Active Directory al Descubierto

Eduardo Munizaga
Senior TAM MCSE Windows 2003 eduardmu@microsoft.com

Rodrigo Gmez
Consultor de Infraestructura MCSE Windows 2003 rodgomez@microsoft.com

Agenda
1. Objetivos 2. Prerrequisitos 3. Conceptos Active Directory
3.1. Elementos de Diseo Lgico 3.2. Elementos de Diseo Fsico 3.3. Elementos de Arquitectura DNS 3.4. Administracin Usuarios y Equipos

1. Objetivos
Aprovechar al mximo las caractersticas de Active Directory 2003. Aprender a implementar:
Estructuras lgicas y fsicas. DNSs. Delegacin de control y polticas de grupo. Implementacin de catlogos globales. Roles FSMO.

2. Prerrequisitos
Comprender lo que es un servicio de directorio

3. Conceptos Active Directory

3.1. Elementos de Diseo Lgico 3.2. Elementos de Diseo Fsico 3.3. Elementos de Arquitectura DNS 3.4. Administracin Usuarios y Equipos

3. Conceptos Active Directory

3.1. Elementos de Diseo Lgico

3.1.1. Bosque (Forest) 3.1.2. Dominio (Domain) 3.1.3. rboles (Domain Trees) 3.1.4. Unidades Organizacionales (OUs) 3.1.5. Relaciones de Confianza 3.1.6. Niveles Funcionales (Functional Levels)

3.1. Elementos de Diseo Lgico

3.1.1. Bosque (Forest)

Conjunto de uno o ms dominios Active Directory que comparten:
Estructura lgica comn Global Catalog Schema Partition Configuration Partition Relaciones de confianza bi-direccionales automticas entre los dominios participantes del forest

El forest es la frontera mxima de seguridad (security boundary)

3.1. Elementos de Diseo Lgico

3.1.2. Dominio (Domain)

Cada dominio es una particin de un forest Active Directory Las cuentas de usuarios, grupos y mquinas son creados en el dominio Las polticas de seguridad son definidas a nivel del dominio, y no al nivel del Forest:
Polticas de Contraseas Polticas de Account Lockout Polticas de Ticket Kerberos

El dominio es una frontera de administracin (administration boundary)

3.1. Elementos de Diseo Lgico

3.1.3. Domain Trees

Conjunto de dominios dentro de un forest Active Directory agrupados en un namespace contnuo Cada forest puede contener mltiples Domain Trees

3.1. Elementos de Diseo Lgico

Bosque, Dominio, rboles

Forest
Domain Tree

dom1.com

dom5.com

dom2.dom1.com dom3.dom1.com

dom6.dom5.com

dom4.dom2.dom1.com

3.1. Elementos de Diseo Lgico

3.1.4. Unidades Organizacionales

Containers de objetos en la jerarqua dentro de un dominio Active Directory Subdivisiones lgicas del dominio Anidamiento OUs no son Security Principals:
OUs no pueden ser miembros de grupos No se puede asignar permisos a recursos a travs de OUs

Group Policy puede ser asociado a OUs:

Permite utilizar distintas polticas de usuarios, equipos y desktops dentro de un mismo dominio

demo
Active Directory Users and Computers Dominios OUs

3.1. Elementos de Diseo Lgico

3.1.5. Relaciones de Confianza

Tipos de relaciones de confianza:
NTLM
Unidireccionales No transitivos Explcitos

Kerberos
Bidireccionales Transitivos Implcitos (entre los dominios del forest) Explcitos

3.1. Elementos de Diseo Lgico

3.1.5. Relaciones de Confianza

Windows NT 3.x/4.0:
NTLM

Windows 2000:
NTLM:
hacia/desde dominios NT 3.x/4.0 hacia/desde dominios Windows 2000 de otros forest

Kerberos:
bidireccionales y transitivos entre todos los dominios del forest hacia/desde realms MIT Kerberos V5 no AD Shortcut Trusts
entre dominios del mismo forest

Windows 2003:
Idem Windows 2000 mas Interforest Trusts

3.1. Elementos de Diseo Lgico

3.1.5. Relaciones de Confianza

Implcito Transitivo Bidireccional

Implcito Transitivo Bidireccional

dom1.com

Explcito No transitivo Unidireccional

dom5.com

dom2.dom1.com

dom3 (Dominio Windows NT)

dom6.dom5.com

dom4.dom2.dom1.com

3.1. Elementos de Diseo Lgico

Shortcut Trust
Implcito Transitivo Bidireccional

Implcito Transitivo Bidireccional

dom1.com

dom5.com

dom2.dom1.com

dom3.dom1.com

dom6.dom5.com

Shortcut Trust
Explcito Transitivo Bidireccional

dom4.dom2.dom1.com

3.1. Elementos de Diseo Lgico

3.1.6. Functionality Levels

Windows 2000:
Mixed Mode:
permite coexistencia con BDCs NT 4.0

Native Mode:
Todos los DCs deben ser Windows 2000 Utilizacin de Universal Security Groups Mayores opciones de nesting de grupos

Windows 2003:
Domain Modes:
Windows 2000 Mixed Windows 2000 Native Windows 2003 Interim Windows 2003

Forest Modes:
Windows 2000 Windows 2003 Interim Windows 2003

3.1.7. Functionality Levels

Versiones de OS Soportados
3.1.7.1. Windows 2003 Domain Modes:

3.1.7.2. Windows 2003 Forest Modes:

Funcionalidades por Domain Mode

3.1.7.1. Windows 2003 Domain Modes:

3.1.7.2. Windows 2003 Forest Modes:

Funcionalidades por Forest Mode

3. Conceptos Active Directory

3.2. Elementos de Diseo Fsico

3.2.1. Particiones del Directorio 3.2.2. Tipos de Particiones 3.2.3. Replicacin en Active Directory 3.2.4. Componentes del Diseo Fsico 3.2.5. Tipos de Replicacin

3.2. Elementos de Diseo Fsico

3.2.1. Particiones del Directorio

En un forest existen 3 tipos de particiones:
Forest Wide (1 x forest, se replican a todos los DCs del forest):
Schema Partition Configuration Partition

Domain Wide (1 x dominio, se replica a todos los DCs del dominio)

Domain Partition

Application Partition (N x forest)

Por default existen dos:
ForestDNSZones: 1 x forest; replicada a todos los DCs del forest DomainDNSZones: replicada a todos los DCs del dominio 1 x dominio; replicada a todos los DCs del dominio

Es posible crear custom Application Partitions

La replicacin es definida por el administrador

3.2.1. Particiones del Directorio

Directory Tree
DC Storage
Schema Configuration Domain Application Partition Forest Root Domain

Partition Hierarchy
RootDSE

Application Partition

Configuration

Schema

3.2. Elementos de Diseo Fsico

3.2.2. Tipos de Particiones

3.2.2.1. Schema Partition 3.2.2.2. Configuration Partition 3.2.2.3. Domain Partition 3.2.2.4. Global Catalog 3.2.2.5. Application Partitions

3.2.2. Tipos de Particiones

3.2.2.1. Schema Partition

Replicada a todos los DCs del forest
No es posible evitar que se replique a un DC determinado

Contiene y describe las clases correspondientes a los objetos que pueden ser creados en el directorio
Ejemplos:
Clase User Clase Computer Clase Domain Etc.

3.2.2.2. Configuration Partition

Replicada a todos los DCs del forest
No es posible evitar que se replique a un DC determinado

3.2.2. Tipos de Particiones

Contiene todos los aspectos de configuracin del forest:

Diseo fsico crossRef a todos los dominios del forest

3.2.2. Tipos de Particiones

3.2.2.3. Domain Partition

Contiene a todos los objetos del dominio Replicada a todos los DCs del dominio
No es posible evitar que se replique a todos los DCs del dominio

3.2.2.4. Global Catalog

NOTA: no es estrictamente una particin Subconjunto de todos los objetos del forest:
No todas las clases estan en el GC No todos los atributos de las clases estn en el GC Las clases y atributos replicadas al GC son modificables por el administrador

3.2.2. Tipos de Particiones

Permite que todos los objetos del forest sean visibles en todos los dominios El administrador define que DCs son GC

3.2.2. Tipos de Particiones

3.2.2.5. Application Partitions

Particiones en Windows 2000:
Configuration Partition Schema Partition Domain Partition Configuration Partition Schema Partition Domain Partition Application Partitions: : forest wide : forest wide : domain wide : forest wide : forest wide : domain wide

Particiones en Windows 2003:

Tambien llamadas non-domain naming contexts NDNCs

3.2.2.5. Application Partitions

Caractersticas
Particiones orientadas a almacenamiento de informacin temporaria o de carcter voltil Pueden ser creadas y replicadas a cualquier DC del forest
Definidas por el administrador

Puede contener objetos AD de cualquier tipo excepto Security Principals (users, groups and computers) Utilizadas en Windows 2003 para:
Zonas DNS AD/AM COM+ partitions TAPI Applications

3.2. Elementos de Diseo Fsico

3.2.3. Replicacin en Active Directory

Multimaster loose consistency with convergence
Multimaster Loose consistency Convergencia

Pull replication State-based replication

Replicacin a nivel Objeto y nivel Atributo

3.2.2. Replicacin en Active Directory

Qu se replica?
Los replication partners se replican entre s:
Particiones en comn:
Schema Partition Configuration Partition Si son DCs del mismo dominio:
Particin dominio

Application Partitions

Global Catalog
Si ambos DCs estan configurados como GC

demo
Particiones Replicacin Dcdiag NETDIAG ADSIEDIT

3.2. Elementos de Diseo Fsico

3.2.4. Componentes del Diseo Fsico

3.2.4.1. Sites 3.2.4.2. Sites Links 3.2.4.3. Bridgehead Servers 3.2.4.4. Site Links Bridges 3.2.4.5. FSMO Roles 3.2.4.6. Otros

3.2.4. Componentes del Diseo Fsico

3.2.4.1. Sites
Conjuntos de DC con buena conectividad entre s
Agrupacin a travs de subnets IP con buena conectividad entre s Las subnets que definen a un site son definidas por el administrador

Cada DC es asignado a una subnet Independencia diseo lgico del fsico:

Un site puede abarcar mltiples dominios Un dominio puede abarcar mltiples sites

Relevantes para:
Routing Replication Client affinity (logon) SYSVOL replication DFS Service Location

Mltiples Dominios por Site

Independencia diseo lgico del fsico

Site A
dom1.com

dom2.dom1.com

dom3.dom1.com

Site B
dom4.dom2.dom1.com

Mltiples Sites por Dominio

Independencia diseo lgico del fsico

Site A

Site B
dom1.com

3.2.4.2. Sites Links

Nexo entre 2 sites:
Creados por el administrador

3.2.4. Componentes del Diseo Fsico

Cada Site Link se compone en realidad de:

Connection Objects:
Conexin unidireccional entre 2 DCs Dos por Site Link

Server Objects:
Objeto que representa a cada DC involucrado en el CO

3.2.4.3. Bridgehead Servers

Servidores designados para replicacin en el site

3.2.4. Componentes del Diseo Fsico

3.2.4.4. Site Links Bridges

Unin de 2 mas Site Links Crea COs entre todos los Sites involucrados en los Site Links Por default, todos los Site Links pertenecen a un Site Link Bridge
Opcin Bridge All Site Links

3.2.4. Componentes del Diseo Fsico

3.2.4.5. FSMO Roles

3.2.4. Componentes del Diseo Fsico

Flexible Single Master Operations Roles Active Directory para operaciones especiales que requieren modelo Single Master 2 tipos de FSMO Roles:
Forest Wide:
Schema Master : administracin de cambios en el Schema Domain Naming Master : administracin de altas/bajas de dominios en el forest

Domain Wide:
PDC Emulator : emulacin de PDC NT 4.0 para clientes no AD RID Master : Relative ID; generacin de RIDs en el dominio Infrastructure Master:
Mantiene la lista de Security Principals de otros dominios que pertenecen a grupos del dominio propio

demo
Site and Services Roles FSMO

3. Conceptos Active Directory

3.3. Elementos de TCP/IP

3.3.1. Active Directory y DNS 3.3.2. Service Locator Records 3.3.3. DNS Application Partitions

3.3.1. Active Directory y DNS

Active Directory utiliza DNS como:
Mecanismo resolucin de nombres Naming:
Nombre de dominio = nombre de dominio DNS Jerarqua de dominios

3.3. Elementos de TCP/IP

Service Locator
Logon Bsquedas Bsquedas DC mas cercano:
Cliente-DC Entre DCs

Determinacin de site

3.3.1. Active Directory y DNS

Configuracin de zonas DNS

Los zonas DNS correspondientes a dominios Windows 2000/Windows 2003 pueden ser:
Zonas DNS estndar (archivo de texto) Active Directory integrated:
Windows 2000:
Domain Partition

Windows 2003:
Domain Partition , Application Partitions Default para nuevas instalaciones

Zonas AD Integrated pueden ser convertidas a DNS estndar y vicecersa DCs con zona DNS estndar pueden ser secundarios de DCs con zonas AD integrated

3.3. Elementos de TCP/IP

3.3.2. Service Locator Records

Registros especiales para servicios:
Mapeo de un servicio a nombre DNS de equipo que provee ese servicio. Ejemplos:
Domain Controllers Global Catalogs LDAP Servers Kerberos Distribution Center Otros

Formato:
_Service._Protocol.DnsDomainName

3.3. Elementos de TCP/IP

3.3.5. DNS Application Partitions

3.3.5.1. Comportamiento Windows 2000 3.3.5.2. Comportamiento Windows 2003 3.3.5.3. Ventajas

3.3.5. DNS Application Partitions

3.3.5.1. Comportamiento Windows 2000

Forest Wide Locator records
Localizados en _msdcs.<rootforestdomain>

Dominio DNS por cada dominio Storage en archivos DNS estndar AD integrated Prcticas recomendadas:
Delegacin de zona _msdcs.<rootforestdomain> Replicacin de _msdcs.<rootforestdomain> a todos los DCs Zonas AD Integrated

3.3.5. DNS Application Partitions

3.3.5.2. Comportamiento Windows 2003

Informacin de zonas DNS en Application Partitions DNS Application Partitions:
ForestDnsZones: DomainDnsZones Visibles como cualquier otra particin en ADSIEdit, LDP, etc.

ForestDNSZone: ejemplo

DomainDNSZone: ejemplo

demo
Active Directory y DNS

Windows 2000 vs. Windows 2003

A.COM
DC1DC1-A DC2DC2-A DC3-A DC3-

GC & DNS

DNS

B.A.COM
DNS
DC1DC1-B DC2DC2-B

Link for GC from b.a.com and DNS records

DC3DC3-B

GC Domain A.COM (and Windows 2000 AD Integrated Zones) Domain B.A.COM (and Windows 2000 AD Integrated Zones)

Schema & Config (combined) ForestDNSZones DomainDNSZones (a.com) DomainDNSZones (b.a.com)

3. Conceptos Active Directory

3.4. Administracin Usuarios y Equipos

3.4.1. Introduccin 3.4.2. Group Policy Objects (GPO) 3.4.3. Procesamiento de GPOs 3.4.4. Group Policy Modeling 3.4.5. Security Templates

3.4. Administracin Usuarios y Equipos

3.4.1. Introduccin
IntelliMirror:
Conjunto de tecnologas presentes en Windows 2000, Windows XP y Windows Server 2003 que permiten la administracin de la configuracin de servidores, workstations, y usuarios en forma centralizada a travs de los servicios de directorios Componentes principales:
Active Directory Group Policy

Group Policy:
Mecanismo configuracin y administracin centralizada de servidores, workstations y usuarios de un usuario del dominio Active Directory Reemplaza mecanismo System Policies (Windows NT 4.0/9x)

3.4.1. Introduccin

IntelliMirror
User Data Management
Administracin centralizada de los archivos de los usuarios Configuracin del desktop del usuario (colores, fonts, restricciones, profile, aplicaciones, etc.) Administracin de todas las configuraciones de seguridad del usuario:
Security Settings: Internet Protocol security (IPSec) Software Restrictions Policies Wireless Network Policies

User Settings Management Security Settings:

Group Policybased software installation

Administracin centralizada de instalacin, reparacin, actualizacin y de-instalacin de software en el desktop del usuario Connection settings, custom Universal Resource Locators (URLs), security settings, Program Associations

Internet Explorer settings Logon/Logoff Startup/Shutdown Scripts Remote Installation Services (RIS)
Instalacin de sistema operativo y aplicaciones en forma automatizada a travs del directorio

3.4. Administracin Usuarios y Equipos

3.4.2. Group Policy Objects (GPO)

GPO:
Unidad bsica de administracin Objeto que contiene las configuraciones que van a recibir las cuentas de usuario y mquina Cada objeto GPO contiene 2 conjuntos de configuraciones:
Computer User

3.4. Administracin Usuarios y Equipos

Componentes
En los Domain Controllers:
Objecto Active Directory que contiene las configuraciones de User y Computer
Se almacena en Group Policy container en la domain partition Cada objeto tiene las siguientes propiedades:
Version information Status (Enabled/Disabled) Lista de componentes (extensions) que tienen settings en el GPO Configuracin de cada setting Policy settings as defined by the extension snap-ins:

Group Policy Template

Conjunto de archivos en el file system de los Domain Controllers, en directorio System Volume (SYSVOL) Contiene:
Administrative Templates (.ADM): Archivos que contienen registry-based Group Policy settings Security Settings Aplicaciones disponible para Software Installation Logon/Logoff y Startup/Shutdown scripots

3.4.2. Group Policy Objects (GPO)

Componentes
En las workstations:
Client-side Extensions:
DLLs que procesan los GPOs

Lista de DLLs:
Registry (in Administrative Templates) Disk Quota (in Administrative Templates) Folder Redirection Scripts Software Installation Security IP Security EFS (Encrypting File System) Recovery Internet Explorer Maintenance : Userenv.dll : Dskquota.dll : Fdeploy.dll : Gptext.dll : Appmgmts.dll : Scecli.dll : Gptext.dll : Scecli.dll : Iedkcs32.dll

3.4. Administracin Usuarios y Desktops

3.4.3. Procesamiento de GPOs

GPOs pueden ser asociados a:
Sites Active Directory Dominios Active Directory Organizational Units No pueden ser asociados a un forest

Mltiples GPOs pueden ser aplicados a un mismo site, dominio, u OU Synchronous vs Asynchronous Processing:
Default: comportamiento sincrnico
CTRL+ALT+DEL es mostrado solo cuando finaliz el procesamiento de GPO Computer settings Shell est activo solo cuando finaliz el procesamiento de GPO User Settings

Es posible configurar comportamiento asincrnico (no recomendado)

3.4.3. Procesamiento de GPOs

Orden de aplicacin
Orden de aplicacin (default):
Local/Site/Domain/OU El ltimo valor aplicado tiene precedencia

3.4.3. Procesamiento de GPOs

Orden de aplicacin. Ejemplo:

Mquinas en OU=Servers reciben GPOs:
A3, A1, A2, A4, A6

Usuarios OU=Marketing reciben GPOs:

A3, A1, A2, A5
Independientemente desde qu equipo hagan logon

3.4.3. Procesamiento de GPOs

Orden de aplicacin
Orden de aplicacin (default):
Local/Site/Domain/OU El ltimo valor aplicado tiene precedencia

Opcin Block Policy Inheritance:

Propiedad de la OU y el dominio que permite romper la herencia default de aplicacin de GPOs de niveles superiores en la jerarqua

Opcin No Override:
Propiedad del GPO link que permite que los valores configurados en un GPO determinado no sean sobre-escritos por GPOs de niveles inferiores en la jerarqua

No Override tiene prioridad sobre Block Policy Inheritance en caso de conflicto

3.4. Administracin Usuarios y Equipos

3.4.4. Group Policy Modeling

Group Policy Modeling:
Permite simular la ejecucin de GPOs previo a su implementacin en produccin en base a:
Lista de GPOs indicados Configuraciones en GPOs Cuenta de usuario Pertenencia a grupos Filtros WMI ACLs en GPO Equipo en que loguea el usuario

Muestra un reporte con los GPO settings efectivos Nota: no permite simular el Local GPO del equipo, por lo que los resultados pueden variar si es que existen Local GPO configurados en el equipo Permite a un administrador determinar los GPOs settings efectivos reales de una sesin activa de cualquier equipo del dominio en forma remota Generacin reporte HTML con resultados Requerimientos seguridad:
Permiso Remotely access Group Policy Results data en el dominio u OU que contiene al equipo o cuenta destino , Pertenencia al grupo Administrators del equipo destino

Group Policy Results:

3.4. Administracin Usuarios y Equipos

3.4.5. Security Templates

Conjunto de configuraciones de seguridad predefinidas Pueden ser aplicados a travs de:
Herramienta SECEDIT
Lnea de comando MMC Security Configuration and Analysis

Group Policy Objects (GPO)

3.4.10. Security Templates

Aplicacin de Security Templates a travs de GPO

Ejemplo:
1. Crear estructura de OUs 2. Mover servidores a OU 3. Crear Global Groups de administracin 4. Delegar administracin en la OU al grupo de administradores 5. Crear Security Templates 6. Crear GPO asociados a los OUs 7. Importar Security Template en el GPO

Active Directory: Lectura Recomendada (1/2)

Windows 2003 Resource Kit:
Windows 2003 Deployment Planning Guide Windows 2003 Distributed Systems Guide

Diseo:
Design Considerations for Delegation of Administration in Active Directory Multiple Forest Considerations Planning and Implementing Federated Forests in Windows Server2003

Soluciones:
Solution Accelerator for Domain Server Consolidation and Migration MS Solution for Identity Management Windows Server Deployment Solution Accelerator Active Directory Branch Office Planning Guide Solution Guide for Windows Security and Directory Services for UNIX

Active Directory: Lectura Recomendada (2/2)

Seguridad:
Guide to Windows Server 2003 Changes in Default Behavior Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP Windows 2003 Security Guide 823659: Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments

Operaciones:
Active Directory Operations Guide

Management:
Active Directory Management Guide

Group Policies:
Windows 2000 Change and Configuration Management Deployment Guide

Windows 2000:
Best Practice Active Directory Design for Managing Windows Networks Best Practice Active Directory Deployment for Managing Windows Networks

Visita www.microsoft.com/chile/technet