PRESENTACIÓN

 NOMBRE: ARISON MANUEL

 APELLIDOS: PEREZ UREÑA

 MATRICULA:17-SISN-1-154

 ASIGNATURA: PROYECTO EMPRENDEDOR I

 SECCIÓN: 0821

 PROF: RANDY MENDOZA SANCHEZ

 FECHAS:16/06/2020
 ACTIVE DIRECTORY.

Active Directory (AD): es un servicio de directorio para su uso en un entorno Windows

Server. Se trata de una estructura de base de datos distribuida y jerárquica que
comparte información de infraestructura para localizar, proteger, administrar y organizar
los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y
dispositivos de red.

Cómo funciona Active Directory

Los protocolos de red que utiliza Active Directory son principalmente LDAP, DHCP,
KERBEROS y DNS. Básicamente tendremos una especie de base de datos en la que
se almacena información en tiempo real acerca de las credenciales de autenticación de
los usuarios de una red. Esto permite que todos los equipos estén sincronizados bajo
un elemento central.
Veamos por ejemplo que hace Active Directory cuando un usuario de esta base de
datos se registra en un equipo:
En el servidor Active Directory tendremos un usuario (objeto) compuesto por los
típicos atributos que denotan su presencia, como son, el campo “Nombre”, el campo
“Apellido”, “Email”, etc.
Pero es que además este usuario pertenecerá a un grupo determinado, el cual tiene
determinados privilegios como el acceso a impresores de red que están almacenadas
con un campo “Nombre”, “Fabricante”, etc.
El equipo cliente, está en comunicación con este servidor, así que el usuario,
cuando arranca el equipo encontrará una pantalla de bloqueo como si de cualquier
sistema se tratase. Cuando ponga su usuario y contraseña, este no estará
físicamente en el equipo, sino que estará ubicado en este servidor.
El cliente solicitará las credenciales al servidor Active Directory para que este las
verifique, y si existen, enviará la información relativa al usuario al equipo cliente.
En este momento el usuario iniciará sesión de forma aparentemente normal en su
equipo. tendrá sus archivos personales típicos almacenados en el disco duro. Pero
según el grupo al que pertenezca, también tendrá acceso a recursos de la red como la
impresora.
 Dominio en Active Directory
Un dominio en Active Directory es un conjunto de ordenadores conectados a una red
los cuales cuentan con un equipo servidor para administrar las cuentas de usuario y
credenciales de la red. Hasta aquí es todo igual, lo que ocurre es que en una red no
solamente podremos tener un dominio, sino varios de ellos. Estos dominios no
necesariamente tienen que estar en contacto unos con otros, es más si por ejemplo un
dominio (A) tienen acceso a otros dos dominios (B y C), esto no implica que C tenga
acceso,a,B.

Objeto
Un objeto es el nombre genérico que utilizamos para referirnos cualquier componente
dentro de un directorio. Los objetos se dividen en tres tipos distintos:
 Usuarios: son las credencias de acceso a estaciones de trabajo.
 Recursos: serán los elementos a los que cada usuario podrá acceder según sus
permisos. Pueden ser carpetas compartidas, impresores, etc.
 Servicios: son las funcionalidades a las que cada usuario puede acceder, por
ejemplo, el correo electrónico.

Unidad organizativa
Una unidad organizativa en Active Directory es un contenedor de objetos como
impresoras, usuarios, grupos etc., organizados mediante subconjuntos
estableciendo así una jerarquía.

Requisitos para crear un Active Directory

 Active directorio es una herramienta orientada a servidores y empresas, por lo
que Windows 10 por ejemplo, no dispone de esta funcionalidad. Entonces, para
poder hacer esto, debemos tener las siguientes cosas:
 Windows server: vamos a necesitar una versión del sistema operativo orientado
a servidores de Microsoft. Podremos utilizar las versiones de Windows server
2000, 2003, 2008 y 2016.
 Protocolo TCP/IP instalado y con una dirección IP fija configurada en nuestro
equipo servidor.
 Tener instalado un servidor DNS en el servidor, esto normalmente ya viene
disponible.
 Tener un sistema de archivos compatible con Windows, en este caso NTFS

Con el tiempo, Microsoft ha agregado servicios adicionales bajo el

estandarte de Active Directory.

Active Directory Lightweight Directory Services

Esta versión ligera de los servicios de dominio elimina cierta complejidad y algunas
características avanzadas para ofrecer solo la funcionalidad básica del servicio de
directorio sin controladores de dominio, bosques o dominios. Normalmente se utiliza en
entornos de red individuales y pequeñas.

Active Directory Certificate Services

Los servicios de certificados ofrecen formas de certificación digital y admiten
infraestructura de clave pública (PKI, por sus siglas en inglés). Este servicio puede
almacenar, validar, crear y revocar las credenciales de clave pública utilizadas para el
cifrado en lugar de generar claves de forma externa o local.

Active Directory Federation Services

Proporciona un servicio de autenticación y autorización de inicio de sesión único
basado en la web para su uso principalmente entre organizaciones. De este modo, un
contratista puede iniciar sesión en su propia red y tener autorización, al mismo tiempo,
para acceder a la red del cliente.

Active Directory Rights Management Services

Se trata de un servicio de administración de derechos que rompe con el concepto de
autorización como un simple modelo de permitir o denegar acceso y limita lo que puede
hacer un usuario con archivos o documentos concretos. Los derechos y restricciones
se adjuntan al documento, y no al usuario. Estos derechos se usan comúnmente para
evitar la impresión, la copia o las capturas de pantalla de un documento.

Una característica clave de la estructura de Active Directory es la autorización delegada

y la replicación eficiente. Cada parte de la estructura organizativa de AD limita la
autorización o la replicación dentro de esa subparte en particular.

Bosque
El bosque es el nivel más alto de la jerarquía de la organización, y se trata de un límite
de seguridad dentro de la organización. Un bosque permite segregar la delegación de
autoridad de forma acotada en un solo entorno. De este modo, podemos tener un
administrador con derechos y permisos de acceso total, pero solo a un subconjunto
específico de recursos.

Árbol
Un árbol es un grupo de dominios. Los dominios dentro de un árbol comparten el
mismo espacio de nombre raíz, pero, a pesar de ello, los árboles no son límites de
seguridad o replicación.

Instalación Active Directory

Se necesita es un servidor Microsoft Windows Server, en este ejemplo, basado en

la versión 2012. Es recomendable instalar el Active Directory en un servidor que no
ejecute otros roles (Exchange, SharePoint, Lync, etc…), que sea único, para evitar
problemas de compatibilidad y sobrecargas.

Configurar el direccionamiento IP del servidor correctamente. Rápidamente, desde el

escritorio, acceder a las propiedades de la tarjeta de red. Se puede hacer, en la barra
de tareas, haciendo clic con el botón derecho del ratón, el icono de la red al lado del
reloj y seleccionar Abrir el Centro de redes y recursos compartidos. Hacer clic en la
conexión Ethernet > Propiedades > Protocolo de Internet versión 4
(TCP/IPv4) > Propiedades. Establecer la configuración IP estática, seleccionando
Utilizar la siguiente dirección IP.
  Dirección IP: 192.168.0.2.
 Máscara de subred: 255.255.255.0.
 Puerta de enlace: de momento se deja en blanco.
 Servidor DNS preferido: 192.168.0.2.
Tal como muestra la imagen:

 
Acceder al Administrador del servidor para dar de alta los roles necesarios, se puede
acceder haciendo clic en el icono de la barra de tareas o desde el menú:
 
Seleccionar la opción Agregar roles y características, se inicia el asistente, hacer clic en
el botón Siguiente.
Se tienen que instalar los roles y servicios, no los servicios de escritorio remoto; por lo
tanto, seleccionar Instalación basada en características o en roles. Hacer clic en el
botón Siguiente.

Se puede escoger instalar en este servidor o bien en otro. Seleccionar un servidor del

grupo de servidores y marcar la máquina en que se está trabajando. Hacer clic en el
botón Siguiente.
La primera lista es la de roles. Marcar Servicios de dominio de Active Directory.
Al hacerlo, nos pide añadir las características necesarias de los servicios de dominio de
Active Directory, hacer clic en Agregar características, en el cuadro de diálogo que
queda, hacer clic en el botón Siguiente.

Se solicitan las características adicionales, por defecto ya hay marcadas las que
necesita, por lo tanto, haciendo clic en el botón Siguiente hay suficiente.
El asistente proporciona información sobre los servicios de dominio de Active Directory,
hacer clic en el botón Siguiente.
Será necesario reinicializar la máquina para aplicar cambios, nos avisa y pide si lo
puede hacer ella automáticamente, hacer clic en el botón Si.

Resumen de lo que tiene que hacer el asistente, hacer clic en el botón Instalar.

Empieza el proceso de instalación de los servicios, que no configuración, sólo se
habilitan los archivos. Al acabar hacer clic en el botón Cerrar.

Antes de configurar los servicios de Active Directory, hay que asignar el nombre
correcto al equipo, srvDC. Desde el Administrador del servidor > seleccionar Servidor
local > Hacer clic en el Nombre de equipo actual.
Aparece el cuadro de diálogo, de toda la vida, para cambiar el nombre del equipo.
Seleccionar la pestaña Nombre de equipo, si no lo está. Hacer clic en el
botón Cambiar. Indicar el nombre del equipo: srvDC y hacer clic en el botón Aceptar.
Es un cambio que requiere del reinicio del equipo, hacer clic en el botón Reiniciar
ahora.
 

 
 
  

 
Configuración del primer servidor controlador de Active Directory
Al iniciar, acceder al Administrador del Servidor. En la barra superior, aparece un
triángulo de advertencia, indicando que se han instalado los servicios de Active
Directory, pero hay que configurar el servidor. Hacer clic en la opción Promover este
servidor a controlador de dominio, para iniciar el asistente de configuración.

Al ser el primer servidor del dominio, árbol, bosque… Seleccionar Agregar un nuevo

bosque y a nombre del dominio raíz (bosque y árbol), escribir el nombre de
dominio (FQDN) que se quiera asignar, por ejemplo: laboratoris.local.
El dominio raíz .local, indica en el sistema que es un dominio que no interactúa con
Internet, los servicios sólo son a nivel local. Si se dispone de un dominio de Internet se
puede indicar aquí: laboratoris.cat. Hacer clic en el botón Siguiente.
Opciones del controlador, una pausa para aclarar los niveles de funcionalidades:
Tengo dos, a nivel de dominio y a nivel de bosque.
Los niveles de funcionalidad hacen referencia a las funciones avanzadas del Active
Directory, como la papelera de objetos, cambios de contraseñas, etc… y dependiendo
del tipo de sistema operativo del servidor DC. De esta forma, el nivel de funcionalidad
siempre será equivalente al del servidor, controlador de Active Directory, con el sistema
operativo más viejo. Me explico, si tengo una red con un servidor DC con Windows
2003 y añado otro servidor DC, pero con Windows 2012; el nivel de funcionalidad se
tiene que mantener en Windows 2003. Si se quieren las funcionalidades de Windows
2012, es necesario eliminar el servidor DC Windows 2003. Lo mismo pasa con el
bosque, puedo tener un dominio con nivel Windows 2012, pero si uno de los otros
dominios es Windows 2003, no puedo tener ciertas funcionalidades hasta que todos los
dominios sean Windows 2012.
El resto de opciones es para especificar que:
 se instale el servicio de DNS en el servidor
 se marque como catálogo global
 Indicar que es un controlador de sólo lectura (el primero no lo puede ser, pero si
tengo delegaciones es una buena opción de seguridad).
  Establecer la contraseña de recuperación de los servicios de Active
Directory (que sea fuerte y guardada en la caja fuerte).
Hacer clic en el botón Siguiente.

Tiene que salir un aviso que la zona principal (.local; .cat; .com; .es) no es
autoritativa. Mal si no sale, habría un agujero de seguridad. Hacer clic en el
botón Siguiente y aceptar el aviso.
  

Verificar el nombre NetBIOS del dominio, recordar que el máximo de caracteres es 15;
si el nombre FQDN (laboratoris.local) es más largo, quedará recortado
automáticamente. No conviene que el nombre del dominio FQDN y NetBIOS sean
diferentes (algunas aplicaciones de red pueden dar muchos dolores de cabeza),
intentad que sean los mismos. Hacer clic en el botón Siguiente.

Seleccionar la ubicación de los archivos del Active Directory:

 Base de datos
 Archivos de registro
 Carpeta SYSVOL (políticas de seguridad, scripts, distribución de software)
En instalaciones pequeñas, y grandes, se pueden dejar las carpetas por defecto. Todo
depende de donde esté montado el servidor: servidor físico, plataforma de
virtualización… Las buenas prácticas indicaban que, al ser bases de datos, tenían que
ir en discos rápidos aparte, RAID-1, etc… Hoy en día, lo normal, es que por debajo
haya una plataforma de virtualización con una cabina que, además, virtualiza los
discos.
Mi recomendación, si no tiene que haber distribución de software, es dejarlo en la C. Si
hay distribución de software, mejor crear otra unidad y poner el SYSVOL aparte. De
esta manera, si colapso la unidad con la distribución de programas, por lo menos,
podré acceder al sistema operativo para hacer el mantenimiento (borrar, aumentar el
volumen, etc..) en caso contrario puedo tener un problema de disponibilidad.
Resumen de las opciones de configuración, hacer clic en el botón Siguiente.

Informe de requisitos y acciones que tomará el sistema para nosotros, hacer clic en el
botón Instalar.
El sistema se reiniciará por si sólo, dejarlo hacer.
 

 
Al iniciar de nuevo el sistema, ya se puede ver el nombre del dominio delante del
nombre del usuario.
Introducir la contraseña, se pide cambiarla. Ya se están aplicando las políticas de
seguridad por defecto del dominio de Active Directory. No tiene más, se cambia
indicando una contraseña FUERTE (letras, números y símbolos), es la política por
defecto; al igual que la contraseña que se utiliza: P@ssw0rd.

 
Al iniciar el Administrador del servidor, en la barra lateral izquierda y
en el menú de herramientas ya enseña más cosas: AD DS, DNS…
Dominios y confianzas de Active Directory, Editor  ADSI, Sitios y
servicios de Active Directory, Usuarios y equipos de Active Directory.

 
Se puede abrir la herramienta más utilizada en el Active
Directory: Usuarios y equipos de Active Directory. En ella se
gestionan los usuarios, grupos de seguridad y equipos que
pertenecen al Active Directory.
En la ilustración se observa el dominio laboratoris.local, del que
cuelgan unidades organizativas (carpetas) donde se irán poniendo
los objetos (usuarios, equipos, grupos…) necesarios.