You are on page 1of 25

ACTIVE DIRECTORY

Carrera: Computacin e Informtica Unidad didctica: ADMINISTRACION Y CONFIGURACION DE REDES Alumno: VIDAL ALEJOS, Leonardo Michael Aula: A Semestre Acadmico: II Docente: BALCAZAR BRICEO, Victor Turno: Nocturno

Lima 2010

Active Directory

INDICE
INTRODUCCIN.....PAG.3 ACTIVE DIRECTORY......PAG.4 (Dominio- Definicin) Utilidad de los directorios Active.....PAG.5

ESTRUCTURA LGICA
Dominios........PAG.6 Modos de Dominio.....PAG.7 Mltiples dominios en la misma organizacin Relaciones de confianza ........PAG.10 Unidades Organizativas....PAG.11 Directorios de comprensin Active .......PAG.12 Objetos de Active Directory

ESTRUCTURA FSICA Sitios.....PAG.14 Controladores de dominio Funciones de los controladores de dominio.....PAG.15 Servidor de Catlogo Global OPERACIONES DE MAESTRO NICO
Maestro de identificadores relativos (RID). ...PAG.16 Emulador de controlador de dominio principal (PDC). ...PAG.17 Maestro de infraestructuras. ..PAG.18

HERRAMIENTAS DE ADMINISTRACIN....PAG.19 DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS...PAG.22


GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS ...PAG.23 CONCLUSIN BIBLIOGRAFA

Administracin y Configuracin de Redes

Pgina 2

Active Directory

INTRODUCCIN
Hoy en da, los ordenadores existentes en cualquier organizacin se encuentran formando parte de redes de ordenadores, de forma que pueden intercambiar informacin. Desde el punto de vista de la administracin de sistemas, la mejor forma de aprovechar esta caracterstica es la creacin de un dominio de sistemas, en donde la informacin administrativa y de seguridad se encuentra centralizada en uno o varios servidores, facilitando as la labor del administrador. Windows 2003 utiliza el concepto de directorio para implementar dominios de sistemas Windows 2003. En el mbito de las redes de ordenadores, el concepto de directorio (o almacn de datos) es una estructura jerrquica que almacena informacin sobre objetos en la red, normalmente implementada como una base de datos optimizada para operaciones de lectura y que soporta bsquedas de grandes datos de informacin y con capacidades de exploracin. Podemos decir, que directorio activo centraliza el control sobre todo lo concerniente a dominios basados en Windows NT 4.0, Windows 2000 y Windows 2003. Los clientes pueden estaciones de trabajo y ordenadores Windows y cualquier equipo que soporte este tipo de implementacin La estructura de directorio activo tiene una forma jerrquica donde se localizan los objetos. Estos objetos caen en tres tipos de categoras: Recursos, como por ejemplo impresoras. Servicios, como correo, Web, FTP, etc. Usuarios, los cuales incluyen cuentas para conectarse, grupos de trabajo, etc

Administracin y Configuracin de Redes

Pgina 3

Active Directory

Active Directory
El directorio
Un directorio es una fuente de informacin usada para almacenar informacin sobre objetos interesantes. Un directorio telefnico almacena informacin sobre los subscriptores. En un sistema de archivo, el directorio almacena informacin sobre los archivos. En un sistema computacional distribuido o una red computacional pblica como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "trminos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes pblicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de informacin del directorio como los servicios que hacen la informacin disponible y utilizable para los usuarios. Un servicio de directorio es uno de los ms importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y los administradores no saben el nombre exacto de los objetos en los cuales estn interesados. Pueden conocer uno o ms atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede:

Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes mltiples para permitir el almacenaje de un gran nmero de objetos.

Un directorio activo o Active Directory es una estructura de directorios que se utiliza en equipos basados en Windows de Microsoft y servidores para almacenar informacin y datos sobre redes y dominios. Se utiliza principalmente para obtener informacin en lnea y fue creado originalmente en 1996. Se utiliz por primera vez con Windows 2000.

Administracin y Configuracin de Redes

Pgina 4

Active Directory
Un directorio activo (a veces denominado un AD) hace una variedad de funciones, incluida la capacidad de proporcionar informacin sobre objetos, ayuda a organizar estos objetos para facilitar su recuperacin y acceso, permite el acceso por los usuarios finales y administradores y permite al administrador establecer la seguridad para el directorio. Un directorio activo puede ser definido como una estructura jerrquica y esta estructura generalmente se divide en tres categoras principales, los recursos que pueden incluir hardware tales como impresoras, servicios para los usuarios finales, como servidores de correo electrnico Web y objetos que son las principales funciones de la red y el dominio.

Utilidad de los directorios Active


Si usted es un administrador de equipo para una gran compaa u organizacin, puede actualizar fcilmente todos los equipos de los usuarios finales con el nuevo software, parches y archivos simplemente mediante la actualizacin de un objeto en un bosque o rbol. Debido a que cada objeto se ajusta a un esquema definido y tiene atributos especficos, un administrador de red puede borrar fcilmente de una persona en un rbol de conjunto o dar al instante o denegar el acceso para seleccionar los usuarios para ciertas aplicaciones. Los servidores de Microsoft utilizan confianza para determinar si o no debe ser permitido el acceso. Dos tipos de fideicomisos que incorporan directorios activos de Microsoft son relaciones de confianza transitivas y una forma de relaciones de confianza transitivas no. Una confianza transitiva es cuando hay una relacin de confianza que va ms all de dos dominios en un rbol de conjunto, lo que significa que dos entidades son capaces de acceder a cada uno de ellos y otros dominios y rboles. Una confianza transitiva unidireccional es cuando un usuario tiene permitido el acceso a otro rbol o dominio; Sin embargo, el otro dominio no permite el acceso a los dominios adicionales. Esto puede resumirse como un administrador de la red y el usuario final. El administrador de la red puede acceder la mayora de los rboles en el bosque incluyendo el dominio de un usuario final especfico. Sin embargo, el usuario final, mientras que es capaz de tener acceso a su propio dominio, no puede acceder otros rboles. Es importante sealar que los directorios activos son una excelente manera de organizar una gran organizacin o datos de los equipos de Corporacin y red. Sin un directorio activo, la mayora de los usuarios finales tendra equipos que seran necesario actualizarse de forma individual y no tendran acceso a una red ms grande donde se pueden procesar los datos y se pueden crear informes. Mientras que directorios activos pueden ser tcnica para una buena medida y requieren una experiencia considerable para navegar, que son esenciales para el almacenamiento de informacin y datos en redes.

Administracin y Configuracin de Redes

Pgina 5

Active Directory

ESTRUCTURA LGICA
La estructura lgica del Directorio Activo se centra en la administracin de los recursos de la red organizativa, independientemente de la ubicacin fsica de dichos recursos, y de la topologa de las redes subyacentes. Como veremos, la estructura lgica de la organizacin se basa en el concepto de dominio, o unidad mnima de directorio, que internamente contiene informacin sobre los recursos (usuarios, grupos, directivas, etc.) disponibles para los ordenadores que forman parte de dicho dominio. Dentro de un dominio es posible subdividir lgicamente el directorio mediante el uso de unidades organizativas, que permiten una administracin independiente sin la necesidad de crear mltiples dominios. Sin embargo, si la organizacin desea estructurarse en varios dominios, tambin puede hacerlo, mediante los conceptos de rbol y bosque; ambos son jerarquas de dominios a distintos niveles, en funcin de si los dominios comparten o no un espacio de nombres comn. A continuacin se presentan todos estos conceptos de forma ms detallada.

Dominios
La unidad central de la estructura lgica del Directorio Activo es el dominio. Un dominio es un conjunto de equipos que comparten una base de datos de directorio comn. Dentro de una organizacin, el Directorio Activo se compone de uno o ms dominios, cada uno de ellos soportado, al menos, por un controlador de dominio. Como hemos visto, cada dominio se identifica unvocamente por un nombre de dominio DNS, que debe ser el sufijo DNS principal de todos los ordenadores miembros del dominio, incluyendo el o los controladores. El uso de dominios permite conseguir los siguientes objetivos:

Delimitar la seguridad. Un dominio Windows 2003 define un lmite de seguridad. Las directivas de seguridad, los derechos administrativos y las listas de control de acceso (Access Control Lists, ACLs) no se comparten entre los dominios. Active Directory puede incluir uno o ms dominios, teniendo cada uno sus propias directivas de seguridad. Replicar informacin. Un dominio es una particin del directorio, las cuales son unidades de replicacin. Cada dominio almacena solo la informacin sobre los objetos localizados en este dominio. Active Directory utiliza un modelo de replicacin con varios maestros. Todos los controladores de dominio del dominio pueden recibir cambios realizados sobre los objetos, y pueden replicar estos cambios a todos los controladores de dominio en el dominio. Aplicar Polticas de Grupo. Un dominio define un posible mbito para las polticas. Al aplicar un objeto de poltica de grupo (GPO) al dominio, este establece como los recursos del dominio se configuran y se usan. Estas polticas se aplican dentro del dominio y no a travs de los dominios. Delegar permisos administrativos. En las redes que ejecutan Windows 2003, se puede delegar a medida la autoridad administrativa tanto para unidades organizativas (OUs) individuales como a dominios individuales, lo cual reduce el nmero de administradores necesarios con amplios permisos administrativos. Ya que un dominio representa un lmite de seguridad, los permisos administrativos se limitan al dominio.

Administracin y Configuracin de Redes

Pgina 6

Active Directory Modos de Dominio


Tras instalar el Directorio Activo y crear un dominio nuevo, ambos se ejecutan en modo mixto. Un dominio en modo mixto es compatible con controladores de dominio que ejecutan Windows 2003 y Windows NT. Si la red no dispone de ningn controlador de dominio NT (PDC) o cuando todos los controladores de dominio se hayan actualizado a Windows 2003, se puede convertir el dominio de modo mixto a modo nativo. En un dominio en modo nativo, todos los controladores de dominio ejecutan Windows 2003. Sin embargo, no es necesario actualizar a Windows 2003 los servidores miembro y los clientes con NT Workstation o W9x antes de convertir un dominio a modo nativo. Lo que s es necesario subrayar es que parte de la funcionalidad del Directorio Activo Directory requiere que el dominio est en modo nativo. Adems, puede convertirse un dominio a modo nativo independientemente de los modos de otros dominios del bosque. El cambio de modo mixto a modo nativo es un proceso irreversible.

Mltiples dominios en la misma organizacin


Existen muchos casos en los que es interesante disponer de varios dominios de ordenadores Windows 2003 en la misma organizacin (distribucin geogrfica o departamental, distintas empresas, etc.). El Directorio Activo permite almacenar y organizar la informacin de directorio de varios dominios de forma que, aunque la administracin de cada uno sea independiente, dicha informacin est disponible para todos los dominios. Segn los estndares de nombres DNS, los dominios de Active Directory se crean dentro de una estructura de rbol invertida, con la raz en la parte superior. Adems, esta jerarqua de dominios de Windows 2003 se basa en relaciones de confianza, es decir, los dominios se vinculan por relaciones de confianza entre dominios. Cuando se instala el primer controlador de dominio en la organizacin se crea lo que se denomina el dominio raz del bosque, el cual contiene la configuracin y el esquema del bosque (compartido por todos los dominios de la organizacin). Ms adelante, podemos agregar dominios como subdominios de dicha raz (rbol de dominios) o bien crear otros dominios "hermanos" de la raz (bosque de dominios), debajo del cual podemos crear subdominios, y as sucesivamente. A. rbol. Un rbol es un conjunto de uno o ms dominios que comparten un espacio de nombres contiguo. Si existe ms de un dominio, estos se disponen en estructuras de rbol jerrquicas. El primer dominio creado es el dominio raz del primer rbol. Cuando se agrega un dominio a un rbol existente este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente por arriba de otro dominio en el mismo rbol de dominio es su padre. Todos los dominios que tengan un dominio raz comn se dice que forman un espacio de nombres contiguo. Los dominios secundarios (hijos) pueden representar entidades geogrficas (Valencia, Madrid, Barcelona), entidades administrativas dentro de la organizacin (departamento de ventas, departamento de desarrollo...), u otras delimitaciones especficas de una organizacin, segn sus necesidades.

Administracin y Configuracin de Redes

Pgina 7

Active Directory
Los dominios que forman un rbol se enlazan mediante relaciones de confianza bidireccional y transitiva. La relacin padre-hijo entre dominios en un rbol de dominio es simplemente una relacin de confianza. Los administradores de un dominio padre no son automticamente administradores del dominio hijo y el conjunto de polticas de un dominio padre no se aplican automticamente a los dominios hijo. Por ejemplo, en la Universidad Politcnica de Valencia cuyo dominio actual de Active Directory es upv.es se crean dos nuevos departamentos: DSIC y DISCA. Con el fin de permitir la administracin de los dominios por parte de los tcnicos de los respectivos departamentos, se decide agregar dos nuevos dominios a su rbol de dominios existente en lugar de crear dos unidades organizativas en el dominio existente. Los dominios resultantes, dsic.upv.es y disca.upv.es forman un espacio de nombres contiguo, cuya raz es upv.es. El administrador del dominio padre (upv.es) puede conceder permisos para recursos a cuentas de cualquiera de los tres dominios del rbol, pero por defecto no los puede administrar. B. Bosque. Un bosque es un grupo de rboles que no comparten un espacio de nombres contiguo, conectados a travs de relaciones de confianza bidireccionales y transitivas. Un dominio nico constituye un rbol de un dominio, y un rbol nico constituye un bosque de un rbol. Los rboles de un bosque aunque no forman un espacio de nombres comn, es decir, estn basados en diferentes nombres de dominio raz de DNS, comparten una configuracin, un esquema de directorio comn y el denominado catlogo global.

Administracin y Configuracin de Redes

Pgina 8

Active Directory
Es importante destacar que, aunque los diferentes rboles de un bosque no comparten el espacio de nombres, el bosque tiene un nico dominio raz, llamado el dominio raz del bosque. Este ser el primer dominio creado en el bosque Aadir nuevos dominios a un bosque es fcil. Sin embargo, no se pueden mover dominios de Active Directory entre bosques. Solamente se podrn eliminar dominios de un bosque si este no tiene dominios hijo. Adems, despus de haber establecido el dominio raz de un rbol, no se pueden aadir dominios con un nombre de nivel superior al bosque. Tampoco se puede crear un dominio padre de un dominio existente. El implementar bosques y rboles de dominio permite mantener convenciones de nombres contiguos y discontiguos, lo cual puede ser til en organizaciones con divisiones independendientes que quieren mantener sus propios nombres DNS. En resumen, cuando promocionamos un servidor Windows 2003 a controlador de dominio (mediante el asistente dcpromo, tenemos que decidir una de las siguientes opciones de instalacin: 1. DC adicional de un dominio existente o de un dominio nuevo (creacin de un dominio). 2. En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio de un rbol de dominios ya creado), o bien el dominio principal (raz) de un nuevo rbol de dominios. 3. En este segundo caso, el dominio raz puede ser de un bosque existente o de un nuevo bosque.

Administracin y Configuracin de Redes

Pgina 9

Active Directory

Relaciones de confianza
Una relacin de confianza es una relacin establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por un controlador de dominio de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y a los administradores definir los derechos de usuario para los usuarios del otro dominio. Todas las relaciones de confianza en un bosque basado en Windows 2003 son bidireccionales y transitivas: a. Bidireccionales: cuando se crea un nuevo dominio hijo, este automticamente confa en el dominio padre y viceversa. b. Transitivas: si el dominio A y el dominio B (padre e hijo) confan el uno en el otro y adems el dominio B y el dominio C (tambin padre e hijo) confan el uno en el otro, entonces el dominio A y el domino C confan mutuamente el uno en el otro de forma implcita, aunque no exista una relacin de confianza directa entre ellos. Hablando del bosque, podemos decir que una relacin de confianza se crea automticamente entre el dominio raz del bosque y el dominio raz de cada rbol de dominio aadido al bosque, lo que provoca que exista una confianza completa entre todos los dominios en un bosque de Active Directory. Desde un punto de vista prctico, un nico proceso de inicio de sesin (logon) le permite al sistema autentificar a un usuario o mquina en cualquier dominio del bosque. Por tanto, este proceso permite potencialmente a las cuentas de usuario y mquina acceder a los recursos en cualquier dominio del bosque. Adems de las confianzas transitivas y bidireccionales del bosque, que se generan automticamente en el sistema operativo Windows 2003, se pueden crear explcitamente dos tipos diferentes de relaciones de confianza: A. Relacin de confianza de acceso directo: una relacin de confianza de acceso directo, tambin denominada relacin de confianza de vnculo cruzado, es una relacin de confianza creada manualmente, que mejora la eficacia de los inicios de sesin remotos, acortando la ruta de confianza. Si los usuarios del dominio A necesitan frecuentemente tener acceso a los recursos del dominio C, se podra crear un vnculo directo mediante una relacin de confianza de acceso directo, de forma que se omita el dominio B en la ruta de confianza. Una relacin de confianza de acceso directo tiene las siguientes caractersticas:

Se puede establecer entre cualesquiera dos dominios del mismo bosque. Debe establecerse manualmente en cada direccin. Debe ser transitiva.

B. Relacin de confianza externa: una relacin de confianza externa se crea manualmente entre dominios de Windows 2003 que pertenencen a bosques diferentes o entre un dominio de Windows

Administracin y Configuracin de Redes

Pgina 10

Active Directory
2003 y un dominio cuyo controlador de dominio ejecuta Windows NT 4.0. Las relaciones de confianza externas son unidireccionales e intransitivas, y deben establecerse manualmente en cada sentido para poder disponer de una relacin de confianza externa bidireccional.

Unidades Organizativas
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Es decir, es un contenedor de otros objetos, de forma anloga a una carpeta o directorio en un sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., adems de otras unidades organizativas. Es decir, mediante unidades organizativas podemos crear una jerarqua de objetos en el directorio (lo cual se asemeja otra vez a un sistema de archivos tpico de Windows). Los objetos ubicados dentro de una unidad organizativa pueden moverse ms tarde a otra, si fuera necesario. Sin embargo, un objeto no puede copiarse: cada objeto es nico en el directorio, y su existencia es independiente de la unidad organizativa a la que pertenece. Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupndolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten: a. Conseguir una estructuracin lgica de los objetos del directorio, de acuerdo con la organizacin de la empresa (por departamentos o secciones, sedes, delegaciones geogrficas, etc.). Entre otras ventajas, esta organizacin le permite al administrador del dominio una gestin ms lgica de usuarios, grupos, equipos, etc., pero tambin le permite a cualquier usuario una bsqueda de los objetos ms sencilla cuando explora el directorio buscando recursos (por ejemplo, se podra localizar fcilmente las impresoras compartidas del edificio central de la delegacin de Alicante). b. Delegar la administracin. Cada unidad organizativa puede administrarse de forma independiente. En concreto, se puede otorgar la administracin total o parcial de una unidad organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administracin de subconjuntos estancos del dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada. c. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada unidad organizativa pueden vincularse polticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en funcin exclusivamente de la unidad organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de contabilidad para que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica. En muchos sentidos, el concepto de unidad organizativa se puede utilizar en Windows 2003 de la misma forma que se entenda el concepto de dominio en versiones

Administracin y Configuracin de Redes

Pgina 11

Active Directory
anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursos administrados independientemente. En realidad, en Windows 2003 el concepto de dominio viene ms bien asociado a la distribucin de los sitios (topologa de red) y a la implementacin de DNS que exista (o quiera crearse) en la empresa. De este modo, en muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (polticas) diferentes.

Directorios de comprensin Active


Es interesante observar el marco para los objetos. Recuerde que un objeto puede ser una pieza de hardware, como una impresora, usuario final o definida por el administrador de configuracin de seguridad. Estos objetos pueden contener otros objetos dentro de su estructura de archivo. Todos los objetos tienen un ID, generalmente con un nombre de objeto (nombre de la carpeta). Adems de estos objetos ser capaz de contener otros objetos, cada objeto tiene sus propios atributos que permite que se caracterice por la informacin que contiene. La mayora de los profesionales de TI llaman a estos esquemas de configuracin o caracterizaciones.

Objetos de Active Directory


Los objetos descritos en la tabla siguiente se crean durante la instalacin de Active Directory. Icono Carpeta Descripcin Dominio El nodo raz del complemento representa el dominio que se va a administrar. Equipos Contiene todos los equipos con Windows NT, Windows 2003, Windows XP y Windows Server 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Sistema Contiene informacin de sistemas y servicios de Active Directory. Usuarios Contiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario.

Administracin y Configuracin de Redes

Pgina 12

Active Directory
Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Usuario Descripcin Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso. Contacto Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrnico. Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, sta es la cuenta de equipo. Unidad Las unidades organizativas se utilizan como contenedores para organizativa organizar de manera lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administracin de cantidades grandes de objetos. Carpeta Una carpeta compartida es un recurso compartido de red que se compartida ha publicado en el directorio. Impresora Una impresora compartida es una impresora de red que se ha compartida publicado en el directorio.

El tipo de esquema creado para una carpeta en ltima instancia determinar cmo se utilizan estos objetos. Por ejemplo, no se puede eliminar algunos objetos con ciertos esquemas, slo pueden ser desactivados. Otros tipos de esquemas con determinados atributos pueden eliminarse completamente. Por ejemplo, se puede eliminar un objeto de usuario, pero no se puede eliminar el objeto de administrador. Cuando la comprensin directorios activos, es importante conocer el marco en el que se pueden ver objetos en. De hecho, un directorio activo puede verse en cualquiera de los tres niveles, estos niveles son llamados los bosques, rboles o dominios. La estructura ms alta se llama el bosque porque puede ver todos los objetos incluidos en el directorio activo. Dentro de la estructura de bosques son rboles, estas estructuras suelen contener uno o ms dominios. Bajar an ms la estructura de un directorio activo es dominios nico. Poner el bosque, rboles y dominios en perspectiva, considere el siguiente ejemplo. Una gran organizacin tiene varias docenas de usuarios y procesos. El bosque puede ser toda la red de usuarios finales y equipos especficos en una definicin de la ubicacin. Dentro de este directorio de bosque son ahora rboles que contienen informacin sobre objetos especficos tales como controladores de dominio, datos de programa y sistema, entre otros. Dentro de estos objetos son incluso ms objetos que pueden ser controlados y clasificados.

Administracin y Configuracin de Redes

Pgina 13

Active Directory

ESTRUCTURA FSICA
En Active Directory, la estructura lgica est separada de la estructura fsica. La estructura lgica se utiliza para organizar los recursos de red mientras que la estructura fsica se utiliza para configurar y administrar el trfico de red. En concreto, la estructura fsica de Active Directory se compone de sitios y controladores de dominio. La estructura fsica de Active Directory define dnde y cundo se producen el trfico de replicacin y de inicio de sesin. Una buena comprensin de los componentes fsicos de Active Directory permite optimizar el trfico de red y el proceso de inicio de sesin, as como solventar problemas de replicacin.

Sitios
Un sitio es una combinacin de una o varias subredes IP que estn conectadas por un vnculo de alta velocidad. Definir sitios permite configurar la topologa de replicacin y acceso a Active Directory de forma que Windows 2003 utilice los vnculos y programas ms efectivos para el trfico de inicio de sesin y replicacin. Normalmente los sitios se crean por dos razones principalmente:

Para optimizar el trfico de replicacin. Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexin confiable de alta velocidad.

Es decir, los sitios definen la estructura fsica de la red, mientras que los dominios definen la estructura lgica de la organizacin.

Controladores de dominio
Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesin de usuario. La informacin almacenada en cada controlador de dominio se divide en tres categoras (particiones): dominio, esquema y datos de configuracin. Estas particiones del directorio son las unidades de replicacin: A. Particin de directorio de dominio: contiene todos los objetos del directorio para este dominio. Los datos del dominio en cada dominio se replican a cada controlador de domino en este dominio, pero no mas all del dominio. B. Particin del directorio de esquema: contiene todos los tipos de objetos y atributos que pueden ser creados en el Active Directory. Estos datos son comunes a todos los dominios en el bosque. Por tanto los datos del esquema se replican a todos los controladores de dominio del bosque.

Administracin y Configuracin de Redes

Pgina 14

Active Directory
C. Particin de directorio de configuracin: contiene la topologa de replicacin y los metadatos. Por ejemplo, aplicaciones compatibles con Active Directory almacenan informacin en esta particin del directorio. Estos datos son comunes a todos los dominios en el bosque, y se replican a todos los controladores de dominio en el bosque. Adems de estas tres particiones de directorio de escritura, existe una cuarta categora de informacin almacenada en un controlador de dominio: el catlogo global. Un catlogo global es un controlador de dominio que almacena las particiones de directorio de escritura, as como copias parciales de slo lectura de todas las dems particiones de directorio de dominio del bosque.

Funciones de los controladores de dominio


Las versiones anteriores de Windows NT Server usaban mltiples controladores de dominio y slo se permita que uno de ellos actualizase la base de datos del directorio. Este esquema de maestro nico exiga que todos los cambios se replicasen desde el controlador de dominio principal (Primary Domain Controller, PDC) a los controladores de dominio secundarios o de reserva (Backup Domain Controllers, BDCs). En Windows 2003, todos los controladores de dominio admiten cambios, y estos cambios se replican a todos los controladores de dominio. Las operaciones de administracin de usuarios, grupos y equipos son operaciones tpicas de mltiples maestros. Sin embargo no es prctico que algunos cambios se realicen en mltiples maestros debido al trfico de replicacin y a los posibles conflictos en las operaciones bsicas. Por estas razones, las funciones especiales, como la de servidor de catlogo global y operaciones de maestro nico, se asignan slo a determinados controladores de dominio. A continuacin veremos estas funciones.

Servidor de Catlogo Global


El catlogo global es un depsito de informacin que contiene un subconjunto de atributos para todos los objetos de Active Directory (particin de directorio de dominio). Los atributos que se almacenan en el catlogo global son los que se utilizan con ms frecuencia en las consultas. El catlogo global contiene la informacin necesaria para determinar la ubicacin de cualquier objeto del directorio. Un servidor de catlogo global es un controlador de dominio que almacena una copia del catlogo y procesa las consultas al mismo. El primer controlador de dominio que se crea en Active Directory es un servidor de catlogo global. Se pueden configurar controladores de dominio adicionales para que sean servidores de catlogo global con el fin de equilibrar el trfico de autenticacin de inicios de sesin y la transferencia de consultas. El catlogo global cumple dos funciones importantes en el directorio:

Permite que un usuario inicie una sesin en la red mediante el suministro de la informacin de pertenencia a grupos universales a un controlador de dominio cuando inicia un proceso de sesin. Permite que un usuario busque informacin de directorio en todo el bosque, independiente de la ubicacin de los datos.

Administracin y Configuracin de Redes

Pgina 15

Active Directory

OPERACIONES DE MAESTRO NICO


Un maestro de operaciones es un controlador de dominio al que se le ha asignado una o varias funciones de maestro nico en un dominio o bosque de Active Directory. Los controladores de dominio a los que se les asignan estas funciones realizan operaciones que no pueden ocurrir simultneamente en otros controladores de dominio de la red. La propiedad de estas operaciones de maestro nico puede ser transferida a otros controladores de dominio. Todos los bosques de Active Directory deben tener controladores de dominio que cumplan dos de las cinco funciones de operaciones de maestro nico. Las funciones para todo el bosque son: Maestro de esquema. El controlador de dominio maestro de esquema controla todas las actualizaciones y modificaciones del esquema. Para actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. Slo puede haber un maestro de esquema en todo el bosque. Maestro de nombres de dominio. El controlador de dominio maestro de esquema controla las operaciones de agregar o quitar dominios del bosque, asegurando que los nombres de dominio sean nicos en el bosque. Nota Cualquier controlador de dominio que ejecute Windows Server 2003 puede desempear la funcin de maestro de nombres de dominio. Los controladores de dominio que ejecutan Windows 2000 Server y desempean la funcin de maestro de nombres de dominio deben estar habilitados tambin como servidor de catlogo global.

Todos los dominios de Active Directory deben tener controladores de dominio que cumplan tres de las cinco funciones de operaciones de maestro nico: Maestro de identificadores relativos (RID). El controlador de dominio maestro de identificadores relativos (RID) asigna secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento slo puede haber un controlador de dominio que acte como maestro de RID en cada dominio del bosque. Cuando un controlador de dominio crea un objeto de usuario, grupo o equipo, asigna al objeto un identificador de seguridad nico (SID). Este identificador est formado por un identificador de seguridad de dominio, que es el mismo para todos los que se crean en el dominio, y un identificador relativo que es nico para cada identificador de seguridad que se crea en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debe iniciar la operacin en el controlador de dominio que acta como maestro de RID en el dominio que contiene el objeto en ese momento.

Administracin y Configuracin de Redes

Pgina 16

Active Directory
Emulador de controlador de dominio principal (PDC). Para mantener la compatibilidad con servidores basados en Windows NT que puedan funcionar como controladores de dominio de reserva (BDC) en dominios de Windows 2003 en modo mixto, pero todava requieren un controlador principal de dominio (PDC), se asigna a un controlador de dominio especfico basado en Windows 2003, la funcin de emular a un PDC. A este controlador de dominio lo ven los servidores basados en NT como un PDC. Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o Windows XP Professional o bien si contiene controladores de dominio de reserva (BDC) de Windows NT, el maestro emulador de PDC acta como controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contrasea de los clientes y replica las actualizaciones en los BDC. En todo momento slo puede haber un controlador de dominio que acte como maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, el maestro emulador del PDC tambin se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deber configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecucin del comando "net time" con la sintaxis siguiente: net time \\ nombreServidor /setsntp: recursoHora El resultado final ser que la hora slo variar unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000. El emulador del PDC recibe una replicacin preferencial de los cambios realizados en las contraseas por otros controladores del dominio. Si una contrasea ha cambiado recientemente, ese cambio tarda algn tiempo en replicarse en cada controlador del dominio. Si una autenticacin de inicio de sesin produce un error en otro controlador de dominio debido a una contrasea incorrecta, ese controlador de dominio reenviar la solicitud de autenticacin al emulador del PDC antes de rechazar el intento de inicio de sesin. El controlador de dominio configurado con la funcin de emulador del PDC admite dos protocolos de autenticacin: el protocolo Kerberos V5 el protocolo NTLM

Maestro de infraestructuras. Cuando los objetos se mueven o se eliminan, un controlador de dominio de cada dominio, el maestro de infraestructura, es el responsable de actualizar los identificadores de seguridad y nombres completos en las referencias de objetos de dominio cruzado de ese dominio.

Administracin y Configuracin de Redes

Pgina 17

Active Directory
En todo momento slo puede haber un controlador de dominio que acte como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catlogo global. Los catlogos globales reciben actualizaciones peridicas de los objetos de todos los dominios mediante la replicacin, de forma que los datos de los catlogos globales siempre estn actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catlogo global. Despus el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio. Importante A menos que haya un nico controlador de dominio en el dominio, la funcin de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catlogo global. Si el maestro de infraestructuras y el catlogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionar. El maestro de infraestructuras no encontrar nunca datos no actualizados, por lo que nunca replicar los cambios en los otros controladores del dominio. Si todos los controladores del dominio tambin albergan el catlogo global, todos los controladores de dominio ya tendrn los datos ms actuales y ser irrelevante conocer el controlador de dominio que desempea la funcin de maestro de infraestructuras. El maestro de infraestructuras tambin es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variacin o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicacin del miembro. As se evita perder las pertenencias de grupo que estn asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras distribuye la actualizacin a travs de la replicacin de varios maestros. La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualizacin del grupo. Slo un administrador que est examinando la pertenencia a ese grupo en particular podra darse cuenta de la falta momentnea de coherencia.

Administracin y Configuracin de Redes

Pgina 18

Active Directory

HERRAMIENTAS DE ADMINISTRACIN DEL DIRECTORIO ACTIVO


Hay una serie de herramientas que se pueden usar para administrar el directorio activo y los servidores DNS. Muchas de las herramientas que te muestro, tambin sern utilizadas para la administracin del AD LDS o directorio ligero. Active Directory Domains and Trust Esta herramienta administra las relaciones de confianza entre dominios. Los niveles de funcionalidad del dominio y los sufijos principales. Schema Snap-In de Directorio Activo Modificacin del esquema de Active Direcory o Light Active Directory. Para que funcione y puedas agregarla en una mmc debes registrar la librera de system32 llamada Schmmgmt.dll Active Directory Sites and Services Puedes utilizarla para configurar y administrar los scopes y la replicacin de los escenarios de tu infraestructura de directorio activo. Active Directory Users and Computers Configura y administra de forma centralizada las caractersticas y roles del dominio en cuanto a FSMO o RODC (Read Only Domain Controler) ADSI Edit Consulta, mira y edita los objetos y atributos de estos de directorio. CSVDE.exe Importa datos en AD o en AD LDS (light) DCDiag.exe Diagnostica problemas en el directorio activo. DCPromo.exe Agrega o quita un controlador de dominio DFSRadmin.exe Administra el sistema de replicacin de archivos por el cual se replica la informacin de los controladores de dominio entre ellos. Desde Windows server 2008 se ha comenzado a usar esta tecnologa. Slo funciona cuando ests utilizando el nivel de funcionalidad Windows 2008 en todo el dominio. DSACLS.exe Gestiona y controla las listas de acceso (ACLs) de los objetos del directorio activo. DSAdd.exe Aade objetos al directorio activo: Usuarios, mquinas, grupos y mquinas. DSAMain.exe Monta la base de datos del directorio activo ( .dit ) para backups o snapshot e identificar los contenidos de la base de datos de directorio antes de una restauracin.

Administracin y Configuracin de Redes

Pgina 19

Active Directory
DSBUtil.exe Mantenimiento de la base de datos del Active Directory. Configura los puertos usados para el AD LDS ( Light ) y puedes ver las instancias del directorio ligero. DSGet.exe Consultar propiedades de objetos del directorio como usuarios y mquinas. DSMove.exe Mueve objetos en el directorio de unas OUs a otras siendo ests mquinas, grupos, usuarios DSMGmt.exe Es el encargado de administrar la particin de aplicacin y realizar operaciones y acciones en el maestro de operaciones. DSMod.exe Modifica objetos del directorio activo, pudiendo cambiar las propiedades de dichos objetos. DSRm.exe Borra objetos del directorio Activo. Visor de sucesos El visor de sucesos del directorio activo, para consultar errores y auditorias de objetos del Da. GPFixUp.exe Repara dependencias de nombre de dominio y polticas de grupo al renombrar un dominio. Tambin vuelve a hacer los link despus de haber renombrado un dominio. Group Policy Management Console Crea, administra y hace backups y restores de las GPOs KSetup.exe Configura un cliente para usar la versin de Kerberos v5 LDIFDE.exe Importa datos dentro del directorio activo ligero o AD LDS. Ldp.exe Personaliza operaciones LDAP. Movetree.exe Mueve objetos entre dominios y bosques Netdom.exe Administra con la herramienta mquinas, cuentas y relaciones de confianza etc

Administracin y Configuracin de Redes

Pgina 20

Active Directory
NLtest.exe Consulta el estado de replicacin en las relaciones de confianza. Ntdsutil.exe Solo con AD DS y NO con AD LDS. Personaliza el mantenimiento de la base de datos del directorio activo. Repadmin.exe Soluciona y diagnostica problemas de la replicacin de los controladores de dominio utilizando FRS (File Replication Service), usado cuando el nivel de funcionalidad del bosque se NO encuentra en W2008 Nativo. Server Manager Administra un dominio existente, un controlador de dominio existente o un AD LDS ( light ). System Monitor Realiza performances del directorio activo para ver cuntas consultas y como estn de cargados los servidores de directorio. W32tm.exe Configura y diagnostica la sincronizacin de la hora con nuestro servidor PDC. Windows Server Backups Hace Backups y restauraciones del AD DS y de AD LDS (light). Con esta lista tenemos prcticamente todas las herramientas con las que podemos gestionar el Directorio Activo. Tienes que tener en cuenta que puedes encontrarte en la situacin que algunas no funcionen en versiones W2008 o W2003, pero he querido escribir en el post todas ellas. Podrs encotrar ms herramientas grficas por Internet pero realmente todas se basan en las herrameintas nativas del sistema operativo que son estas.

Administracin y Configuracin de Redes

Pgina 21

Active Directory

DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS


Las GPOs son un conjunto de una o ms polticas del sistema. Cada una de las polticas del sistema establece una configuracin del objeto al que afecta especficamente. Una directiva de grupo consta de varias componentes configurables. El primero son las plantillas administrativas, que definen las directivas basadas en el registro. Los otros componentes principales de directiva de grupos son los siguientes Configuracin de la seguridad: Configura la seguridad de los usuarios, computadoras y dominios. Secuencia de comandos: Especifica las secuencias de comandos para el inicio y el apagado de las computadoras, as como para los eventos de inicio y cierre de sesin de los usuarios. Redireccin de carpetas: Ubica en la red las carpetas esenciales como mis documentos o las carpetas de aplicacin especificada.

Instalacin de Software: Asigna las aplicaciones a los usuarios.


Las GPOS almacenan la informacin de dos ubicaciones: En una estructura de carpetas denominada plantillas de directiva de grupo (Group Policy Template, GPT) y en un contenedor de directivas de grupo (Group Policy Container, GPC) de AD. La GPT se halla en la carpeta SYSVOL de todos los controladores de dominio. Contiene informacin sobre las directivas de software, sobre las implantaciones de archivos y aplicaciones, sobre las secuencia de comandos y sobre la configuracin de seguridad. Las GPC contienen propiedades de las GPO, como la informacin de clases de AD relacionada con la implantacin de las aplicaciones. La informacin almacenada en las GPC no se modifica con frecuencia.

Administracin y Configuracin de Redes

Pgina 22

Active Directory

GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS


Cuando se establece una relacin de confianza entre dos dominios los usuarios de uno de los dominios pueden tener acceso a los recursos ubicados en el otro. Los arboles de dominios de AD son conjuntos de dominios que no solo comparten el mismo esquema, la misma configuracin y el mismo espacio de nombres, si no que tambin estn conectados por relaciones de confianza. Windows Server 2003 soporta tres tipos de relaciones de confianza: Las relaciones de confianza explicita: Establecen relaciones manuales para entregar la ruta de acceso para autenticarse. Pueden ser de una o 2 vas. Las relaciones de confianza transitivas jerrquicas: Son confianzas automticas de dos vas existentes entre dominios. Para el flujo utiliza servidores de paso para utilizar recursos de dos o mas arboles no conectados directamente; esto maximiza las relaciones entre Windows porque evita tener exceso de confianza para conectarse con todas las maquinas de la red. Las relaciones de confianza de los bosques: Permiten crear tanto relaciones de confianza transitivas como intransitivas entre dos bosques de Windows Server 2003.

Administracin y Configuracin de Redes

Pgina 23

Active Directory

CONCLUSIN
El Active Directory proporciona un mtodo para el diseo de la estructura de directorios que responde a las necesidades de cualquier organizacin. El Active Directory posee numerosas ventajas, no slo el poder manejar instalaciones de cualquier tamao, desde un nico servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory tambin simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una nica forma de acceder a mltiples directorios, ya estn basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services). En Windows 2003, Active Directory integra el concepto de espacio de nombres de Internet con los servicios de directorio del sistema operativo. Esta combinacin permite la unificacin de mltiples espacios de nombres entre, por ejemplo, la mezcla de entornos software y hardware de las redes corporativas, incluso de un lado a otro de las fronteras entre sistemas operativos. La capacidad de subsumir directorios empresariales individuales en un directorio de propsito general implica que Active Directory puede reducir notablemente los costes de la administracin de mltiples espacios de nombres. Tambin soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). Todo objeto de Active Directory se puede mostrar como una pgina en Lenguaje de marcas de hipertexto (HTML, Hypertext Markup Languaje) en un explorador Web. El directorio soporta extensiones para que el Servicio de informacin de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en pginas HTML para mostrarlas en cualquier cliente HTML. Finalmente, permite un punto nico de administracin para todos los recursos pblicos, entre los que se pueden incluir archivos, dispositivos perifricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localizacin, organiza los objetos en dominios dentro de una jerarqua de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en rbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory slo utiliza controladores de dominio, y las actualizaciones se replicarn en el resto de controladores de dominio.

Administracin y Configuracin de Redes

Pgina 24

Active Directory

BIBLIOGRAFIA
http://foro.elhacker.net/tutoriales_documentacion/introduccion_a_active_directo ry-t40090.0.html http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003 /admng.mspx http://technet.microsoft.com/en-us/library/cc739492(WS.10).aspx http://www.tech-faq.com/active-directory.html http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch03s02.html http://fmc.axarnet.es/win2003srv/tema-02/tema-02-1.htm http://www.scribd.com/doc/8079976/CONCEPTOS-TEORICOS-ACTIVEDIRECTORY http://www.eltate.net/ad/herramientas-de-administracion-del-directorio-activo http://www.slideshare.net/tournament21/directorio-activo http://www.ordenadores-y-portatiles.com/directorio-activo.html http://tecnoloxiaxa.blogspot.com/2010/03/unidad-3-el-directorio-activo-en.html

Administracin y Configuracin de Redes

Pgina 25