Servicios de Dominio de Active Directory

(AD DS)

Integrantes:
❑ Oré Del Castillo Edmund Yoser
❑ Quispe Mejia Diego
❑ Rosell Martin
❑ Machaca Mayhuire
❑ Santivañes Jose Manuel
 Identidad y acceso (IDA)
Una infraestructura IDA debe:
❑ Almacene información sobre usuarios, grupos, computadoras y otras identidades.
❑ Una identidad es la representación de una entidad que realizará acciones en un
servidor.
❑ Un componente del IDA es el almacén de identidades que contiene propiedades
que identifican de forma única el objeto, como:

❑ Nombre de usuario
❑ Identificador de seguridad (SID)
❑ contraseña

❑ El almacén de datos de Active Directory (AD) es un almacén de identidades.

❑ El directorio en sí está alojado y administrado por un controlador de dominio, un
servidor que desempeña la función de Servicios de dominio de directorio de
actividades (AD DS).
 Responsabilidades IDA
1. Autenticación:
❑ AD usa la autenticación Kerberos.
2. Control de acceso:
❑ Mantiene una lista de control de acceso (ACL).
❑ Refleja una política de seguridad compuesta
por permisos que especifican niveles de acceso
para identidades particulares.
3. Pista de auditoría :
❑ Permite el seguimiento de cambios y
actividades dentro de la infraestructura IDA.
Tecnologías IDA Soportado por AD

❑Identidad
❑Aplicaciones
❑Confiabilidad
❑Integridad
❑Partnership
 Identidad

❑Servicios de dominio de Active Directory (AD DS)

❑Un repositorio central para la gestión de identidades.
❑Proporciona servicios de autenticación y autorización a través de
la política de grupo.
❑Proporciona gestión de información y servicios para compartir
que permiten a los usuarios encontrar cualquier componente
buscando en el directorio.
 Aplicaciones
❑Servicios de directorio ligero de directorio de aplicaciones
(AD LDS)
❑Esencialmente una versión independiente de AD
❑Almacena y replica solo información relacionada con la aplicación.
❑Usado comúnmente por aplicaciones que requieren un almacén de directorio
pero que no requieren que la información se replique tan ampliamente como
en todos los controladores de dominio.
❑Le permite implementar un esquema personalizado para admitir una
aplicación sin modificar el esquema de AD DS.
❑Formalmente conocido como modo de aplicación de Active Directory
(ADAM)
 Confiar

❑Servicios de certificados de Active Directory (AD CS)

❑Se utiliza para configurar una autoridad de certificación para emitir
certificados digitales como parte de una infraestructura de clave pública
(PKI) que vincula la identidad de una persona, dispositivo o servicio a una
clave privada correspondiente.
❑Si usa AD CS para proporcionar estos servicios a comunidades externas,
AD CS debe estar vinculado con una CA externa de renombre.
 Integridad
• Servicios de administración de derechos de
Active Directory (AD RMS)
• Una tecnología de protección de la
información que le permite implementar
plantillas de políticas de uso persistente que
definen los usos permitidos y no
autorizados.
- e.g. puede configurar una plantilla que
permita a los usuarios leer un documento
pero no imprimir o copiar su contenido.
 Partnership
• Servicios de federación de Active Directory (AD FS)
– Permite que una organización extienda IDA en múltiples plataformas, incluidos
entornos Windows y distintos de Windows.
– Proyecta derechos de acceso e identidad a través de los límites de seguridad a
socios de confianza.
– Admite inicio de sesión único (SSO).
Más allá de la AIF
• AD ofrece más que soluciones IDA
• AD proporciona los mecanismos para respaldar, administrar y configurar
recursos en un entorno de red distribuida.
– Esquema
– Administración basada en políticas
– Servicios de replicación
Esquema

• Un conjunto de reglas que define las clases de objetos y atributos que se pueden
contener en el directorio.
– e.g. el hecho de que AD tenga objetos de usuario que incluyan un nombre de
usuario y una contraseña se debe a que el esquema define la clase de objeto
de usuario, los dos atributos y la asociación entre la clase de objeto y los
atributos.
 Administración basada en políticas

• Proporciona un único punto en el que configurar las

opciones que luego se implementan en varios sistemas.
• Tales políticas incluyen;
– Política de grupo
– Políticas de auditoría
– Políticas de contraseñas detalladas
 Servicios de replicación

• Distribuir datos de directorio a

través de una red
– Esto incluye tanto el almacén de
datos en sí como los datos
necesarios para implementar
políticas y configuración, incluidos
los scripts de inicio de sesión.
 Catálogo global
• Le permite consultar AD y localizar
objetos en el almacén de datos.
• Contiene información sobre todos los
objetos del directorio.
• Puede ser utilizado por interfaces
programáticas como Active Directory
Services Interface (ADSI) y
Lightweight Directory Access
Protocol (LDAP).
Componentes de una infraestructura de AD

• Almacén de datos del directorio de actividades

• Controlador de dominio
• Dominio
• Bosque
• Árbol
• Nivel funcional
• Unidad organizativa (OU)
• Sitios
 ALMACÉN DE DATOS DE ACTIVE DIRECTORY

• AD DS almacena sus identidades en el

directorio, un almacén de datos en los
controladores de dominio.
• El directorio es un solo archivo llamado Ntds.dit
• que se encuentra en el %SystemRoot% \Ntds
carpeta en un controlador de dominio
• La base de datos está dividida en varias
particiones, incluido el esquema, la
configuración, el catálogo global y el contexto
de denominación de dominio.
 DOMINIO
• Representación informática
• Es un ámbito de políticas Contoso.com
administrativas como la
complejidad de las contraseñas y
las políticas de bloqueo de
cuentas.
• Concentrador maestro al que están
conectados todos los dispositivos

MACHACA
Incluyen cosas como:

Ordenadores Impresoras Servidores

Laptops Cámaras de
seguridad
 CONTROLADOR DE DOMINIO (DC)

• Permite crear distintos dominios

y gestionar sus permisos.
• Termino asociado: "Active
Directory (AD) "
• A esta relación entre dominios se
le denomina "relación de
confianza" o "trust".

MACHACA
 CONFIANZA
• Confianza transitiva: Son las
confianzas automáticas que
existen tanto hacia un lado A B

como hacia el otro A <-> B.

• Confianza de acceso directo: es
una confianza explícita que se
define para dos dominios, de
A B
forma que podamos acceder
directamente de uno a otro.
 BENEFICIOS DE USAR UN
CONTROLADOR DE DOMINIO

• Dar acceso solo a aquellos que lo necesitan

• Evite las infracciones de datos de “error del
operador”
• La gestión centralizada reduce los costos
• Recursos informáticos compartidos
• Administre fácilmente las impresoras de red
• Cerrar el acceso no autorizado
 BOSQUE
• Una colección de uno o más dominios
de AD.
• El primer dominio instalado en un
bosque se llama dominio raíz del
bosque.
• Todos los dominios comparten la misma
configuración, el mismo esquema de
directorio, y el mismo catálogo global
• Un bosque desafía un límite de
seguridad.
MACHACA
ÁRBOL

• El espacio de nombres DNS de los dominios

de un bosque crea árboles dentro del bosque.
• Si un dominio es un subdominio de otro
dominio, los dos dominios se consideran un
árbol.
• Los dominios deben constituir una parte
contigua del espacio de nombres DNS.
• Los árboles son el resultado de los nombres
DNS elegidos para los dominios de un
bosque.
NIVEL FUNCIONAL

• La funcionalidad disponible en un dominio o

bosque de AD depende de su nivel funcional.
• Los tres niveles funcionales de dominio son:
➢ Nativo de Windows 2000
➢ Windows Server 2003
➢ Windows Server 2008
• El nivel funcional determina las versiones de
Windows permitidas en los controladores de
dominio.
SITIOS
• Un sitio de AD es un objeto que representa una parte
de la empresa dentro de la cual la conectividad de red
es buena.
• Un sitio crea un límite de replicación y uso del servicio.
• Los controladores de dominio dentro de un sitio
replican los cambios en segundos.
• Los cambios se replican entre sitios de forma
controlada con el supuesto de que Inter sitio las
conexiones son lentas, caras o poco fiables en
comparación con las conexiones dentro de un sitio.
• Los clientes preferirán utilizar servicios distribuidos
proporcionados por servidores en su sitio o en el sitio
más cercano.
UNIDADES ORGANIZATIVAS

• Las unidades organizativas proporcionan un

contenedor para objetos y
• Proporcionar un ámbito con el que gestionar
objetos.
• Las unidades organizativas pueden tener
objetos de directiva de grupo (GPO)
vinculados.
• Los GPO pueden contener opciones de
configuración que los usuarios o los equipos
aplicarán automáticamente en una OU.