Module7

Implementing Active Directory

 El bosque de AD DS

• Un bosque es el nivel más alto de la jerarquía de AD DS

• Un bosque es un límite de seguridad
• Es típico tener un solo bosque
• Hay dos roles de maestro de operaciones para el
bosque: Maestro de nomenclatura de dominio y Maestro
de esquema
•
Domain Trust
adatum.com tailspintoys.com

corp.adatum.com test.adatum.com orders.tailspintoys.com clients.tailspintoys.com

Forest
¿Qué es un dominio?

• Se crea un dominio al promocionar un servidor a

un controlador de dominio
• Un dominio es:
• Un límite administrativo
• Límite de replicación
• Un límite de autenticación
• Hay tres roles de maestro por dominio:
• Maestro de identificador relativo (RID)
• Emulador de controlador de dominio principal
• Maestro de infraestructura
Arboles de Active Directory Directory Service ADDS

• Un árbol de AD DS proporciona una agrupación

jerárquica lógica de dominios
• Los árboles se crean mediante la relación entre
dominios y se asignan al espacio de nombres del
sistema de nombres de dominio
•
adatum.com

tailspintoys.com
Relaciones de confianza

• Las relaciones de confianza permiten que una

entidad de seguridad confíe en otra entidad de
seguridad

Tree/Root Trust
Forest Trust

Parent/Child Trust

Shortcut Trust Realm Trust External Trust

El esquema de AD DS

• El esquema es el marco del cual se compone AD

DS
• Los objetos de clase de ejemplo incluyen:
• Unidades organizativas
• Usuarios
• Computadoras
• Los atributos de ejemplo incluyen:
• Nombre de usuario
• Contraseña
• Grupo
• Miembro
• dnsHostName
Unidades organizativas

• Una unidad organizativa es un objeto contenedor

dentro de un dominio que puede usar para
consolidar usuarios, grupos, equipos y otros
objetos
• Hay dos razones para crear unidades
organizativas:
• Delegar control administrativo
• Configurar objetos dentro de la unidad
organizativa
• Las unidades organizativas deben coincidir con el
modelo administrativo de su organización
•
Implementación de Unidades Organizativas

• Las unidades organizativas (O U) crean una

estructura jerárquica dentro de un dominio
• La estructura puede basarse en la geografía, el
departamento, los recursos, los requisitos de gestión
o una combinación de todos estos
Cuenta de
• Computadora
Una unidad
organizativa es un
contenedor dentro
de un dominio Cuenta
de
usuario
¿Qué hace un controlador de dominio?

• Proporcionar autenticación y autorización

• Roles de maestro de operaciones de host
• Anfitrión del catálogo global
• Directivas de grupo de soporte y SYSVOL
• Proporcionar replicación
Sitios de AD DS y replicación

• Los sitios se utilizan para representar la red física

de una manera lógica
• La replicación es cómo se transfieren los cambios
en los datos del directorio entre sitios
• Los enlaces a sitios describen las conexiones entre
sitios
Seattle

Redmond
Configuración de DNS para AD DS

• Puede instalar DNS como parte del proceso de

implementación del controlador de dominio
• Se recomienda integrar DNS en AD DS
• La integración de DNS en AD DS es necesaria para
actualizaciones dinámicas seguras
• Utilice varios servidores DNS para proporcionar
alta disponibilidad y equilibrio de carga
• Los registros SRV permiten la ubicación de AD DS
y otros servicios
•
¿Qué son las cuentas de usuario?

• Una cuenta de usuario es un objeto que contiene

toda la información que define a un usuario
• Con una cuenta de usuario, puede:
• Permitir o denegar que los usuarios inicien sesión
en función de su identidad
• Conceder a los usuarios acceso a procesos y
servicios
• Administrar el acceso de los usuarios a los
recursos; esto debe hacerse utilizando grupos
siempre que sea posible
¿Qué son los grupos?

• Un grupo es una colección de cuentas de usuario,

cuentas de equipo, contactos y otros grupos que
puede administrar como una sola unidad
• Dos tipos principales de grupos:
• Seguridad
• Distribución
• Tres ámbitos de grupos:
• Dominio local
• Global
• Universal
Grupos de anidamiento

• Usar anidamiento de grupo para agregar un

grupo como miembro a otro grupo
• Utilice las siguientes prácticas recomendadas para
los grupos de anidamiento:
✓ Accounts > Global > Domain Local < Permissions
•
• Para organizaciones más grandes, considere la
siguiente estrategia:
•
✓ Accounts > Global > Universal > Domain Local < Permissions
Cuentas de ordenador

• Las propiedades de cuentas de usuario más

utilizadas en AD DS son la ubicación y las
propiedades administradas
Prácticas recomendadas de administración de
cuentas
• No permita que los usuarios compartan cuentas
• Planificar una convención de nomenclatura para las
cuentas
• No utilice cuentas con nombre genérico para ningún
miembro del personal
• Grupos de nidos para la eficiencia
• Evite asignar permisos directamente a los usuarios
• Use una convención de nomenclatura que identifique a
los miembros del grupo
• Limitar la capacidad de crear cuentas de equipo
• Implementar una convención de nomenclatura para
identificar el rol de equipo
• Implementar las propiedades Administrar por y Ubicación
Componentes de directiva de grupo principal

• La directiva de grupo permite a los

administradores de TI automatizar la
administración de uno a varios usuarios y equipos
• Componentes fundamentales de la directiva de
grupo:
• Configuración de directiva de grupo
• Objetos de directiva de grupo
• GPO locales
• GPO basados en dominios
 Aplicación de GPO

• Se inicia el ordenador
Intervalo de actualización: Cada 90
minutos

• Configuración del ordenador aplicada

• Los scripts de inicio se ejecutan
•
• Inicios de sesión de usuario
Intervalo de actualización: Cada 90
• minutos

• Configuración de usuario aplicada

• Los scripts de inicio de sesión se ejecutan
•
 Creación y administración de GPO

• Puede usar varias herramientas para crear y

administrar GPO, incluida la Consola de
administración de directivas de grupo
•
Preferencias de directiva de grupo

• Preferencias de directiva de grupo

• Reducir la necesidad de scripts de inicio de sesión
• Ampliar la funcionalidad de GPO
• Algunas funciones de preferencia de directiva de grupo
incluyen:
• Asignar unidades de red para usuarios
• Configurar accesos directos de escritorio para usuarios o
equipos
• Establecer variables de entorno
• Copiar archivos
• Impresoras de mapas
• Mapa de unidades de red
• Establecer opciones de alimentación
• Y más......