1 0" última modificación 28 may. Preparado para: Policía Nacional del Perú 3 Escenario actual Actualmente la Policía Nacional de Perú tiene implementado tres dominios.GOB. Documento de Diseño.AD .Documento de Diseño .

Los objetos (usuarios. se implementará una arquitectura de Active Directory con único bosque y un dominio (intranetpnp.PNP pertenecerán al domino nuevo dominio.PNP e INTRANET.1. grupos y pc) de los dominio PNP.0 Final Preparado por Carlos Moreno "PNP . REDPNP.1 Diseño Lógico A continuación se detalla el diseño lógico de Active Directory Domain Services para la La Policía Nacinal del Perú.1 Número de Bosques y Dominios Basados en los requerimientos expresados por La Policía Nacional del Perú. El detalle de este diseño se muestra en la siguiente tabla: Bosque Dominios Comentarios Intranetpnp. Rev 20 . Documento de Diseño.pnp Intranetpnp. 4.PE.AD .pnp Dominio raíz Tabla: Número de bosques y dominios Page 20 Diseño de Active Directory.GOB. Versión 1.Documento de Diseño .pnp).v1 0" última modificación 28 may. Preparado para: Policía Nacional del Perú 4 Diseño implementado de Active Directory 4. 13.

microsoft. Preparado para: Policía Nacional del Perú 4.1..Esta OU alberga cuentas que son destinados a los servicios y/o aplicaciones que requieren una cuenta de usuario del dominio para ejecutar algún proceso.0 Final Preparado por Carlos Moreno "PNP . el siguiente enlace proporciona detalle sobre las principales recomendaciones de Microsoft en cuanto al diseño de OUs: Creating an Organizational Unit Design - http://technet. Versión 1. Las OUs generadas con otros propósitos tales como modelar el organigrama de la organización o la implementación de sucursales. Page 21 Diseño de Active Directory. siguiendo los lineamientos propuestos en esta sección. y esto debido a que los Carnet de los usuarios (Policías) terminan en estos dígitos.microsoft. es por ello que se los organizó de esa manera. Las estructuras de OUs pueden ser relativamente planas. o Cuentas de Administradores.com/es- ar/library/cc771151(WS.10). La estructura de unidades organizacionales (OUs) de Active Directory es el aspecto más flexible del servicio de directorio. y que están divididos en Unidades PNP y a los cuales se le aplica las GPO correspondientes.aspx) Mantener la estructura de OUs consistente y alineada a estándares de nombres dará lugar a una administración más sencilla de la plataforma. cabe mencionar que estos usuarios son solo para buzones de correo.Esta OU alberga las cuentas de los administradores del dominio. Documento de Diseño. esto abarca comisarías. 02 … 99. La estructura de OUs permite una delegación granular de los permisos administrativos por medio de la utilización de herramientas de gestión nativas de Active Directory como por ejemplo la herramienta DSACLS (http://technet..2 Esquema de Unidades Organizativas Las unidades organizacionales (OUs) son creadas con propósitos específicos de delegación de la administración y aplicación de políticas de grupo. Las OUs son comúnmente erróneamente utilizadas en las implementaciones de Active Directory o son implementadas de una manera no optimizada.aspx A continuación se describe el esquema de las Unidades Organizacionales diseñado para La Policía Nacional: o Cuentas de Servicio. Las OUs deben existir para cumplir principalmente dos funciones primordiales: La aplicación de políticas de grupo a objetos del directorio y proveer delegación administrativa de los recursos.Documento de Diseño .v1 0" última modificación 28 may. con pocos niveles de anidamiento y sin embargo ofrecer una gran funcionalidad debido al uso de grupos de seguridad para filtrar la aplicación de políticas de grupo. A nivel de computadoras la organización a nivel de OU´s será por divididos por Unidades PNP. En el caso que cambien los requerimientos de negocio. las OUs corresponden a Usuarios y PCs estas a nivel de usuarios está organizado en OU´s que comienzan en 00. De manera adicional. tienden a agregar niveles de complejidad en la correcta administración del servicio de directorio sin valor agregado para la administración. ya que inician sesión con usuarios de otro dominio. 01.10). 13. entre otras entidades de la Policía Nacional del Perú. Rev 20 .AD . será posible rediseñar la estructura de OU para adecuarla a la nueva realidad. En el modelo planteado para Policía Nacional del Perú. ya sea por necesidad de aplicar nuevas políticas o por necesidades de delegación.com/en-us/library/cc770377(WS.

las GPO que se aplicarán a las Page 22 Diseño de Active Directory. 13. o Cuentas de Computadoras (Unidades PNP)...  Z-Grupos de Mensajería. Versión 1.  Usuarios Temp. o Cuentas de Usuarios..Esta OU alberga todas las computadoras de los usuarios que pertenecen a la Interpol. comisarías y demás entidades de la Policía Nacional Del Perú. además que se sigue el mismo esquema para los demás policías. Posee la siguiente estructura:  Dirección General . Documento de Diseño.  Dirección General PNP. 02. cabe mencionar que estos puedes estar ubicados en diferentes ciudades..Esta OU alberga cuentas de usuarios que ya no pertenecen al dominio.Esta OU alberga todas las cuentas de usuarios que son válidos para el dominio.Esta OU alberga todas las computadoras de los usuarios que pertenecen al Estado Mayor General de la Policía Nacional del Perú.. las OU´s comienzan en 00. además dentro de la misma se encuentran más Unidades Organizativas..Esta OU alberga a todas las cuentas creadas para las entidades que pertenecen al Ministerio del Interior.Esta OU alberga a todos las cuentas creadas para las entidades que pertenezcan a la Dirección General.  Estado Mayor General....Esta OU alberga todas las computadoras que son válidos para el dominio y que han iniciado sesión al menos una vez cada 90 días (número de días recomendado). es decir.DIRIGEN. o Unidades PNP: Esta OU alberga usuarios creados por dependencias.Esta OU alberga a todos los usuarios cuyos números de carnet de policías terminan en 00.Esta OU alberga a todas las cuentas creadas para las entidades que pertenecen a la Dirección Nacional de Gestión Institucional de la Policía Nacional del Perú. Además de lo mencionado.Documento de Diseño ..v1 0" última modificación 28 may..Esta OU alberga las cuentas de computadoras de los usuarios que pertenecen a la Dirección General de la Policía Nacional del Perú.Esta OU alberga a todos las cuentas creadas para los usuarios que se encuentren pendientes por diferentes motivos. por lo que las cuentas no son a usuarios en especial.  MINITER.  00. NOTA: Cabe mencionar que hay más departamentos los cuales serán OU´s.  Usuarios PNP-Pendiente.Esta OU alberga a todos los grupos creados para mensajería de la Policía Nacional del Perú.  Dirección Nacional de Gestión Institucional PNP.. si no a las entidades mencionadas.. Preparado para: Policía Nacional del Perú o Cuentas Inactivas.  Dirección de Seguridad.  Inspectoría General.. 03… 97.Esta OU alberga a todos los usuarios que serán creados por un tiempo determinado para proveedores o usuarios externos a la Policía Nacional del Perú. 98 y 99.Esta OU alberga todas las computadoras de los usuarios que pertenecen a la Dirección de Seguridad de la Policía Nacional del Perú.AD .. Dentro las Unidades Organizacionales creadas en función de las políticas de grupo aplicadas. 01. en el informe se mencionan los principales.0 Final Preparado por Carlos Moreno "PNP . Rev 20 .  Interpol – Oficina Central Nacional Lima.Esta OU alberga todas las computadoras de los usuarios que pertenecen a la Inspectoría General de la Policía Nacional del Perú.

Versión 1.Esta OU alberga todos los servidores que forman parte del dominio. dependerán de la evaluación a las GPO que actualmene se tienen creadas y las GPO que Softline brinde.Esta OU alberga los 05 Domain Controller del dominio. Figura: Divisón de Unidades Organizativas en La Policía Nacional del Perú Page 23 Diseño de Active Directory.AD .. en base a esa revisión se asignarán de forma adecuadas las GPO a las OU´s.Esta OU alberga objetos de computadoras inactivas.Documento de Diseño . Preparado para: Policía Nacional del Perú OU´s. o Servidores. o Domain Controller.0 Final Preparado por Carlos Moreno "PNP .. 13.v1 0" última modificación 28 may. Rev 20 . Mediante un Script se moverán los Objetos PC que como mínimo en 90 días ningún usuario ha iniciado sesión. Documento de Diseño. o Computadoras Inactivas..

los mismos podrán incrementarse según las necesidades y problemáticas. servidores miembros y estaciones de trabajo. o Asegurar la correcta asignación y configuración de roles maestros de operación (FSMO). o Configurar los parámetros del servicio de directorio. Se recomienda que los miembros de este grupo deban pertenecer al grupo Enterprise Admin. Acceso ilimitado sobre los servidores miembros y estaciones de trabajo del país o región asignada. Documento de Diseño. Acceso ilimitado sobre todos los controladores de dominio.1. pero como recomendación esta actividad debería estar asignada a los Administradores de Dominio (ver sección: Roles a desarrollar por el personal de DIRTEL). Rev 20 .1. 4. Básicamente. Preparado para: Policía Nacional del Perú 4. o Administrar las políticas de seguridad del dominio como así también las políticas de controladores de dominio. y computadora. 13.v1 0" última modificación 28 may. la administración del servicio incluye.Documento de Diseño . o Operador de sitio Encargado de la administración de servidores miembro y de las Workstation. Estos administradores serían los encargados de definir la infraestructura del servicio de Directorio. Se recomienda que los miembros de este grupo deban pertenecer al grupo Account Operators. Page 24 Diseño de Active Directory.AD .4 Administración de Servicio La administración del servicio comprende la gestión de aquellos aspectos de Active Directory Domain Services que son imprescindibles para brindar un servicio de directorio a toda la organización. pero no está limitada a las siguientes tareas administrativas: o Agregar y remover controladores de dominio. como por ejemplo definir el nivel funcional del Forest.3 Roles a Desarrollar por el Personal de DIRTEL A continuación se mencionan los roles recomendados para la administración de la infraestructura Active Directory Domain Services de La Policía Nacional del Perú: o Auditor & Administrador de cambios Encargado del seguimiento de los cambios producidos sobre la estructura de Active Directory. la definición de la infraestructura del servicio de directorio así como de la infraestructura de seguridad (incluyendo políticas) y de la administración de las cuentas de grupo. Estos son los recursos que se consideran mínimos para la correcta administración del Active Directory. de servidores miembro y de las Workstation. Versión 1. o Administrar y monitorear la replicación. o Realizar backups regulares a la base de directorio. y la auditoría del mismo. usuario. En el caso de La Policía Nacional estas actividades están asociadas a los Administradores de Dominio.0 Final Preparado por Carlos Moreno "PNP . Se recomienda que los miembros de este grupo deban pertenecer al grupo Server Operators. o Administrador de dominio Encargado de la administración del forest y dominio.

pero como recomendación esta actividad debería estar asignada al Administrador de cuentas y seguridad – Global (ver sección: Roles a desarrollar por el personal de DIRTEL). pero no están limitadas a la administración de los siguientes objetos de Active Directory: o Cuentas de usuario. como así también el contenido y el servicio de los recursos del directorio administrados. Versión 1. Documento de Diseño. NOTA: Se realizará una relación de confianza para la migración de perfiles. los cuales son utilizados para agregar cuentas con el propósito de autorizar el acceso a los recursos. que representan los equipos y dispositivos que están unidos a los dominios en el forest de Active Directory.Documento de Diseño . Preparado para: Policía Nacional del Perú 4. no se tiene relación de confianza con ningún dominio.v1 0" última modificación 28 may. 4. estaciones de trabajo y los servicios corriendo sobre los mismos.1. que representan las identidades de la gente que utiliza la red. o Servidores miembros. o Atributos específicos para las aplicaciones integradas con Active Directory. o Cuentas de equipo.AD . En el caso de La Policía Nacional del Perú. Las tareas de administración de datos incluyen. o Grupos de seguridad. como por ejemplo Microsoft Exchange Server o Microsoft Lync.0 Final Preparado por Carlos Moreno "PNP .1. 13. Page 25 Diseño de Active Directory. estas actividades están asociadas a los Administradores de Dominio. Rev 20 . y que por ello no se considera como una relación de confianza permanente.6 Relaciones de confianza En cuanto a la arquitectura de Active Directory Domain Services diseñada para La Policía Nacional del Perú. la cual será elimianda al final de la misma.5 Administración de Datos La administración de datos incluye administrar el contenido que está alojado en Active Directory.

DC02 x. con nivel funcional de bosque y dominio en Windows Server 2012.pnp. Es por eso que los servidores de 64 bits son los recomendados para servicios de Active Directory Domain Services con gran cantidad de objetos. Preparado para: Policía Nacional del Perú 4. D:\AD (30GB).x.2 Diseño Físico 4. Documento de Diseño.x. C:\SO (80GB). Page 26 Diseño de Active Directory.x. o Para La Policía Nacional del Perú los Domain Controller estarán ubicados en los sitios de San Isidro – Ministerio del Interior. estos servidores controladores de dominio contarán con sistemas operativos Windows Server 2012 Standard.x del Interior P:\Paginación(20GB).x. W2012. Esta configuración permite que el servicio Local Security Authority Subsystem pueda trabajar con memoria superior a 04 GB RAM y hasta 4TB. DC03 x. España y Av. Esto cumple con el enunciado mencionado en el primer punto.x.0 Final Preparado por Carlos Moreno "PNP . C:\SO (80GB).v1 0" última modificación 28 may.AD . D:\AD (30GB).1 Ubicación y Número de Controladores de Dominio La arquitectura de Active Directory propuesta para La Policía Nacional del Perú está basada en tecnología Windows Server 2012 Standard. X GB RAM La ubicación de los servidores se define de acuerdo a los siguientes criterios: o Cada Dominio del Forest debe tener como mínimo 02 controladores de dominio. estarán distribuidos con el dominio intranetpnp. 13.x. Con respecto al sistema operativo necesario.2. DC04 x. 6 GB RAM San Isidro – Av.x España P:\Paginación(20GB).pnp San Isidro – Ministerio W2012. Los cuatro (04) Domain Controller del dominio raíz de bosque (o Forest Root Domain) se encontraran físicamente en tres Sites. D:\AD (30GB). X GB RAM Centro de Lima – Av. Rev 20 . esta configuración obedece a mecanismo de tolerancia a fallas y contingencia. D:\AD (30GB).x Aramburú P:\Paginación(20GB). Aramburú. DC01 x. C:\SO (80GB).x del Interior P:\Paginación(20GB). tal como se muestra en la siguiente tabla: Nombre Localización IP Observaciones Intranetpnp. Av.Documento de Diseño . W2012. C:\SO (80GB). 4 GB RAM San Isidro – Ministario W2012. Versión 1.x.x.

debido. la realización de copias de seguridad y la migración de equipos.v1 0" última modificación 28 may. porque el identificador de seguridad (SID) de un equipo no se actualizará.  Para evitar una situación de posible reversión en el número de secuencias actualizadas (USN). Para La Policía Nacional del Perú. Mayor información sobre el rol de Infrastructure Master en el siguiente enlace: FSMO placement and optimization on Active Directory domain controllers (http://support. el mantenimiento. Documento de Diseño.  No clone la instalación de un sistema operativo sin usar Sysprep. no se deben usar copias de un archivo de VHD que represente a un controlador de dominio ya implementado para implementar más controladores de dominio. el servicio de Active Directory Domain Services cuenta con cinco roles de Operation Master o FSMO (Flexible Single Master Operations): o Schema Master o Domain Naming Master o Relative Identifier Master (RID) o Primary Domain Controller (PDC) Emulator o Infrastructure Master El Schema Master y Domain Naming Master son roles a nivel de bosque.3 Ubicación y Número de Catálogos Globales El diseño propuesto para La Policía Nacional del Perú indica que cada controlador de dominio albergue el rol de Catálogo Global. Preparado para: Policía Nacional del Perú 4.0 Final Preparado por Carlos Moreno "PNP . deshabilite la sincronización de hora con el host mediante Servicios de integración. los 4 Domain Controller serán físicos. No obstante.AD .com/kb/223346).2 Domain Controller Virtuales Las plataformas de virtualización. En su lugar.microsoft. los roles: Relative Identifier Master Page 27 Diseño de Active Directory.2. 13.  En las máquinas virtuales que están configuradas como controladores de dominio.4 Ubicación de los Roles de Operations Master (FSMO) Como se mencionó anteriormente. acepte la sincronización de hora de jerarquía de dominio del servicio Hora de Windows (W32time). Esta configuración evita tener un servidor dedicado exclusivamente con el rol de Infrastructure Master. 4. En la siguiente lista se describen las prácticas que debe evitar cuando implemente controladores de dominio:  No implemente discos duros virtuales (VHD) de disco de diferenciación en una máquina virtual que se vaya a configurar como controlador de dominio. ofrecen una serie de características útiles que facilitan la administración.2.2.exe. esto significa que en el bosque sólo existe un controlador de dominio con el rol Schema Master y un controlador de dominio con el rol Domain Naming Master. además de disminuir el rendimiento. Rev 20 . Versión 1. existen algunas características y prácticas de implementación comunes que no se deben usar para controladores de dominio virtuales. 4. Esto hace que sea mucho más fácil poder volver a una versión anterior. Por otro lado.Documento de Diseño .

Page 28 Diseño de Active Directory. Versión 1. La Policía Nacional cuenta con cuatro Sites “San Isidro – Ministerio del Interior”. España”. El siguiente cuadro muestra la ubicación de los roles FSMO en cada dominio de La Policía Nacional del Perú: Nombre Localización IP Roles FSMO Intranetpnp. existen uno por cada dominio.pnp San Isidro – Schema. Preparado para: Policía Nacional del Perú (RID).x.AD . Como regla general se deberá mantener los roles de operación (FSMO) en el menor número de controladores de dominio posibles con fin de simplificar el diseño.0 Final Preparado por Carlos Moreno "PNP .2. Domain DC01 Ministerio del x.5 Diseño de Sitios Un Site de Active Directory debe definirse para toda ubicación física en la cual se han ubicado Domain Controller. este no deberá ubicarse en el mismo servidor de Catálogo Global debido a que no podrá identificar correctamente cambios de seguridad de otros dominios.x. y en los cuatro Sites que restan se encontrará un Controlador de Dominio por Site. en el primer site se encontrarán dos Domain Controller. La excepción es cuando todos los controladores de dominio son Catálogo Globales o en un bosque único con un dominio único.v1 0" última modificación 28 may. Para el caso del rol de Infrastructure Master.Documento de Diseño .x Av. así como en cualquier lugar físico que contenga recursos o servicios requeridos por los clientes. Primary Domain Controller (PDC) Emulator.x. Documento de Diseño. “San Isidro – Av. RID y PDC DC02 Ministerio del x.x. e Infrastructure Master.x Intenerio San Isidro – Infraestructura.x Aramburú Centro de Lima – --- DC04 x. por lo que los nombres que aparecen son tentativos.Aramburú” y “Centro de Lima – Av.x. 4.x. En estos casos el Infrastructure Master tiene toda la información que requiere. España NOTA: Los nombres ydirecciones IP de los Domain Controller se encuentran establecidas. Rev 20 .x.x Intenerio San Isidro – Av.x. 13. --- DC03 x.

Documento de Diseño .2.AD . o 500 MB para la unidad que contiene el SYSVOL compartido. la base de datos en volúmenes Page 29 Diseño de Active Directory. Documento de Diseño. 13. Preparado para: Policía Nacional del Perú Figura: Arquitectura Sites en La Policía Nacional 4. o De 32 GB para el sistema operativo Windows Server 2012.v1 0" última modificación 28 may. El espacio adicional es de 50% del espacio recomendado para cada controlador de cada dominio. De la misma forma tener en cuenta que podrá ser necesario separa el sistema operativo.dit. Versión 1. Requisitos Mínimos de Espacio de Disco Para calcular el mínimo espacio de disco necesario para cada controlador de dominio definido seguir las siguientes recomendaciones: o 500 MB para los logs de transacciones del Directorio Activo. o Para controladores de dominio con función de catálogo global (GC) se requerirá de espacio adicional de disco en caso que el bosque tenga más de un dominio. la paginación. 1.6 Hardware y Software para Controladores de Dominio Una vez que el número de controladores de dominio ha sido identificado.0 Final Preparado por Carlos Moreno "PNP . Tener también en cuenta la necesidad de utilizar discos RAID para los controladores de dominio principales para mejorar tanto el rendimiento como para utilizar un esquema tolerante a fallas. o 400 MB de almacenamiento por cada 1000 usuarios en el directorio de la unidad NTDS. el paso final es determinar el espacio en el disco. tipo de procesador y los requerimientos de la red necesarios por cada controlador de dominio definido. Rev 20 . los archivos de log de transacciones. cantidad de memoria.

Para los servidores principales utilizar un servidor con dos procesadores o Core Duo.v1 0" última modificación 28 may. Requisitos Mínimos de Tarjeta de Red Muchas redes corporativas cuentan con tarjetas de red de 100 Mbps o 1 Gbps en sus Page 30 Diseño de Active Directory. Un valor bajo indica que muchas operaciones no están siendo ejecutadas por el cache. DNS y DHCP habilitados. Versión 1. 13.000 2 GB Tabla: Requisitos mínimos de memoria según número de usuarios A pesar que la tabla muestra el mínimo necesario. Se asume que los controladores de dominio únicamente tienen los servicios de Directorio Activo. monitorear periódicamente el porcentaje de operaciones de Directorio Activo ejecutadas por el cache (Database Cache % Hit) mediante Perfomance Monitor de Windows Server 2008. Usuarios por Dominio en un Sitio Requerimientos Mínimos de Memoria por Controlador de Dominio 1–499 512 MB 500–999 1 GB > 1. 4. El Directorio Activo normalmente copia su base de datos a memoria. para los controladores de dominio utilizar discos de por lo menos 40 GB de espacio en su partición de sistema. Tener adicionalmente en cuenta que el sistema operativo Windows Server 2012 requiere de mínimo 1 GB de memoria para su correcto funcionamiento. Requisitos Mínimos de Procesador Como recomendación general para sitios de menos de 500 usuarios empezar con un servidor de un procesador. aumentar la memoria mejora el rendimiento del Directorio Activo. Rev 20 . Como recomendación. adicionando más memoria RAM es posible mejorar este ratio y por consiguiente mejorar el rendimiento del Directorio Activo.Documento de Diseño . Requisitos Mínimos de Memoria La siguiente tabla muestra una estimación conservadora de los requerimientos mínimos de memoria para los controladores de dominio. 3.AD . Documento de Diseño. por lo que el valor tomado de la tabla deberá adicionarse a este. En caso que se cuenten con aplicaciones adicionales se deberá aumentar la capacidad de procesamiento recomendada. Esto reduce el acceso a disco y mejora el rendimiento. Se asume que los controladores de dominio únicamente tienen los servicios de Directorio Activo y DNS. Para determinar cuanta es necesaria más RAM.0 Final Preparado por Carlos Moreno "PNP . 2. Preparado para: Policía Nacional del Perú distintos con el fin de lograr mejoras en el rendimiento. En caso que se cuenten con aplicaciones adicionales se deberá aumentar el tamaño de memoria recomendada.

AD . Memoria 08 RAM Disco 01 Raid 1 Disco C:\ (80GB) Sistema Operativo Disco D:\ (30 GB) Base de Datos AD.Documento de Diseño . ya que manejarán un alto número de usuarios (100 000 por lo menos). se reutilizarán servidores que poseen actualmente. Versión 1. Logs y Sysvol. Rev 20 . y según lo indicado no cumplen con todas las especificaciones. Preparado para: Policía Nacional del Perú servidores. Tarjeta de Red 1Gbps Tabla: Dimensionamiento de Domain Controller para la Policía Nacional del Perú Otras consideraciones: o Si los controladores de dominio albergaran otros roles se recomienda incrementar el número de cores y Memoria RAM de acuerdo a los requerimientos te rol en particular o Si los controladores de dominio albergaran roles de Servidores de archivos y de impresión se recomienda crear arreglos de disco adicionales a los utilizados por el rol de AD DS. a fin de alojar los archivos empleados por los roles adicionales NOTA: Para la implementación del Directorio Activo en La Policía Nacional. Disco P:\ (20GB) Paginación. Page 31 Diseño de Active Directory.0 Final Preparado por Carlos Moreno "PNP . Posteriormente a la implementación La Policía Nacional del Perú mejorará la condición de los servidores para que el performance sea el adecuado. Típicamente una tarjeta de red es suficiente para manejar todo el tráfico de red de Directorio Activo hacia el servidor. como fallas en la replicación y/o autenticación. 13. En general no es recomendable contar con múltiples tarjetas de red en los servidores controladores de dominio. Dimensionamiento de Servidores para la Policía Nacional del Perú recomendado: Configuración de hardware Detalle CPU Por cada 1GB de RAM se recomienda tener 2 Cores. 5.v1 0" última modificación 28 may. Documento de Diseño. Utilizar múltiples tarjetas de red en un controlador de dominio puede causar una variedad de problemas.

Versión 1. tendrá la configuración de Forwarder para la salida hacia Internet. Rev 20 . Page 32 Diseño de Active Directory.v1 0" última modificación 28 may. en el cual: o Para un forest de un único dominio.1 DNS En cuanto a la arquitectura de Active Directory Domain Services diseñada para La Policía Nacional del Perú. El principal que se encuentra en el Site – San Isidro – Ministerio del Interior. se recomienda mantener el modelo actual de resolución de nombres DNS. el cual tendrá configurado el Forwarder hacia Internet. Preparado para: Policía Nacional del Perú 4.AD . Documento de Diseño. Figura: Arquitectura DNS en La Policía Nacional del Perú En el caso de La Policía Nacional.Documento de Diseño . todos los Domain Controller tendrán el servicio DNS integrado.3.0 Final Preparado por Carlos Moreno "PNP . el servidor DNS primario para los computadores es un controlador de dominio del bosque. 13.3 Diseño de Redes 4. el DC01.

se implementa la misma estructura de DHCP que se tiene actualmente. Rev 20 .v1 0" última modificación 28 may.7. o Todos los servidores miembro siguen el mismo proceso que los clientes.0 Final Preparado por Carlos Moreno "PNP . se encuentra instalado en el servidor 172.3 WINS Actualmente poseen instalado el servicio de WINS.7). los equipos basados en Windows utilizan la siguiente jerarquía: o Todos los equipos de escritorio cliente nominan al controlador de dominio que autentican como su asociado de hora. El Servicio de hora de Windows garantiza que todos los equipos que dentro de una organización ejecutan Microsoft Windows 2000 o versiones posteriores utilicen la misma hora.AD . para que todos los usuarios hagan consultas a su propio servidor DHCP del sitio y eviten la sobrecargar a uno solo Domain Controller.3. Preparado para: Policía Nacional del Perú 4. Para asegurarse de que se utiliza la hora correcta. 13.3.1.4 Windows Timer Service Windows incluye W32Time.31. Page 33 Diseño de Active Directory. el Servicio de hora de Windows utiliza una relación jerárquica que controla la autoridad y el servicio no permite bucles. Versión 1. Luego de implementar el dominio intranetpnp.Documento de Diseño . la herramienta del Servicio de hora de Windows necesaria para el protocolo de autenticación Kerberos. 4. Este rol será instalado en todos los Domain Controller (En San Isidro – Ministerio del Interior solo en el DC02).3. Figura: Arquitectura DHCP en La Policía Nacional del Perú 4. o Todos los controladores de dominio de un dominio nominan como su asociado de hora al maestro de operaciones del controlador principal de dominio (PDC). Documento de Diseño. el cual solo es utilizado por un número menor de usuarios.intranet. Para la nueva implementación no se contará con la instalación de este servicio.pnp (172. ya por indicación de la Policía Nacional no se deberá instalar el servicio de WINS. el cual posee diferentes ámbitos para las diferentes entidades de la Policía Nacional del Perú.2 DHCP Actualmente la Policía Nacional del Perú poseen el Servicio de DHCP instalado en el Controlador de Dominio puma26.1.31.pnp. De manera predeterminada.

alarmas. como por ejemplo activos de información. Los requerimientos de tipo ambiental deben ser especificados por los diferentes fabricantes de los equipos. Las medidas de seguridad que se deban tomar.0 Final Preparado por Carlos Moreno "PNP . deben estar protegidos por barreras y controles físicos. activos de software y activos físicos. Page 34 Diseño de Active Directory.4. o Debe existir un área de recepción que solo permita la entrada de personal autorizado. los datos. su nivel de confidencialidad. o El sitio donde se ubiquen los recursos informáticos deben ser físicamente sólidos. o El sitio escogido para colocar los sistemas de información. el sitio donde ellos laboran. y los valores requeridos: o El perímetro de seguridad debe ser claramente definido. equipos de cómputo y comunicaciones. Preparado para: Policía Nacional del Perú o Todos los maestros de operaciones de PDC obedecen la jerarquía de dominios al seleccionar los asociados de hora. Los recursos incluyen el personal. Documento de Diseño. Versión 1. Rev 20 .Documento de Diseño . equipos y los medios con los cuales los empleados interactúan.v1 0" última modificación 28 may. etc. Se entiende por área donde se procesa la información los siguientes: El tamaño del área será determinado por la cantidad de hardware necesitado para el procesamiento y almacenamiento de la información. Todos los sitios en donde se encuentren los sistemas de procesamiento informático o de almacenamiento. dependerán directamente del valor de los activos de información.AD . factores naturales. y protegido de accesos no autorizados. barreras físicas. barras metálicas.1 Seguridad Física La seguridad física identifica las amenazas. 13. o Todas las salidas de emergencia en el perímetro de seguridad deben tener alarmas sonoras y cierre automático.4 Seguridad Física 4. 4. deben ser protegidos de accesos no autorizados. usando mecanismos de control. vulnerabilidades y las medidas que pueden ser utilizadas para proteger físicamente los recursos y la información de la organización. en general los activos asociados al mantenimiento y procesamiento de la información.

com.Esta política no tiene ninguna configuración asignada.5.  Defaul Domain Controller. tal como longitud mínima. 4. por lo que será eliminada....  Directiva de Auditoría para AD.  Dirección de Documentos..Política que bloquea el acceso al Messenger y que además bloque el acceso a las propiedades de conexión (para configuración de la dirección IP)..Esta política no tiene ninguna configuración asignada por lo que será eliminada.Politica aplicada a la Ous Domain Controller.Política que configura los servidores Proxy para el acceso a Internet a todos los usuarios.Esta política no tiene ninguna configuración asignada.1 Esquema de GPO A continuación se detalla de estructura de GPO. Rev 20 . por lo que será eliminada.  SUS.  Directiva de Grupo 1.Esta política no tiene ninguna configuración.. Page 35 Diseño de Active Directory.pe.Política que muestra en usu configuración la aplicación del papel tapiz corporativo para todos los usuarios.  Nuevo Objeto Directiva de Grupo.  Directiva de Prueba.Política aplicada a todo el dominio y que ayuda a la auditoría del AD.Política aplicada a todo el dominio cinternacional.  Limas. GPO Actuales en la PNP  Default Domain Policy.  Pruieba.Documento de Diseño . entre otros..5 Políticas de Grupo Son configuraciones que están relacionados a los aspectos de seguridad de las contraseñas de los usuarios. por lo que será eliminada.Política que define el fondo de pantalla corporativo para la Policía Nacional del Perú.. Preparado para: Policía Nacional del Perú 4.. vigencia máxima...v1 0" última modificación 28 may.  Nuevo Objeto Directiva de Grupo. Versión 1.AD . Documento de Diseño. 13. además del mensaje de inicio de sesión que se presenta a los usuarios.0 Final Preparado por Carlos Moreno "PNP .

pues la contraseña pedirá que sea más compleja y así dependiendo del perfil del usuario. Page 36 Diseño de Active Directory. esto incluye la configuración de la dirección IP.Esta GPO permitirá deshabilitar las opciones del panel del control que el usuario no debe modificar por ningún motivo.  Deshabilitar USB – Lectora de CD. Preparado para: Policía Nacional del Perú GPO Propuestas por Softline  Password (GPO a crear).  Deshabilitación de funciones del Panel de Control. Documento de Diseño. Versión 1..0 Final Preparado por Carlos Moreno "PNP . Rev 20 .. 13. Las GPO que queden serán separadas de las GPO que Softline presente.v1 0" última modificación 28 may. para que se evite que usuarios puedan llevarse información importante en los dispositivos de almacenamiento.Documento de Diseño . ya que es el problema más común con los usuarios. por lo que serán eliminadas y quitadas del dominio.. Figura: Divisón de Unidades Organizativas en La Policía Nacional del Perú NOTAS: Se muestran diferentes GPO que no tienen configuración y que no se aplicarán.Esta GPO bloqueará el acceso USB o de CD´s a la estación de trabajo. los que requieran de mayor seguridad.AD .se aplicará una configuración que permitirá poner la dificultad de las contraseñas a diferentes tipos de usuarios.

13. Rev 20 . Versión 1. Preparado para: Policía Nacional del Perú 5 Conclusiones El presente documento muestra el diseño final luego de la implementación del Directorio Activo en La Policía Nacional del Perú.AD . Documento de Diseño. El diseño mostrado líneas arriba cumple con las mejores prácticas recomendadas por Microsoft.0 Final Preparado por Carlos Moreno "PNP .Documento de Diseño .v1 0" última modificación 28 may. Page 37 Diseño de Active Directory.