CENTRO UNIVERSITARIO TECNOLÓGICO

TÉCNICO UNIVERSITARIO EN DISEÑO WEB

SEGURIDAD COMPUTACIONAL

MSc. Rommell Duval Vargas Laitano

Active Directory
Contenido
1
Definiciones & Aspectos Conceptuales

2
El interior del Directorio Activo

3 Manejo de LDAP. Búsquedas

4 Extensión de la consola de administración MMC

5 Herramientas de diagnóstico y monitorización

Conceptos

DNS
Particiones
Replicación
FSMO
Catálogo Global
 Conceptos
DNS (I)

Base de toda la infraestructura del Directorio Activo

Se puede utilizar cualquier servidor de DNS para mantener la
información
Con servidores Windows se dispone de actualizaciones
automáticas
Con servidores Windows se puede almacenar la información
de zonas en el propio Directorio Activo y aprovechar la
replicación para propagar los cambios
 Conceptos
DNS (II)
Los servicios se buscan realizando consultas de tipo SRV. Ej. Consulta
para encontrar servidores de GC
C:\Documents and Settings\administrator.ZALTORMOVIL>nslookup
Default Server: gandalf.zaltormovil.local
Address: 192.168.1.254

> set type=SRV

> _gc._tcp.zaltormovil.local
Server: gandalf.zaltormovil.local
Address: 192.168.1.254

_gc._tcp.zaltormovil.local SRV service location:

priority = 0
weight = 100
port = 3268
svr hostname = gandalf.zaltormovil.local
_gc._tcp.zaltormovil.local SRV service location:
priority = 0
weight = 100
port = 3268
svr hostname = hades.zaltormovil.local
gandalf.zaltormovil.local internet address = 192.168.1.254
hades.zaltormovil.local internet address = 192.168.1.253
>
Conceptos
DNS (III)
Ej. Consulta para localizar los controladores de dominio

> _ldap._tcp.dc._msdcs.zaltormovil.local.
Server: gandalf.zaltormovil.local
Address: 192.168.1.254

_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location:

priority = 0
weight = 100
port = 389
svr hostname = hades.zaltormovil.local
_ldap._tcp.dc._msdcs.zaltormovil.local SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = gandalf.zaltormovil.local
hades.zaltormovil.local internet address = 192.168.1.253
gandalf.zaltormovil.local internet address = 192.168.1.254
>
 Conceptos
Particiones (I)

Particiones = AD Naming Contexts

◦ Un ‘contexto’ es equivalente a una partición
Permiten disponer de ‘secciones’ del Directorio Activo independientes que
se pueden replicar de manera individual
Por omisión se cuenta con:
◦ Schema Naming Context
◦ Configuration Naming Context
◦ Domain Naming Context
Se pueden generar nuevos contextos de nombres
◦ Denominados Application Naming Contexts o Application Directory
Partitions
◦ Permitirán la replicación bajo reglas propias definidas (p.e. replicados
sólo a ciertos DCs)
Conceptos
Particiones (II)

Schema Naming Context

◦ Contiene la definición de todas las definiciones
de clases de todos los objetos y atributos del
directorio activo.

◦ Active Directory Schema MMC

Conceptos
Particiones (III)

Configuration Naming Context

◦ Mantiene información acerca de la
configuración de todo el Forest, incluyendo
información acerca de los dominios,
controladores de dominio, replicación, subredes,
etc.

◦ Visible mediante ADSIEdit

Conceptos
Particiones (IV)

Domain Naming Context

◦ Contiene toda la información de los objetos
definidos en el dominio. Estos objetos se replican
exclusivamente a aquellos controladores (DCs)
que forman parte del dominio.

◦ Visible mediante ADSIEdit

 Conceptos
Replicación (I)

Copia de los objetos entre DCs del directorio activo

AD Desde el punto de vista de la replicación
◦ Dominios
◦ Engloba, bajo un mismo contexto de nombres y de seguridad,
N equipos (clientes servidores)
◦ Sites
◦ Reflejan la estructura física de la red.
◦ Subredes
◦ Una vez definidas, los servidores, según su dirección IP, se
unirán automáticamente a los sites adecuados (en el
momento de la instalación)
Conceptos
Replicación (II)

Entre DCs de un site la replicación es ‘automática’

Entre DCs de distintos sites hay que configurar conectores

Los conectores llevan asociados ‘costes’ dependiendo de

las posibles conexiones físicas
 Conceptos
FSMO (I)
Flexible Single Master of Operations
◦ La mayoría de las tareas funcionan en modo Multiple Master (cualquier
servidor)
◦ Ciertas tareas del directorio activo se dejan en manos de un solo servidor
◦ Se puede seleccionar a qué servidor asignar cada rol.
Cinco roles FSMO
◦ Emulador de PDC
◦ RID Master
◦ Infrastructure Master
◦ Domain Naming Master
◦ Schema Master
 Conceptos
FSMO (II)
Emulador de PDC
◦ Uno por dominio
◦ Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0
◦ Sincroniza tiempos y sincroniza la creación de políticas de grupo
◦ Domain Master Browser
◦ Se determina el servidor en:
◦ Active Directory Users and Computers (botón derecho
dominio)
◦ Menú Operations Masters
◦ Tab PDC
Conceptos
FSMO (III)

RID Master (Relative ID Master)

◦ Uno por dominio
◦ Encargado de la asignación de identificadores únicos
(p.e. GUIDs)
◦ Se determina el servidor en:
◦ Active Directory Users and Computers (botón
derecho dominio)
◦ Menú Operations Masters
◦ Tab RID
 Conceptos
FSMO (IV)

Infrastructure Master
◦ Uno por dominio
◦ Responsable de la comprobación de pertenencia a grupos
universales en entornos multidominio
◦ Responsable de la actualización de referencias de objetos de
su dominio a otros dominios
◦ Se determina el servidor en:
◦ Active Directory Users and Computers (botón derecho dominio)
◦ Menú Operations Masters
◦ Tab Infrastructure
 Conceptos
FSMO (V)

Domain Naming Master

◦ Uno por forest
◦ Responsable de que los nombres de dominio sean únicos
◦ Controla el que se puedan añadir nuevos dominios
◦ Se determina el servidor en:
◦ Active Directory Domains and Trusts (botón derecho en raíz de
la consola)
◦ Menú Operations Master
Conceptos
FSMO (VI)
Schema Master
◦ Uno por forest
◦ Controla cambios y actualizaciones del esquema
◦ Se determina el servidor en:
◦ Registrar MMC de Active Directory Schema
◦ C:\>regsvr32 schmmgmt.dll
◦ Active Directory Schema (botón derecho en raíz de la consola)
◦ Menú Operations Master
Conceptos
FSMO (VII)
Los cambios de rol se pueden realizar también con
Ntdsutil.exe

Permite realizar múltiples operaciones

◦ Opción Roles permite realizar cambios de rol de FSMO
 Conceptos
FSMO (VIII)

¿Qué hacer en caso de fallo completo de un

equipo que gestionaba un FSMO?

◦ A través de ntdsutil.exe
◦ Opción Roles -> Seice : Rol

◦ Permite pasar el rol a otro DC

◦ El DC original no se debe volver a poner en la red
El interior del Directorio Activo
Esquema

Definición formal de todos los objetos Directorio Activo y

sus atributos
Cada tipo de objeto (clase) deriva de una clase
principal Top
◦ Las clases heredan de otras clases su definición y
comportamiento
Cada objeto dispone de atributos obligatorios y
atributos opcionales
Símil con una tabla de BBDD Relacional
◦ Clase => Definición en una fila de un objeto
◦ Atributos => Columnas que definen una clase
El interior del Directorio Activo
Esquema (II)

Cada atributo a su vez puede verse como una

colección de posibles valores

El Esquema se puede ver en la consola de

Active Directory Schema
◦ Se pueden ver/añadir/modificar clases y atributos por
separado
El interior del Directorio Activo
Nomenclatura de objetos (I)

Cada objeto se designa por su DN

(Distinguished Name)
◦ Este recorre la estructura del DA en forma de árbol
Cada objeto dispone de un RDN (Relative
Distiguished Name) dentro de su ámbito local
(p.e. dentro de una OU)
El DN de un objeto se compone de todos los
RDN de él mismo y de todos sus contenedores
El interior del Directorio Activo
Nomenclatura de objetos (II)

Ej. de DN

◦ Cn=alex,ou=usuariosdemo,dc=ceutec,dc=local

1. Common Name = alex

2. Organizational Unit = usuariosdemo
3. Domain Component = ceutec
4. Domain Component = local
El interior del Directorio Activo
Nomenclatura de objetos (III)

Cada objeto lleva asignado un GUID único

(asignado por RID)
◦ Objetos de tipo Security Principals (usuarios,
grupos, equipos; objetos con acceso a recursos)
además disponen de SID

El nombre de un usuario o de un PC puede cambiar,

pero su GUID no.

EL GUID se puede ver con ADSI Edit

◦ Atributo: objectGUID
El interior del Directorio Activo
Catálogo Global (I)

Dentro de un dominio, cada DC dispone de

una copia completa de la base de datos

En un entorno multi-dominio se pueden

designar servidores que mantengan copias
parciales de los datos de todo el forest
◦ Servidores de Catálogo Global

Para disminuir tamaño sólo se almacenan los

valores de ciertos atributos
El interior del Directorio Activo
Catálogo Global (II)

Cualquier DC puede tomar el rol de Catálogo

Global

El servidor de GC se usa para facilitar consultas

en entornos multidominio

Es recomendable, en entornos multidominio,

disponer de un servidor de GC en cada site
El interior del Directorio Activo
Catálogo Global (III)

En la consola (MMC) del esquema se puede

indicar qué atributos se replican en el Catálogo
Global
El interior del Directorio Activo
RootDSE

RootDSE es parte del estándar de LDAPv3.0

◦ Definido en RFC 2251

Define la raíz de búsqueda en un servidor LDAP

Muestra, entre otras cosas, las particiones

básicas a las que se puede conectar un cliente
El interior del Directorio Activo
Resolución Ambigua de Nombres (I)

Permite la búsqueda de un determinado valor

en múltiples atributos simultáneamente

Se pone a disposición de los usuarios un

interface de búsqueda de gente
◦ Se puede hacer una búsqueda en la casilla Nombre y
se devolverán N resultados con diferentes
coincidencias
El interior del Directorio Activo
Resolución Ambigua de Nombres (II)

Por defecto las búsquedas se hacen sobre

◦ sn (surname)
◦ givenName
◦ physicalDeliveryOfficeName
◦ sAMAccountName (cuenta NT)

En el esquema se puede definir qué atributos

están incluidos en ANR
◦ A través de la consola (MMC)
◦ Han de estar indexados
El interior del Directorio Activo
Resolución Ambigua de Nombres (III)

Ejemplo:
◦ Si se quiere que la gente pueda realizar una
búsqueda por teléfono móvil del usuario, se indexa el
atributo ‘mobile’ y se incluye en el ANR
◦ Uso de la consola de Schema de Directorio Activo
Manejo de LDAP. Búsquedas
LDP (I)

Herramienta de soporte para realizar

búsquedas LDAP

Vale para cualquier tipo de servidor LDAP, no

sólo para AD
Manejo de LDAP. Búsquedas
LDP (II)

Pasos:
◦ Conexión con un servidor LDAP
◦ Por defecto devuelve RootDSE
◦ Antes de consultar hay que validar
◦ Opción bind con usuario y contraseña
◦ Buscar
◦ Definir el ámbito de la búsqueda (Base DN)
◦ Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
◦ Profundidad de la búsqueda (En el ámbito dado)
◦ Resultados a devolver (Qué atributos extraer)
Manejo de LDAP. Búsquedas
LDP (III)

Demo búsqueda sencilla

◦ Lista de usuarios en una OU dada
◦ Obtener su GUID, SID y displayName

Base DN: OU=usuariosdemo,DC=ceutec,DC=local

Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. Búsquedas
LDP (IV)

Ejemplo de búsqueda por SID

◦ Obtener los datos del usuario a través de su SID

Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623>

Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. Búsquedas
LDP (V)

Ejemplo de búsqueda por GUID

◦ Obtener los datos del usuario a través de su GUID

Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d>

Filter: (objectClass=user)
Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. Búsquedas
LDP (VI)

Ejemplo de búsqueda compleja.

◦ Lista de todos los atributos que se replican al
catálogo global

Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local

Filter:
(&(objectCategory=attributeSchema)(isMemberOfPartialAttributeS
et=TRUE))
Scope: Subtree
Options - > Attributes: lDAPDisplayName
Manejo de LDAP. Búsquedas
LDP (VII)

Ejemplo de búsqueda de usuarios eliminados.

◦ Ventana de seguridad muestra usuario en forma de:
Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)

Base DN: <SID=S-1-5-21-4091595955-2324484845-

4052817843-1112>
Filter: objectClass=*
Scope: Base
Options -> Attributes: objectGUID;objectSid
Options -> Search type -> Extended
Options -> TimeOut -> 120
Options -> Controls -> Return Deleted Objects
Scripts

Windows pone a disposición del sistema una librería que

permite, entre otras cosas, acceder al Directorio Activo
mediante código
◦ ADSI (Active Directory Services Interface)

La programación se realiza en lenguajes de Script

◦ VBScript
◦ JScript
Scripts
Demo Script
Ej de uso de scripts para administración de AD.
Creación de 100 usuarios (VBScript)

Set objRootDSE = GetObject("LDAP://rootDSE")

Set objContainer = GetObject("LDAP://ou=milusuarios," & _
objRootDSE.Get("defaultNamingContext"))
For i = 1 To 100
Set objLeaf = objContainer.Create("User", "cn=UserNo" & i)
objLeaf.Put "sAMAccountName", "UserNo" & i
objLeaf.SetInfo
Next
WScript.Echo "100 Usuarios creados."
Scripts
Technet Script Center
Colección de scripts que sirven como base para realizar
tareas de administración muy elaboradas

Cientos de ejemplos agrupados por áreas en TechNet

Script Center
◦ http://www.microsoft.com/technet/scriptcenter
Extensión de la consola MMC

El entorno de administración MMC es extensible

◦ Permite añadir nuevas funcionalidades

Por ejemplo MS Exchange añade nuevas páginas de

propiedades a las propiedades de un usuario
Extensión de la consola MMC
Display Specifiers

En el esquema de DA existen objetos de tipo

displaySpecifiers
◦ En el apartado de configuración

Determinan la ‘localización’ o los idiomas en los que se

mostrarán ciertos elementos de la consola de
administración
◦ 409 - inglés
Extensión de la consola MMC
Specifier: user-Display (I)
Permite extender las propiedades de un usuario

Dependiendo de los valores de sus atributos mostrará

unas cosas u otras

Atributo adminContextMenu
◦ Permite añadir una nueva opción de menú al menú
contextual de un usuario
Extensión de la consola MMC
Specifier: user-Display (II)
Ej. Nuevo menú
◦ Menú sencillo de ejemplo. Simplemente obtiene la
información del objeto (path) y extrae su RDN

De esta forma se puede llamar a cualquier ejecutable

que acepte parámetros por la línea de comandos

Más información en:

◦ http://msdn.microsoft.com/library/en-
us/netdir/ad/extending_the_user_interface_for_direct
ory_objects.asp?frame=true
Extensión de la consola MMC
Specifier: user-Display (III)

Ej. Nuevo menú

◦ Menú que obtiene el listado de grupos a los que
pertenece un determinado usuario de manera
recursiva.
◦ Se modifica la propiedad adminMenu
◦ Obtiene grupos dentro de grupos
◦ Script: getUserGroups.hta
Extensión de la consola MMC
Specifier: computer-Display

Ej. Nuevo menú

◦ Menú que obtiene la lista de software instalado en el
equipo vía WMI
◦ Se modifica la propiedad adminMenu
◦ Script: getSoftInstalado.hta
Utilidades
Group Policy Management SnapIn

MMC que permite gestionar las políticas de manera

mucho más sencilla

Interface muy intuitivo válido para todo el forest

Dispone de informes de aplicación de GPO

Permite aplicar GPOs por filtros de WMI (no sólo por

usuarios o grupos)
ADAM

ADAM: Active Directory Application Mode

Versión de Directorio Activo independiente de la

infraestructura de la red

Permite disponer de un Directorio Activo aislado y

controlado útil para aplicaciones independientes
◦ No interfiere con AD de la red
◦ Sincronizable con AD de la red mediante Microsoft
Identity Integration Server
Descarga de las utilidades

Estas utilidades y más se pueden descargar en:

◦ http://www.microsoft.com/windowsserver2003/downl
oads/default.mspx
Herramientas de diagnóstico y
monitorización
Netdiag.exe
◦ Realiza diversas comprobaciones de la red. Útil
para trazar problemas de conectividad, DNS,
LDAP, etc.
Herramientas de diagnóstico y
monitorización
Dcdiag.exe
◦ Realiza diversas comprobaciones de diagnóstico
del servidor como Controlador de Dominio
Herramientas de diagnóstico y
monitorización
Dsastat.exe
◦ Permite determinar si la estructura de DA de N
servidores es igual (para verificar que se ha
realizado la replicación correctamente)
Herramientas de diagnóstico y
monitorización
ReplMon.exe
◦ Replication Monitor. Muestra gráficamente el
estado de la replicación entre servidores
Herramientas de diagnóstico y
monitorización
Repadmin.exe
◦ Utilidad muy extensa que permite trabajar con
cómo está establecida la configuración de
replicación