Nombre

Agustin

Apellidos

Guerra Ferreira

Matricula:
18-EPDS-1-034

Materia:
Seminario de Tecnología Avanzada

Profesor:

Miguel Angel Perez Sierra

Tema:

Dominios

Fecha

14-2-2021
 
2.1 Dominio 
 
El sistema de nombres de dominio (Domain Name System o DNS, por sus siglas en inglés)
es un sistema de nomenclatura jerárquico descentralizado para dispositivos conectados a
redes IP como Internet o una red privada. Este sistema asocia información variada con
nombres de dominio asignados a cada uno de los participantes. Su función más importante
es "traducir" nombres inteligibles para las personas en identificadores binarios asociados
con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar
estos equipos mundialmente.

El servidor DNS utiliza una base de datos distribuida y jerárquica que almacena información
asociada a nombres de dominio en redes como Internet. Aunque como base de datos el
DNS es capaz de asociar diferentes tipos de información a cada nombre, los usos más
comunes son la asignación de nombres de dominio a direcciones IP y la localización de los
servidores de correo electrónico de cada dominio.

Componentes
Para la operación práctica del sistema DNS se utilizan tres componentes principales:

● Los Clientes fase 1: Un programa cliente DNS que se ejecuta en la computadora del
usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS
(Por ejemplo: ¿Qué dirección IP corresponde a nombre.dominio?)
● Los Servidores DNS: Que contestan las peticiones de los clientes. Los servidores
recursivos tienen la capacidad de reenviar la petición a otro servidor si no disponen
de la dirección solicitada.
● Las Zonas de autoridad: Es una parte del espacio de nombre de dominios sobre la
que es responsable un servidor DNS, que puede tener autoridad sobre varias zonas.
(Por ejemplo: subdominio.Wikipedia.ORG, subdominio.COM, etc.)

Ejemplo:

 
2.4 Dominio Master
 

¿Qué son los FSMO

Los FSMO (Flexible Single Master Operations, por sus siglas en inglés) son una serie de
operaciones realizadas por los controladores de dominio en torno a la replicación
MultiMaster que estos realizan con los diferentes controladores de dominio tanto del bosque
como del dominio, estas operaciones son únicas, es decir, no pueden realizarse por más de
un controlador de dominio. Por defecto, el que mantiene estas operaciones de Single
Master es el primer controlador de dominio que instalamos en un bosque.
Para ver los distintos FSMO podemos ejecutar el siguiente comando:
netdom query FSMO

Podemos observar en la imagen los distintos Roles de Single Master que existen y el
respectivo controlador de dominio que realiza dicha tarea. Más adelante hablaremos un
poco de qué tarea realiza cada uno.
O también desde el modo interactivo del comando NTDSUTIL:
ntdsutil roles connections “connect to server %nombre_servidor%” quit “select operation
target” “List roles for connected server” quit quit quit
Aquí tenemos una imagen del comando ejecutándose en el controlador de dominio
denominado LON-DC1.
*IMPORTANTE: Cambiar %nombre_servidor% por el nombre del controlador de dominio a
consultar.

En la imagen observamos una nomenclatura LDAP, en dónde se nos indica la ruta a la

partición de la base de datos de nuestro Directorio Activo (ntds.dit) y en qué servidor se
encuentran cada uno de estos roles, como vemos los servidores se almacenan en la
partición de Configuration.
Desde ADSI Edit podemos dirigirnos hasta la ruta:
ADSI EDIT
Vemos que tenemos dos controladores de dominio señalados con un circulito verde, la
partición que hemos cargado es la de Configuration y podemos dirigirnos hasta la ruta:
CN=NTDS
Settings,CN=LON-DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurati
on,DC=adatum,DC=com
También podríamos ver cada FSMO desde el entorno gráfico:
Desde la consola de “Usuarios y Equipos de Directorio Activo” (dsa.msc) clic derecho en el
servidor -> Operations Master. En esta ventana podremos ver 3 de los 5 maestros de
operaciones.
Menú contextual del servidor de la consola DSA.MSC

Maestro Infraestructura
PDC EmulatorRID Master
Mediante el botón “Change” podremos mover los distintos Singles Masters entre los
distintos controladores de dominios existentes, siempre que sean de escritura/lectura, no
podemos mover un Single Master a un controlador de dominio de sólo lectura (RODC).
Desde la consola de Dominios y Confianzas del Directorio Activo (domain.msc) podemos
acceder a otro Single Master:

Menú contextual de la consola DOMAIN.MSC Domain Naming Master

Para poder visualizar el último de los Single Master es necesario cargar una librería, se
cargaría con el siguiente comando:
regsvr32 schmmgmt.dll
Cargando la librería schmmgmt.dll

Ahora o podemos abrir una MMC y buscar la consola de último Single Master:
MMC

Hacemos clic derecho en la consola:

Menú contextual de la consola AD SCHEMASchema Master
 
 
2.5 Los grupos locales
 
Los miembros de este grupo controlan por completo todos los controladores del dominio. De
forma predeterminada, los grupos Administradores del dominio y Administradores de
organización son miembros del grupo Administradores. La cuenta Administrador es
miembro de este grupo de forma predeterminada. Puesto que este grupo controla por
completo el dominio, los usuarios serán agregados a él con cautela.
Los derechos de los usuarios predeterminados en este grupo son:

● Tener acceso a este equipo desde la red.

● Ajustar las cuotas de memoria de un proceso.
● Hacer copia de seguridad de archivos y directorios.
● Saltarse la comprobación de recorrido.
● Cambiar la hora del sistema.
● Crear un archivo de paginación.
● Depurar programas.
● Habilitar la confianza para la delegación de las cuentas de usuario y de equipo.
● Forzar el apagado desde un sistema remoto.
● Aumentar la prioridad de programación.
● Cargar y descargar controladores de dispositivo.
● Permitir el inicio de sesión local.
● Administrar el registro de auditoría y seguridad.
● Modificar valores del entorno del firmware.
● Hacer perfil de un solo proceso.
● Hacer perfil del rendimiento del sistema.
● Quitar un equipo de una estación de acoplamiento.
● Restaurar archivos y directorios.
● Apagar el sistema.
● Tomar posesión de archivos y otros objetos.
Los usuarios y grupos que integran el grupo Administradores son:
● Administrador.
● Administradores de la empresa (grupo de seguridad universal).
● Administradores de dominio (grupo de seguridad global).
2.6 Los grupos globales
 

Un grupo global puede contener otros grupos globales del mismo dominio donde se crea el
grupo global. También puede contener cuentas de usuario y equipos del mismo dominio
donde se crea el grupo global.
Un grupo global no puede contener grupos universales ni grupos locales. No puede
contener grupos globales ni cuentas de usuario ni cuentas de equipo de fuera de su propio
dominio.

Grupos universales

Un grupo universal puede contener grupos universales, grupos globales, cuentas de usuario
y cuentas de equipo de cualquier dominio del bosque.
Un grupo universal no puede contener grupos locales.
 

2.7:Gestión de usuarios
 

Gestión de usuarios y grupos

Se crea un administrador del dominio inicial cuando se crea un dominio nuevo. El
administrador del dominio tiene los privilegios necesarios para gestionar el dominio desde el
principio. El administrador del dominio puede utilizarse para crear y configurar usuarios,
grupos, recursos y aplicaciones, así como para delegar tareas de administración del
dominio, según sea necesario.
Un usuario representa cualquier identidad de Tivoli Access Manager autenticada.
Generalmente, los usuarios representan usuarios de la red o gestores de recursos.
Un grupo es una colección de uno o más usuarios. Un administrador puede utilizar entradas
de ACL de grupo para asignar de manera simple los mismos permisos a varios usuarios.
Los usuarios nuevos del dominio pueden acceder a objetos al convertirse en miembros de
grupos adecuados. La pertenencia a grupos elimina la necesidad de crear nuevas entradas
de ACL para cada nuevo usuario. Los grupos pueden representar divisiones o
departamentos organizativos de un dominio. Los grupos también se utilizan para definir
roles o asociaciones funcionales.

Las cuentas hacen referencia a usuarios y grupos colectivamente.

Un identificador exclusivo de usuario de registro (UID de registro) especifica la ubicación en
la base de datos de registro donde se crea el nuevo usuario. De la misma manera, un
identificador exclusivo de grupo de registro (GID de registro) especifica la ubicación en la
base de datos de registro donde se crea el nuevo grupo. Para los UID o GID de registro,
debe escribir el nombre completo de la ruta de acceso para el nuevo usuario o grupo. El
formato de la ruta de acceso depende del tipo de registro que el producto está utilizando:
LDAP: cn=IBM-Support,o=ibm,c=us
Active Directory: cn=IBM-Support,dc=Austin,dc=US
Domino: IBM-Support/Austin/US

El ID de usuario o el ID de grupo de registro proporciona seguridad adicional en caso de

que se suprima un usuario o grupo del dominio y, a continuación, se vuelva a crear con el
mismo nombre. Por ejemplo, aunque un usuario nuevo tenga el mismo nombre que el
usuario suprimido, Tivoli Access Manager asigna un ID de usuario de registro nuevo a dicho
usuario. Puesto que el ID de usuario de registro es nuevo, cualquier entrada de ACL
existente que haga referencia al nombre de usuario antiguo no concede ningún derecho al
usuario nuevo. Policy Server (pdmgrd) elimina de manera silenciosa los ID de usuario
antiguos de usuarios y grupos suprimidos.

Cuentas de usuarios
Las cuentas de usuario de Active Directory representan entidades físicas, como personas.
También las puede usar como cuentas de servicio dedicadas para algunas aplicaciones.
A veces, las cuentas de usuario también se denominan entidades de seguridad. Las
entidades de seguridad son objetos de directorio a los que se asignan automáticamente
identificadores de seguridad (SID), que se pueden usar para obtener acceso a recursos del
dominio.
● Autentica la identidad de un usuario.

Una cuenta de usuario permite que un usuario inicie sesión en equipos y dominios
con una identidad que el dominio pueda autenticar. Un usuario que inicia sesión en
la red debe tener una cuenta de usuario y una contraseña propias y únicas. Para
maximizar la seguridad, evite que varios usuarios compartan una misma cuenta.

● Autoriza o deniega el acceso a los recursos del dominio.

Después de que un usuario se autentica, se le concede o se le deniega el acceso a

los recursos del dominio en función de los permisos explícitos que se le hayan
 asignado en el recurso.

Cuentas de usuario
El Contenedor de usuarios en el Centro de administración de Active Directory contiene tres
cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas
de usuario integradas se crean automáticamente al crear el dominio.
Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta
Administrador es la que tiene más derechos y permisos en el dominio. La cuenta Invitado
tiene derechos y permisos limitados. En la tabla siguiente se describen las cuentas de
usuario predeterminadas de los controladores de dominio que ejecutan Windows Server
2008 R2.

Gestión del entorno de trabajo de los usuarios: perfiles – El entorno de trabajo de los
usuarios en W2k viene fijado por el “perfil de usuario” – Cada usuario necesita un perfil
asociado a su cuenta para acceder al sistema – El perfil contiene la configuración que el
usuario ha definido para su entorno de trabajo: escritorio, conexiones,... – El perfil se crea
cuando un usuario entra a un ordenador por primera vez. La configuración se almacena en
el directorio: C: :\Documents and Settings\User name – Cuando el usuario abandona la
sesión, se actualiza el perfil en ese ordenador.

Tipos de perfiles de usuario

Perfil de usuario por defecto – Es la base para todos los perfiles de usuario. Inicialmente,
cada usuario realiza una copia del perfil por defecto ASO Gestión de usuarios y protección
en W2k 8

Perfil de usuario local – Se crea la primera vez que el usuario entra en el ordenador.

Perfil de usuario flotante – Se crea por el administrador y se almacena en un servidor. Este

perfil está disponible al usuario desde cualquier ordenador de la red

Perfil de usuario obligatorio – Se crea por el administrador para especificar la configuración

particular de los usuarios. – Puede ser local o flotante – No permite a los usuarios
almacenar las modificaciones (ntuser.man) ASO Gestión de usuarios y protección en W2k

 
 
Estrategia para utilizar grupos locales y globales

Grupos globales: Los grupos globales se usan para organizar usuarios que comparten las
mismas tareas y necesitan requerimientos de acceso a la red similares

• Grupos locales del dominio Son usados para asignar permisos de acceso a los recursos
que se encuentran en el mismo dominio donde reside el grupo – Pueden contener cuentas
de usuarios y grupos globales del mismo dominio donde están definidos (sólo modo nativo)
– Pueden ser miembros de grupos universales y de grupos locales del dominio de cualquier
dominio y de grupos globales del mismo dominio – Se le pueden asignar permisos en
cualquier dominio del bosque

Grupos locales del dominio Son usados para asignar permisos de acceso a los recursos
que se encuentran en el mismo dominio donde reside el grupo

Pueden contener cuentas de usuarios, grupos globales y grupos universales de cualquier

dominio del bosque, además de otros grupos locales del mismo dominio (sólo modo nativo)
– Pueden ser miembros de otros grupos locales del mismo dominio (modo nativo) – Se le
pueden asignar permisos sólo en el dominio donde se crea

Estrategia para la Creación de grupos de un dominio

 

 
A G L P, esta estrategia está limitada a los recursos del equipo local.

Puede utilizarse el mismo grupo global en múltiples equipos locales.

Esta estrategia podría usarse si el dominio cumple ciertas características:

– Se ha actualizado desde Windows NT a Windows Server 2003
– Contiene un sólo dominio
– Tiene pocos usuarios
– No se añadirán nunca otros dominios.
– Para mantener estrategia de grupos de Windows NT
– Para mantener centralizada la administración de usuarios y descentralizada la de recursos

Es recomendable en todo caso si hay servidores miembros que ejecutan Windows NT

server dentro de un AD de Windows Server 2003.

Las ventajas vienen determinadas por la estrategia de mantener los grupos de NT y los
propietarios de los recursos son miembros de cada grupo que necesita acceso.

Las desventajas son que AD no mantiene ningún control, se crean grupos repetidos en los
servidores miembro y no puede activarse una administración centralizada.

Con A G P , emplazas cuentas de usuarios(A) en grupos globales(G) y les asignas

permisos(P) a los grupos globales. La limitación de ésta es que se complica su
administración en múltiples dominios. Si los grupos globales de varios dominios requieren
los mismos permisos, entonces debes asignarlos a cada grupo global individualmente.

Esta estrategia (A G P) se puede utilizar en bosques de un solo dominio y pocos usuarios y

al que no se añadirán otros dominios.

– Tiene las ventajas de que los grupos no necesitan anidamiento y por tanto la solución de
problemas es más fácil, y las cuentas pertenecen a un ámbito de grupo sólo.

– Las desventajas son que cada vez que un usuario se autentica en un recurso, el servidor
debe comprobar el grupo global al que pertenece para determinar si el usuario todavía es
miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guarda en
caché.

Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que

damos permisos(P). Una limitación de esta estrategia es que no podemos asignar permisos
a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad según la red va
creciendo.

Podemos utilizarla en un bosque donde se cumple lo siguiente:

– Sólo hay un dominio y pocos usuarios.
– Nunca añadirás otros dominios al bosque.
– No hay servidores miembros con Windows NT en el dominio.

Tiene las ventajas de que las cuentas pertenecen a un ámbito de grupo sólo y los grupos no
están anidados facilitando la resolución de problemas.
En cambio, el funcionamiento se degrada, porque cada grupo de dominio local tiene
demasiados miembros que deben ser autenticados.

A G DL P, aquí emplazamos cuentas de usuario(A) en grupos globales(G), y a éstos en

grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizás ofrece
mayor flexibilidad para el crecimiento de la red y reduce el número de veces en que
necesitamos configurar permisos.

Podemos utilizarla en un bosque consistente en uno o más dominios y al que añadiremos

otros en el futuro.
Cuenta con las ventajas de que los dominios son flexibles y los propietarios de los recursos
requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos.
Como desventaja diremos que es una estructura escalonada más compleja en su inicio,
pero más fácil de manejar al pasar el tiempo.

A G U DL P, emplazamos cuentas de usuarios(A), en grupos globales(G), estos en grupos

Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les
asignamos permisos(P).

Dicha estrategia se utilizará en un bosque con más de un dominio donde los

administradores necesitan administración centralizada para muchos grupos globales.
 Bibliografía,conclusión

Este Material se obtuvo de varias página web tales cómo:

1-​Administrar grupos de Dominios

2-​estrategias utilizando Grupos de dominios

3-​Que es un Dominio

4-​Dominios Globales y locales

Tambien le di una vistas al libro en pdf de Douglas sobre las redes y dominios.

en conclusión no puede obtener muchos conocimiento ya que tuve una confusión con la
tarea de sí eran dominios de red de internet o dominios de servidores.