Introduccin a Active Directory

Unidad Didctica 1
Tema 1:

Introduccin a AD. Caractersticas y Posibilidades

Conceptos de Active Directory
Estndares Abiertos de Active Directory
Caractersticas y Ventajas de Active Directory
Directorio Centralizado
Inicio de sesin nico
Administracin Delegada
Interfaz de Administracin Comn
Seguridad integrada
Escalabilidad

1.-Conceptos de Active Directory

Active Directory: Servicio de directorio de una red Windows 2000/Windows
2003.
Servicio de directorio: almacena la informacin de los recursos de la red para
hacer ms fcil la accesibilidad a las aplicaciones y a los usuarios.
AD Centraliza la administracin de los componentes de la red: usuarios,
hardware, etc.
AD Almacena los de datos de seguridad para autentificacin y permisos.
AD Incluye:
El Esquema: conjunto de reglas que definen las clases de objetos y atributos
del directorio.
El Catlogo Global: contiene informacin acerca de cada uno de los objetos
del directorio.
Un sistema de ndices y consultas.
Un servicio de replicacin que distribuye los datos del directorio por toda la
red. Cualquier cambio en los datos del directorio se replica en todos los
controladores del dominio

1.1.-Terminologa de Active Directory

Atributo: Caractersticas de un objeto
Objeto: Representacin de un sistema, usuario,
recurso, servicio, etc.
Contenedor: objetos especiales que pueden
contener otros objetos.
Bosque : Agrupacin de rboles de dominio.
Compuesto por uno o varios rboles de dominio.
rboles: Agrupacin de dominios. Estructuras
que agrupan uno o ms dominios.
Dominios : Constituye un lmite de seguridad. Active Directory puede incluir uno
o ms dominios.

Unidades Organizativas: Contenedores del Directorio Activo en los que se

pueden almacenar usuarios, grupos, equipos y otras unidades organizativas.
Permiten estructurar jerrquicamente un dominio.
Sitios: Mapean la estructura fsica de la red. Combinacin de una o ms
subredes. IP conectadas en enlaces de alta velocidad. En AD debe existir, al
menos, un sitio.

2.-Estndares Abiertos de Active Directory: X.500 y LDAP

X.500:
Conjunto de estndares de redes sobre servicios de directorio.
El espacio de nombres X.500 define cmo se almacenan los objetos en Active
Directory.
Estructura de nombres jerrquica que identifica la ruta nica hacia el contenedor
de servicios de directorio. Cada objeto de cada estructura de servicios de
directorio slo se puede identificar de una forma.
Utilizando el nombre X.500, cada objeto de cada estructura de servicios de
directorio slo se puede identificar de una forma.
LDAP:
Protocolo para acceder a sistemas de directorio que asume el mismo modelo de
informacin y espacio de nombres que x.500
Creado como una versin liviana de X.500 que termin reemplazando a X.500.
Facilita el intercambio de datos entre diferentes plataformas de servicio de
directorio.
Active Directory no es un directorio X.500. Utiliza LDAP como protocolo de
acceso y soporta el modelo de informacin X.500.

3.-Caractersticas y ventajas de Active Directory

Directorio Centralizado
Inicio de sesin nico
Administracin delegada
Interfaz de administracin comn: MMC (Microsoft Management Console)
Escalabilidad
Niveles de funcionalidad: W2000/W2003
Particiones de directorio de aplicaciones
Controlador de dominio adicional instalado a partir de medios de copia de
seguridad
Desactivacin de objetos del esquema
Deshabilitar la compresin del trfico de replicacin entre diferentes sitios
Catlogo Global no necesario para el inicio de sesin

Tema 2:

Estructura Fsica de Active Directory

Estructura Fsica de Active Directory
Sitio
Controlador de Dominio
Almacn de datos
Servidores de Catlogo Global

Maestro de Operaciones
Maestro de Esquema
Maestro de Nombres de Dominio
Maestro RID
Emulador PDC
Maestro Infraestructuras
El Esquema
Componentes del Esquema
Modificacin del Esquema
Desactivacin de objetos del Esquema

1.-Estructura Fsica de Active Directory

1.1-Sitio (Site)
Definido en funcin de topologa y conectividad de red. Es un rea con buena
conectividad de red.
Afecta a:
Logonde usuarios
Trfico de replicacin
El concepto de Site es transparente para los usuarios finales.
Todos los servicios de los equipos cliente utilizan automticamente y de modo
transparente el servidor localizado en su Site.

1.2-Controlador de Dominio (DC-Domain Controller)

Aquellos servidores que almacenan una copia del directorio.

Puede existir uno o varios DCs en cada dominio.
Administran los cambios producidos en Active Directory.
Los DCs replican informacin con el resto de controladores de su dominio.

1.3-Almacn de datos de directorio

Contiene la informacin relativa a objetos como usuarios, grupos, equipos,
dominios,unidades organizativas y directivas de seguridad.
Particiones de directorio:
Dominio
Configuracin
Esquema
Aplicacin

1.4-Catlogo Global (GC-Global Catalog)

DC que almacena una copia de todos los objetos del Directorio Activo de un
bosque.
En el DC inicial de un bosque se crea automticamente un Catlogo Global.
Funciones:
Bsqueda de objetos en Active Directory
Proceso de los inicios de sesin de los usuarios
Proporciona informacin de pertenencia al grupo universal en dominios
mltiples

2.-Maestro de operaciones
Son controladores de dominio que realizan funciones especficas.

Funciones de los maestros de operaciones en Active Directory:

2.1-Maestro de Esquema
Funcin de bosque: slo uno por bosque.
Es el nico DC que puede actualizar el esquema

2.2-Maestro de Nombres de Dominio

Funcin de bosque: slo uno por bosque y tiene que ser GC.
Empleado para agregar o eliminar dominios a un bosque.

2.3-Maestro RID
Funcin de dominio: slo uno por dominio.
Asigna las secuencias de IDs relativos que componen los SIDs de los objetos de
seguridad.
Mantienen las referencias cuando se mueven objetos entre dominios.

2.4-Emulador PDC
Funcin de dominio: slo uno por dominio.
Simula los PDC (Primary Domain Controller) de Windows NT4

2.5-Maestro de Infraestructura
Funcin de dominio: slo uno por dominio.
Mantiene las referencias a objetos de otros dominios.

3.-El Esquema
Base de datos de Active Directory donde se definen los distintos tipos de objetos.
Slo un Esquema por bosque.

3.1-Componentes
Clases: define qu objetos nuevos se pueden crear en el directorio
Atributos: informacin almacenada sobre cada clase.

3.2-Modificacin del Esquema

El esquema se puede modificar: es extensible
Slo los miembros del grupo Administradores de Esquema pueden ampliarlo.

3.3-Desactivacin de objetos de Esquema

Los objetos del esquema no se pueden eliminar.
Los objetos creados se pueden Deshabilitar o Habilitar.
Mantienen las referencias cuando se mueven objetos entre dominios.

Tema 3:
Estructura Lgica de Active Directory
Objetos Estructurales de Active Directory
Particiones
Dominios
Arboles de Dominio
Bosques
Unidades Organizativas
NivelesFuncionales
Relacionesde confianza

1.-Objetos Estructurales de Active Directory

1.1-Particiones
La informacin almacenada en cada controlador de dominio se divide en cuatro
particiones: dominio, configuracin, esquema y aplicacin.
Estas particiones del directorio son las unidades de replicacin:
Particin de directorio de dominio: Objetos del directorio para el dominio.
Particin de directorio de configuracin: estructura de dominios y la topologa de
replicacin.
Particin de directorio de esquema: tipos de objetos y atributos que pueden ser
creados.
Particin de directorio de aplicaciones: datos especficos de aplicacin.

1.2-Dominios
Bloque de construccin ms bsico del modelo de Active Directory.
Es el lmite administrativo de la estructura AD.
Ayudan a estructurar la red de forma que refleje mejor la organizacin.
Cada dominio tiene, al menos, un controlador de dominio.
Un nico dominio puede abarcar varias ubicaciones fsicas distintas o sitios.
Los dominios de Active Directory se pueden organizar jerrquicamente. El primer
dominio de la empresa se conoce como dominio raz del bosque.

1.3-rboles de dominios
Formado por todos los dominios que comparten el mismo dominio raz.
El primer dominio de un rbol de dominio se denomina dominio raz.
Los dominios de Windows 2000 y Windows Server 2003 que forman parte de un
rbol estn unidos entre s mediante relaciones de confianza transitivas y
bideccionales.

1.4-Bosque
Formado por varios rboles de dominio.
Los rboles de dominio de un bosque no constituyen un espacio de nombres
contiguo.
El dominio raz del bosque es el primer dominio que se cre en el bosque.
Los dominios raz de todos los rboles de dominio del bosque establecen
relaciones de confianza transitivas con el dominio raz del bosque.

1.5-Unidades Organizativas (OU)

Objeto del Directorio Activo que puede contener a otros objetos del directorio.
Mediante las unidades organizativas podemos crear una jerarqua de objetos en
el directorio.
Los objetos ubicados dentro de una unidad organizativa pueden moverse a otra
OU pero no pueden copiarse puesto que los objetos son nicos.
Objetivo de la OU: estructurar el conjunto de los objetos del directorio,
agrupndolos.
Las OUs permiten:
Delegar la administracin.
Establecer de forma centralizada comportamientos distintos a usuarios y
equipos.

2.-Niveles funcionales
Windows Server 2003 soporta 4 niveles funcionales de dominio y 3 niveles
funcionales de bosque.
Niveles funcionales de DOMINIO:
Windows 2000 mixto. Nivel funcional por defecto cuando se crea un nuevo
dominio. Los DCs de Windows 2003 son compatibles dentro del mismo dominio
con DCs Windows NT4 y Windows 2000. Un conjunto significativo de opciones
de configuracin no estn disponibles.
Windows 2000 nativo. Los DCs de Windows 2003 son compatibles dentro del
mismo dominio con DCs que ejecuten Windows 2000 pero no Windows NT4. Se
tiene una funcionalidad completa del Directorio Activo a nivel de Windows 2000,
aunque se excluyen las nuevas opciones que Windows 2003 ha introducido en
los dominios.
Windows Server 2003 provisional. Los DCs de Windows 2003 son
compatibles dentro del mismo dominio con DCs que ejecuten Windows NT4
pero no Windows 2000.
Windows Server 2003. Los DCs de Windows 2003 son compatibles
nicamente entre s (slo puede configurarse si todos los DCs del dominio son
Windows Server 2003). Este nivel ofrece la funcionalidad completa de dominios.
Windows Server 2003 soporta 4 niveles funcionalesde dominio y 3 niveles
funcionales de bosque.
Niveles funcionales de BOSQUE:
Windows 2000. Nivel por defecto al crear un nuevo bosque. Los DCs de
Windows 2003 son compatibles dentro del bosque con DCs que ejecuten
Windows 2000 o Windows NT4. Se tiene una funcionalidad completa del bosque
a nivel de Windows 2000, aunque se excluyen las opciones que ofrece Windows
2003.
Windows Server 2003 provisional. Los DCs de Windows 2003 son
compatibles dentro del bosque con DCs que ejecuten Windows NT4 pero no
Windows 2000. Se trata de un nivel funcional reservado nicamente para la
migracin directa de NT4 a Windows 2003 en el primer dominio del bosque.
Windows Server 2003. Los DCs de Windows 2003 son compatibles
nicamente entre s (slo puede configurarse si todos los DCs del bosque son
Windows Server 2003). Este nivel ofrece la funcionalidad completa para los
bosques.
Por defecto al crear un nuevo bosque, ste se sita en el nivel funcional
"Windows 2000
Por defecto al crear un nuevo dominio, ste se sita en el nivel funcional
"Windows 2000 mixto.

3.-Relaciones de confianza

Una relacin de confianza es una relacin establecida entre dos dominios de

forma que permite a los usuarios de un dominio ser reconocidos por los DCs de
otro dominio.
Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y
a los administradores definir los permisos y derechos de usuario para usuarios del
otro dominio.

Relaciones de confianza predeterminadas:

Otras relaciones de confianza: