Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introduccion A Las Infraestructuras de Active Directory PDF
Introduccion A Las Infraestructuras de Active Directory PDF
infraestructuras de
Active Directory
Contenido
Introduccin 1
Leccin: Arquitectura de Active Directory 2
Leccin: Cmo funciona Active Directory 11
Leccin: Examen de Active Directory 21
Leccin: Procesos de diseo,
planeamiento e implementacin
de Active Directory 31
2 Introduccin a las infraestructuras de Active Directory
Introduccin
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin Este mdulo sirve de introduccin a la estructura lgica y fsica del servicio
de directorio Active Directory y su funcin como servicio de directorio.
Adems, presenta los complementos, las herramientas de lnea de comandos y
Microsoft Windows Script Host que se pueden utilizar para administrar los
componentes de Active Directory y los procesos de diseo, planeamiento e
implementacin de Active Directory.
Objetivos Despus de finalizar este mdulo, podr:
Describir la arquitectura de Active Directory.
Describir cmo funciona Active Directory.
Utilizar complementos administrativos para examinar los componentes de
Active Directory.
Describir los procesos de diseo, planeamiento e implementacin de Active
Directory.
Introduccin a las infraestructuras de Active Directory 3
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Qu es un servicio de directorio
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Qu es un esquema
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin El esquema de Active Directory define las clases de objetos, los tipos de
informacin sobre dichos objetos y la configuracin de seguridad
predeterminada para ellos que se puede almacenar en Active Directory.
Qu es el esquema El esquema de Active Directory contiene las definiciones de todos los objetos,
de Active Directory como usuarios, equipos e impresoras, almacenadas en Active Directory. En los
controladores de dominio con Windows Server 2003, slo existe un esquema
para un bosque completo. De este modo, todos los objetos creados en Active
Directory ajustan a las mismas reglas.
El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las
clases de objetos, como usuario, equipo e impresora, describen los objetos de
directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos.
Los atributos se definen independientemente de las clases de objetos. Cada
atributo se define slo una vez y se puede utilizar en varias clases de objetos.
Por ejemplo, el atributo Descripcin se utiliza en muchas clases de objetos,
pero se define slo una vez en el esquema para garantizar la coherencia.
Esquema y Se pueden crear nuevos tipos de objetos en Active Directory mediante la
extensibilidad de ampliacin del esquema. Por ejemplo, para una aplicacin de servidor de
Active Directory correo electrnico, se puede extender la clase de usuario en Active Directory
con nuevos atributos que almacenan informacin adicional, como direcciones
de correo electrnico de los usuarios.
Cambios en el esquema En los controladores de dominio de Windows Server 2003, se pueden deshacer
y desactivacin los cambios realizados en el esquema mediante su desactivacin, lo que permite
que las organizaciones saquen provecho de las caractersticas de extensibilidad
de Active Directory.
Tambin se puede volver a definir una clase o un atributo del esquema. Por
ejemplo, se puede cambiar la sintaxis de una cadena Unicode de un atributo
denominado Administrador de ventas por Nombre completo.
Introduccin a las infraestructuras de Active Directory 17
Qu es el catlogo global
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Funciones del El catlogo global permite a los usuarios realizar dos importantes funciones:
catlogo global
Buscar la informacin de Active Directory en cualquier lugar del bosque,
independientemente de la ubicacin de los datos.
Utilizar la informacin de pertenencia al grupo universal para iniciar la
sesin en la red.
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP,
Lightweight Directory Access Protocol) para buscar y modificar objetos en
una base de datos de Active Directory. LDAP es un subconjunto de X.500, un
estndar del sector que define cmo estructurar directorios. LDAP utiliza la
informacin acerca de la estructura de un directorio para buscar objetos
individuales, cada uno de los cuales tiene un nombre nico.
Definicin LDAP utiliza un nombre que representa un objeto de Active Directory mediante
una serie de componentes que se relacionan con la estructura lgica. Esta
representacin, denominada el nombre completo del objeto, identifica el
dominio en el que el objeto est ubicado y la ruta completa para llegar a l.
Los nombres completos deben ser nicos en un bosque de Active Directory.
El nombre completo relativo de un objeto nicamente identifica el objeto en
su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo
nombre. El nombre completo relativo es siempre el primer componente del
nombre completo, pero puede que no siempre sea un nombre comn.
Ejemplo de un Para un usuario llamado Cristina Martnez de la unidad organizativa Sales en el
nombre completo dominio Contoso.msft, cada elemento de la estructura lgica se representa con
el nombre completo siguiente:
CN=Cristina Martnez,OU=Sales,DC=contoso,DC=msft
Ejemplo de un nombre En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad
completo relativo organizativa que se representa mediante la siguiente ruta de nombre de LDAP:
OU=Sales,DC=contoso,DC=msft
Introduccin a las infraestructuras de Active Directory 21
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Puntos clave Al permitir que se inicie sesin una nica vez, Active Directory facilita al
usuario los complejos procesos de autenticacin y autorizacin. Los usuarios no
necesitan administrar varios conjuntos de credenciales.
Un inicio de sesin una nica vez consta de los siguientes aspectos:
Autenticacin, que comprueba las credenciales del intento de conexin.
Autorizacin, que comprueba que el intento de conexin est permitido.
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Cmo admite Active Active Directory tambin admite la administracin descentralizada. Se pueden
Directory la asignar permisos y conceder derechos de usuario de formas muy especficas.
administracin Por ejemplo, se pueden delegar privilegios administrativos para determinados
descentralizada objetos a los equipos de ventas y mercadotecnia de una organizacin.
Se puede delegar la asignacin de permisos en los siguientes casos:
Para unidades organizativas especficas a distintos grupos locales de
dominio. Por ejemplo, se puede delegar el permiso Control total para la
unidad organizativa Sales.
Para modificar los atributos especficos de un objeto en una unidad
organizativa. Por ejemplo, se puede asignar el permiso para cambiar el
nombre, la direccin y el nmero de telfono y para restablecer contraseas
de un objeto de cuenta de usuario.
Para realizar la misma tarea, como restablecer contraseas, en todas las
unidades organizativas de un dominio.
Introduccin a las infraestructuras de Active Directory 25
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Usuarios y equipos de Complemento Microsoft Management Console (MMC) que se utiliza para
Active Directory administrar y publicar informacin en Active Directory. Se pueden administrar
cuentas de usuario, grupos y cuentas de equipo, agregar equipos a un dominio,
administrar directivas de cuenta y derechos de usuario y directivas de auditora.
Dominios y confianzas MMC que se utiliza para administrar confianzas de dominio y de bosque, agregar
de Active Directory sufijos de nombre principal de usuario y cambiar los niveles funcionales de dominio
y bosque.
Sitios y servicios de MMC que se utiliza para administrar la replicacin de datos de directorios.
Active Directory
Esquema de Active MMC que se utiliza para administrar el esquema. No est disponible de forma
Directory predeterminada en el men Herramientas administrativas. Se debe agregar
manualmente.
Nota Tambin se puede utilizar el Editor ADSI para ver, crear, modificar y
eliminar objetos en Active Directory. El Editor ADSI no se instala de forma
predeterminada. Para instalar el Editor ADSI, instale las herramientas de
soporte de Windows Server 2003 desde la carpeta \Support\Tools del disco
compacto del producto.
26 Introduccin a las infraestructuras de Active Directory
Se pueden personalizar las consolas administrativas para que coincidan con las
tareas administrativas que se delegan a otros administradores. Tambin se
pueden combinar todas las consolas necesarias para cada funcin administrativa
en una nica consola.
Herramientas En la siguiente tabla se describen algunas herramientas de lnea de comandos
administrativas de comunes que se utilizan para administrar Active Directory.
lnea de comandos
Herramienta Descripcin
Dsadd Permite agregar objetos, como equipos, usuarios, grupos, unidades organizativas y
contactos, a Active Directory.
Dsmod Permite modificar objetos, como equipos, servidores, usuarios, grupos, unidades
organizativas y contactos, en Active Directory.
Dsquery Permite ejecutar consultas en Active Directory con los criterios especificados.
Puede realizar consultas sobre servidores, equipos, grupos, usuarios, sitios, unidades
organizativas y particiones.
Dsmove Permite mover un solo objeto, dentro de un dominio, a una nueva ubicacin de
Active Directory o cambiar el nombre de un solo objeto sin moverlo.
Dsrm Permite eliminar un objeto de Active Directory.
Dsget Permite mostrar los atributos seleccionados de un equipo, contacto, grupo, unidad
organizativa, servidor o usuario de Active Directory.
Csvde Permite importar y exportar datos de Active Directory en formato de texto separado
por comas.
Ldifde Permite crear, modificar y eliminar objetos de Active Directory. Tambin permite
ampliar el esquema de Active Directory, exportar informacin de usuarios y grupos a
otras aplicaciones o servicios y rellenar Active Directory con los datos de otros
servicios de directorio.
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
____________________________________________________________
____________________________________________________________
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin El diseo de Active Directory supone varias tareas, que definen los requisitos
funcionales para un componente de una implementacin de Active Directory.
Tareas del proceso El proceso de diseo de Active Directory incluye las siguientes tareas:
de diseo de Active
Directory Recopilacin de informacin organizativa. Esta primera tarea define la
necesidad del servicio de directorio y los requisitos empresariales del
proyecto. Entre los ejemplos de informacin organizativa se incluye un
perfil organizativo avanzado, ubicaciones geogrficas de la organizacin,
infraestructura tcnica y de red y planes de cambios en la organizacin.
Anlisis de informacin organizativa. Analice la informacin recopilada
para evaluar su relevancia y valor para el proceso de diseo. Determine
la informacin ms importante y los componentes del diseo de Active
Directory a los que afectar la informacin. Debe estar preparado para
aplicar la informacin en todo el proceso de diseo.
Anlisis de las opciones de diseo. Al analizar requisitos empresariales
especficos, varias opciones de diseo pueden satisfacer los requisitos
empresariales. Por ejemplo, se puede cumplir un requisito administrativo con
un diseo de dominios o una estructura de unidad organizativa. Cada opcin
seleccionada puede afectar a otros componentes del diseo, por lo que debe
existir cierta flexibilidad en el enfoque del diseo en todo el proceso.
Introduccin a las infraestructuras de Active Directory 35
Salida del proceso La salida de la fase de diseo de Active Directory incluye los siguientes
de diseo de Active elementos:
Directory
Diseo de bosques y dominios. El diseo de bosques incluye informacin
como, por ejemplo, el nmero de bosques necesarios, las directrices para
crear confianzas y el nombre de dominio completo (FQDN, fully qualified
domain name) para el dominio raz de bosque para cada bosque. En el
diseo tambin se incluye la directiva de control de cambios de bosque,
que identifica los procesos de propiedad y de aprobacin para los cambios
de configuracin que afectan a todo el bosque. Identifique quin es el
responsable de determinar la directiva de control de cambios de bosque para
cada bosque de la organizacin. Si hay varios bosques en el plan de diseo,
puede evaluar si las confianzas de bosque son necesarias para compartir los
recursos de red en los bosques.
En el diseo de dominios se indica el nmero de dominios necesarios en
cada bosque, los dominios que estarn en el dominio raz de bosque para
cada bosque y la jerarqua de dominios si existen varios dominios en el
diseo. En el diseo de dominios tambin se incluye el nombre DNS de
cada dominio y cualquier relacin de confianza entre dominios.
Diseo de unidades organizativas. Permite especificar cmo se crearn las
unidades organizativas para cada dominio del bosque. Incluya una descripcin
de la autoridad administrativa que se aplicar a cada unidad organizativa y a
la que se delegar dicha autoridad. Finalmente, incluya la estrategia para
aplicar directivas de grupo a la estructura de unidades organizativas.
Diseo de sitios. Permite especificar el nmero y la ubicacin de los sitios en
la organizacin, los vnculos del sitio necesarios y el costo de los vnculos.
36 Introduccin a las infraestructuras de Active Directory
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin Una vez que el plan de implementacin de Active Directory est disponible,
se puede iniciar la implementacin de Active Directory de acuerdo con el plan
de diseo.
Proceso de Realice las siguientes tareas al implementar Active Directory:
implementacin
Implementar la estructura de bosques, dominios y DNS. Cree el dominio
raz de bosque, rboles de dominios y dominios secundarios que constituyan
la jerarqua de bosques y dominios.
Crear unidades organizativas y grupos de seguridad. Cree la estructura de
unidades organizativas para cada dominio en cada bosque, cree grupos de
seguridad y delegue autoridad administrativa a grupos administrativos de
cada unidad organizativa.
Crear cuentas de usuario y equipo. Importe cuentas de usuario a Active
Directory.
Crear objetos de directiva de grupo. Cree GPO basados en la estrategia
de directivas de grupo y, a continuacin, vinclelos a sitios, dominios y
unidades organizativas.
Implementar sitios. Cree sitios segn el plan de sitios, cree vnculos a
sitios, configure la programacin de los vnculos a sitios e implemente
controladores de dominio, servidores de catlogo global, servidores DNS y
maestros de operaciones en los sitios.