Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1.
Pregunta 1
1 / 1 punto
Un servicio de replicación
Correcto
2.
Pregunta 2
1 / 1 punto
Redundancia
Correcto
Seguridad mejorada
Mayor capacidad
Disminución de la latencia
Correcto
3.
Pregunta 3
¿Cuál es el protocolo de servicios de directorio más popular que se usa hoy en día?
1 / 1 punto
Correcto
¡Sí! LDAP es el protocolo de acceso a directorios más popular y más utilizado en la
actualidad.
Si eres de la época en la que se usaban las guías telefónicas, puedes recordar que estos
enormes y antiguos libros
contenían los nombres, las direcciones y los números de teléfono de las personas
en tu vecindario o comunidad que quisieran ver su información anunciada en forma
pública.
Esto es muy diferente de la guía telefónica
o la lista de contactos que tienes en tu teléfono móvil.
Las personas que están en tu directorio de contactos te dieron sus números de teléfono
para que solo tú los uses.
Al usar LDAP, hay diferentes niveles de autenticación que se pueden usar
para restringir el acceso a ciertos directorios, similares a esos grandes directorios
telefónicos públicos o a esos directorios privados de telefonía móvil.
Tal vez tengas un directorio que quieras hacer público
para que cualquiera puede leer sus entradas
o tal vez solo quieras mantener esos datos en privado solo para quienes los necesiten.
Vamos a analizar cómo LDAP hace esta autenticación y qué métodos utiliza.
Ya hablamos de las diferentes operaciones que puedes realizar con LDAP, como
agregar, eliminar
o modificar entradas en un directorio.
Otra operación que puedes realizar es la operación de vinculación,
que autentica clientes en el servidor del directorio.
Supongamos que quieres acceder a un sitio web que utiliza un servicio de directorio.
Ingresas la información de acceso de tu cuenta
y tu contraseña; luego, tu información se envía de regreso al sitio web.
Se usará LDAP para verificar si esa cuenta de usuario es un usuario del directorio
y si la contraseña es válida.
Si lo es, entonces se te concederá acceso a esa cuenta.
Quieres que tus datos estén protegidos y encriptados
cuando se complete este proceso.
Hay tres maneras comunes de autenticar.
La primera es anónima, luego está la simple y la última es SASL,
o capa de autenticación y seguridad simple.
Cuando se usa la vinculación anónima, en realidad no estás autenticando en absoluto.
Según cómo esté configurada, cualquiera podría acceder potencialmente a ese
directorio,
como en nuestro ejemplo de la guía telefónica pública.
Cuando usas autenticación simple, sólo necesitas el nombre de entrada del directorio y
la contraseña,
esto suele enviarse como texto sin formato, lo que significa que no es seguro en
absoluto.
Otro método de autenticación de uso común es la autenticación SASL.
Este método puede emplear la ayuda de protocolos de seguridad como TLS,
el que ya vimos en Kerberos, lo que vamos a analizar en un minuto.
La autenticación SASL requiere que el cliente
y el servidor de directorio autentiquen mediante algún método.
Uno de los métodos más comunes para esta autenticación es Kerberos.
Kerberos es un protocolo de autenticación de red que se utiliza para autenticar
la identidad del usuario, asegurar la transferencia. de credenciales de usuario, y mucho
más.
Kerberos por sí mismo puede ser un tema complejo
que volveremos a ver en el curso de seguridad informática.
Si quieres aprender más sobre Kerberos en este momento,
puedes consultar la lectura suplementaria justo después de esta lección.
Una vez que el cliente logra autenticar con el servidor LDAP
o el servicio de directorio,
el usuario estará autorizado a usar cualquier nivel de acceso que tenga.
En las próximas lecciones, vamos a profundizar
en dos de los servicios de directorio más populares que usan LDAP: Active Directory y
OpenLDAP.
1.
Pregunta 1
¿Cuáles de estos son ejemplos de administración centralizada? Marca todos los que
correspondan.
1 / 1 punto
Correcto
Correcto
Autenticación local
2.
Pregunta 2
¿Cuáles de estos son componentes de una entrada LDAP? Marca todos los que
correspondan.
1 / 1 punto
Nombre poco común
Nombre común
Correcto
¡Bravo! El nombre común contiene un descriptor del objeto, como el nombre completo
para una cuenta de usuario. Un nombre distinguido es el nombre único para la entrada,
que incluye los atributos y valores asociados con esa entrada.
Usuario organizativo
Nombre distinguido
Correcto
¡Bravo! El nombre común contiene un descriptor del objeto, como el nombre completo
para una cuenta de usuario. Un nombre distinguido es el nombre único para la entrada,
que incluye los atributos y valores asociados con esa entrada.
3.
Pregunta 3
1 / 1 punto
Correcto
4.
Pregunta 4
1 / 1 punto
Anónimo
Correcto
¡Eso es! Las operaciones de vinculación admiten tres mecanismos diferentes para
autenticación: (1) anónimo, que en realidad no autentica en absoluto y permite a
cualquiera consultar el servidor; (2) simple, que implica enviar la contraseña como texto
sin formato, y (3) SASL, o capa de autenticación y de seguridad simple, que implica un
mecanismo seguro de autenticación de desafío-respuesta.
Sencillo
Correcto
¡Eso es! Las operaciones de vinculación admiten tres mecanismos diferentes para
autenticación: (1) anónimo, que en realidad no autentica en absoluto, y permite a
cualquiera consultar el servidor; (2) simple, que implica enviar la contraseña como texto
sin formato, y (3) SASL, o capa de autenticación y de seguridad simple, que implica un
mecanismo seguro de autenticación de desafío-respuesta.
Complejo
SASL
Correcto
¡Eso es! Las operaciones de vinculación admiten tres mecanismos diferentes para
autenticación: (1) anónimo, que en realidad no autentica en absoluto, y permite a
cualquiera consultar el servidor; (2) simple, que implica enviar la contraseña como texto
sin formato, y (3) SASL, o capa de autenticación y de seguridad simple, que implica un
mecanismo seguro de autenticación de desafío-respuesta.
Hola de nuevo.
En esta lección, aprenderemos más sobre Active Directory, o AD,
el servicio de directorio nativo para Microsoft Windows.
Active Directory se ha usado para administrar centralmente redes de computadoras
desde que se lo presentó con Windows Server 2000.
Si hay computadoras que ejecutan Windows en tu organización, entonces AD
probablemente
desempeñe un gran papel.
Active Directory trabaja de modo similar a OpenLDAP.
Sabe comunicarse usando el protocolo LDAP y puede interoperar con Linux,
OS X y otros hosts no Windows que usen ese protocolo.
Cuando usas Active Directory para administrar un inventario de servidores Windows
y máquinas cliente, AD hace mucho más que proporcionar servicios de directorio
y autenticación centralizada.
También se convierte en el repositorio central de objetos de directiva de grupo,
o GPO, que son una forma de administrar la configuración de las máquinas Windows.
Te mostraremos cómo hacerlo más adelante en esta lección.
Ahora, veamos un dominio típico de Active Directory y lo que contiene.
La administración de Active Directory se basa en todo un conjunto de herramientas y
utilidades.
Vamos a usar una herramienta llamada Centro de administración de Active Directory,
o ADAC.
ADAC es una herramienta que usaremos
para muchas de las tareas diarias que aprenderás en este curso.
Es genial para trabajar
y para aprender cómo funcionan las cosas detrás de escena, como ya verás.
Recuerda que, al igual que los sistemas de archivos, los servicios de directorio son
jerárquicos.
Todo lo que ves en Active Directory es un objeto.
Algunos objetos son contenedores que pueden contener otros objetos.
Varios de los contenedores predeterminados se llaman, simplemente, contenedores
y sirven como ubicaciones predeterminadas para ciertos tipos de objetos.
Otro tipo de contenedor se conoce como unidad organizativa (OU),
de la que hablamos en una lección anterior.
Puedes pensar en una OU como una carpeta o un directorio
para organizar objetos dentro de un sistema de administración centralizado.
Los contenedores ordinarios no pueden contener otros contenedores, pero las OU
pueden contener otras OU.
Eso es un poco confuso, así que para mostrarte mejor la estructura jerárquica de AD,
hice clic en este botón del panel de la izquierda. para pasar a la vista de árbol de ADAC.
Hay muchas cosas que aparecen aquí.
ADAC nos dice qué tipo de objeto es cada uno de estos
y nos da una descripción para algunos de ellos.
No vamos a trabajar con todo esto, pero queremos señalar algunas partes del directorio
con las que es más común trabajar.
El primer nodo en este árbol es nuestro dominio.
Un dominio tendrá un nombre corto como "example" y un nombre DNS como
example.com.
A los objetos, en particular las computadoras en el dominio,
se les dará un nombre de DNS que resida en la zona DNS del dominio.
En realidad, hay un nivel de jerarquía por encima de un dominio
que no vemos en esta herramienta, y eso es un bosque.
Si nos fijamos en la forma lógica de un dominio, se parece a un árbol,
por lo que incluso la nomenclatura tiene sentido.
Un bosque contiene uno o más dominios.
Las cuentas pueden compartir recursos entre dominios en el mismo bosque.
En nuestro entorno de ejemplo, example.com es el único dominio en el bosque.
El siguiente ejemplo que vamos a ver es Computers (Equipos).
Este contenedor es en donde se crean las nuevas cuentas de computadoras de AD.
Si voy aquí, puedes ver mis computadoras.
Las cuentas de computadoras se crean cuando una computadora se une al dominio de
AD.
Lo que veremos a continuación es Domain Controllers (Controladores de dominio).
Este contenedor es donde se crean los controladores de dominio de forma
predeterminada.
A continuación, veremos Users (Usuarios).
Este contenedor es donde se crean de forma predeterminada los nuevos usuarios y
grupos de AD.
El servicio que alberga copias de la base de datos de Active Directory
se llama controladores de dominio, o DC.
Los controladores de dominio proporcionan varios servicios en la red.
Albergan una réplica de la base de datos de Active Directory
y de los objetos de directiva de grupo.
Los DC también sirven como servidores DNS para proporcionar resolución de nombres
y detección de servicios a clientes.
Ofrecen autenticación central a través de un protocolo de seguridad de red
llamado Kerberos.
Como mencioné, hablaremos más sobre Kerberos en el curso de seguridad informática.
Por ahora, lo que debes entender es que los controladores de dominio pueden decidir
cuándo las computadoras y los usuarios pueden acceder al dominio.
También deciden
si tienen o no acceso a recursos compartidos, como sistemas de archivos e impresoras.
Esto permite a los administradores de sistemas hacer cambios en la red
con verdadera rapidez y facilidad.
Si alguien nuevo se une a la organización, los admin pueden crearle una cuenta de
usuario
y, casi de inmediato, todos los dispositivos en la red saben quién es esa persona.
Si alguien cambia de trabajo en la organización o la deja, un administrador de sistema
puede deshabilitar
o borrar su cuenta y, en segundos, se ajusta su acceso a los dispositivos.
Es común que la mayoría de los controladores de dominio en la red de Active Directory
sean réplicas de lectura-escritura.
Esto significa que cada una contiene una copia completa de la base de datos de AD
y puede hacer cambios en ella.
Esos cambios se replican a todas las demás copias de la base de datos
en los demás DC.
La replicación suele ser rápida y el último cambio prevalece en casi todos los casos.
Esto no es perfecto, pero funciona para la mayoría de las tareas.
Algunos cambios en la base de datos de AD solo pueden ser hechos de forma segura por
un DC a la vez.
Asignamos esos cambios a un solo controlador de dominio otorgándole un rol
de operaciones de maestro único flexible, también conocido como FSMO.
No vamos a profundizar aquí en los detalles esenciales
de las responsabilidades de cada uno de estos roles FSMO y de cómo operan,
pero puedes consultar la próxima lectura para ver más información.
Si tu trabajo implica control y administración de dominios,
tendrás que entender cómo asignar los roles de FSMO y recuperarse de fallas del DC.
Para que las computadoras aprovechen los servicios especiales de autenticación de AD
tienen que estar unidas o vinculadas a Active Directory.
Unir una computadora a Active Directory significa dos cosas.
Primero, que AD sabe sobre la computadora
y que aprovisionó una cuenta de computadora para ella.
Segundo, que la computadora sabe sobre el dominio de Active Directory
y se autentica con él.
De ahí en adelante, la computadora puede autenticar en Active Directory
al igual que cualquier usuario que accede a una computadora.
Muy bien, ahora que unimos todas estas computadoras a nuestro dominio,
¿qué vamos a hacer con ellas?
En esta lección, vamos a hablar de cómo usar la directiva de grupo de Active Directory
para configurar computadoras y el propio dominio.
Como mencionamos antes,
los servicios de directorio son bases de datos que se usan para almacenar información
sobre objetos.
Los objetos representan cosas en tu red a las que deseas
poder hacer referencia o administrar.
Uno de estos tipos de objetos en AD es el objeto de directiva de grupo, o GPO.
¿Qué es un GPO?
Es un conjunto de directivas y preferencias
que se pueden aplicar a un grupo de objetos en el directorio.
Los GPO contienen configuraciones para computadoras y cuentas de usuario.
Puedes querer diferentes preferencias de software
para el equipo de marketing, el equipo legal y el equipo de ingeniería.
Usar directivas de grupo ayudaría a estandarizar las preferencias de usuario
para cada uno de estos equipos y permite que sean más manejables para que las
configures.
Con las directivas de grupo, puedes crear secuencias de comandos de ingreso y cierre de
sesión
y aplicarlas a usuarios y computadoras.
Puedes configurar el registro de eventos indicándole a la computadora qué eventos
deben registrarse
y dónde se deben enviar los registros.
Puedes decir cuántas veces alguien puede ingresar una contraseña incorrecta
antes de que su cuenta se bloquee.
Puedes instalar un software que quieres que esté disponible
y bloquear el software que no quieres que se ejecute.
Ya escuchaste al jefe, y este es solo el comienzo.
Puedes crear tantos objetos de directiva de grupo como quieras.
Pero no harán nada hasta que estén vinculados a sitios de dominio o unidades
organizativas (OU).
Cuando vinculas un GPO, todas las computadoras o usuarios en ese dominio, ese sitio o
esa OU
tendrán esa directiva aplicada.
Puedes usar otras herramientas como filtrado de seguridad
y filtros WMI para que las directivas de grupo se apliquen de manera más selectiva.
Veamos esto un poco.
Un objeto de directiva de grupo puede contener una configuración de equipo, una
configuración de usuario
o ambas.
Se aplican en diferentes momentos.
La configuración de equipo se aplica cuando la computadora accede al dominio
de Active Directory.
Esto sucederá cada vez que la computadora se inicie en Windows,
a menos que esté desconectada de la red en el momento del inicio.
La configuración de usuario se aplica cuando una cuenta de usuario se registra en la
computadora.
En cada caso, una vez que un GPO está vigente, se lo comprueba y aplica
cada pocos minutos.
¿Recuerdas cuando dije que los GPO contienen directivas y preferencias?
¿Cuál es la diferencia?
Las directivas son configuraciones que se vuelven a aplicar cada pocos minutos
y no se supone que sean modificadas, ni siquiera por los administradores locales.
De manera predeterminada, las directivas en el GPO se vuelven a aplicar en la máquina
cada 90 minutos.
Esto asegura que las computadoras en la red no se desfasen de la configuración
que los administradores de sistemas definen para ellas.
Las preferencias de directiva de grupo, en cambio, son configuraciones que, en muchos
casos,
se supone que son una plantilla para la configuración.
Los administradores del sistema elegirán la configuración que deba ser la
predeterminada
en las computadoras que aplican el GPO.
Pero alguien que usa la computadora puede cambiar la configuración respecto de lo que
se define
en la directiva, y ese cambio no será sobrescrito.
¿Cómo hacen las computadoras unidas a un dominio para obtener sus GPO?
Cuando una computadora o un usuario unido a un dominio
inicia sesión en el dominio por comunicación con un controlador de dominio, ese DC
le brinda a la computadora una lista de directivas de grupo que debe aplicar.
La computadora luego descarga esas directivas desde una carpeta especial llamada
Sysvol,
que se exporta como recurso compartido de red desde cada controlador de dominio.
Esta carpeta se replica entre todos los controladores de dominio
y también puede contener cosas como secuencias de comandos de inicio y cierre de
sesión.
Una vez que la computadora descargó sus GPO, los aplica.
No entraremos demasiado en detalle sobre la carpeta Sysvol,
pero incluí vínculos para obtener más información en la próxima lectura.
Por último, muchas directivas y preferencias
en las GPO se representan como valores en el registro de Windows.
El registro de Windows es una base de datos jerárquica de configuraciones
que Windows y muchas aplicaciones de Windows utilizan para almacenar datos de
configuración.
El GPO se aplica mediante cambios en el registro.
El sistema operativo Windows y las aplicaciones de Windows leen la configuración del
registro
para determinar cuál debe ser su comportamiento.
Puedes leer más sobre el registro de Windows en la lectura complementaria.
La administración de directivas de grupo es otro tema enorme.
Solo veremos lo básico en este curso.
Ahora que entiendes un poco sobre qué son los objetos de directiva de grupo,
vayamos más profundo y veamos cómo se usan para administrar Active Directory y las
computadoras unidas a AD.
La herramienta más importante que usaremos para crear y ver objetos de directivas de
grupo
se llama Consola de administración de directivas de grupo, o GPMC.
Puedes encontrarla en el menú de herramientas del Administrador del servidor
o ejecutando gpmc.msc desde la línea de comandos.
Se puede ver que el diseño de GPMC
es similar al de otras herramientas de administración que ya usamos en Active
Directory.
A la izquierda, vemos la estructura de Active Directory.
GPMC agrega varios contenedores a su GUI.
Estos no son contenedores de AD que todos usamos.
Hay interfaces de administración que solo aparecen en GPMC.
El contenedor de objetos de directiva de grupo
contiene todos los GPO definidos en el dominio.
El contenedor de filtros WMI se usa para definir potentes reglas de selección de destino
para tus GPO.
Estos filtros utilizan propiedades del Instrumental de administración de Windows
(WMI)
o de objetos WMI para decidir si un GPO debe aplicarse o no a una computadora
específica.
Este es un tema más avanzado,
pero si quieres ir un poco más profundo,
puedes consultar la lectura complementaria en el vínculo.
El resultado de la directiva de grupo es una herramienta de solución de problemas
que se usa para averiguar qué directivas de grupo se aplican a la computadora y al
usuario en tu red.
Usarías esta herramienta para verificar
las directivas de grupo que ya se aplican a una computadora o usuario.
Por otra parte, el modelado de directivas de grupo se usa para predecir
qué directivas de grupo se aplicarán a una computadora o usuario en tu red.
Utilizas esta herramienta si deseas probar un cambio en tus GPO, tu uso
o tus filtros WMI antes de hacer cambios reales en tu Active Directory.
Vamos a ver cada uno de ellos en detalle a medida que avanza la lección.
Tal vez hayas notado, además, que faltan un par de cosas.
Recuerda que los usuarios y los contenedores informáticos no son unidades
organizativas.
Los objetos de directiva de grupo solo se pueden vincular a dominios, sitios y OU.
Si la computadora y los objetos de usuario están en los contenedores predeterminados,
solo se les pueden destinar GPO vinculados a dominios y sitios.
Se recomienda que organices tus cuentas de usuario y de computadora en unidades
organizativas
para que les puedas destinar directivas grupales más específicas.
Ahora, comencemos con el nodo de objetos de directivas de grupo en GPMC.
Veamos rápidamente un GPO existente.
En un nuevo dominio de Active Directory,
serán dos GPO los que se crean automáticamente:
la directiva de controlador de dominio predeterminada y la directiva de dominio
predeterminada.
La directiva de dominio predeterminada es,
como puedes suponer, un GPO predeterminado que está vinculado al dominio.
Se aplica a todas las computadoras y usuarios en el dominio.
La directiva de control de dominio predeterminada está vinculada a la OU del control de
dominio
y se aplica... adivinaste, a los controladores de dominio.
Lo que estamos viendo aquí es un informe de configuración para la directiva de dominio
predeterminada.
Este GPO está diseñado para hacer cumplir
decisiones de directivas que queremos aplicar en todo el dominio.
Por ejemplo, la directiva de longitud mínima de contraseña
impide que los usuarios establezcan contraseñas demasiado cortas.
El registro de la cuenta de auditoría en la directiva de eventos dice que la computadora
debe crear
un evento de Windows para cada intento de acceso exitoso y fallido.
Hay miles de configuraciones que se pueden controlar con los GPO,
por lo que puedes tener que investigar un poco para encontrar la configuración adecuada
que debes modificar
en un objeto de directiva de grupo para aplicar un cambio que desees.
Las directivas de grupo existen desde hace varias versiones de Windows,
y a veces las cosas no están exactamente donde uno esperaría encontrarlas.
No desesperes.
Hay mucha documentación en línea
sobre directivas de grupo y dónde encontrar configuraciones específicas.
Consejo profesional: algo que podría resultarte muy útil
es la referencia a las configuraciones de directivas de grupo
que Microsoft publica con cada nueva versión de Windows.
Esta referencia es una hoja de cálculo que detalla
las directivas y preferencias de GPO que están disponibles, y dónde encontrarlas.
A continuación, intentemos modificar una de las configuraciones en nuestra directiva de
dominio predeterminada.
Antes de empezar,
voy a hacer una copia de seguridad del GPO.
Voy a hacer clic derecho en la directiva y elegir Back Up (Hacer copia de seguridad).
Creé una copia de seguridad de GPO para mi equipo de escritorio,
pero en una variante real,
nos gustaría crear una red para permitir
que solo los administradores de dominio accedan a este menú.
También puedo agregar una descripción aquí para recordar por qué hice la copia de
seguridad.
Luego, permito que el asistente de copia de seguridad se ejecute y listo.
Ahora sé que si me equivoco,
puedo restaurar la directiva desde la copia de seguridad.
Volveré a hacer clic derecho en la directiva, pero esta vez voy a elegir Edit (Editar).
Esto abrirá la directiva de dominio predeterminada en el Editor de administración de
políticas de grupo.
Puedes ver en el panel de la izquierda que el GPO se divide en dos secciones:
Computer configuration (Configuración del equipo) y User configuration
(Configuración del usuario).
Cada una de ellas está dividida en directivas y preferencias.
Dentro de este árbol de directivas y preferencias
está cada configuración de GPO individual que GPMC conoce,
haya sido configurada o no.
Todos los GPO tienen acceso a la misma configuración.
No hay GPO especiales.
Aun así, se recomienda hacer diferentes GPO
que aborden una categoría específica de necesidad.
Por ejemplo, puedes tener un GPO que maneje todas las configuraciones
para un grupo específico de usuarios o uno que maneja directivas de seguridad para todo
el dominio.
Con GPO específicos para soluciones específicas,
puedes vincularlos solo a la computadora o los usuarios que necesitan esa directiva.
Como estás trabajando con todo el universo de directivas de grupo en cada GPO,
puede ser muy difícil reconocer desde el editor
qué es lo que está verdaderamente configurado en este GPO.
Consulta el informe de configuración en el GPMC para obtener esa información.
Se ve diferente, pero tal vez notaste que el informe de configuración
se presenta de la misma manera jerárquica que el editor de GPO.
Puedo ver que el umbral de bloqueo de cuenta está configurado
en cero ocasiones de acceso no válido.
Veamos esa directiva en el editor de GPO.
Voy a usar un informe de configuración como hoja de ruta para encontrar esa directiva
en el editor.
Déjame mostrarte cómo hacerlo.
Voy a hacer clic derecho
en Default Domain Policy (Directiva predeterminada de dominio), luego clic en Edit
(Editar).
Y voy a tener esto a un lado, así puedo mirar nuestra hoja de ruta.
Como puedes ver, Computer configurations (Configuraciones de equipo),
hago clic en la configuración del equipo, luego hago clic en Policies (Directivas),
clic en Windows Settings (Configuración de Windows), voy a Security settings
(Configuración de seguridad),
y luego Account policies (Directivas de cuenta), porque nos interesa la directiva de
bloqueo.
Puedes ver que hay tres directivas en la directiva de bloqueo de cuenta.
La columna de directivas nos indica el nombre de la directiva
y el valor de la directiva nos indica la configuración actual de la directiva.
Si una directiva no está definida,
entonces este GPO no realizará ningún cambio a la configuración en las computadoras
en las que se aplica.
El nombre de la directiva es bastante fácil de entender,
pero no estoy seguro de entender todas las consecuencias de modificar esos valores.
Si hago doble clic en cualquiera de estas directivas,
se abrirá el cuadro de diálogo de propiedades para ella.
¿Oh, qué es esto?
Hay una pestaña explicativa aquí.
Increíble. La pestaña explicativa nos indicará lo que esta directiva configura.
También puede decirnos qué esperar si la directiva no está definida
y cuál es el valor predeterminado de la directiva si está habilitada pero no está
personalizada.
Leyendo la explicación de la directiva de umbral de bloqueo de cuenta,
veo que al ponerla en cero,
las cuentas nunca se deshabilitarán por intentos fallidos de acceso.
Eso no es lo que quiero en mi dominio,
así que voy a cambiar este valor. Oh, interesante.
Parece que esta directiva tiene algunas dependencias en otras directivas.
De acuerdo. Voy a aceptar estos valores predeterminados, y ahora,
veré que estas tres directivas
en la política de bloqueo de cuenta se hayan configurado.
¿Cómo guardamos estos cambios?
Pulsa Apply (Aplicar) o bien OK (Aceptar) en un cuadro de diálogo del editor de
administración de directivas de grupo,
y los cambios realizados en el GPO se guardan inmediatamente.
Casi al mismo tiempo, las computadoras pueden recibir la actualización y comenzar a
aplicarla.
Eso podría no ser lo que querías.
Cuando debas realizar cambios en una directiva de grupo de producción,
deberás probarlos primero.
Por ejemplo, estaba jugueteando
con la directiva de dominio predeterminada que está vinculada a todo el dominio.
Inmediatamente, hice que
todas las cuentas de usuario se bloqueen si ingresan su contraseña incorrectamente una
vez.
Uy, ¿dónde está el botón de deshacer? ¿Adivina qué?
No existe. No te preocupes.
Es por esto que hicimos una copia de seguridad antes de comenzar a trabajar en esta
directiva.
Vamos a restaurar la directiva desde la copia de seguridad y deshacer esta catástrofe
latente.
De regreso en la consola de administración de directivas de grupo,
voy a hacer clic derecho en Default Domain Policy (Directiva predeterminada de
dominio),
en Group Policy Objects (Objetos de directiva de grupo), y luego selecciono Restore
from Backup... (Restaurar desde copia de seguridad...).
Este asistente recuerda el último lugar donde hice una copia de seguridad de un GPO,
y parece que es desde donde quiero restaurar. Muy intuitivo.
Ahora, lista cada una de las copias de seguridad de GPO que hay en la carpeta que
elegimos.
El nombre de la directiva y el momento en que se realizó su copia de seguridad
aparecen aquí,
junto con las descripciones que proporcionamos cuando hicimos la copia de seguridad.
Si hago clic en View Settings... (Ver configuración...),
abrirá mi navegador web con el informe de configuración de la copia de seguridad.
Genial, ¿verdad?
De acuerdo. Necesito restaurar esta directiva
para que a mis usuarios no se les bloqueen sus cuentas.
El cuadro de diálogo Summary (Resumen) me muestra lo que voy a hacer, vayamos allí.
Todo esto se ve bien.
Voy a hacer clic en Finalizar y me aseguraré de que mi directiva se haya restaurado.
Perfecto. Se restauró mi copia de seguridad
y se deshizo mi error.
Como viste en este ejemplo,
antes de modificar un GPO,
siempre deberás crear una copia de seguridad.
¿Pero de qué otra manera podría haber evitado este error?
Correcto.
Podría haber sometido a prueba mis cambios.
Hay muchas formas de hacer esto.
Resumiré algunos pasos simples aquí
y ofreceré documentación adicional en la lectura complementaria.
Algunas organizaciones tendrán recomendaciones establecidas
para probar modificaciones a los GPO en su entorno.
Si ese es el caso, entonces debes seguir esas normas.
Tal vez también debas seguir un proceso de gestión de cambios
para notificar a otros miembros de la organización sobre las modificaciones que estabas
por realizar.
Lo que voy a mostrarte es solo una forma de agregar seguridad a las modificaciones en
los GPO.
Supongamos que tengo una directiva de GPO llamada "example".
Buen nombre, ¿verdad?
Quiero hacer cambios a la directiva example,
pero primero quiero probar los cambios para asegurarme de no inutilizar las máquinas
de producción.
Primero, configuro una OU de prueba que contiene máquinas o cuentas de usuario de
prueba.
Si la directiva de ejemplo suele estar vinculada en example.com, Finance (Finanzas),
Computers (Equipos), entonces puedo crear example.com,
Finance, Computers, Test (Prueba) y poner máquinas de prueba en la OU de prueba.
Esto permite que las máquinas de prueba
contengan todos los GPO de producción existentes, pero me ofrece un lugar
para vincular un GPO de prueba que sobrescribirá al de producción.
Déjame ir y mostrarte cómo lo hago.
Así que hago clic en example,
clic en New (Nuevo), clic en Organizational unit (Unidad organizativa),
escribo Finance (Finanzas) y hago clic en OK (Aceptar).
Luego creo otra unidad organizativa desde mis computadoras,
y luego, debajo de eso,
voy a crear una OU de prueba para mi GPO,
hago clic en OK (Aceptar). A continuación,
creo una copia del GPO que deseo modificar y la nombro algo así como Test Example
Policy.
Déjame mostrarte cómo lo hago.
Esta es una directiva que tengo.
Hago clic en Copy (Copiar), luego voy a mis objetos de directiva de grupo, hago clic en
Paste (Pegar).
Aquí dice Use the default permissions for new GPOs (Usar permisos predeterminados
para nuevos GPO)
porque queremos hacer una copia, por supuesto,
y pulso OK (Aceptar). Como puedes ver,
se llama Copy of master (Copia de maestro).
Voy a cambiarle el nombre
a Test Example Policy (Ejemplo de prueba de directiva), tecla Intro.
Ahora puedo hacer los cambios que quiero probar
en la directiva de ejemplo de prueba y vincularla a mi OU de prueba.
Déjame mostrarte cómo lo vinculo.
Voy a entrar en mi OU llamada Finance (Finanzas),
Computers (Equipos), luego Test (Prueba), hago clic derecho en Test.
Ahora voy a Link an Existing GPO... (Vincular un GPO existente...),
que va a ser mi Test Example Policy aquí,
y luego clic en OK (Aceptar). Después de que confirme que mis cambios funcionan de
la manera que esperaba,
puedo hacer una copia de seguridad de la directiva de prueba y luego importar
la copia de seguridad de Test Example Policy a la directiva de ejemplo de producción.
Esto implica trabajo adicional, ya que soy un administrador de sistemas,
pero también me brinda el beneficio de mayor seguridad y tranquilidad.
Al probar mis cambios en una copia del GPO en las máquinas de prueba,
es más difícil inutilizar accidentalmente las máquinas de producción.
Tu organización podría estar usando la Administración avanzada de directivas de grupo,
o AGPM,
que es un conjunto de herramientas complementarias de Microsoft que te brindan
ciertas habilidades de control de aprovisionamiento adicionales en GPMC.
Si usas AGPM en tu organización,
debes seguir las recomendaciones para el control de versiones de GPO mediante
AGPM.
Incluí un vínculo a esas recomendaciones en la próxima lectura.
Editamos el GPO y vimos algunas formas de hacer que la edición de GPO sea segura.
Ahora, necesitamos comprender un poco más
todas las políticas que se aplican a una máquina o una cuenta de usuario específica.
A continuación, herencia y precedencia de GPO. Te veré allá.
Si sigues la práctica de crear
GPO específicos para abordar categorías específicas de necesidades,
puedes terminar con una gran cantidad de directivas vinculadas
en muchos niveles de tu jerarquía de Active Directory.
Los objetos de directiva de grupo
que controlan las configuraciones de seguridad son un lugar muy común en el que esto
puede suceder.
Los administradores de sistemas son responsables
de proteger la seguridad de la infraestructura de TI.
Por lo tanto, se recomienda crear un GPO muy restrictivo
que use directivas de seguridad conservadoras muy seguras y vincularlo con todo el
dominio.
Esto te da una directiva predeterminada segura, pero algunos usuarios o computadoras
tal vez no puedan hacer lo que deben con esas directivas muy conservadoras.
El departamento de finanzas podría necesitar usar
las macros de Excel que están deshabilitadas en tu directiva de seguridad
predeterminada, por ejemplo.
Entonces, podemos crear GPO que relajen algunas de las configuraciones o directivas
de seguridad
en las unidades organizativas que contienen a esos equipos o usuarios.
Otro ejemplo podría ser que tengamos un GPO
que estandariza el fondo de pantalla del escritorio de todas las computadoras.
Pero tenemos computadoras
que son kioscos de acceso público que necesitan tener un fondo de pantalla diferente.
En cualquiera de estos casos,
puedes tener computadoras o cuentas de usuario con múltiples GPO
asignados a ellos que se contradicen entre sí por diseño.
Entonces, ¿qué ocurre cuando hay
dos o más objetos de directiva de grupo contradictorios que se aplican al mismo equipo?
Cuando las computadoras procesan los objetos de directiva de grupo que se les aplican,
todas estas directivas se aplicarán
en un orden específico basado en un conjunto de reglas de precedencia.
Los GPO se aplican en función de los contenedores que contienen la computadora y la
cuenta de usuario.
Los GPO que están vinculados al contenedor menos específico o más grande se aplican
primero.
Los GPO que están vinculados al contenedor más específico o más pequeño se aplican
en último lugar.
Primero se aplican todos los GPO vinculados en el sitio de AD, luego cualquier vínculo
en el dominio
y luego cualquier unidad organizativa, de las primarias a las secundarias, en este orden.
Si más de una directiva intenta establecer la misma directiva o preferencias,
entonces prevalece la directiva más específica.
Para que entiendas a lo que me refiero,
veamos esta estructura de AD.
Como puedes ver en mi estructura,
tengo muchas OU.
Tengo mi OU de TI,
mi OU de ventas,
y también mi OU de investigación.
Y también tengo mis sitios: en Australia,
India y América del Norte.
Si tienes una computadora en el sitio de India y la OU de la computadora de ventas de
example.com,
entonces Active Directory aplicaría
objetos de directiva de grupo que están vinculados al sitio de India,
al dominio example.com, a la unidad organizativa de ventas,
y a la OU de computadoras, en ese orden.
Aunque eso no es todo. En realidad, puedes vincular varios GPO al mismo contenedor.
¿Cómo decide AD en qué orden aplicar los GPO
si hay más de uno en un contenedor?
Cada contenedor tiene un orden de vínculos para los GPO vinculados a él.
Vamos a ver nuestra OU Sales (Ventas).
La OU de ventas en nuestro dominio de ejemplo tiene un GPO
para un mapeo de unidad de red y un GPO para configurar impresoras de red.
El orden de vínculos de cada política determina qué GPO tiene precedencia.
El número más alto es el GPO de menor clasificación,
por lo que su configuración se aplica primero.
Network printers - Sales (Impresoras de red/ventas) se aplica primero y Network drives
- Sales
(Unidades de red/Ventas) se aplica en último lugar.
En todo caso, la directiva de unidad de red contradice
a la directiva de impresora de red y la política de unidades se impone.
Vamos a resumir esto hasta aquí.
El orden de vínculo con el número más alto en el contenedor menos específico se aplica
primero.
Y el orden de enlace con el número más bajo
en el contenedor más específico es el último GPO que se aplica.
El último GPO que modifique cualquier configuración específica es el que prevalece.
Y en la consola de administración de directivas de grupo,
podemos ver las reglas de precedencia en acción.
Voy a ir a la OU Computers (Equipos) en Administración de directivas de grupo.
Puedo ver que hay una directiva vinculada aquí llamada Computer Security Policy
(Directiva de seguridad del equipo).
Quiero ampliar esto.
Al pasar de la pestaña Group Policy Objects (Objetos de directiva de grupo) a Group
Policy Inheritance (Herencia de directivas de grupo),
así, puedo ver que a los objetos
en esta OU se les aplicarán muy pocas directivas en realidad.
La columna Precedence (Precedencia) nos indica qué directiva se impondrá si hay
configuraciones en conflicto,
y la columna Location (Ubicación) nos indica dónde se vinculó la directiva.
Tal vez notaste que no hay una directiva de vínculo de sitio aquí.
Esto se debe a que puedes tener computadoras de muchos sitios de AD diferentes en la
misma OU.
Por lo tanto, los enlaces GPO basados en sitios no están representados en este resumen.
Cuando agregas todas las políticas de grupo juntas
para una máquina específica y les aplicas reglas de precedencia,
llamamos a eso el conjunto resultante de directivas, o RSoP, para esa máquina.
Cuando estás solucionando problemas de directivas de grupo,
a menudo se compara un informe RSoP
con lo que esperas que se aplique a esa computadora.
Hay muchas maneras de obtener un informe RSoP.
Usaremos la consola de administración de directivas de grupo por ahora
y veremos el otro método cuando empecemos a solucionar problemas.
Verifiquemos qué objetos de directiva de grupo se aplicarán cuando uno de nuestros
empleados de ventas
acceda a su computadora, o hagamos clic derecho
en el nodo de resultados de la directiva de grupo en GPMC y seleccionemos el Asistente
de resultados de la directiva de grupo.
Voy a hacer eso. Este asistente
me guiará a través de la generación
de un informe del conjunto resultante de directivas para la computadora y el usuario que
yo elija.
La computadora que estoy usando para ejecutar este informe
establecerá una conexión remota a esa computadora y le pedirá que ejecute el informe.
El informe podría verse, entonces, en mi GPMC local.
Me gustaría ver ese RSoP cuando Emmett está conectado a su computadora, que es
EMMETPC01.
Voy a hacer eso.
Voy a tocar "Next" (Siguiente).
Quiero buscar su computadora.
Selecciono Another computer (Otro equipo),
hago clic en Browse (Examinar), escribo EMMETPC01 y hago clic en OK (Aceptar).
El Asistente de resultados de directiva de grupo es muy simple.
Primero, ingreso EMMETPC01 como la computadora en la que quiero ejecutar el
informe.
De forma predeterminada, el asistente solo ejecutará un RSoP para la configuración de
la computadora.
Como también quiero ver la configuración de usuario para Emmett,
seleccionaré Display policy settings for: (Mostrar la configuración de directiva del:)
para él, lo que en realidad siempre está seleccionado de forma predeterminada.
Lo que vamos a hacer es clic en Next (Siguiente)
y nos va a llevar a Summary of Selections (Resumen de las selecciones).
Luego, hacemos clic en Next (Siguiente) y, para generar el informe, clic en Finish
(Finalizar).
Voy a hacer clic en Close (Cerrar).
Solo puedes seleccionar usuarios de esta lista
que hayan accedido a esta computadora en el pasado.
Eso es todo. Reviso mi selección en el cuadro de diálogo de resumen y luego finalizo el
asistente.
Me queda un nuevo elemento en el nodo resultante de la directiva de grupo en GPMC
y contiene un informe del Conjunto resultante de directivas que acabo de solicitar.
Genial. Este informe RSoP contiene
todo lo que necesitamos para comprender qué políticas se aplican a una computadora o
usuario.
Incluye muchísimos detalles sobre dónde se encuentran la computadora y el usuario en
AD,
a qué grupos de seguridad pertenecen y más.
Voy a dejar eso de lado por el momento y me centraré
en las secciones de configuración del informe. Para ello, me desplazo hacia abajo.
Esto se parece mucho a la información que se ve en la pestaña de configuración de un
GPO,
pero en lugar de mostrarte solo las configuraciones modificadas por un único GPO,
puedes ver el efecto combinado de la aplicación de todos los GPO.
La columna Winning GPO (GPO prevalente) te indica
qué GPO últimamente tuvo prioridad para cada directiva y preferencia.
Increíble, ¿verdad?
Recuerda, le estoy haciendo una solicitud remota
a mi consola de administración de directivas de grupo para ejecutar este informe en
EMMETPC01.
Hay muchas razones por las que esto podría no funcionar.
EMMETPC01 puede estar apagada,
podría estar desconectada de la red
o tener firewalls que me impidan ejecutar el informe de manera remota.
Si no soy un administrador local en el equipo,
no podré ejecutar el informe.
En cualquiera de estos casos,
si necesito ese informe RSoP para solucionar problemas,
tal vez tenga que ejecutar comandos localmente en la PC01 de Emmett.
Veremos técnicas de solución de problemas adicionales en una lección futura.
Active Directory
Puntos totales 15
1.
Pregunta 1
Correcto
Correcto
2.
Pregunta 2
1 / 1 punto
Correcto
3.
Pregunta 3
1 / 1 punto
Superuser
Root
Nombre de usuario
Administrador
Correcto
4.
Pregunta 4
Verdadero o falso: Las máquinas del grupo Controladores de dominio también son
miembros del grupo de computadoras del dominio.
1 / 1 punto
Verdadero
Falso
Correcto
5.
Pregunta 5
0 / 1 punto
Los grupos de seguridad se usan para las computadoras, mientras que los grupos de
distribución se usan para los usuarios.
Los grupos de seguridad se utilizan para los usuarios, mientras que los grupos de
distribución se utilizan para las computadoras.
Los grupos de seguridad se pueden utilizar para proporcionar acceso a los recursos,
mientras que los grupos de distribución solo se utilizan para la comunicación por correo
electrónico.
Incorrecto
6.
Pregunta 6
1 / 1 punto
Son lo mismo
Correcto
7.
Pregunta 7
1 / 1 punto
Verdadero
Falso
Correcto
¡Sí! Unir una computadora a Active Directory significa vincularla o unirla al dominio.
A continuación, se crea una cuenta de equipo de AD para ello. Un grupo de trabajo es
una colección de computadoras independientes, no unidas a un dominio AD.
8.
Pregunta 8
1 / 1 punto
Autenticación centralizada
Correcto
Correcto
9.
Pregunta 9
1 / 1 punto
Correcto
10.
Pregunta 10
1 / 1 punto
AD aplica una directiva, mientras que un usuario local puede modificar una preferencia
Una directiva puede ser modificada por un usuario local, mientras que AD aplica una
preferencia
Correcto
¡Exacto! Las directivas son configuraciones que AD aplica una y otra vez regularmente,
mientras que las preferencias son predeterminadas para varias configuraciones, pero
pueden ser modificadas por los usuarios.
11.
Pregunta 11
Con un nuevo dominio de AD, ¿qué necesitas cambiar antes de poder destinar grupos de
usuarios y máquinas con GPO?
1 / 1 punto
Correcto
¡Buen trabajo! Dado que los GPO solo se pueden aplicar a sitios, dominios y unidades
organizativas, y como los grupos de usuarios y equipos predeterminados en AD no son
unidades organizativas, no se puede destinar GPO a estos grupos directamente. Para
destinar a grupos específicos de usuarios o computadoras, se deben crear nuevas
unidades organizativas y se deben agregar usuarios o cuentas a ellos.
12.
Pregunta 12
1 / 1 punto
Correcto
¡Acertaste! Cuando los GPO entran en colisión, se aplican primero por sitio y segundo
por dominio. Luego, cualquier unidad organizativa se aplica de menos específica a más
específica.
13.
Pregunta 13
¿Qué podemos usar para determinar qué directivas se aplicarán a una máquina
determinada?
1 / 1 punto
Gpupdate
Un panel de control
Un dominio de prueba
Un informe de RSOP
Correcto
14.
Pregunta 14
1 / 1 punto
Realiza una consulta de DNS para solicitar el registro SRV para el dominio
Correcto
¡Excelente! Un cliente hará una consulta a un servidor DNS para solicitar el registro
SRV para el dominio. El registro SRV contiene información de dirección para los
controladores de dominio para el dominio.
15.
Pregunta 15
¿Cuál de las siguientes opciones podría impedirte iniciar sesión en una computadora
unida a un dominio? Marca todas las que correspondan.
1 / 1 punto
Correcto
Correcto
Correcto
Servicios de directorio
Calificación de la entrega más reciente: 80 %
1.
Pregunta 1
1 / 1 punto
Mediante una estructura de base de datos relacional
Correcto
2.
Pregunta 2
1 / 1 punto
Auditoría
Correcto
Autenticación centralizada
Correcto
¡Buen trabajo! Un servidor de directorio ofrece un mecanismo centralizado para el
manejo de la autenticación, autorización y auditoría. Esto es mucho más conveniente y
seguro, en comparación con un montón de sistemas locales desconectados.
Confidencialidad
Autorización
Correcto
3.
Pregunta 3
1 / 1 punto
Vinculación simple
Correcto
Vinculación anónima
Correcto
Correcto
PGP
4.
Pregunta 4
1 / 1 punto
Correcto
Un servidor DNS
Correcto
Un contenedor
Un servidor que contiene una réplica de la base de datos de Active Directory
Correcto
5.
Pregunta 5
1 / 1 punto
Configurar el firewall
Unirse al dominio
Correcto
¡Excelente! Una computadora debe unirse al dominio antes de que las cuentas de
usuario puedan ser autenticadas contra el controlador de dominio (en lugar de cuentas
locales).
6.
Pregunta 6
Cuando los GPO están en conflicto, ¿en qué orden se evalúan y aplican?
0 / 1 punto
Sitio, dominio, unidad organizativa
Incorrecto
7.
Pregunta 7
1 / 1 punto
autenticación centralizada
Active Directory
LDAP
Correcto
¡Bravo! El control de acceso basado en roles es el concepto de vincular el acceso a roles
y luego asignar cuentas individuales a los roles apropiados. Esto es mucho más fácil de
administrar y mantener, en lugar de otorgar acceso individual a recursos por cuenta.
8.
Pregunta 8
0 / 1 punto
Nombre común
Usuario organizativo
Nombre distinguido
Incorrecto
9.
Pregunta 9
1 / 1 punto
Una directiva
Una preferencia
Correcto
¡Sí! Se puede establecer una preferencia a través de GPO, que te permite modificar las
opciones de configuración predeterminada al tiempo que todavía permite a los usuarios
modificarlas.
10.
Pregunta 10
1 / 1 punto
Registro A
Registro AAAA
Registro SRV
Registro TXT
Correcto
¡Bravo! Un cliente hará una consulta a un servidor DNS para solicitar el registro SRV
para el que no existe un dominio. El servidor responderá con la dirección de un
controlador de dominio para ese dominio.