4 Semana4

Felicitaciones, ya casi terminas de ver los servicios esenciales de infraestructura de TI
que entran en juego en una organización.

Estás tan cerca, ya lo tienes.
En el último módulo, aprendimos sobre los servicios de software que se usan en una
organización,
como los servicios de software de comunicación, de seguridad y de almacenamiento de
archivos.
Luego, hablamos de los servicios de plataforma que se pueden encontrar en las
organizaciones
que compilan productos de software.
Por último, aprendimos sobre algunos de los servidores
que esas organizaciones requieren, como los servidores web y de bases de datos.
En este módulo, vamos a aprender sobre el último servicio importante de infraestructura
de TI,
los servicios de directorio.
Es el principio del fin.
¿Todo listo?
Vamos.
¿Alguna vez buscaste el número de teléfono de alguien en un directorio telefónico,
o usaste una lista de directorios en un centro comercial para encontrar una tienda
específica?
Un servidor de directorio, básicamente, ofrece la misma funcionalidad.
Un servidor de directorio contiene un servicio de búsqueda que proporciona mapeo
entre recursos de red y sus direcciones de red.
Se lo usa para organizar y buscar
objetos y entidades organizacionales, cosas como cuentas de usuario,
grupos de usuarios, números de teléfono y redes compartidas.
En lugar de administrar cuentas de usuario e información de la computadora localmente
en cada máquina,
toda esa información se puede almacenar en un servidor de directorio para facilitar el
acceso y la administración.
Un servidor de directorio ideal de calidad empresarial debería admitir la replicación.
Esto significa que los datos almacenados en el directorio se pueden copiar y distribuir
a través de una serie de servidores distribuidos físicamente,
pero aun así, aparecen como un almacén de datos unificados para consultas y
administración.
¿Por qué es importante la replicación?
Proporciona redundancia, ya que hay varios servidores disponibles simultáneamente.
Por lo tanto, en caso de que un servidor explote,
la interrupción en el servicio será mínima.
La replicación también disminuye la latencia cuando accedes al servicio de directorio.
Al tener réplicas de tu servidor de directorio en cada oficina,
eres capaz de responder a las consultas al servicio de directorio más rápidamente.
El servicio de directorio también debe ser flexible,
lo que te permitirá crear fácilmente nuevos tipos de objetos a medida tus necesidades
cambien.
Se debe poder acceder a la información almacenada
en la base de datos del servidor de directorio
desde una variedad de tipos de SO y desde las áreas designadas de la red corporativa.
Los servicios de directorio son útiles
para organizar datos y permitir su búsqueda dentro de una organización.
Esto se logra mediante el uso de un modelo jerárquico de objetos y contenedores.
A los contenedores se los denomina unidades organizativas (OU)
y pueden contener objetos o más unidades organizativas.
Esto tiene una estructura organizativa similar a la de un sistema de archivos.
Las OU son como carpetas que pueden contener
archivos u objetos individuales para un servicio de directorio.
Las OU también pueden contener carpetas adicionales.
Los beneficios de administración de esta estructura son bastante evidentes.
¿Te imaginas tratando de mantener tu biblioteca de música organizada
si no existiera tal cosa como los subórdenes?
De locos. Esta estructura jerárquica puede usarse
para transmitir información adicional sobre lo que contiene.
Toma tu estructura de directorios como ejemplo.
Tal vez tengas una OU llamada "usuarios" que contiene todas las cuentas de usuario.
Dentro de esta OU, podría haber OU adicionales
que representan la estructura real de equipos en tu organización.
La OU de usuarios podría contener OU adicionales como ventas, ingeniería y
marketing,
que incluyen los objetos de cuentas de usuarios
para las personas que pertenecen a estos equipos.
Esta estructura puede usarse para expresar diferencias entre estos usuarios secundarios
de las OU secundarias.
Por ejemplo, podríamos aplicar requisitos de contraseña más estrictos
a los miembros de ingeniería sin afectar a ventas ni a marketing.
Los miembros secundarios heredan las características de su OU principal.
Por lo tanto, cualquier cambio realizado en la OU de usuarios, de nivel
superior,afectaría a todas las OU secundarias,
lo que incluye ventas, marketing e ingeniería.
Alguien con la responsabilidad de un administrador de sistemas,
ya sea un administrador de sistemas
o un especialista en soporte de TI, sería responsable de la instalación,
la configuración y el mantenimiento del servidor de directorio.
Esto incluye el SO en el que se ejecutaría el servicio de directorio.
Esto también implica las tareas estándar de gestión de SO,
como asegurarse de instalar actualizaciones y de configurar servicios estándar.
Otras responsabilidades incluyen la instalación y configuración
del propio servicio de directorio.
Es decir, instalar el servicio y configurar cualquier servicio relacionado.
Si se usan varios servidores en una configuración de replicación,
esto debe configurarse también.
Es muy probable que el diseño y la implementación de jerarquías
en la estructura general del directorio en sí también esté a cargo del administrador de la
empresa.
Bueno, con esto vimos un resumen de alto nivel de lo que es exactamente un servicio de
directorio.
Más adelante en este curso, veremos los detalles específicos.
Pero por ahora, repasemos algunos de los conceptos que acabamos de ver con un breve
cuestionario.
Luego, en el siguiente video,
haremos un resumen más detallado sobre cómo implementar servicios de directorio.
Los servicios de directorio se convirtieron en el estándar de red abierta

para interoperabilidad entre diferentes proveedores de software.
En 1988, se aprobó el estándar de directorio X.500,
que incluía protocolos como el Protocolo de acceso a directorio, o DAP,
el Protocolo de sistema de directorio, o DSP,
el Protocolo de sombreado (replicación) de información de directorio, o DISP,
y el Protocolo de gestión de vinculaciones operacionales de directorio, o DOP.
Las alternativas a DAP se diseñaron para permitir a los clientes acceder al directorio
X.500.
La más popular de estas alternativas fue el Protocolo ligero de acceso a directorios, o
LDAP.
Como son estándares abiertos de comunicación y acceso para servicios de directorio,
surgieron muchas implementaciones diferentes de estos servicios.
Hay ofertas de Apache, Oracle, IBM y Red Hat,
pero veremos dos de ellas en detalle más adelante en este módulo.
La primera es la implementación de Microsoft,
que se conoce como Active Directory o AD.
Tiene algunas características personalizadas y adicionales para la plataforma Windows.
También hay implementaciones de código abierto de servicios de directorio que usan
LDAP.
Un ejemplo popular de esto es OpenLDAP,
que también veremos en mayor detalle.
OpenLDAP es compatible con una amplia gama de plataformas como Windows,
Unix, Linux y varios derivados de Unix.
Además del software de servidor,
también hay herramientas de cliente que se usan para acceder y administrar un servidor
de directorios,
como Microsoft Office Usuarios y equipos de Active Directory, o ADUC,
que funciona bien con Microsoft Active Directory Server.
También hay otras herramientas abiertas que se pueden usar para interactuar
con muchas otras implementaciones de servidor de directorio.
Junto con los clientes para administrar y gestionar un servidor de directorio,
también hay aplicaciones cliente que pueden interactuar con un servidor de directorios y
hacer consultas.
Todas las plataformas de SO principales admiten la integración
con un servidor de directorio a efectos de acceso y autenticación.
La ventaja aquí es que esto permite la administración centralizada de las cuentas de
usuarios.
Veremos los detalles de la administración centralizada en la próxima lección;
no te preocupes demasiado por eso ahora.
Al considerar implementaciones específicas para tu servidor de directorio,
deberás tener en cuenta la compatibilidad con el SO,
no solo el del servidor en el que se ejecutará el servicio de directorio,
sino también el SO que ejecuta tu inventario de clientes
y la compatibilidad con tus servicios de directorio.
Puedes leer más acerca de la importancia de esto en la próxima lectura.
Introducción a los servicios de directorio
Puntos totales 3
1.
Pregunta 1
¿Qué proporciona un servidor de directorio?
1 / 1 punto
Un servicio de comunicación en tiempo real
Un servicio de tiempo de red
Un servicio de búsqueda para una organización
Un servicio de replicación
Correcto
¡Eso mismo! Un servicio de directorio permite a los miembros de una organización la

búsqueda de información sobre la organización, como recursos de red y sus direcciones.
2.
Pregunta 2
¿Qué beneficios ofrece la replicación? Marca todos los que correspondan.
1 / 1 punto
Redundancia
Correcto
¡Buen trabajo! La replicación del servidor de directorio otorga redundancia al tener

copias múltiples de la base de datos entregadas por múltiples servidores. Los servidores
agregados que proporcionan servicios de búsqueda también reducen la latencia para los
clientes que consultan por el servicio.
Seguridad mejorada
Mayor capacidad
Disminución de la latencia
Correcto
¡Buen trabajo! La replicación del servidor de directorio otorga redundancia al tener

copias múltiples de la base de datos entregadas por múltiples servidores. Los servidores
agregados que proporcionan servicios de búsqueda también reducen la latencia para los
clientes que consultan por el servicio.
3.
Pregunta 3
¿Cuál es el protocolo de servicios de directorio más popular que se usa hoy en día?
1 / 1 punto
Protocolo de acceso al directorio
Protocolo de sistema de directorio
Protocolo ligero de acceso a directorios
Protocolo de gestión de vinculación operacional de directorio
Correcto
¡Sí! LDAP es el protocolo de acceso a directorios más popular y más utilizado en la
actualidad.
El trabajo del administrador de sistemas es, bueno, administrar sistemas.

Los admins son responsables por un conjunto de sistemas
y tienen que administrar esos sistemas
para que estén disponibles y cumplan sus funciones para su organización.
Por ejemplo, como admin, podría ser responsable de asegurar
que todos los servidores en mi red se mantengan actualizados con parches de seguridad
y actualizaciones de la aplicación.
¿Debo ir y acceder a cada servidor y verificarlo uno por uno?
¿Y si necesito administrar cuentas de usuario en dispositivos de usuario final?
¿Debo ir al escritorio de cada empleado y configurar su cuenta de esa manera?
Supongo que sí, pero eso insumiría mucho tiempo y, probablemente, no sería un
proceso uniforme.
En cambio, lo que quiero hacer es aplicar administración centralizada, un servicio
central
que imparta instrucciones a todas las partes diferentes de mi infraestructura de TI.
Los servicios de directorio son uno de estos servicios.
¿Recuerdas cuando, en lecciones anteriores, creaste cuentas
y les diste acceso a recursos en tu computadora?
Imagina que trabajaras para una organización que tiene docenas, cientos
o incluso miles de computadoras y de personas que las usan.
No es posible configurar individualmente cada computadora.
Los servicios de directorio proporcionan servicios centralizados de autenticación,
autorización
y auditoría, lo que se conoce también como AAA.
Cuando las computadoras y las aplicaciones se configuran para usar servicios de
directorio
o servicios AAA, las decisiones sobre otorgar o rechazar acceso a las computadoras,
sistemas de archivos, y demás recursos de TI ahora están centralizadas.
Puedes crear una cuenta de usuario una vez y está disponible
para toda la red a la vez.
Fácil, bueno, algo así.
Aprenderás mucho más sobre servicios AAA en un próximo curso.
Por ahora, debes entender que tu servicio de directorio será responsable
de otorgar o denegar el acceso a las computadoras, sistemas de archivos y otros recursos
de TI.
Ahora vamos un paso más allá.
Supongamos que tienes un sistema de archivos de red y necesitas otorgarle acceso
a todo el departamento de TI.
Podrías configurar el recurso compartido de red,
luego darle una lista de cuentas de usuario a los que se les concede acceso.
¿Pero qué ocurre si un nuevo integrante se une al departamento de TI?
¿Y cuando alguien se va?
¿Y si en lugar de otorgar acceso basado en quien eres,
lo hiciste basado en lo que haces?
En la mayoría de las organizaciones, el acceso a los recursos informáticos
y de red se basa en tu rol en la organización.
Cuando administres el acceso a recursos en una computadora
y en la red, a menudo otorgarás y denegarás el acceso basado en grupos de usuarios.
Los grupos de usuarios pueden usarse para organizar cuentas de usuario en todo tipo de
formas.
Podrías crear grupos por edificios en los que la gente trabaja
o por rol de la persona en la organización, o por casi cualquier otra cosa.
Lo importante es que uses grupos para organizar cuentas tomando como base
la forma en que los administrarás.
Si eres un administrador de sistemas, entonces podrías tener permiso para hacer cosas
como crear cuentas de usuario y restablecer contraseñas.
Se te permite hacer eso debido a tu rol como administrador de sistemas.
Si agregas otro administrador de sistemas a tu organización,
no querrás tener que averiguar todo a lo que un admin debe tener acceso
y luego tener que concederle acceso individual a cada uno de esos recursos.
Eso no acabaría jamás.
En su lugar, crearemos un grupo de admins
y agregaremos todos los administradores de sistemas a ese grupo.
Luego, al grupo de administradores de sistemas, podremos otorgarle acceso
a cualquier recurso que necesite.
Si tú o alguien más cambian de funciones en la empresa,
todo lo que tienes que hacer es cambiar los grupos de los que eres parte,
no los derechos que tienes para acceder directamente a los recursos.
A esto lo llamamos control de acceso basado en roles, o RBAC.
Controlar el acceso a los recursos no es todo lo que puedes hacer.
También puedes centralizar la administración de configuraciones.
Así como no quieres ir a cada computadora para configurar cuentas de usuario,
tampoco querrías hacer eso para configurar impresoras o software,
o para montar los sistemas de archivos de red.
Al centralizar la administración de configuraciones de tus computadoras y tu software,
puedes crear reglas sobre el funcionamiento de las cosas en tu organización.
Hay muchas maneras de centralizar la administración de configuraciones.
Y una forma fácil de empezar es con una herramienta tan simple como las secuencias de
comando de acceso
que se ejecutan cada vez que alguien accede a una computadora.
Más adelante en este módulo, veremos Active Directory y sus objetos de directiva de
grupo,
que son una forma de administrar la configuración de las máquinas de Windows.
También hay marcos de trabajo de administración de configuraciones,
como Chef, Puppet o SCCM, que se pueden usar
para una administración de configuraciones súper simple o súper potente.
Esto está fuera del alcance de este módulo,
pero puedes consultar la lectura complementaria justo después de este video si deseas
más información.
Antes de pasar a los servicios de directorio,

hablemos del protocolo subyacente que se usa en los servicios de directorio,
llamado LDAP o Protocolo ligero de acceso a directorios.
LDAP se usa para acceder a información en servicios de directorio como si fuera a
través de una red.
Dos de los servicios de directorio más populares
que usan LDAP son Active Directory y OpenLDAP,
de los que hablaremos más en próximas lecciones.
Hay muchas operaciones diferentes que puedes usar en LDAP.
Puedes agregar una nueva entrada
en la base de datos del servidor de directorio, como crear un nuevo objeto "usuario"
llamado Kristi.
Puedes eliminar una entrada en la base de datos del servidor de directorios.
Puedes modificar las entradas y mucho, mucho más.
Cuando decimos entrada, nos referimos al formato de entrada de LDAP,
o notación LDAP, para registros en el servicio de directorio.
Una entrada LDAP es solo una recopilación de información que se utiliza para describir
algo.
Veamos este ejemplo.
No te preocupes demasiado por lo que dice esto.
El formato de entrada LDAP básicamente tiene
un nombre de entrada único indicado por dn o "nombre distinguido",
luego los atributos y valores asociados con esa entrada.
Entonces, CN es el "nombre común" del objeto.
En este caso, como es una persona,
usamos "Devan Sri-Tharan" como nombre.
OU es la unidad organizativa, como un grupo.
En este caso, se usa Sysadmin.
DC es el componente principal.
Entonces, example.com está dividido en example y com.
Repito, no es necesario recordar estos atributos.
Puedes consultarlos en la próxima lectura.
La enseñanza aquí es que la notación LDAP
se usa en entradas de servicios de directorio para describir atributos por medio de
valores.
Si eres de la época en la que se usaban las guías telefónicas, puedes recordar que estos
enormes y antiguos libros
contenían los nombres, las direcciones y los números de teléfono de las personas
en tu vecindario o comunidad que quisieran ver su información anunciada en forma
pública.
Esto es muy diferente de la guía telefónica
o la lista de contactos que tienes en tu teléfono móvil.
Las personas que están en tu directorio de contactos te dieron sus números de teléfono
para que solo tú los uses.
Al usar LDAP, hay diferentes niveles de autenticación que se pueden usar
para restringir el acceso a ciertos directorios, similares a esos grandes directorios
telefónicos públicos o a esos directorios privados de telefonía móvil.
Tal vez tengas un directorio que quieras hacer público
para que cualquiera puede leer sus entradas
o tal vez solo quieras mantener esos datos en privado solo para quienes los necesiten.
Vamos a analizar cómo LDAP hace esta autenticación y qué métodos utiliza.
Ya hablamos de las diferentes operaciones que puedes realizar con LDAP, como
agregar, eliminar
o modificar entradas en un directorio.
Otra operación que puedes realizar es la operación de vinculación,
que autentica clientes en el servidor del directorio.
Supongamos que quieres acceder a un sitio web que utiliza un servicio de directorio.
Ingresas la información de acceso de tu cuenta
y tu contraseña; luego, tu información se envía de regreso al sitio web.
Se usará LDAP para verificar si esa cuenta de usuario es un usuario del directorio
y si la contraseña es válida.
Si lo es, entonces se te concederá acceso a esa cuenta.
Quieres que tus datos estén protegidos y encriptados
cuando se complete este proceso.
Hay tres maneras comunes de autenticar.
La primera es anónima, luego está la simple y la última es SASL,
o capa de autenticación y seguridad simple.
Cuando se usa la vinculación anónima, en realidad no estás autenticando en absoluto.
Según cómo esté configurada, cualquiera podría acceder potencialmente a ese
directorio,
como en nuestro ejemplo de la guía telefónica pública.
Cuando usas autenticación simple, sólo necesitas el nombre de entrada del directorio y
la contraseña,
esto suele enviarse como texto sin formato, lo que significa que no es seguro en
absoluto.
Otro método de autenticación de uso común es la autenticación SASL.
Este método puede emplear la ayuda de protocolos de seguridad como TLS,
el que ya vimos en Kerberos, lo que vamos a analizar en un minuto.
La autenticación SASL requiere que el cliente
y el servidor de directorio autentiquen mediante algún método.
Uno de los métodos más comunes para esta autenticación es Kerberos.
Kerberos es un protocolo de autenticación de red que se utiliza para autenticar
la identidad del usuario, asegurar la transferencia. de credenciales de usuario, y mucho
más.
Kerberos por sí mismo puede ser un tema complejo
que volveremos a ver en el curso de seguridad informática.
Si quieres aprender más sobre Kerberos en este momento,
puedes consultar la lectura suplementaria justo después de esta lección.
Una vez que el cliente logra autenticar con el servidor LDAP
o el servicio de directorio,
el usuario estará autorizado a usar cualquier nivel de acceso que tenga.
En las próximas lecciones, vamos a profundizar
en dos de los servicios de directorio más populares que usan LDAP: Active Directory y
OpenLDAP.
Gestión centralizada y LDAP

Puntos totales 4
1.
Pregunta 1
¿Cuáles de estos son ejemplos de administración centralizada? Marca todos los que
correspondan.
1 / 1 punto
Control de acceso basado en roles
Correcto
¡Exacto! El control de acceso basado en roles facilita la administración de los derechos

de acceso al cambiar la pertenencia del rol y permitir la herencia para otorgar permisos
(en lugar de otorgar permisos individuales para cada cuenta de usuario). La
administración centralizada de la configuración es una forma más fácil de administrar
las configuraciones de servicios y hardware. Al centralizar esto, se vuelve más fácil
impulsar cambios en múltiples sistemas a la vez.
Administración centralizada de la configuración
Correcto
¡Exacto! El control de acceso basado en roles facilita la administración de los derechos

de acceso al cambiar la pertenencia del rol y permitir la herencia para otorgar permisos
(en lugar de otorgar permisos individuales para cada cuenta de usuario). La
administración centralizada de la configuración es una forma más fácil de administrar
las configuraciones de servicios y hardware. Al centralizar esto, se vuelve más fácil
impulsar cambios en múltiples sistemas a la vez.
Copiar configuraciones a varios sistemas
Autenticación local
2.
Pregunta 2
¿Cuáles de estos son componentes de una entrada LDAP? Marca todos los que
correspondan.
1 / 1 punto
Nombre poco común
Nombre común
Correcto
¡Bravo! El nombre común contiene un descriptor del objeto, como el nombre completo
para una cuenta de usuario. Un nombre distinguido es el nombre único para la entrada,
que incluye los atributos y valores asociados con esa entrada.
Usuario organizativo
Nombre distinguido
Correcto
¡Bravo! El nombre común contiene un descriptor del objeto, como el nombre completo
para una cuenta de usuario. Un nombre distinguido es el nombre único para la entrada,
que incluye los atributos y valores asociados con esa entrada.
3.
Pregunta 3
¿Qué hace exactamente la operación de vinculación LDAP?
1 / 1 punto
Modifica las entradas en un servidor de directorio.
Busca información en un servidor de directorio
Autentica un cliente al servidor de directorios

Cambia la contraseña de una cuenta de usuario en el servidor de directorio
Correcto
¡Increíble! Un cliente se autentica en un servidor de directorio mediante la operación de

vinculación. Esto podría ser: (1) una vinculación anónima; (2) una vinculación simple,
en la que la contraseña se envía como texto sin formato, o (3) una vinculación SASL,
que implica un mecanismo seguro de autenticación de desafío-respuesta.
4.
Pregunta 4
¿Cuáles de los siguientes son tipos de autenticación admitidos por la operación de

vinculación LDAP? Marca todos los que correspondan.
1 / 1 punto
Anónimo
Correcto
¡Eso es! Las operaciones de vinculación admiten tres mecanismos diferentes para
autenticación: (1) anónimo, que en realidad no autentica en absoluto y permite a
cualquiera consultar el servidor; (2) simple, que implica enviar la contraseña como texto
sin formato, y (3) SASL, o capa de autenticación y de seguridad simple, que implica un
mecanismo seguro de autenticación de desafío-respuesta.
Sencillo
Correcto
autenticación: (1) anónimo, que en realidad no autentica en absoluto, y permite a
Complejo
SASL
Correcto
autenticación: (1) anónimo, que en realidad no autentica en absoluto, y permite a
La parte más difícil de mi carrera, así de simple, fue unirme a Google.

Ingresé en 2002, cuando la empresa era bastante pequeña
y eran todos hombres, en su mayor parte.
Era la única mujer en la sala la mayor parte del tiempo.
Y la forma en que lo superé fue encontrar aquello en lo que quería ser experta,
encontrar lo que quería lograr.
Y enfocarme en eso todos los días,
desmenuzarlo
y celebrar cada hito alcanzado.
Y luego, al final, había logrado algo que nadie más en el equipo pudo.
Todos lo habían intentado y fui yo quien lo logró.
De vez en cuando reflexiono sobre eso y pienso: lo hice.
Cada vez que un paquete pasa de la computadora de un usuario final a Google,
cruza una barrera que yo implementé por primera vez.
Empecé a tener más y más proyectos interesantes
y la gente empezó a confiar más en mí
y eso me ayudó de verdad a superar la timidez,
me ayudó a superar mi propio cuestionamiento sobre si este era mi lugar o no.
Porque eso implicó que hiciera un gran aporte, y de manera significativa.
Hola de nuevo.
En esta lección, aprenderemos más sobre Active Directory, o AD,
el servicio de directorio nativo para Microsoft Windows.
Active Directory se ha usado para administrar centralmente redes de computadoras
desde que se lo presentó con Windows Server 2000.
Si hay computadoras que ejecutan Windows en tu organización, entonces AD
probablemente
desempeñe un gran papel.
Active Directory trabaja de modo similar a OpenLDAP.
Sabe comunicarse usando el protocolo LDAP y puede interoperar con Linux,
OS X y otros hosts no Windows que usen ese protocolo.
Cuando usas Active Directory para administrar un inventario de servidores Windows
y máquinas cliente, AD hace mucho más que proporcionar servicios de directorio
y autenticación centralizada.
También se convierte en el repositorio central de objetos de directiva de grupo,
o GPO, que son una forma de administrar la configuración de las máquinas Windows.
Te mostraremos cómo hacerlo más adelante en esta lección.
Ahora, veamos un dominio típico de Active Directory y lo que contiene.
La administración de Active Directory se basa en todo un conjunto de herramientas y
utilidades.
Vamos a usar una herramienta llamada Centro de administración de Active Directory,
o ADAC.
ADAC es una herramienta que usaremos
para muchas de las tareas diarias que aprenderás en este curso.
Es genial para trabajar
y para aprender cómo funcionan las cosas detrás de escena, como ya verás.
Recuerda que, al igual que los sistemas de archivos, los servicios de directorio son
jerárquicos.
Todo lo que ves en Active Directory es un objeto.
Algunos objetos son contenedores que pueden contener otros objetos.
Varios de los contenedores predeterminados se llaman, simplemente, contenedores
y sirven como ubicaciones predeterminadas para ciertos tipos de objetos.
Otro tipo de contenedor se conoce como unidad organizativa (OU),
de la que hablamos en una lección anterior.
Puedes pensar en una OU como una carpeta o un directorio
para organizar objetos dentro de un sistema de administración centralizado.
Los contenedores ordinarios no pueden contener otros contenedores, pero las OU
pueden contener otras OU.
Eso es un poco confuso, así que para mostrarte mejor la estructura jerárquica de AD,
hice clic en este botón del panel de la izquierda. para pasar a la vista de árbol de ADAC.
Hay muchas cosas que aparecen aquí.
ADAC nos dice qué tipo de objeto es cada uno de estos
y nos da una descripción para algunos de ellos.
No vamos a trabajar con todo esto, pero queremos señalar algunas partes del directorio
con las que es más común trabajar.
El primer nodo en este árbol es nuestro dominio.
Un dominio tendrá un nombre corto como "example" y un nombre DNS como
example.com.
A los objetos, en particular las computadoras en el dominio,
se les dará un nombre de DNS que resida en la zona DNS del dominio.
En realidad, hay un nivel de jerarquía por encima de un dominio
que no vemos en esta herramienta, y eso es un bosque.
Si nos fijamos en la forma lógica de un dominio, se parece a un árbol,
por lo que incluso la nomenclatura tiene sentido.
Un bosque contiene uno o más dominios.
Las cuentas pueden compartir recursos entre dominios en el mismo bosque.
En nuestro entorno de ejemplo, example.com es el único dominio en el bosque.
El siguiente ejemplo que vamos a ver es Computers (Equipos).
Este contenedor es en donde se crean las nuevas cuentas de computadoras de AD.
Si voy aquí, puedes ver mis computadoras.
Las cuentas de computadoras se crean cuando una computadora se une al dominio de
AD.
Lo que veremos a continuación es Domain Controllers (Controladores de dominio).
Este contenedor es donde se crean los controladores de dominio de forma
predeterminada.
A continuación, veremos Users (Usuarios).
Este contenedor es donde se crean de forma predeterminada los nuevos usuarios y
grupos de AD.
El servicio que alberga copias de la base de datos de Active Directory
se llama controladores de dominio, o DC.
Los controladores de dominio proporcionan varios servicios en la red.
Albergan una réplica de la base de datos de Active Directory
y de los objetos de directiva de grupo.
Los DC también sirven como servidores DNS para proporcionar resolución de nombres
y detección de servicios a clientes.
Ofrecen autenticación central a través de un protocolo de seguridad de red
llamado Kerberos.
Como mencioné, hablaremos más sobre Kerberos en el curso de seguridad informática.
Por ahora, lo que debes entender es que los controladores de dominio pueden decidir
cuándo las computadoras y los usuarios pueden acceder al dominio.
También deciden
si tienen o no acceso a recursos compartidos, como sistemas de archivos e impresoras.
Esto permite a los administradores de sistemas hacer cambios en la red
con verdadera rapidez y facilidad.
Si alguien nuevo se une a la organización, los admin pueden crearle una cuenta de
usuario
y, casi de inmediato, todos los dispositivos en la red saben quién es esa persona.
Si alguien cambia de trabajo en la organización o la deja, un administrador de sistema
puede deshabilitar
o borrar su cuenta y, en segundos, se ajusta su acceso a los dispositivos.
Es común que la mayoría de los controladores de dominio en la red de Active Directory
sean réplicas de lectura-escritura.
Esto significa que cada una contiene una copia completa de la base de datos de AD
y puede hacer cambios en ella.
Esos cambios se replican a todas las demás copias de la base de datos
en los demás DC.
La replicación suele ser rápida y el último cambio prevalece en casi todos los casos.
Esto no es perfecto, pero funciona para la mayoría de las tareas.
Algunos cambios en la base de datos de AD solo pueden ser hechos de forma segura por
un DC a la vez.
Asignamos esos cambios a un solo controlador de dominio otorgándole un rol
de operaciones de maestro único flexible, también conocido como FSMO.
No vamos a profundizar aquí en los detalles esenciales
de las responsabilidades de cada uno de estos roles FSMO y de cómo operan,
pero puedes consultar la próxima lectura para ver más información.
Si tu trabajo implica control y administración de dominios,
tendrás que entender cómo asignar los roles de FSMO y recuperarse de fallas del DC.
Para que las computadoras aprovechen los servicios especiales de autenticación de AD
tienen que estar unidas o vinculadas a Active Directory.
Unir una computadora a Active Directory significa dos cosas.
Primero, que AD sabe sobre la computadora
y que aprovisionó una cuenta de computadora para ella.
Segundo, que la computadora sabe sobre el dominio de Active Directory
y se autentica con él.
De ahí en adelante, la computadora puede autenticar en Active Directory
al igual que cualquier usuario que accede a una computadora.
Administrar Active Directory no solo es un asunto importante,

es un asunto enorme.
Hay administradores de sistemas que pasan todo su tiempo administrando solamente
AD.
Vamos a dedicarle un poco de tiempo para mostrarte
algunas de las tareas más comunes que un admin debería hacer
en un entorno de Active Directory.
Cuando se configura un dominio de Active Directory por primera vez,
contiene una cuenta de usuario predeterminada,
el administrador, y varios grupos de usuarios predeterminados.
Vamos a hacer un resumen de los grupos más importantes.
Por lo tanto, primero quiero entrar a mi ventana de Active Directory.
Y como puedes ver, soy example.com.
Voy a pasar por los usuarios.
Domain admins (Admins. del dominio) son los administradores del dominio de Active
Directory.
La cuenta Administrator (Administrador) es el único miembro de este grupo en un
nuevo dominio.
¿Recuerdas cómo un administrador local o root en una computadora
puede hacer cualquier cambio que desee en el sistema operativo?
Los usuarios del grupo Domain Admin (Admins. de dominio) pueden hacer los cambios
que deseen en el dominio.
Como un dominio puede controlar
la configuración de todas las computadoras vinculadas a él,
los administradores de dominio también pueden convertirse en administradores locales
de todas esas máquinas.
Es una gran cantidad de poder y responsabilidad.
No agregues cuentas a este grupo a la ligera.
Enterprise Admins (Administradores de empresas) son administradores del dominio de
Active Directory.
También tienen permiso para hacer cambios en el dominio
que afectan a otros dominios en un bosque multidominio.
La cuenta Administrator (Administrador) es el único miembro de este grupo en un
nuevo dominio.
Las cuentas Enterprise Admin (Administradores de empresas) solo deben ser necesarias
en ocasiones particulares, como cuando el bosque de Active Directory se actualiza a una
nueva versión.
Domain Users (Usuarios del dominio) es un grupo que contiene cada cuenta de usuario
en el dominio.
Si deseas dar acceso a un recurso de red a todos en el dominio,
no es necesario otorgar acceso a cada cuenta individual.
Puedes usar Domain Users (Usuarios del dominio).
Cada computadora que se une al dominio también tiene una cuenta.
Por lo tanto, también tenemos un grupo predeterminado para ellas.
Domain Computers (Equipos del dominio) contiene todas las computadoras unidas al
dominio, excepto los controladores de dominio.
Domain Controllers (Controladores de dominio) contiene todos los controladores de
dominio en el dominio.
Voy a poder hacer todo en esta lección
porque voy a desempeñar el rol de un administrador de dominio en mi organización de
ejemplo.
Como administrador de sistemas,
o como especialista en soporte de TI,
también puedes ser un administrador de dominio o empresa
dado el poder que te otorgan para realizar cambios en Active Directory.
Nunca debes usar una cuenta de administrador de dominio como tu cuenta de usuario
diaria.
Es muy fácil cometer un error que afecte a toda la organización.
Las cuentas de administrador de dominio solo deben usarse
cuando tengas que hacer cambios deliberadamente en Active Directory. ¿Lo entendiste?
Tu cuenta de usuario normal debe ser muy parecida a otras cuentas de usuario en el
dominio,
en la que tus permisos se restringen
solo a los recursos a los que necesitas tener acceso todo el tiempo.
Si como parte de tu trabajo diario debes realizar algunas tareas administrativas con
frecuencia,
pero no necesitas tener amplio acceso para hacer cambios en AD,
entonces la delegación es para ti.
Así como puedes establecer las DACL de NTFS para otorgar permiso a las cuentas en el
sistema de archivos,
puedes configurar ACL en objetos de Active Directory.
Si deseas aprender más sobre esto,
un tema más avanzado, consulta la siguiente lectura.
Vamos a empezar a administrar Active Directory.
En primer lugar, vamos a ver la administración de cuentas de usuario.
Como mencionamos en una lección anterior,

una tarea común de un admin
es administrar el ciclo de vida de las cuentas de usuario.
Las cuentas de usuario son una parte importante de TI.
Identifican quién eres,
y se las usa para controlar qué tipo de acceso tienes
a los recursos de TI de tu organización.
Administrar mal las cuentas de usuario puede impedir que las personas hagan lo que
deben,
lo que se traduce en una pérdida de tiempo y puede ser realmente frustrante.
Las cuentas de usuario que tienen demasiado acceso o que ya no son necesarias
crean riesgos para la organización.
Todo esto significa que asegurarse de que las cuentas de usuario se creen, se mantengan
y finalmente se eliminen es una de las tareas más importantes
que un administrador de sistemas puede tener.
Por eso, vayamos al grano. Vamos a crear una cuenta de usuario para Kristi
con el Centro de administración de Active Directory y a colocarla en el contenedor de
usuarios predeterminado.
Si hacemos clic derecho sobre Users (Usuarios),
aquí mismo, y luego clic en User (Usuario),
aparece este cuadro de diálogo para crear un usuario.
Hay muchas cosas aquí.
¿Realmente tenemos que completar todo esto?
Por suerte, no. Solo los campos que tienen un asterisco rojo a su lado son obligatorios.
Sigamos adelante. Ahora ingresemos un nombre completo y un nombre de cuenta para
Kristi.
Full name (Nombre completo) es el nombre real de una persona,
¿pero qué es User SamAccountName logon: (Inicio de sesión SamAccountName de
usuario:)?
Es una manera muy larga de decir nombre de usuario.
El Administrador de cuentas de seguridad, o SAM,
es una base de datos en Windows que almacena nombres de usuario y contraseñas.
De aquí viene SamAccountName.
Entonces, voy a escribir Kristi primero.
Voy a ingresar su cuenta de usuario,
también la llamaremos Kristi.
Puedes ver que el dominio será parte del nombre completo de las cuentas.
Cada cuenta de usuario debe tener un nombre de usuario único dentro del dominio.
Vamos a usar el primer nombre de Kristi aquí.
Ahora, vamos a establecer una contraseña para la nueva cuenta de usuario.
No queremos conocer la contraseña de Kristi,
así que vamos a asegurarnos de que la opción User must change password at next logon
(El usuario debe cambiar la contraseña en el siguiente inicio de sesión) esté marcada,
y luego le elejimos una contraseña aleatoria, así.
Muy bien. La consola de administración de AD
nos permite crear cuentas de usuario de una en una,
pero, con el tiempo, necesitaremos crear un montón de cuentas a la vez.
Imagina el momento de la inscripción en la escuela o la universidad,
cuando cientos o miles de nuevas cuentas
deben crearse en unos pocos días.
No querrás hacer eso haciendo clic en los formularios ADAC.
Si sabes crear una cuenta de usuario en la interfaz de línea de comandos,
entonces puedes aprender a escribir una secuencia de comandos
que ejecute esos comandos para ti una y otra vez.
Por ahora, solo queremos poder ver
los comandos que necesitaremos para hacer lo que ADAC hace por nosotros.
Resulta que todo lo que haces en ADAC,
en realidad se hace en PowerShell.
Abajo, en la parte inferior de la consola, hay un panel de historial de Windows
PowerShell
que podemos expandir para ver los comandos que está ejecutando ADAC.
Parece que ADAC ejecutó algunos comandos
cuando creamos la cuenta de usuario de Kristi.
Puedes tomar un ejemplo como este y generalizarlo para crear una secuencia de
comandos
que pueda usarse para repetir este proceso cientos de miles de veces.
Me gustaría señalar algo más.
Cuando debamos describir la ruta completa de un objeto en AD,
a menudo, vamos a usar notación ADAC.
Puedes verlo en varios otros parámetros en este historial de PowerShell.
Muy bien. A continuación, veamos los grupos de Active Directory.
¿Recuerdas lo que hablamos antes sobre los grupos que se usan para otorgar permisos a
los roles?
Vamos a crear un grupo basado en el rol de Kristi,
en esta organización ficticia.
Kristi es investigadora en el Centro de administración de Active Directory.
Hago clic derecho en el contenedor Users (Usuarios)
y selecciono New (Nuevo), Group (Grupo).
A este grupo lo vamos a llamar "Researchers".
Entonces, ingresemos eso en el campo del nombre del grupo.
Mira el campo Group (SamAccountName) Name (Nombre [SamAccountName] de
grupo) de nuevo.
Se completa automáticamente con el nombre a medida que lo escribimos.
Puedes crear un grupo con un nombre completo diferente y el mismo nombre de cuenta,
pero por lo general no es útil hacer eso.
Lo que sí es una buena idea
es brindar una descripción del grupo.
De esa manera, todos entienden para qué sirve el grupo.
También podemos agregar un conjunto inicial de usuarios desde la pantalla,
pero vamos a dejar eso para el siguiente paso.
Por ahora, vamos a hacer clic en OK (Aceptar) y el grupo se creará.
El grupo ahora aparece en ADAC
y la descripción está ahí para recordarnos para qué se lo usa.
¡Excelente! Ahora, veamos el trabajo de ADAC y cómo hacerlo en PowerShell.
Voy a abrir PowerShell y a pegar mi comando.
Ahí está. Puedes ver todas las configuraciones
que completamos en los campos para el cuadro de diálogo Crear grupo en ADAC,
¿pero qué son la categoría de grupo y el alcance del grupo?
Si volvemos a la ventana del nuevo grupo,
verás que hay dos configuraciones obligatorias
que dejamos con sus valores predeterminados:
Group type (Tipo de grupo) y Group scope (Alcance de grupo).
Entonces, ¿qué son?
Son dos categorías de grupo en Active Directory.
La más común y la única con la que trataremos en este módulo
se llama grupo de seguridad.
Los grupos de seguridad pueden contener cuentas de usuario,
cuentas de computadora o bien otros grupos de seguridad.
Los grupos predeterminados, de los que hablamos antes,
como los usuarios de dominio y los administradores de dominio, son grupos de
seguridad.
Se usan para otorgar o denegar el acceso a los recursos de TI.
Supongamos que creas un grupo de Recursos Humanos y luego le das a ese grupo
acceso a una carpeta compartida específicamente para personas en Recursos Humanos.
El otro tipo de grupo se llama grupo de distribución.
Un grupo de distribución solo está diseñado para agrupar
cuentas y contactos para la comunicación por correo electrónico.
No se pueden usar grupos de distribución para asignar permisos a los recursos.
Una razón por la que podrías usar un grupo de distribución y servir a un grupo de
seguridad
es crear una lista de correo electrónico que incluya personas fuera de tu dominio.
¿Y qué hay con el ámbito del grupo?
El ámbito del grupo tiene que ver con la forma en que las definiciones de grupo se
replican entre dominios.
Mantener una gran cantidad de grandes grupos sincronizados
en una red muy grande es un problema complicado.
Por lo tanto, Active Directory nos brinda diferentes tipos de grupos para administrar esa
complejidad.
Más comúnmente, los ámbitos de grupo se usan de esta manera. Domain Local
(Dominio local).
Se usa para asignar permiso a un recurso.
Un ejemplo de esto sería crear un grupo local de dominio
con acceso de lectura, llamado Research share readers
y otro con acceso de escritura, llamado Research share writers.
Global. Se usa para agrupar cuentas en un rol.
Nuestro ejemplo, el grupo Researchers,
es un grupo global.
Podrías tener otros grupos basados en roles como ventas o administración.
Universal. Se usa para agrupar roles globales en un bosque.
Los grupos de dominio local y global no se replican
fuera del dominio en el que están definidos,
pero los grupos universales, sí.
En un bosque multidominio,
es posible que tengas un grupo Research share readers global en cada dominio,
y un grupo Research shared readers universal
que contiene cada grupo global como miembro.
Los grupos universales se replican en todos los dominios de un bosque.
Los detalles del alcance del grupo AD son un poco más complicados,
no tenemos tanto tiempo para verlos.
Por lo tanto, consulta la lectura complementaria si quieres saber más.
Por ahora, nos limitaremos a crear grupos de recursos de dominio local y grupos de
roles globales.
Con los grupos de recursos de dominio local y los grupos de roles globales,
puedes crear pertenencias grupales muy fáciles de entender.
Describen muy claramente qué tipo de acceso
se supone que tiene que tener cada rol para cada recurso.
Puedo agregar máquinas al grupo
Research share readers, y agregar investigadores al grupo Research share writers.
Todo eso es muy fácil de entender.
Ahora, si agregamos a Kristi a nuestro nuevo grupo Researchers,
ella puede escribir en la carpeta compartida de investigación.
No es porque a su cuenta de usuario se le dio acceso directo a los archivos contenidos
allí,
sino porque es una investigadora.
Muy bien. Agreguemos cuentas de usuario a nuestro nuevo grupo Researchers.
Podemos hacerlo desde la cuenta de usuario o desde el grupo.
Vamos a empezar desde la cuenta de usuario de Kristi.
En el Centro de Administración de Active Directory,
haz clic derecho en su cuenta y selecciona Add to Group (Agregar al grupo).
Voy a hacer eso ahora mismo.
Ahora, en el campo Enter the object names to select (Escriba los nombres de objeto que
desea seleccionar), escribe Researches (Investigadores).
Hagamos eso ahora, luego clic en OK (Aceptar).
Eso es todo. ¿Qué hizo ADAC en segundo plano?
ADAC usó un comando de PowerShell que toma un principio de seguridad de Active
Directory,
como una cuenta de usuario o grupo de seguridad, y lo agregó a su pertenencia de
grupo.
Incluí un vínculo a más información sobre los principios de seguridad en la próxima
lectura.
Ahora bien, ¿y si, en cambio, queremos hacer cambios desde el grupo?
Permítanme agregarme al grupo Researcher y veamos cómo funciona.
Voy a hacer clic derecho en el grupo Researchers, luego clic en Properties
(Propiedades).
Muy bien. Si hago clic en Members (Miembros),
puedo ver que Kristi es miembro de este grupo.
Ahora, si hago clic en este botón Add (Agregar), a la derecha,
se abrirá una ventana de diálogo similar a la que viste antes.
Ahora, ingreso mi nombre de cuenta y hago clic en OK (Aceptar).
Entonces, Administrator (Administrador), muy bien.
Así como hicimos cambios desde el grupo en lugar de hacerlos desde el usuario,
lo mismo hizo ADAC en PowerShell.
Esta vez, usamos un comando de PowerShell
para establecer o realizar cambios en un grupo de AD existente.
Agregamos mi cuenta al grupo Researchers.
A decir verdad, no soy un investigador en esta organización,
entonces eliminemos mi cuenta usando ADAC.
Esta vez, por supuesto,
uso el botón Remove (Eliminar) en lugar del botón Add (Agregar) ¡y listo!
Como puedes ver, lo único que cambió
en el comando de PowerShell fue un solo parámetro para eliminar en lugar de agregar
un miembro.
La mayoría de las personas en una organización tienen más de un rol.
En nuestra empresa ficticia,
los investigadores forman parte del departamento de Investigación y desarrollo (I+D).
Algunos recursos de red se compartirán con todo el departamento de I+D,
mientras que ciertos recursos solo estarán disponibles para los investigadores.
Tiene sentido para nosotros crear un grupo principal para el departamento de I+D.
Vamos a crear un grupo de seguridad global para esto.
Lo que vamos a hacer es hacer clic derecho en Users (Usuarios),
clic en New (Nuevo), Group (Grupo) y luego vamos a ponerle a nuestro grupo
el nombre Research and Development (I+D).
En la descripción vamos a poner:
"Todos los miembros del grupo de I+D"
y luego vamos a hacer clic en OK (Aceptar).
Ahora, nuestros investigadores son parte del departamento de I+D,
además de ser investigadores.
En lugar de agregar cada investigador en forma independiente
al grupo de investigación y desarrollo,
podemos agregar el grupo de investigadores (Researchers) como miembro.
Si escribo "Research",
así, y hago clic en OK (Aceptar),
obtengo una lista de todos los usuarios y grupos que comienzan con "research".
Vamos a seleccionar "Research and Development" para agregarlo al grupo Researchers.
¿Qué sucedió en el historial de Windows PowerShell?
Recuerda: tanto las cuentas de usuario como los grupos son principios de seguridad.
Entonces, usamos el mismo comando de PowerShell
para cambiar la pertenencia de grupo aquí como hicimos antes.
Creamos un usuario y lo agregamos a algunos grupos nuevos.
Lo siguiente que debes saber
es cómo ayudar a las personas a las que le brindas soporte con la administración de
contraseñas.
Repasaremos eso y más en la próxima lección.
Una de las principales ventajas
de la autenticación central es que simplifica la administración de contraseñas.
¿Sabías que hasta un 25% de las personas olvidan su contraseña al menos una vez al
día?
Ayudar a los usuarios con los problemas de contraseña es una tarea común para un
especialista en soporte de TI.
Una vez que un usuario cambia su contraseña en Active Directory,
ese cambio se implementa en todas las máquinas a las que se les permite acceder.
Con ciertas excepciones, AD no almacena la contraseña del usuario.
En su lugar, almacena un hash criptográfico unidireccional de la contraseña.
Aprenderás más sobre hashes en el curso de seguridad informática.
Mientras tanto, la idea básica es que las contraseñas se pueden convertir fácilmente en
un hash,
pero los hashes no se pueden convertir fácilmente en contraseñas.
No puedes buscar la contraseña de un usuario, aun cuando quieras hacerlo.
Eso es realmente algo bueno.
Como regla general, siempre debes evitar
conocer la contraseña de la cuenta de otra persona.
Si hay más de una persona que puede autenticar
usando el mismo nombre de usuario y contraseña,
entonces la auditoría se vuelve difícil o incluso imposible.
Auditar tu infraestructura, en este sentido,
significa analizar quiénes realizan acciones específicas en tu infraestructura de TI.
En una auditoría de seguridad o una situación de solución de problemas,
es importante que solo una persona pueda autenticar con su cuenta.
Entonces, con esa idea en mente,
¿cómo puedes ayudar con las contraseñas de la cuenta?
El problema más común es que una persona olvida la contraseña.
Cuando esto sucede, si tienes responsabilidades de administrador de sistemas,
puedes tener autorización para restablecer su contraseña por ellos.
Esto solo debe hacerse cuando estés absolutamente seguro
de que la persona que solicita el restablecimiento de la contraseña tiene permiso para
hacerlo.
Muchas organizaciones tendrán políticas y procedimientos
que requieren que la solicitud se haga en persona
o que la persona, de otro modo, pruebe que es quien dice ser.
Una vez que sepas que el restablecimiento de la contraseña está autorizado,
habrás hecho la parte difícil. El resto es simple.
Entonces, imaginemos que Mateo informa
que no puede acceder a su cuenta porque olvidó su contraseña.
En el Centro de administración de Active Directory, que te mostraré aquí mismo,
vamos a hacer clic derecho sobre su cuenta de usuario.
Primero encontremos su cuenta de usuario.
Y luego haz clic derecho en su cuenta
y clic en Reset password (Restablecer contraseña).
La contraseña que ingresemos aquí será temporal porque vamos a asegurarnos
de que el usuario deba cambiarla en el próximo acceso.
Entonces, voy a crear una contraseña temporal.
Y quiero asegurarme de que la opción User must change password at next login
(El usuario debe cambiar la contraseña en el próximo inicio de sesión) esté
seleccionada. Luego, pulso OK (Aceptar).
Repito, no queremos conocer la contraseña del usuario.
Entonces, no voy a pedirle a Mateo una contraseña temporal.
Tal vez me indique una variación de su contraseña habitual, y no quiero eso.
Algunas organizaciones tendrán políticas sobre cómo generar y distribuir contraseñas
temporales.
Deberás saber si existen.
Repasaremos los detalles de contraseñas seguras y de tener políticas
para su aplicación en el siguiente curso sobre seguridad informática.
En este ejemplo, solo generaré una contraseña aleatoria y la ingresaré aquí.
¿Oh, qué es esto?
Active Directory puede bloquear cuentas de usuario
si alguien ingresa una contraseña incorrecta para esa cuenta demasiadas veces.
Parece que esto es lo que le sucedió a Mateo.
Una vez que una cuenta está bloqueada,
nadie puede autenticarse
hasta que un administrador desbloquee la cuenta.
Las políticas de contraseñas de Active Directory
controlan cuántos intentos se permiten antes de que una cuenta se bloquee.
Veremos las políticas de contraseña aquí en un momento
cuando estudiemos los objetos de directiva de grupo, o GPO.
Volvamos al problema que nos ocupa.
Quiero que Mateo pueda acceder y cambiar su contraseña.
Me aseguraré de que la opción Unlock account
(Desbloquear cuenta) esté marcada, y hago clic en OK (Aceptar).
Si nos fijamos en lo que está sucediendo en PowerShell,
verás algunos comandos familiares junto con uno nuevo para desbloquear la cuenta de
Mateo.
Cuando cambias tu contraseña,
tienes que indicar tanto la contraseña actual como la nueva.
Este es el tipo de cosas que sucede cuando un usuario cambia su propia contraseña.
Cuando restableces una contraseña como administrador,
sólo proporcionas la nueva contraseña
y tu autorización administrativa invalida la contraseña existente.
Si esta persona usó el sistema de encriptación de archivos NTFS o la función EFS para
encriptar archivos,
puede perder el acceso a esos archivos si se restablece su contraseña.
Para aprender más sobre esto y cómo prevenir la pérdida de datos,
puedes consultar la siguiente lectura complementaria.
Si tienes responsabilidades de administrador de sistemas,

podrías tener que unir máquinas al dominio de Active Directory.
¿Recuerdas, de nuestra introducción a AD, que las computadoras
pueden estar unidas o vinculadas a Active Directory?
Unir una computadora a Active Directory significa dos cosas:
que AD conoce la computadora y aprovisionó una cuenta de computadora para ella,
y que esa computadora conoce el dominio de Active Directory y se autentica con él.
Aquí accedí a una computadora con Windows que no está unida al dominio.
Esto se denomina una computadora de grupo de trabajo.
El nombre proviene de los grupos de trabajo de Windows
que son un conjunto de computadoras independientes que trabajan juntas.
Los grupos de trabajo de Windows no se administran centralmente,
por lo que se vuelven cada vez más difíciles de gestionar a medida que crece el tamaño
de la red.
Queremos administración y autenticación centralizadas en nuestra red.
Entonces, vamos a unir esta computadora al dominio.
Primero veamos cómo se hace en la GUI, luego vamos a PowerShell.
Voy a hacer clic en Computer (Equipo), luego en System Properties (Propiedades del
sistema).
Como puedes ver, esta computadora está en un grupo de trabajo.
Entonces, lo que debemos hacer es unir esta máquina al dominio.
Para ello, voy a hacer clic en Change settings (Cambiar configuración), luego clic en
Change (Cambiar).
En la ventana Computer Name/Domain Changes (Cambios en el dominio o el nombre
del equipo),
puedes ver que la computadora puede ser miembro del dominio o del grupo de trabajo,
pero no miembro de ambos al mismo tiempo.
Voy a seleccionar Domain (Dominio) aquí
y voy a ingresar nuestro nombre de dominio, que es example.com.
Ahora, cuando haga clic en OK (Aceptar),
esta computadora va a ir a la red
a buscar el controlador de dominio (DC) para mi dominio de AD.
Una vez que encuentre un DC, me pedirá un nombre de usuario
y una contraseña para autorizar que la computadora se una al dominio.
Entonces ingreso mi dominio de administrador, mi nombre de usuario y mi contraseña.
Voy a hacerlo ahora mismo. ¡Voila, ahí está!
Mi equipo ahora está unido a mi dominio.
El controlador de dominio crea una cuenta de computadora en el dominio para esta
computadora,
y esta computadora se reconfigura para usar los servicios de autenticación de AD.
Esto requerirá un reinicio.
Vamos a pasar
al Centro de administración de Active Directory para ver las cosas desde esa
perspectiva.
Muy bien, estoy en mi ventana de Active Directory y voy a hacer clic en Computers
(Equipos).
Muy bien, ahí está.
Puedo ver mi computadora en el contenedor Computers (Equipos).
Ahora, mi nueva computadora utilizará este dominio de Active Directory
para autenticación y puedo usar la política de grupo para administrar esta máquina.
También podemos unir computadoras al dominio desde PowerShell.
Tengo esta computadora aquí que también necesita estar unida al dominio.
Así que vamos a usar la CLI esta vez.
Voy a ingresar Add-Computer -DomainName
example.com, y Server, que se conecte a dc1.
Así de sencillo.
Ahora, me piden mis credenciales de nuevo,
voy a ingresarlas.
Y eso es todo. De manera predeterminada,
este comando no reiniciará automáticamente el equipo para completar la unión al
dominio.
Si agrego el parámetro de reinicio,
el comando también se encargará de eso.
Una última cosa: a lo largo de los años,
han habido varias versiones de Active Directory.
Nos referimos a estas versiones como niveles funcionales,
y el dominio de Active Directory
tiene un nivel funcional que describe las características que admite.
Si estás interesado en ver algunos de estos cambios en Active Directory a lo largo del
tiempo,
consulta la siguiente lectura sobre niveles funcionales de AD.
Si administras Active Directory,
tendrás que saber cuáles son sus niveles funcionales de dominio y bosque,
y tal vez algún día debas actualizar
tu bosque, tus dominios o las nuevas características de Active Directory.
Vamos a ver las propiedades en este dominio.
Este dominio está en la versión 2016.
También podemos encontrar esto en PowerShell, así.
Escribe Get-AdForest
y luego Get-AdDomain.
¿Ves las propiedades de modo de bosque y modo de dominio?
Ahora que sabes cuál es el nivel funcional de tu dominio,
puedes averiguar qué funciones de AD admite.
Consulta la lectura complementaria para ver una gran cantidad de documentación
adicional
y materiales de capacitación si deseas profundizar en la administración de AD.
Muy bien, ahora que unimos todas estas computadoras a nuestro dominio,
¿qué vamos a hacer con ellas?
En esta lección, vamos a hablar de cómo usar la directiva de grupo de Active Directory
para configurar computadoras y el propio dominio.
Como mencionamos antes,
los servicios de directorio son bases de datos que se usan para almacenar información
sobre objetos.
Los objetos representan cosas en tu red a las que deseas
poder hacer referencia o administrar.
Uno de estos tipos de objetos en AD es el objeto de directiva de grupo, o GPO.
¿Qué es un GPO?
Es un conjunto de directivas y preferencias
que se pueden aplicar a un grupo de objetos en el directorio.
Los GPO contienen configuraciones para computadoras y cuentas de usuario.
Puedes querer diferentes preferencias de software
para el equipo de marketing, el equipo legal y el equipo de ingeniería.
Usar directivas de grupo ayudaría a estandarizar las preferencias de usuario
para cada uno de estos equipos y permite que sean más manejables para que las
configures.
Con las directivas de grupo, puedes crear secuencias de comandos de ingreso y cierre de
sesión
y aplicarlas a usuarios y computadoras.
Puedes configurar el registro de eventos indicándole a la computadora qué eventos
deben registrarse
y dónde se deben enviar los registros.
Puedes decir cuántas veces alguien puede ingresar una contraseña incorrecta
antes de que su cuenta se bloquee.
Puedes instalar un software que quieres que esté disponible
y bloquear el software que no quieres que se ejecute.
Ya escuchaste al jefe, y este es solo el comienzo.
Puedes crear tantos objetos de directiva de grupo como quieras.
Pero no harán nada hasta que estén vinculados a sitios de dominio o unidades
organizativas (OU).
Cuando vinculas un GPO, todas las computadoras o usuarios en ese dominio, ese sitio o
esa OU
tendrán esa directiva aplicada.
Puedes usar otras herramientas como filtrado de seguridad
y filtros WMI para que las directivas de grupo se apliquen de manera más selectiva.
Veamos esto un poco.
Un objeto de directiva de grupo puede contener una configuración de equipo, una
configuración de usuario
o ambas.
Se aplican en diferentes momentos.
La configuración de equipo se aplica cuando la computadora accede al dominio
de Active Directory.
Esto sucederá cada vez que la computadora se inicie en Windows,
a menos que esté desconectada de la red en el momento del inicio.
La configuración de usuario se aplica cuando una cuenta de usuario se registra en la
computadora.
En cada caso, una vez que un GPO está vigente, se lo comprueba y aplica
cada pocos minutos.
¿Recuerdas cuando dije que los GPO contienen directivas y preferencias?
¿Cuál es la diferencia?
Las directivas son configuraciones que se vuelven a aplicar cada pocos minutos
y no se supone que sean modificadas, ni siquiera por los administradores locales.
De manera predeterminada, las directivas en el GPO se vuelven a aplicar en la máquina
cada 90 minutos.
Esto asegura que las computadoras en la red no se desfasen de la configuración
que los administradores de sistemas definen para ellas.
Las preferencias de directiva de grupo, en cambio, son configuraciones que, en muchos
casos,
se supone que son una plantilla para la configuración.
Los administradores del sistema elegirán la configuración que deba ser la
predeterminada
en las computadoras que aplican el GPO.
Pero alguien que usa la computadora puede cambiar la configuración respecto de lo que
se define
en la directiva, y ese cambio no será sobrescrito.
¿Cómo hacen las computadoras unidas a un dominio para obtener sus GPO?
Cuando una computadora o un usuario unido a un dominio
inicia sesión en el dominio por comunicación con un controlador de dominio, ese DC
le brinda a la computadora una lista de directivas de grupo que debe aplicar.
La computadora luego descarga esas directivas desde una carpeta especial llamada
Sysvol,
que se exporta como recurso compartido de red desde cada controlador de dominio.
Esta carpeta se replica entre todos los controladores de dominio
y también puede contener cosas como secuencias de comandos de inicio y cierre de
sesión.
Una vez que la computadora descargó sus GPO, los aplica.
No entraremos demasiado en detalle sobre la carpeta Sysvol,
pero incluí vínculos para obtener más información en la próxima lectura.
Por último, muchas directivas y preferencias
en las GPO se representan como valores en el registro de Windows.
El registro de Windows es una base de datos jerárquica de configuraciones
que Windows y muchas aplicaciones de Windows utilizan para almacenar datos de
configuración.
El GPO se aplica mediante cambios en el registro.
El sistema operativo Windows y las aplicaciones de Windows leen la configuración del
registro
para determinar cuál debe ser su comportamiento.
Puedes leer más sobre el registro de Windows en la lectura complementaria.
La administración de directivas de grupo es otro tema enorme.
Solo veremos lo básico en este curso.
Ahora que entiendes un poco sobre qué son los objetos de directiva de grupo,
vayamos más profundo y veamos cómo se usan para administrar Active Directory y las
computadoras unidas a AD.
La herramienta más importante que usaremos para crear y ver objetos de directivas de
grupo
se llama Consola de administración de directivas de grupo, o GPMC.
Puedes encontrarla en el menú de herramientas del Administrador del servidor
o ejecutando gpmc.msc desde la línea de comandos.
Se puede ver que el diseño de GPMC
es similar al de otras herramientas de administración que ya usamos en Active
Directory.
A la izquierda, vemos la estructura de Active Directory.
GPMC agrega varios contenedores a su GUI.
Estos no son contenedores de AD que todos usamos.
Hay interfaces de administración que solo aparecen en GPMC.
El contenedor de objetos de directiva de grupo
contiene todos los GPO definidos en el dominio.
El contenedor de filtros WMI se usa para definir potentes reglas de selección de destino
para tus GPO.
Estos filtros utilizan propiedades del Instrumental de administración de Windows
(WMI)
o de objetos WMI para decidir si un GPO debe aplicarse o no a una computadora
específica.
Este es un tema más avanzado,
pero si quieres ir un poco más profundo,
puedes consultar la lectura complementaria en el vínculo.
El resultado de la directiva de grupo es una herramienta de solución de problemas
que se usa para averiguar qué directivas de grupo se aplican a la computadora y al
usuario en tu red.
Usarías esta herramienta para verificar
las directivas de grupo que ya se aplican a una computadora o usuario.
Por otra parte, el modelado de directivas de grupo se usa para predecir
qué directivas de grupo se aplicarán a una computadora o usuario en tu red.
Utilizas esta herramienta si deseas probar un cambio en tus GPO, tu uso
o tus filtros WMI antes de hacer cambios reales en tu Active Directory.
Vamos a ver cada uno de ellos en detalle a medida que avanza la lección.
Tal vez hayas notado, además, que faltan un par de cosas.
Recuerda que los usuarios y los contenedores informáticos no son unidades
organizativas.
Los objetos de directiva de grupo solo se pueden vincular a dominios, sitios y OU.
Si la computadora y los objetos de usuario están en los contenedores predeterminados,
solo se les pueden destinar GPO vinculados a dominios y sitios.
Se recomienda que organices tus cuentas de usuario y de computadora en unidades
organizativas
para que les puedas destinar directivas grupales más específicas.
Ahora, comencemos con el nodo de objetos de directivas de grupo en GPMC.
Veamos rápidamente un GPO existente.
En un nuevo dominio de Active Directory,
serán dos GPO los que se crean automáticamente:
la directiva de controlador de dominio predeterminada y la directiva de dominio
predeterminada.
La directiva de dominio predeterminada es,
como puedes suponer, un GPO predeterminado que está vinculado al dominio.
Se aplica a todas las computadoras y usuarios en el dominio.
La directiva de control de dominio predeterminada está vinculada a la OU del control de
dominio
y se aplica... adivinaste, a los controladores de dominio.
Lo que estamos viendo aquí es un informe de configuración para la directiva de dominio
predeterminada.
Este GPO está diseñado para hacer cumplir
decisiones de directivas que queremos aplicar en todo el dominio.
Por ejemplo, la directiva de longitud mínima de contraseña
impide que los usuarios establezcan contraseñas demasiado cortas.
El registro de la cuenta de auditoría en la directiva de eventos dice que la computadora
debe crear
un evento de Windows para cada intento de acceso exitoso y fallido.
Hay miles de configuraciones que se pueden controlar con los GPO,
por lo que puedes tener que investigar un poco para encontrar la configuración adecuada
que debes modificar
en un objeto de directiva de grupo para aplicar un cambio que desees.
Las directivas de grupo existen desde hace varias versiones de Windows,
y a veces las cosas no están exactamente donde uno esperaría encontrarlas.
No desesperes.
Hay mucha documentación en línea
sobre directivas de grupo y dónde encontrar configuraciones específicas.
Consejo profesional: algo que podría resultarte muy útil
es la referencia a las configuraciones de directivas de grupo
que Microsoft publica con cada nueva versión de Windows.
Esta referencia es una hoja de cálculo que detalla
las directivas y preferencias de GPO que están disponibles, y dónde encontrarlas.
A continuación, intentemos modificar una de las configuraciones en nuestra directiva de
dominio predeterminada.
Antes de empezar,
voy a hacer una copia de seguridad del GPO.
Voy a hacer clic derecho en la directiva y elegir Back Up (Hacer copia de seguridad).
Creé una copia de seguridad de GPO para mi equipo de escritorio,
pero en una variante real,
nos gustaría crear una red para permitir
que solo los administradores de dominio accedan a este menú.
También puedo agregar una descripción aquí para recordar por qué hice la copia de
seguridad.
Luego, permito que el asistente de copia de seguridad se ejecute y listo.
Ahora sé que si me equivoco,
puedo restaurar la directiva desde la copia de seguridad.
Volveré a hacer clic derecho en la directiva, pero esta vez voy a elegir Edit (Editar).
Esto abrirá la directiva de dominio predeterminada en el Editor de administración de
políticas de grupo.
Puedes ver en el panel de la izquierda que el GPO se divide en dos secciones:
Computer configuration (Configuración del equipo) y User configuration
(Configuración del usuario).
Cada una de ellas está dividida en directivas y preferencias.
Dentro de este árbol de directivas y preferencias
está cada configuración de GPO individual que GPMC conoce,
haya sido configurada o no.
Todos los GPO tienen acceso a la misma configuración.
No hay GPO especiales.
Aun así, se recomienda hacer diferentes GPO
que aborden una categoría específica de necesidad.
Por ejemplo, puedes tener un GPO que maneje todas las configuraciones
para un grupo específico de usuarios o uno que maneja directivas de seguridad para todo
el dominio.
Con GPO específicos para soluciones específicas,
puedes vincularlos solo a la computadora o los usuarios que necesitan esa directiva.
Como estás trabajando con todo el universo de directivas de grupo en cada GPO,
puede ser muy difícil reconocer desde el editor
qué es lo que está verdaderamente configurado en este GPO.
Consulta el informe de configuración en el GPMC para obtener esa información.
Se ve diferente, pero tal vez notaste que el informe de configuración
se presenta de la misma manera jerárquica que el editor de GPO.
Puedo ver que el umbral de bloqueo de cuenta está configurado
en cero ocasiones de acceso no válido.
Veamos esa directiva en el editor de GPO.
Voy a usar un informe de configuración como hoja de ruta para encontrar esa directiva
en el editor.
Déjame mostrarte cómo hacerlo.
Voy a hacer clic derecho
en Default Domain Policy (Directiva predeterminada de dominio), luego clic en Edit
(Editar).
Y voy a tener esto a un lado, así puedo mirar nuestra hoja de ruta.
Como puedes ver, Computer configurations (Configuraciones de equipo),
hago clic en la configuración del equipo, luego hago clic en Policies (Directivas),
clic en Windows Settings (Configuración de Windows), voy a Security settings
(Configuración de seguridad),
y luego Account policies (Directivas de cuenta), porque nos interesa la directiva de
bloqueo.
Puedes ver que hay tres directivas en la directiva de bloqueo de cuenta.
La columna de directivas nos indica el nombre de la directiva
y el valor de la directiva nos indica la configuración actual de la directiva.
Si una directiva no está definida,
entonces este GPO no realizará ningún cambio a la configuración en las computadoras
en las que se aplica.
El nombre de la directiva es bastante fácil de entender,
pero no estoy seguro de entender todas las consecuencias de modificar esos valores.
Si hago doble clic en cualquiera de estas directivas,
se abrirá el cuadro de diálogo de propiedades para ella.
¿Oh, qué es esto?
Hay una pestaña explicativa aquí.
Increíble. La pestaña explicativa nos indicará lo que esta directiva configura.
También puede decirnos qué esperar si la directiva no está definida
y cuál es el valor predeterminado de la directiva si está habilitada pero no está
personalizada.
Leyendo la explicación de la directiva de umbral de bloqueo de cuenta,
veo que al ponerla en cero,
las cuentas nunca se deshabilitarán por intentos fallidos de acceso.
Eso no es lo que quiero en mi dominio,
así que voy a cambiar este valor. Oh, interesante.
Parece que esta directiva tiene algunas dependencias en otras directivas.
De acuerdo. Voy a aceptar estos valores predeterminados, y ahora,
veré que estas tres directivas
en la política de bloqueo de cuenta se hayan configurado.
¿Cómo guardamos estos cambios?
Pulsa Apply (Aplicar) o bien OK (Aceptar) en un cuadro de diálogo del editor de
administración de directivas de grupo,
y los cambios realizados en el GPO se guardan inmediatamente.
Casi al mismo tiempo, las computadoras pueden recibir la actualización y comenzar a
aplicarla.
Eso podría no ser lo que querías.
Cuando debas realizar cambios en una directiva de grupo de producción,
deberás probarlos primero.
Por ejemplo, estaba jugueteando
con la directiva de dominio predeterminada que está vinculada a todo el dominio.
Inmediatamente, hice que
todas las cuentas de usuario se bloqueen si ingresan su contraseña incorrectamente una
vez.
Uy, ¿dónde está el botón de deshacer? ¿Adivina qué?
No existe. No te preocupes.
Es por esto que hicimos una copia de seguridad antes de comenzar a trabajar en esta
directiva.
Vamos a restaurar la directiva desde la copia de seguridad y deshacer esta catástrofe
latente.
De regreso en la consola de administración de directivas de grupo,
voy a hacer clic derecho en Default Domain Policy (Directiva predeterminada de
dominio),
en Group Policy Objects (Objetos de directiva de grupo), y luego selecciono Restore
from Backup... (Restaurar desde copia de seguridad...).
Este asistente recuerda el último lugar donde hice una copia de seguridad de un GPO,
y parece que es desde donde quiero restaurar. Muy intuitivo.
Ahora, lista cada una de las copias de seguridad de GPO que hay en la carpeta que
elegimos.
El nombre de la directiva y el momento en que se realizó su copia de seguridad
aparecen aquí,
junto con las descripciones que proporcionamos cuando hicimos la copia de seguridad.
Si hago clic en View Settings... (Ver configuración...),
abrirá mi navegador web con el informe de configuración de la copia de seguridad.
Genial, ¿verdad?
De acuerdo. Necesito restaurar esta directiva
para que a mis usuarios no se les bloqueen sus cuentas.
El cuadro de diálogo Summary (Resumen) me muestra lo que voy a hacer, vayamos allí.
Todo esto se ve bien.
Voy a hacer clic en Finalizar y me aseguraré de que mi directiva se haya restaurado.
Perfecto. Se restauró mi copia de seguridad
y se deshizo mi error.
Como viste en este ejemplo,
antes de modificar un GPO,
siempre deberás crear una copia de seguridad.
¿Pero de qué otra manera podría haber evitado este error?
Correcto.
Podría haber sometido a prueba mis cambios.
Hay muchas formas de hacer esto.
Resumiré algunos pasos simples aquí
y ofreceré documentación adicional en la lectura complementaria.
Algunas organizaciones tendrán recomendaciones establecidas
para probar modificaciones a los GPO en su entorno.
Si ese es el caso, entonces debes seguir esas normas.
Tal vez también debas seguir un proceso de gestión de cambios
para notificar a otros miembros de la organización sobre las modificaciones que estabas
por realizar.
Lo que voy a mostrarte es solo una forma de agregar seguridad a las modificaciones en
los GPO.
Supongamos que tengo una directiva de GPO llamada "example".
Buen nombre, ¿verdad?
Quiero hacer cambios a la directiva example,
pero primero quiero probar los cambios para asegurarme de no inutilizar las máquinas
de producción.
Primero, configuro una OU de prueba que contiene máquinas o cuentas de usuario de
prueba.
Si la directiva de ejemplo suele estar vinculada en example.com, Finance (Finanzas),
Computers (Equipos), entonces puedo crear example.com,
Finance, Computers, Test (Prueba) y poner máquinas de prueba en la OU de prueba.
Esto permite que las máquinas de prueba
contengan todos los GPO de producción existentes, pero me ofrece un lugar
para vincular un GPO de prueba que sobrescribirá al de producción.
Déjame ir y mostrarte cómo lo hago.
Así que hago clic en example,
clic en New (Nuevo), clic en Organizational unit (Unidad organizativa),
escribo Finance (Finanzas) y hago clic en OK (Aceptar).
Luego creo otra unidad organizativa desde mis computadoras,
y luego, debajo de eso,
voy a crear una OU de prueba para mi GPO,
hago clic en OK (Aceptar). A continuación,
creo una copia del GPO que deseo modificar y la nombro algo así como Test Example
Policy.
Déjame mostrarte cómo lo hago.
Esta es una directiva que tengo.
Hago clic en Copy (Copiar), luego voy a mis objetos de directiva de grupo, hago clic en
Paste (Pegar).
Aquí dice Use the default permissions for new GPOs (Usar permisos predeterminados
para nuevos GPO)
porque queremos hacer una copia, por supuesto,
y pulso OK (Aceptar). Como puedes ver,
se llama Copy of master (Copia de maestro).
Voy a cambiarle el nombre
a Test Example Policy (Ejemplo de prueba de directiva), tecla Intro.
Ahora puedo hacer los cambios que quiero probar
en la directiva de ejemplo de prueba y vincularla a mi OU de prueba.
Déjame mostrarte cómo lo vinculo.
Voy a entrar en mi OU llamada Finance (Finanzas),
Computers (Equipos), luego Test (Prueba), hago clic derecho en Test.
Ahora voy a Link an Existing GPO... (Vincular un GPO existente...),
que va a ser mi Test Example Policy aquí,
y luego clic en OK (Aceptar). Después de que confirme que mis cambios funcionan de
la manera que esperaba,
puedo hacer una copia de seguridad de la directiva de prueba y luego importar
la copia de seguridad de Test Example Policy a la directiva de ejemplo de producción.
Esto implica trabajo adicional, ya que soy un administrador de sistemas,
pero también me brinda el beneficio de mayor seguridad y tranquilidad.
Al probar mis cambios en una copia del GPO en las máquinas de prueba,
es más difícil inutilizar accidentalmente las máquinas de producción.
Tu organización podría estar usando la Administración avanzada de directivas de grupo,
o AGPM,
que es un conjunto de herramientas complementarias de Microsoft que te brindan
ciertas habilidades de control de aprovisionamiento adicionales en GPMC.
Si usas AGPM en tu organización,
debes seguir las recomendaciones para el control de versiones de GPO mediante
AGPM.
Incluí un vínculo a esas recomendaciones en la próxima lectura.
Editamos el GPO y vimos algunas formas de hacer que la edición de GPO sea segura.
Ahora, necesitamos comprender un poco más
todas las políticas que se aplican a una máquina o una cuenta de usuario específica.
A continuación, herencia y precedencia de GPO. Te veré allá.
Si sigues la práctica de crear
GPO específicos para abordar categorías específicas de necesidades,
puedes terminar con una gran cantidad de directivas vinculadas
en muchos niveles de tu jerarquía de Active Directory.
Los objetos de directiva de grupo
que controlan las configuraciones de seguridad son un lugar muy común en el que esto
puede suceder.
Los administradores de sistemas son responsables
de proteger la seguridad de la infraestructura de TI.
Por lo tanto, se recomienda crear un GPO muy restrictivo
que use directivas de seguridad conservadoras muy seguras y vincularlo con todo el
dominio.
Esto te da una directiva predeterminada segura, pero algunos usuarios o computadoras
tal vez no puedan hacer lo que deben con esas directivas muy conservadoras.
El departamento de finanzas podría necesitar usar
las macros de Excel que están deshabilitadas en tu directiva de seguridad
predeterminada, por ejemplo.
Entonces, podemos crear GPO que relajen algunas de las configuraciones o directivas
de seguridad
en las unidades organizativas que contienen a esos equipos o usuarios.
Otro ejemplo podría ser que tengamos un GPO
que estandariza el fondo de pantalla del escritorio de todas las computadoras.
Pero tenemos computadoras
que son kioscos de acceso público que necesitan tener un fondo de pantalla diferente.
En cualquiera de estos casos,
puedes tener computadoras o cuentas de usuario con múltiples GPO
asignados a ellos que se contradicen entre sí por diseño.
Entonces, ¿qué ocurre cuando hay
dos o más objetos de directiva de grupo contradictorios que se aplican al mismo equipo?
Cuando las computadoras procesan los objetos de directiva de grupo que se les aplican,
todas estas directivas se aplicarán
en un orden específico basado en un conjunto de reglas de precedencia.
Los GPO se aplican en función de los contenedores que contienen la computadora y la
cuenta de usuario.
Los GPO que están vinculados al contenedor menos específico o más grande se aplican
primero.
Los GPO que están vinculados al contenedor más específico o más pequeño se aplican
en último lugar.
Primero se aplican todos los GPO vinculados en el sitio de AD, luego cualquier vínculo
en el dominio
y luego cualquier unidad organizativa, de las primarias a las secundarias, en este orden.
Si más de una directiva intenta establecer la misma directiva o preferencias,
entonces prevalece la directiva más específica.
Para que entiendas a lo que me refiero,
veamos esta estructura de AD.
Como puedes ver en mi estructura,
tengo muchas OU.
Tengo mi OU de TI,
mi OU de ventas,
y también mi OU de investigación.
Y también tengo mis sitios: en Australia,
India y América del Norte.
Si tienes una computadora en el sitio de India y la OU de la computadora de ventas de
example.com,
entonces Active Directory aplicaría
objetos de directiva de grupo que están vinculados al sitio de India,
al dominio example.com, a la unidad organizativa de ventas,
y a la OU de computadoras, en ese orden.
Aunque eso no es todo. En realidad, puedes vincular varios GPO al mismo contenedor.
¿Cómo decide AD en qué orden aplicar los GPO
si hay más de uno en un contenedor?
Cada contenedor tiene un orden de vínculos para los GPO vinculados a él.
Vamos a ver nuestra OU Sales (Ventas).
La OU de ventas en nuestro dominio de ejemplo tiene un GPO
para un mapeo de unidad de red y un GPO para configurar impresoras de red.
El orden de vínculos de cada política determina qué GPO tiene precedencia.
El número más alto es el GPO de menor clasificación,
por lo que su configuración se aplica primero.
Network printers - Sales (Impresoras de red/ventas) se aplica primero y Network drives
- Sales
(Unidades de red/Ventas) se aplica en último lugar.
En todo caso, la directiva de unidad de red contradice
a la directiva de impresora de red y la política de unidades se impone.
Vamos a resumir esto hasta aquí.
El orden de vínculo con el número más alto en el contenedor menos específico se aplica
primero.
Y el orden de enlace con el número más bajo
en el contenedor más específico es el último GPO que se aplica.
El último GPO que modifique cualquier configuración específica es el que prevalece.
Y en la consola de administración de directivas de grupo,
podemos ver las reglas de precedencia en acción.
Voy a ir a la OU Computers (Equipos) en Administración de directivas de grupo.
Puedo ver que hay una directiva vinculada aquí llamada Computer Security Policy
(Directiva de seguridad del equipo).
Quiero ampliar esto.
Al pasar de la pestaña Group Policy Objects (Objetos de directiva de grupo) a Group
Policy Inheritance (Herencia de directivas de grupo),
así, puedo ver que a los objetos
en esta OU se les aplicarán muy pocas directivas en realidad.
La columna Precedence (Precedencia) nos indica qué directiva se impondrá si hay
configuraciones en conflicto,
y la columna Location (Ubicación) nos indica dónde se vinculó la directiva.
Tal vez notaste que no hay una directiva de vínculo de sitio aquí.
Esto se debe a que puedes tener computadoras de muchos sitios de AD diferentes en la
misma OU.
Por lo tanto, los enlaces GPO basados en sitios no están representados en este resumen.
Cuando agregas todas las políticas de grupo juntas
para una máquina específica y les aplicas reglas de precedencia,
llamamos a eso el conjunto resultante de directivas, o RSoP, para esa máquina.
Cuando estás solucionando problemas de directivas de grupo,
a menudo se compara un informe RSoP
con lo que esperas que se aplique a esa computadora.
Hay muchas maneras de obtener un informe RSoP.
Usaremos la consola de administración de directivas de grupo por ahora
y veremos el otro método cuando empecemos a solucionar problemas.
Verifiquemos qué objetos de directiva de grupo se aplicarán cuando uno de nuestros
empleados de ventas
acceda a su computadora, o hagamos clic derecho
en el nodo de resultados de la directiva de grupo en GPMC y seleccionemos el Asistente
de resultados de la directiva de grupo.
Voy a hacer eso. Este asistente
me guiará a través de la generación
de un informe del conjunto resultante de directivas para la computadora y el usuario que
yo elija.
La computadora que estoy usando para ejecutar este informe
establecerá una conexión remota a esa computadora y le pedirá que ejecute el informe.
El informe podría verse, entonces, en mi GPMC local.
Me gustaría ver ese RSoP cuando Emmett está conectado a su computadora, que es
EMMETPC01.
Voy a hacer eso.
Voy a tocar "Next" (Siguiente).
Quiero buscar su computadora.
Selecciono Another computer (Otro equipo),
hago clic en Browse (Examinar), escribo EMMETPC01 y hago clic en OK (Aceptar).
El Asistente de resultados de directiva de grupo es muy simple.
Primero, ingreso EMMETPC01 como la computadora en la que quiero ejecutar el
informe.
De forma predeterminada, el asistente solo ejecutará un RSoP para la configuración de
la computadora.
Como también quiero ver la configuración de usuario para Emmett,
seleccionaré Display policy settings for: (Mostrar la configuración de directiva del:)
para él, lo que en realidad siempre está seleccionado de forma predeterminada.
Lo que vamos a hacer es clic en Next (Siguiente)
y nos va a llevar a Summary of Selections (Resumen de las selecciones).
Luego, hacemos clic en Next (Siguiente) y, para generar el informe, clic en Finish
(Finalizar).
Voy a hacer clic en Close (Cerrar).
Solo puedes seleccionar usuarios de esta lista
que hayan accedido a esta computadora en el pasado.
Eso es todo. Reviso mi selección en el cuadro de diálogo de resumen y luego finalizo el
asistente.
Me queda un nuevo elemento en el nodo resultante de la directiva de grupo en GPMC
y contiene un informe del Conjunto resultante de directivas que acabo de solicitar.
Genial. Este informe RSoP contiene
todo lo que necesitamos para comprender qué políticas se aplican a una computadora o
usuario.
Incluye muchísimos detalles sobre dónde se encuentran la computadora y el usuario en
AD,
a qué grupos de seguridad pertenecen y más.
Voy a dejar eso de lado por el momento y me centraré
en las secciones de configuración del informe. Para ello, me desplazo hacia abajo.
Esto se parece mucho a la información que se ve en la pestaña de configuración de un
GPO,
pero en lugar de mostrarte solo las configuraciones modificadas por un único GPO,
puedes ver el efecto combinado de la aplicación de todos los GPO.
La columna Winning GPO (GPO prevalente) te indica
qué GPO últimamente tuvo prioridad para cada directiva y preferencia.
Increíble, ¿verdad?
Recuerda, le estoy haciendo una solicitud remota
a mi consola de administración de directivas de grupo para ejecutar este informe en
EMMETPC01.
Hay muchas razones por las que esto podría no funcionar.
EMMETPC01 puede estar apagada,
podría estar desconectada de la red
o tener firewalls que me impidan ejecutar el informe de manera remota.
Si no soy un administrador local en el equipo,
no podré ejecutar el informe.
En cualquiera de estos casos,
si necesito ese informe RSoP para solucionar problemas,
tal vez tenga que ejecutar comandos localmente en la PC01 de Emmett.
Veremos técnicas de solución de problemas adicionales en una lección futura.
Como administrador de sistemas,

o como especialista en soporte de TI,
tal vez se te solicite resolver problemas relacionados con Active Directory.
Revisemos algunas de las tareas de resolución de problemas más comunes que puedes
encontrar.
Esta lección te presentará herramientas que te ayudarán a resolver estas situaciones.
Ten en cuenta que estos son solo ejemplos.
Como estamos trabajando con sistemas complejos,
hay muchísimas formas en que las cosas pueden no funcionar.
Tu mejor herramienta es aprender sobre estos sistemas y entender cómo funcionan.
La solución de problemas y la investigación son tus amigas si lo haces con seriedad.
Uno de los problemas más comunes que puedes encontrar es cuando un usuario
no puede acceder a su computadora ni autenticarse en el dominio de Active Directory.
Hay muchas razones por las que esto puede suceder.
Tal vez escribieron la contraseña con la tecla Bloq Mayús activada.
Tal vez su acceso a la computadora quedó bloqueado
o modificaron accidentalmente una configuración del sistema,
o podría ser un error de software.
Es importante pensar en los pasos para solucionar problemas
y recuerda hacer preguntas sobre lo que sucedió.
Asegúrate de ver las condiciones exactas
en las que se produce el error y cualquier mensaje de error que acompañe a la falla.
Esto debería ser suficiente información para empezar a transitar el camino correcto para
solucionar problemas.
Hablemos un momento sobre los tipos más comunes de fallas
que pueden dar lugar a un problema de autenticación de cuenta de usuario.
Como vimos en la lección anterior,
si un usuario ingresa una contraseña incorrecta varias veces seguidas,
su cuenta puede bloquearse.
La gente a veces olvida sus contraseñas
y necesita que un administrador de sistemas ordene las cosas.
Asegúrate de volver a ver nuestra lección anterior sobre administración de usuarios y
grupos
en Active Directory si necesitas un repaso sobre restablecimiento de contraseñas de
usuarios.
Si una computadora de dominio no puede localizar
un controlador de dominio que puede usar para la autenticación,
entonces nada que dependa de la autenticación de Active Directory funcionará.
Si recuerdas, del módulo de soporte al cliente en el primer curso,
cada vez que soluciones un problema,
comienza primero con la solución más simple.
Podría ser un problema de conectividad de red
y nada específico de Active Directory en absoluto.
Si la computadora no está conectada a una red
que pueda enrutar las comunicaciones al controlador de dominio,
entonces esto debe repararse.
También aprendiste sobre técnicas de solución de problemas de red en un módulo
anterior,
así que no repetiremos ninguna de ellas aquí.
Cualquier problema de red que impida que la computadora
se comunique con el controlador de dominio o sus servidores DNS configurados,
los que se usan para encontrar el controlador de dominio,
podría ser un inconveniente.
Ahora, ¿por qué es tan importante el DNS?
Para que la computadora se ponga en contacto con un controlador de dominio,
primero necesita encontrar uno.
Esto se hace mediante los registros de DNS.
La computadora de dominio hará una solicitud de DNS
para los registros SRV que coinciden con el dominio al que está vinculada.
Si una computadora no puede comunicarse con sus servidores DNS,
o si esos servidores DNS no tienen los registros SRV que la computadora está
buscando,
entonces no podrá encontrar el controlador de dominio.
Los registros SRV que nos interesan son _ldap._tcp.dc._msdcs.DOMAIN.NAME,
en donde DOMAIN.NAME es el nombre DNS de nuestro dominio.
Voy a ir a mi PowerShell,
y voy a escribir Resolve-DNSName
-Type SRV -Name
_ldap._tcp.dc._msdcs.example.com.
Se ve bien. Debería ver un registro SRV para cada uno de mis controladores de
dominio. Aquí están.
Perfecto. Ahora, si no puedo resolver los registros SRV para mis controladores de
dominio,
entonces mis servidores DNS pueden estar mal configurados.
¿Cómo podrían estar mal configurados?
Bueno, mis computadoras de mi dominio deben usar
los servidores DNS que alojan mis registros de dominio de Active Directory.
Esto será, a menudo, uno o más de mis controladores de dominio,
pero puede ser un servidor de dominio diferente.
De cualquier manera, los servidores DNS apropiados
para que tus computadoras de dominio usen deben ser conocidos y estar documentados.
Compara la configuración de la máquina
con la buena configuración conocida y fíjate si necesita algún ajuste.
Por otra parte, si estás resolviendo algunos registros SRV,
pero parecen estar incompletos o incorrectos,
entonces puede que necesites resolver problemas en profundidad.
Incluí un vínculo para que obtengas más información sobre esto en la próxima lectura.
Una cosa más para señalar.
Dependiendo de la configuración de tu dominio y tus computadoras,
es común que la autenticación local siga funcionando,
por un rato, al menos.
Una vez que alguien accede a una computadora de dominio,
la información requerida para autenticar a ese usuario se copia en la máquina local.
Esto significa que después del primer acceso,
podrás iniciar sesión en la computadora
incluso si la red está desconectada.
No te autenticarás en el dominio
ni en el acceso autorizado a cualquier recurso de dominio, como carpetas compartidas.
Solo porque alguien pueda acceder
no significa que puedan encontrar un controlador de dominio.
Otro problema que puede impedir que los usuarios se autentiquen tiene que ver con el
reloj.
Kerberos es el protocolo de autenticación que usa AD,
y es sensible a las diferencias de tiempo.
No estoy hablando de zonas horarias locales aquí.
Me refiero al tiempo UTC relativo.
Si el controlador de dominio y la computadora no coinciden con la hora UTC,
por lo general en un margen de cinco minutos,
entonces el intento de autenticación fallará.
Las computadoras de dominio generalmente sincronizan su tiempo
con los controladores de dominio mediante el servicio Hora de Windows,
pero esto a veces puede fallar.
Si la computadora se desconecta de una red de dominio durante demasiado tiempo,
o si el software o un administrador local cambian la hora para que no esté sincronizada,
entonces la computadora no puede volver a sincronizarse automáticamente con un
controlador de dominio.
Puedes forzar manualmente a que una computadora de dominio se sincronice de nuevo
con el comando w32tm/rsync.
Incluí un vínculo para que obtengas más información sobre esto en la próxima lectura.
Ahora, hablemos un poco sobre la solución de problemas de directivas de grupo.
Un problema común que podrías tener que solucionar es cuando
una directiva o una preferencia definidas por el GPO no se aplican a una computadora.
Puedes enterarte de esta falla de varias maneras,
por ejemplo, si una persona en tu organización te dice
que algo en su computadora falta o no funciona.
Si estás usando GPO para administrar la configuración en sus máquinas,
entonces tal vez habrá un software que debería estar presente,
o puede haber una unidad de red mapeada que falta, o varias cosas.
El factor común será que algo que creaste para que un GPO configure
no se configurará en una o más computadoras.
Veamos los tres motivos más comunes por los que esto puede suceder.
El primer tipo de falla de GPO, y posiblemente el más común,
tiene que ver con la forma en que se aplican las directivas de grupo.
Según cómo esté configurado tu dominio,
el motor de directivas de grupo que aplica la configuración de directivas a una máquina
local
puede sacrificar la aplicación inmediata de ciertos tipos de directivas
para agilizar el acceso.
Esto se llama optimización de inicio de sesión rápido,
y puede implicar que algunos cambios de GPO
tarden mucho más en aplicarse automáticamente de lo que podría esperarse.
Además, el motor de directivas de grupo generalmente intenta acelerar una aplicación
GPO
aplicando los cambios a un solo GPO en lugar de todo el GPO.
En cualquiera de estos ejemplos,
puedes forzar la aplicación completa e inmediata de todos los GPO con gpupdate/force.
Si quieres ser realmente minucioso,
puedes ejecutar gpupdate/force/sync.
Al agregar el parámetro /sync harás que se cierre la sesión y la computadora se reinicie.
Algunos tipos de directivas de grupo solo pueden ejecutarse cuando la computadora
se inicia por primera vez o cuando un usuario accede por primera vez.
Por lo tanto, cerrar sesión y reiniciar es la única manera de asegurarse
de que una actualización forzada a un GPO pueda aplicarse a todas las configuraciones.
El error de replicación es otra razón por la que un GPO puede no aplicarse como se
esperaba.
Recuerda que cuando se realizan cambios en Active Directory,
esos cambios habitualmente tienen lugar en un solo controlador de dominio.
Esos cambios deben replicarse a otros controladores de dominio.
Si la replicación falla, entonces diferentes computadoras en tu red
pueden tener diferentes ideas sobre el estado de los objetos de directorio,
como los objetos de directiva de grupo.
La variable de entorno del servidor de inicio de sesión contendrá el nombre
del controlador de dominio que la computadora usó para acceder.
Recuerda que puedes ver el contenido de la variable con este comando en PowerShell:
$env:LOGONSERVER. Me muestra DC 1.
También puedes obtener los mismos resultados con %LOGONSERVER% en el
símbolo del sistema.
Saber a qué control de dominio estás conectado
es una información útil si sospechas de un problema de replicación.
Desde la consola de administración de directivas de grupo,
podemos verificar el estado general de la infraestructura de directivas de grupo.
Voy a seleccionar mi dominio y a mirar la pestaña de estado.
Esta pestaña resumirá la información de Active Directory
y el estado de replicación de Sysvol para el dominio.
Puede estar mostrando el resultado de una prueba reciente, así que voy a forzarla
a que ejecute un nuevo análisis haciendo clic en Detect Now (Detectar ahora).
Lo que queremos ver es que todos nuestros controladores de dominio aparezcan en la
sección
Domain controller(s) with replication in sync (Controlador[es] de dominio con
replicación en sincronización).
Si aparecen allí, entonces podemos estar seguros de que no hay
problemas de replicación que afecten a nuestros objetos de directiva de grupo.
Si vemos algún controlador de dominio en la lista
Domain controller(s) with replication in progress (Controlador[es] de dominio con
replicación en curso),
entonces podemos tener un problema de replicación.
Dependiendo del tamaño y la complejidad de tu infraestructura de Active Directory
y la confiabilidad y el rendimiento de los enlaces de red entre tus sitios de AD,
es posible que una replicación tarde unos minutos en completarse.
Si la replicación no se completa en un tiempo razonable,
tal vez debas solucionar problemas de replicación de Active Directory.
En la lectura complementaria.
encontrarás una guía práctica que te ayudará con este tema más avanzado.
Nos enfocamos en los casos más simples para administrar directivas de grupo.
Pero la realidad es que controlar el alcance
de un objeto de directiva de grupo puede ser complicadísimo.
Consulta la lectura complementaria para aprender más sobre este tema, también.
Si está tratando de averiguar por qué un GPO en particular no se aplica a una
computadora,
lo primero que debes hacer es ejecutar el conjunto resultante de directivas, o RSOP.
Puedes usar la consola de administración de directivas de grupo,
como hicimos en una lección anterior,
o puedes ejecutar un comando directo en una computadora para generar el informe.
El comando gpresult nos ayudará.
Si ejecuto gpresult /R,
verás que recibo un informe resumido en mi terminal. Déjame mostrártelo.
Voy a mi PowerShell, gpresult /R.
Se está creando el informe, y recibo este informe.
Si quiero el informe completo,
como el que obtengo de GPMC,
puedo ejecutar gpresult /H NOMBRE_DE_ARCHIVO.html.
Voy a hacer gpresult /H y luego test.html.
Esto me dará un informe que es una página web HTML que puedo abrir en mi
navegador.
Voy a obtener ese informe.
Bien, con este informe a la mano,
quiero buscar algunas cosas.
¿Aparece el GPO que deseo aplicar?
¿Estaba vinculado a una OU que contiene una computadora en la que estoy
solucionando un problema?
¿La GPO que me interesa aparece en las GPO aplicadas o en las GPO denegadas?
Si fue denegada, ¿por qué motivo?
¿Prevalece otro GPO en la directiva o preferencia que estoy tratando de configurar?
Cada GPO se puede configurar con una ACL llamada filtro de seguridad.
¿El filtro de seguridad está configurado sobre algo más que los usuarios autenticados?
Si es así, entonces eso puede implicar que tengas que estar
en un grupo específico para leer o aplicar el GPO.
Cada GPO también se puede configurar con el filtro WMI.
Un filtro WMI te permite aplicar un GPO según la configuración de la computadora.
Los filtros WMI son potentes pero costosos
y es fácil cometer errores durante su configuración.
Esto es porque miran
a los valores del Instrumental de administración de Windows para decidir si una política
debe aplicarse o no.
Por ejemplo, podrías crear un GPO que instale un software,
pero solo si un WMI informa que una pieza específica de hardware está presente.
Estos filtros son costosos porque requieren que el motor de directivas de grupo
ejecute algún tipo de consulta o cálculo en cada computadora que está vinculada a la
política,
pero luego solo aplica el GPO a las computadoras que coincidan con el filtro.
Se pueden configurar muchas políticas y preferencias
para aplicar a la computadora o a los usuarios a medida que inician sesión.
¿Querías configurar una ajuste de computadora, pero accidentalmente
configuraste una ajuste de usuario, o a la inversa?
Hay una guía de solución de problemas de directivas de grupo realmente detallada
en la lectura suplementaria.
Deberías consultarla si te involucras en una sesión de resolución de problemas de GPO
realmente complicada.
Vimos mucho material aquí, de verdad.
Si no te queda claro alguno de los conceptos que vimos, no hay problema.
Asegúrate de volver a ver las lecciones.
Sin embargo, recuerda que cuanto más trabajes con Active Directory y las directivas de
grupo,
más estarás familiarizado con ellos.
Si combinas lo que aprendiste sobre estos sistemas con tus habilidades de investigación,
puedes solucionar cualquier problema.
Active Directory
Puntos totales 15
1.
Pregunta 1
¿Qué es Active Directory? Marca todas las que correspondan.

1 / 1 punto
Un servidor de directorio de código abierto
Una implementación de servidor de directorio solo para Windows
Implementación de Microsoft de un servidor de directorios
Correcto
¡Así es! Active Directory es la implementación específica de Microsoft Windows de un

servidor de directorio. Es totalmente compatible con LDAP, por lo que funciona con
cualquier cliente compatible con LDAP, aunque tiene algunas características exclusivas
del ecosistema Windows.
Un servidor de directorio compatible con LDAP
Correcto
¡Así es! Active Directory es la implementación específica de Microsoft Windows de un

servidor de directorio. Es totalmente compatible con LDAP, por lo que funciona con
cualquier cliente compatible con LDAP, aunque tiene algunas características exclusivas
del ecosistema Windows.
2.
Pregunta 2
¿En qué se diferencia una unidad organizativa de un contenedor normal?
1 / 1 punto
No se diferencian; solo tienen nombres diferentes para un contenedor
Puede contener otros objetos

Solo puede contener otros contenedores
Puede contener contenedores adicionales
Correcto
¡Increíble! Una unidad organizativa es un tipo especial de contenedor que puede

contener otros objetos y otros contenedores. Los contenedores ordinarios no pueden
contener otros contenedores.
3.
Pregunta 3
Cuando creas un dominio de Active Directory, ¿cuál es el nombre de la cuenta de

usuario predeterminada?
1 / 1 punto
Superuser
Root
Nombre de usuario
Administrador
Correcto
¡Correcto! El usuario predeterminado en un dominio AD es Administrador.
4.
Pregunta 4
Verdadero o falso: Las máquinas del grupo Controladores de dominio también son
miembros del grupo de computadoras del dominio.
1 / 1 punto
Verdadero
Falso
Correcto
¡Correcto! Si bien los controladores de dominio son técnicamente computadoras, no

están incluidos en el grupo de computadoras del dominio. El grupo de computadoras de
dominio tiene todas las computadoras unidas a un dominio para una organización,
excepto el dominio controladores, que pertenece al grupo DC.
5.
Pregunta 5
¿En qué se diferencian los grupos de seguridad de los grupos de distribución?
0 / 1 punto
Son exactamente lo mismo
Los grupos de seguridad se usan para las computadoras, mientras que los grupos de
distribución se usan para los usuarios.
Los grupos de seguridad se utilizan para los usuarios, mientras que los grupos de
distribución se utilizan para las computadoras.
Los grupos de seguridad se pueden utilizar para proporcionar acceso a los recursos,
mientras que los grupos de distribución solo se utilizan para la comunicación por correo
electrónico.
Incorrecto
No exactamente. Ambos grupos se utilizan para agrupar cuentas de usuario. Sin

embargo, los grupos de distribución solo se utilizan para la comunicación por correo
electrónico, mientras que los grupos de seguridad pueden usarse para otorgar acceso a
los recursos.
6.
Pregunta 6
¿Cuál es la diferencia entre cambiar una contraseña y restablecer una contraseña?
1 / 1 punto
Cambiar una contraseña requiere la contraseña anterior
Cambiar una contraseña no requiere la contraseña anterior
Restablecer una contraseña bloquea la cuenta
Son lo mismo
Correcto
¡Buen trabajo! Al cambiar una contraseña, se debe proporcionar la contraseña anterior

primero. Al restablecer la contraseña, un administrador puede anular esta y configurar la
contraseña sin conocer la anterior.
7.
Pregunta 7
Verdadero o falso: unir una computadora a Active Directory implica unir la

computadora a un grupo de trabajo.
1 / 1 punto
Verdadero
Falso
Correcto
¡Sí! Unir una computadora a Active Directory significa vincularla o unirla al dominio.
A continuación, se crea una cuenta de equipo de AD para ello. Un grupo de trabajo es
una colección de computadoras independientes, no unidas a un dominio AD.
8.
Pregunta 8
¿Cuál de las siguientes ventajas proporciona unir una computadora a un dominio de

AD? Marca todas las que correspondan.
1 / 1 punto
Autenticación centralizada
Correcto
¡Impresionante! Active Directory puede usarse para administrar centralmente

computadoras que se unen a él aplicando objetos de directiva de grupo. Las
computadoras unidas a un dominio también se autenticarán, usando cuentas de usuario
de Active Directory en lugar de cuentas locales, lo que también ofrece autenticación
centralizada.
Registro más detallado
Administración centralizada con GPO
Correcto
¡Impresionante! Active Directory se puede utilizar para administrar centralmente

computadoras que se unen a él aplicando objetos de directiva de grupo. Las
computadoras unidas a un dominio también se autenticarán, utilizando cuentas de
usuario de Active Directory en lugar de cuentas locales, lo que también ofrece
autenticación centralizada.
Mejor desempeño
9.
Pregunta 9
¿Qué son los objetos de directiva de grupo?
1 / 1 punto
Tipos especiales de contenedores
Tipos especiales de grupos de ordenadores
Tipos especiales de grupos de usuarios
Configuraciones para computadoras y cuentas de usuario en AD
Correcto
¡Exactamente! Los GPO son objetos en AD que contienen configuraciones y

preferencias, que se pueden aplicar a cuentas de usuario o cuentas de computadora. Los
GPO permiten la administración centralizada de cuentas y computadoras.
10.
Pregunta 10
¿Cuál es la diferencia entre una directiva y una preferencia?
1 / 1 punto
Son exactamente lo mismo

Una directiva se utiliza para establecer una preferencia
AD aplica una directiva, mientras que un usuario local puede modificar una preferencia
Una directiva puede ser modificada por un usuario local, mientras que AD aplica una
preferencia
Correcto
¡Exacto! Las directivas son configuraciones que AD aplica una y otra vez regularmente,
mientras que las preferencias son predeterminadas para varias configuraciones, pero
pueden ser modificadas por los usuarios.
11.
Pregunta 11
Con un nuevo dominio de AD, ¿qué necesitas cambiar antes de poder destinar grupos de
usuarios y máquinas con GPO?
1 / 1 punto
Nada; la configuración predeterminada está bien
Debes colocar usuarios y computadoras en nuevas unidades organizativas
Necesitas crear una cuenta de administrador
Es necesario cambiar el nombre de los grupos predeterminados
Correcto
¡Buen trabajo! Dado que los GPO solo se pueden aplicar a sitios, dominios y unidades
organizativas, y como los grupos de usuarios y equipos predeterminados en AD no son
unidades organizativas, no se puede destinar GPO a estos grupos directamente. Para
destinar a grupos específicos de usuarios o computadoras, se deben crear nuevas
unidades organizativas y se deben agregar usuarios o cuentas a ellos.
12.
Pregunta 12
Selecciona el orden correcto de aplicación de los GPO:
1 / 1 punto
Sitio - \> dominio - \> unidad organizativa
Unidad organizativa - \> dominio - \> sitio
Dominio - \> sitio - \> unidad organizativa
Sitio - \> unidad organizativa - \> dominio
Correcto
¡Acertaste! Cuando los GPO entran en colisión, se aplican primero por sitio y segundo
por dominio. Luego, cualquier unidad organizativa se aplica de menos específica a más
específica.
13.
Pregunta 13
¿Qué podemos usar para determinar qué directivas se aplicarán a una máquina
determinada?
1 / 1 punto
Gpupdate
Un panel de control
Un dominio de prueba
Un informe de RSOP
Correcto
¡Buen trabajo! Un informe de RSOP o conjunto resultante de directivas, generará un

informe que contiene una lista de directivas que se aplicarán a una máquina
determinada. Este tiene en cuenta la información de herencia y precedencia.
14.
Pregunta 14
¿Cómo hace un cliente para detectar la dirección de un controlador de dominio?
1 / 1 punto
La recibe a través de un GPO de AD
Envía una difusión a la red local
Realiza una consulta de DNS para solicitar el registro SRV para el dominio
Se proporciona a través de DHCP
Correcto
¡Excelente! Un cliente hará una consulta a un servidor DNS para solicitar el registro
SRV para el dominio. El registro SRV contiene información de dirección para los
controladores de dominio para el dominio.
15.
Pregunta 15
¿Cuál de las siguientes opciones podría impedirte iniciar sesión en una computadora
unida a un dominio? Marca todas las que correspondan.
1 / 1 punto
No puedes alcanzar el controlador de dominio
Correcto
¡Correcto! Si la máquina no puede alcanzar el controlador de dominio cualquiera sea la

razón, no podría autenticarse contra AD. Como la autenticación de AD se basa en
Kerberos para la encriptación, la autenticación contra AD dependerá de la hora en que
se sincronice con un margen de cinco minutos entre servidor y cliente. Y, por supuesto,
si la cuenta de usuario está bloqueada, no podrá autenticar en la cuenta o iniciar sesión
en la computadora.
Tu computadora está conectada a Wi-Fi
La cuenta de usuario está bloqueada
Correcto

en la computadora.
El tiempo y la fecha son incorrectos
Correcto

en la computadora.
En la última lección, viste en profundidad el popular servicio de directorio
Active Directory.
Aprendiste a agregar usuarios, contraseñas y grupos, y también a modificar el nivel de
acceso para grupos
utilizando directivas grupales.
Otro popular servicio de directorio que se usa en la actualidad
es el servicio gratuito de código abierto OpenLDAP,
que significa
protocolo ligero de acceso a directorios y funciona de manera muy similar a Active
Directory.
Usando notación LDAP o el formato de intercambio de datos LDAP, o LDIF,
puedes autenticar, agregar
y eliminar usuarios, grupos, computadoras, etc., en un servicio de directorio.
OpenLDAP puede usarse en cualquier sistema operativo, incluyendo Linux,
macOS, incluso Microsoft Windows.
Sin embargo, como Active Directory es software registrado de Microsoft
para servicios de directorio, te recomendamos que lo uses en Windows en lugar de
OpenLDAP.
Pero es útil saber que OpenLDAP es de código abierto,
por eso, se lo puede usar en una variedad de plataformas.
Hay algunas maneras en que puedes interactuar con un directorio de OpenLDAP.
Primero, puedes usar la interfaz de línea de comandos
y pasar comandos para crear y administrar las entradas del directorio.
También puedes usar una herramienta como phpLDAPadmin,
que te ofrece una interfaz web que puedes usar para administrar los datos de tu
directorio,
al igual que la GUI de Windows Active Directory con la que estás familiarizado.
Puedes leer más sobre cómo configurar OpenLDAP y phpLDAPadmin
en la próxima lectura.
En esta lección te daremos una visión general de alto nivel de las operaciones que
puedes hacer
en OpenLDAP a través de comandos y cómo funcionan.
Para empezar, abriremos el paquete OpenLDAP con este comando.
Voy a entrar a mi entorno de Linux y escribir este comando:
sudo apt-get install
slapd ldap-utils.
Pongo mi contraseña y acepto.
Una vez que instales los paquetes, te solicitará
que ingreses una contraseña administrativa para LDAP.
Hagámoslo.
y luego clic en OK (Aceptar).
Luego confirma tu contraseña, luego presiona OK (Aceptar).
Ahora que está instalado, vamos a reconfigurar el paquete slapd
para que podemos afinar nuestra configuración.
Para ello, vamos a ejecutar el siguiente comando.
Voy a limpiar mi ventana
luego ejecuto sudo dpkg-reconfigure slapd.
Nos va a hacer muchas preguntas sobre nuestra nueva configuración.
No responderemos todas estas opciones, pero puedes aprender más sobre ellas en...
¡Adivinaste! En la próxima lectura complementaria.
Por ahora, solo completemos las configuraciones con estos valores.
La primera opción es "Omit OpenLDAP server configuration?" (¿Desea omitir la
configuración del servidor OpenLDAP?).
Voy a decir que no.
A continuación, el nombre de dominio DNS, es similar a Windows AD,
Este es nuestro dominio de organización.
Vamos a usar example.com
y luego clic en OK (Aceptar).
Nombre de la organización, vamos a usar "example".
Contraseña de administrador, pongamos lo mismo que ingresamos antes.
Para la base de datos vamos a usar MBD.
Do you want the database to be removed when slapd is purged? (¿Desea eliminar la
base de datos cuando se purgue slapd?).
Vamos a decir que no.
Ahora nos pregunta si querríamos mover la base de datos anterior.
Vamos a decir que sí por ahora.
Luego preguntará si permitimos la versión 2 del protocolo LDAP.
Voy a decir que no.
Eso es todo, ahora tienes un servidor OpenLDAP en ejecución.
Vamos progresando.
Sigamos adelante.
Es fácil administrar OpenLDAP a través de un navegador web y una herramienta como
phpLDAPadmin,
pero también puedes usar las herramientas de línea de comandos para lograr el mismo
resultado.
Te recomiendo que veas cómo configurar phpLDAPadmin
si esta es tu primera vez con OpenLDAP.
Para ver instrucciones sobre cómo configurar phpLDAPadmin,
consulta la lectura complementaria.
En esta lección, vamos a hacer un rápido resumen de algunos otros comandos que te
permitirán
agregar, modificar y eliminar entradas en tu directorio.
Para comenzar a utilizar las herramientas de línea de comandos,
necesitas usar algo que se conoce como archivos LDIF.
Ya vimos el formato LDIF o la notación LDAP en acción.
Es solo un archivo de texto que enumera atributos y valores
que describen algo.
Aquí hay un ejemplo simple de un archivo LDIF para un usuario.
Incluso sin entender qué dice la sintaxis de este archivo,
podemos inferir que está hablando de una empleada llamada Cindy
que trabaja en el departamento de ingeniería de la empresa example.com.
Ya hablamos un poco sobre a qué hacen referencia los atributos
en una lección anterior.
Pero puedes consultar la lectura complementaria si quieres saber
qué significan los campos específicos.
A nuestros efectos aquí,
sin embargo, sólo queremos ver un resumen de alto nivel de cómo funciona esto.
Una vez que hayas escrito tus archivos LDIF, todo estará casi listo.
Según lo que quieras hacerle a tu directorio,
ejecutarías comandos como estos:
ldapadd: este toma la entrada de un archivo LDIF y agrega el contexto de los archivos;
ldapmodify: como puedes suponer, modifica un objeto existente;
ldapdelete: este eliminará el objeto al que se refiere el archivo LDIF;
ldapsearch: este buscará entradas en tu base de datos de directorio.
No es importante tomar nota de la sintaxis de estos comandos,
siempre puedes consultar una sintaxis en la documentación oficial.
Pero como puedes ver, trabajar con OpenLDAP no es aterrador.
Funciona de manera muy similar a Windows Active Directory, o AD.
Puedes tomar este conocimiento
y completar tu directorio como hiciste en Windows AD.
Si tienes curiosidad por la sintaxis de estos comandos,
consulta la lectura suplementaria sobre cómo usar archivos LDIF y comandos LDAP.
Una vez más, si estás pensando en LDAP como la solución a tus necesidades de servicio
de directorio,
te recomiendo mirar la herramienta de administrador web phpLDAPadmin
a la que incluimos un vínculo en la próxima lectura.
Al igual que Windows AD, este tema puede ser bastante extenso.
Piensa qué solución de directorio se ajusta mejor a las necesidades de TI
para tu organización.
Hay muchas razones por las que podrías querer implementar
la ayuda de un servicio de directorio como OpenLDAP
o Active Directory al trabajar en una función de administración de sistemas.
Los servicios de directorio son excelentes para autenticación centralizada,
para mantener un registro de dónde se encuentran las computadoras en tu organización,
de quién puede acceder a ellas, y mucho más.
Asegúrate de juguetear y familiarizarte con OpenLDAP
o con phpLDAPadmin para tener una mejor idea de cómo funcionan estos servicios de
directorio.
Revisar la documentación oficial siempre es un buen lugar para comenzar.
Por ahora, aprendiste acerca de todos los servicios esenciales de infraestructura de TI.
El siguiente tema al que pasaremos es cómo asegurarte de que todo el trabajo duro que
hiciste
en tu infraestructura de TI no se desperdicie: vamos a aprender sobre
recuperación de desastres y copias de seguridad.
Tu trabajo duro en verdad está dando sus frutos. ¡Chócala!
Ahora tómate un momento para completar el cuestionario que hicimos para ti.
Luego, nos volveremos a ver en el siguiente video.
Servicios de directorio
Calificación de la entrega más reciente: 80 %
1.
Pregunta 1
¿Cómo se organizan las cosas en un servidor de directorios?
1 / 1 punto
Mediante una estructura de base de datos relacional
Mediante un modelo jerárquico de objetos y contenedores
Mediante una serie de grupos anidados
Mediante un archivo de texto sin formato
Correcto
¡Sí! Un servidor de directorio organiza objetos y contenedores en una estructura

jerárquica.
2.
Pregunta 2
¿Qué roles desempeña un servidor de directorio en la administración centralizada?

Marca todos los que correspondan.
1 / 1 punto
Auditoría
Correcto
¡Buen trabajo! Un servidor de directorio ofrece un mecanismo centralizado para el

manejo de la autenticación, autorización y auditoría. Esto es mucho más conveniente y
seguro, en comparación con un montón de sistemas locales desconectados.
Autenticación centralizada
Correcto
Confidencialidad
Autorización
Correcto

3.
Pregunta 3
¿Cuáles son las tres formas de autenticarse en un servidor LDAP?
1 / 1 punto
Vinculación simple
Correcto
¡Increíble! En la vinculación anónima, las credenciales no son realmente necesarias. La

vinculación simple utiliza la autenticación de nombre de usuario y contraseña simple y
generalmente no está encriptada. Por último, SASL incorpora algunas capas de
seguridad adicionales para proteger las credenciales.
Vinculación anónima
Correcto

SASL
Correcto

PGP
4.
Pregunta 4
En Active Directory, ¿como cuál de los siguientes ejemplos funciona un controlador de

dominio? Marca todos los que corresponda.
1 / 1 punto
Un servidor de autentificación Kerberos
Correcto
¡Exacto! Un controlador de dominio tiene una copia de la base de datos de Active

Directory, proporciona servicios de autenticación Kerberos y entrega DNS.
Un servidor DNS
Correcto

Un contenedor
Un servidor que contiene una réplica de la base de datos de Active Directory
Correcto

5.
Pregunta 5
Para autenticar cuentas de usuario en AD, ¿qué se debe hacer a la computadora

primero?
1 / 1 punto
Configurar el firewall
Unirse al dominio
Habilitar la cuenta de administrador
Configurar el registro remoto
Correcto
¡Excelente! Una computadora debe unirse al dominio antes de que las cuentas de
usuario puedan ser autenticadas contra el controlador de dominio (en lugar de cuentas
locales).
6.
Pregunta 6
Cuando los GPO están en conflicto, ¿en qué orden se evalúan y aplican?
0 / 1 punto
Sitio, dominio, unidad organizativa
Unidad organizativa, sitio, dominio
Sitio, unidad organizativa, dominio
Unidad organizativa, dominio, sitio
Incorrecto
No exactamente. Consulta la lección 13 sobre Herencia y precedencia de directivas de

grupo para un repaso.
7.
Pregunta 7
En lugar de asignar acceso para cada cuenta de usuario individualmente, ________ es

un enfoque más eficiente y fácil de gestionar.
1 / 1 punto
autenticación centralizada
control de acceso basado en roles (RBAC)
Active Directory
LDAP
Correcto
¡Bravo! El control de acceso basado en roles es el concepto de vincular el acceso a roles
y luego asignar cuentas individuales a los roles apropiados. Esto es mucho más fácil de
administrar y mantener, en lugar de otorgar acceso individual a recursos por cuenta.
8.
Pregunta 8
¿Qué componente de una entrada LDAP contiene el nombre de entrada único?
0 / 1 punto
Nombre común
Usuario organizativo
Nombre distinguido
Incorrecto
No exactamente. Consulta la lección 4 sobre LDAP para un repaso.
9.
Pregunta 9
¿Qué utilizarías si quisieras establecer un fondo de pantalla predeterminado para todas

las máquinas en tu empresa, pero aun así permitirías que los usuarios pudieran
establecer sus propios fondos de pantalla?
1 / 1 punto
Una directiva
Una preferencia
Correcto
¡Sí! Se puede establecer una preferencia a través de GPO, que te permite modificar las
opciones de configuración predeterminada al tiempo que todavía permite a los usuarios
modificarlas.
10.
Pregunta 10
Un cliente detecta la dirección de un controlador de dominio haciendo una consulta, ¿a

qué registro de DNS?
1 / 1 punto
Registro A
Registro AAAA
Registro SRV
Registro TXT
Correcto
¡Bravo! Un cliente hará una consulta a un servidor DNS para solicitar el registro SRV
para el que no existe un dominio. El servidor responderá con la dirección de un
controlador de dominio para ese dominio.

4 Semana4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

4 Semana4

Cargado por

Copyright:

Formatos disponibles

Felicitaciones, ya casi terminas de ver los servicios esenciales de infraestructura de TI

que entran en juego en una organización.

Los servicios de directorio se convirtieron en el estándar de red abierta

¿Qué proporciona un servidor de directorio?

Un servicio de comunicación en tiempo real

Un servicio de tiempo de red

Un servicio de búsqueda para una organización

¡Eso mismo! Un servicio de directorio permite a los miembros de una organización la

¿Qué beneficios ofrece la replicación? Marca todos los que correspondan.

¡Buen trabajo! La replicación del servidor de directorio otorga redundancia al tener

¡Buen trabajo! La replicación del servidor de directorio otorga redundancia al tener

Protocolo de acceso al directorio

Protocolo de sistema de directorio

Protocolo ligero de acceso a directorios

Protocolo de gestión de vinculación operacional de directorio

El trabajo del administrador de sistemas es, bueno, administrar sistemas.

Antes de pasar a los servicios de directorio,

Gestión centralizada y LDAP

Control de acceso basado en roles

¡Exacto! El control de acceso basado en roles facilita la administración de los derechos

Administración centralizada de la configuración

¡Exacto! El control de acceso basado en roles facilita la administración de los derechos

Copiar configuraciones a varios sistemas

¿Qué hace exactamente la operación de vinculación LDAP?

Modifica las entradas en un servidor de directorio.

Busca información en un servidor de directorio

Autentica un cliente al servidor de directorios

¡Increíble! Un cliente se autentica en un servidor de directorio mediante la operación de

¿Cuáles de los siguientes son tipos de autenticación admitidos por la operación de

La parte más difícil de mi carrera, así de simple, fue unirme a Google.

Administrar Active Directory no solo es un asunto importante,

Como mencionamos en una lección anterior,

Si tienes responsabilidades de administrador de sistemas,

Como administrador de sistemas,

¿Qué es Active Directory? Marca todas las que correspondan.

Un servidor de directorio de código abierto

Una implementación de servidor de directorio solo para Windows

Implementación de Microsoft de un servidor de directorios

¡Así es! Active Directory es la implementación específica de Microsoft Windows de un

Un servidor de directorio compatible con LDAP

¡Así es! Active Directory es la implementación específica de Microsoft Windows de un

¿En qué se diferencia una unidad organizativa de un contenedor normal?

No se diferencian; solo tienen nombres diferentes para un contenedor

Puede contener otros objetos

Puede contener contenedores adicionales

¡Increíble! Una unidad organizativa es un tipo especial de contenedor que puede

Cuando creas un dominio de Active Directory, ¿cuál es el nombre de la cuenta de

¡Correcto! El usuario predeterminado en un dominio AD es Administrador.

¡Correcto! Si bien los controladores de dominio son técnicamente computadoras, no

¿En qué se diferencian los grupos de seguridad de los grupos de distribución?

Son exactamente lo mismo

No exactamente. Ambos grupos se utilizan para agrupar cuentas de usuario. Sin

¿Cuál es la diferencia entre cambiar una contraseña y restablecer una contraseña?

Cambiar una contraseña requiere la contraseña anterior

Cambiar una contraseña no requiere la contraseña anterior

Restablecer una contraseña bloquea la cuenta

¡Buen trabajo! Al cambiar una contraseña, se debe proporcionar la contraseña anterior

Verdadero o falso: unir una computadora a Active Directory implica unir la

¿Cuál de las siguientes ventajas proporciona unir una computadora a un dominio de

¡Impresionante! Active Directory puede usarse para administrar centralmente

Registro más detallado

Administración centralizada con GPO

¡Impresionante! Active Directory se puede utilizar para administrar centralmente