Professional Documents
Culture Documents
Carrera: Computacin e Informtica Unidad didctica: ADMINISTRACION Y CONFIGURACION DE REDES Alumno: VIDAL ALEJOS, Leonardo Michael Aula: A Semestre Acadmico: II Docente: BALCAZAR BRICEO, Victor Turno: Nocturno
Lima 2010
Active Directory
INDICE
INTRODUCCIN.....PAG.3 ACTIVE DIRECTORY......PAG.4 (Dominio- Definicin) Utilidad de los directorios Active.....PAG.5
ESTRUCTURA LGICA
Dominios........PAG.6 Modos de Dominio.....PAG.7 Mltiples dominios en la misma organizacin Relaciones de confianza ........PAG.10 Unidades Organizativas....PAG.11 Directorios de comprensin Active .......PAG.12 Objetos de Active Directory
ESTRUCTURA FSICA Sitios.....PAG.14 Controladores de dominio Funciones de los controladores de dominio.....PAG.15 Servidor de Catlogo Global OPERACIONES DE MAESTRO NICO
Maestro de identificadores relativos (RID). ...PAG.16 Emulador de controlador de dominio principal (PDC). ...PAG.17 Maestro de infraestructuras. ..PAG.18
Pgina 2
Active Directory
INTRODUCCIN
Hoy en da, los ordenadores existentes en cualquier organizacin se encuentran formando parte de redes de ordenadores, de forma que pueden intercambiar informacin. Desde el punto de vista de la administracin de sistemas, la mejor forma de aprovechar esta caracterstica es la creacin de un dominio de sistemas, en donde la informacin administrativa y de seguridad se encuentra centralizada en uno o varios servidores, facilitando as la labor del administrador. Windows 2003 utiliza el concepto de directorio para implementar dominios de sistemas Windows 2003. En el mbito de las redes de ordenadores, el concepto de directorio (o almacn de datos) es una estructura jerrquica que almacena informacin sobre objetos en la red, normalmente implementada como una base de datos optimizada para operaciones de lectura y que soporta bsquedas de grandes datos de informacin y con capacidades de exploracin. Podemos decir, que directorio activo centraliza el control sobre todo lo concerniente a dominios basados en Windows NT 4.0, Windows 2000 y Windows 2003. Los clientes pueden estaciones de trabajo y ordenadores Windows y cualquier equipo que soporte este tipo de implementacin La estructura de directorio activo tiene una forma jerrquica donde se localizan los objetos. Estos objetos caen en tres tipos de categoras: Recursos, como por ejemplo impresoras. Servicios, como correo, Web, FTP, etc. Usuarios, los cuales incluyen cuentas para conectarse, grupos de trabajo, etc
Pgina 3
Active Directory
Active Directory
El directorio
Un directorio es una fuente de informacin usada para almacenar informacin sobre objetos interesantes. Un directorio telefnico almacena informacin sobre los subscriptores. En un sistema de archivo, el directorio almacena informacin sobre los archivos. En un sistema computacional distribuido o una red computacional pblica como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "trminos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes pblicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de informacin del directorio como los servicios que hacen la informacin disponible y utilizable para los usuarios. Un servicio de directorio es uno de los ms importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y los administradores no saben el nombre exacto de los objetos en los cuales estn interesados. Pueden conocer uno o ms atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede:
Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes mltiples para permitir el almacenaje de un gran nmero de objetos.
Un directorio activo o Active Directory es una estructura de directorios que se utiliza en equipos basados en Windows de Microsoft y servidores para almacenar informacin y datos sobre redes y dominios. Se utiliza principalmente para obtener informacin en lnea y fue creado originalmente en 1996. Se utiliz por primera vez con Windows 2000.
Pgina 4
Active Directory
Un directorio activo (a veces denominado un AD) hace una variedad de funciones, incluida la capacidad de proporcionar informacin sobre objetos, ayuda a organizar estos objetos para facilitar su recuperacin y acceso, permite el acceso por los usuarios finales y administradores y permite al administrador establecer la seguridad para el directorio. Un directorio activo puede ser definido como una estructura jerrquica y esta estructura generalmente se divide en tres categoras principales, los recursos que pueden incluir hardware tales como impresoras, servicios para los usuarios finales, como servidores de correo electrnico Web y objetos que son las principales funciones de la red y el dominio.
Pgina 5
Active Directory
ESTRUCTURA LGICA
La estructura lgica del Directorio Activo se centra en la administracin de los recursos de la red organizativa, independientemente de la ubicacin fsica de dichos recursos, y de la topologa de las redes subyacentes. Como veremos, la estructura lgica de la organizacin se basa en el concepto de dominio, o unidad mnima de directorio, que internamente contiene informacin sobre los recursos (usuarios, grupos, directivas, etc.) disponibles para los ordenadores que forman parte de dicho dominio. Dentro de un dominio es posible subdividir lgicamente el directorio mediante el uso de unidades organizativas, que permiten una administracin independiente sin la necesidad de crear mltiples dominios. Sin embargo, si la organizacin desea estructurarse en varios dominios, tambin puede hacerlo, mediante los conceptos de rbol y bosque; ambos son jerarquas de dominios a distintos niveles, en funcin de si los dominios comparten o no un espacio de nombres comn. A continuacin se presentan todos estos conceptos de forma ms detallada.
Dominios
La unidad central de la estructura lgica del Directorio Activo es el dominio. Un dominio es un conjunto de equipos que comparten una base de datos de directorio comn. Dentro de una organizacin, el Directorio Activo se compone de uno o ms dominios, cada uno de ellos soportado, al menos, por un controlador de dominio. Como hemos visto, cada dominio se identifica unvocamente por un nombre de dominio DNS, que debe ser el sufijo DNS principal de todos los ordenadores miembros del dominio, incluyendo el o los controladores. El uso de dominios permite conseguir los siguientes objetivos:
Delimitar la seguridad. Un dominio Windows 2003 define un lmite de seguridad. Las directivas de seguridad, los derechos administrativos y las listas de control de acceso (Access Control Lists, ACLs) no se comparten entre los dominios. Active Directory puede incluir uno o ms dominios, teniendo cada uno sus propias directivas de seguridad. Replicar informacin. Un dominio es una particin del directorio, las cuales son unidades de replicacin. Cada dominio almacena solo la informacin sobre los objetos localizados en este dominio. Active Directory utiliza un modelo de replicacin con varios maestros. Todos los controladores de dominio del dominio pueden recibir cambios realizados sobre los objetos, y pueden replicar estos cambios a todos los controladores de dominio en el dominio. Aplicar Polticas de Grupo. Un dominio define un posible mbito para las polticas. Al aplicar un objeto de poltica de grupo (GPO) al dominio, este establece como los recursos del dominio se configuran y se usan. Estas polticas se aplican dentro del dominio y no a travs de los dominios. Delegar permisos administrativos. En las redes que ejecutan Windows 2003, se puede delegar a medida la autoridad administrativa tanto para unidades organizativas (OUs) individuales como a dominios individuales, lo cual reduce el nmero de administradores necesarios con amplios permisos administrativos. Ya que un dominio representa un lmite de seguridad, los permisos administrativos se limitan al dominio.
Pgina 6
Pgina 7
Active Directory
Los dominios que forman un rbol se enlazan mediante relaciones de confianza bidireccional y transitiva. La relacin padre-hijo entre dominios en un rbol de dominio es simplemente una relacin de confianza. Los administradores de un dominio padre no son automticamente administradores del dominio hijo y el conjunto de polticas de un dominio padre no se aplican automticamente a los dominios hijo. Por ejemplo, en la Universidad Politcnica de Valencia cuyo dominio actual de Active Directory es upv.es se crean dos nuevos departamentos: DSIC y DISCA. Con el fin de permitir la administracin de los dominios por parte de los tcnicos de los respectivos departamentos, se decide agregar dos nuevos dominios a su rbol de dominios existente en lugar de crear dos unidades organizativas en el dominio existente. Los dominios resultantes, dsic.upv.es y disca.upv.es forman un espacio de nombres contiguo, cuya raz es upv.es. El administrador del dominio padre (upv.es) puede conceder permisos para recursos a cuentas de cualquiera de los tres dominios del rbol, pero por defecto no los puede administrar. B. Bosque. Un bosque es un grupo de rboles que no comparten un espacio de nombres contiguo, conectados a travs de relaciones de confianza bidireccionales y transitivas. Un dominio nico constituye un rbol de un dominio, y un rbol nico constituye un bosque de un rbol. Los rboles de un bosque aunque no forman un espacio de nombres comn, es decir, estn basados en diferentes nombres de dominio raz de DNS, comparten una configuracin, un esquema de directorio comn y el denominado catlogo global.
Pgina 8
Active Directory
Es importante destacar que, aunque los diferentes rboles de un bosque no comparten el espacio de nombres, el bosque tiene un nico dominio raz, llamado el dominio raz del bosque. Este ser el primer dominio creado en el bosque Aadir nuevos dominios a un bosque es fcil. Sin embargo, no se pueden mover dominios de Active Directory entre bosques. Solamente se podrn eliminar dominios de un bosque si este no tiene dominios hijo. Adems, despus de haber establecido el dominio raz de un rbol, no se pueden aadir dominios con un nombre de nivel superior al bosque. Tampoco se puede crear un dominio padre de un dominio existente. El implementar bosques y rboles de dominio permite mantener convenciones de nombres contiguos y discontiguos, lo cual puede ser til en organizaciones con divisiones independendientes que quieren mantener sus propios nombres DNS. En resumen, cuando promocionamos un servidor Windows 2003 a controlador de dominio (mediante el asistente dcpromo, tenemos que decidir una de las siguientes opciones de instalacin: 1. DC adicional de un dominio existente o de un dominio nuevo (creacin de un dominio). 2. En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio de un rbol de dominios ya creado), o bien el dominio principal (raz) de un nuevo rbol de dominios. 3. En este segundo caso, el dominio raz puede ser de un bosque existente o de un nuevo bosque.
Pgina 9
Active Directory
Relaciones de confianza
Una relacin de confianza es una relacin establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por un controlador de dominio de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y a los administradores definir los derechos de usuario para los usuarios del otro dominio. Todas las relaciones de confianza en un bosque basado en Windows 2003 son bidireccionales y transitivas: a. Bidireccionales: cuando se crea un nuevo dominio hijo, este automticamente confa en el dominio padre y viceversa. b. Transitivas: si el dominio A y el dominio B (padre e hijo) confan el uno en el otro y adems el dominio B y el dominio C (tambin padre e hijo) confan el uno en el otro, entonces el dominio A y el domino C confan mutuamente el uno en el otro de forma implcita, aunque no exista una relacin de confianza directa entre ellos. Hablando del bosque, podemos decir que una relacin de confianza se crea automticamente entre el dominio raz del bosque y el dominio raz de cada rbol de dominio aadido al bosque, lo que provoca que exista una confianza completa entre todos los dominios en un bosque de Active Directory. Desde un punto de vista prctico, un nico proceso de inicio de sesin (logon) le permite al sistema autentificar a un usuario o mquina en cualquier dominio del bosque. Por tanto, este proceso permite potencialmente a las cuentas de usuario y mquina acceder a los recursos en cualquier dominio del bosque. Adems de las confianzas transitivas y bidireccionales del bosque, que se generan automticamente en el sistema operativo Windows 2003, se pueden crear explcitamente dos tipos diferentes de relaciones de confianza: A. Relacin de confianza de acceso directo: una relacin de confianza de acceso directo, tambin denominada relacin de confianza de vnculo cruzado, es una relacin de confianza creada manualmente, que mejora la eficacia de los inicios de sesin remotos, acortando la ruta de confianza. Si los usuarios del dominio A necesitan frecuentemente tener acceso a los recursos del dominio C, se podra crear un vnculo directo mediante una relacin de confianza de acceso directo, de forma que se omita el dominio B en la ruta de confianza. Una relacin de confianza de acceso directo tiene las siguientes caractersticas:
Se puede establecer entre cualesquiera dos dominios del mismo bosque. Debe establecerse manualmente en cada direccin. Debe ser transitiva.
B. Relacin de confianza externa: una relacin de confianza externa se crea manualmente entre dominios de Windows 2003 que pertenencen a bosques diferentes o entre un dominio de Windows
Pgina 10
Active Directory
2003 y un dominio cuyo controlador de dominio ejecuta Windows NT 4.0. Las relaciones de confianza externas son unidireccionales e intransitivas, y deben establecerse manualmente en cada sentido para poder disponer de una relacin de confianza externa bidireccional.
Unidades Organizativas
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Es decir, es un contenedor de otros objetos, de forma anloga a una carpeta o directorio en un sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., adems de otras unidades organizativas. Es decir, mediante unidades organizativas podemos crear una jerarqua de objetos en el directorio (lo cual se asemeja otra vez a un sistema de archivos tpico de Windows). Los objetos ubicados dentro de una unidad organizativa pueden moverse ms tarde a otra, si fuera necesario. Sin embargo, un objeto no puede copiarse: cada objeto es nico en el directorio, y su existencia es independiente de la unidad organizativa a la que pertenece. Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupndolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten: a. Conseguir una estructuracin lgica de los objetos del directorio, de acuerdo con la organizacin de la empresa (por departamentos o secciones, sedes, delegaciones geogrficas, etc.). Entre otras ventajas, esta organizacin le permite al administrador del dominio una gestin ms lgica de usuarios, grupos, equipos, etc., pero tambin le permite a cualquier usuario una bsqueda de los objetos ms sencilla cuando explora el directorio buscando recursos (por ejemplo, se podra localizar fcilmente las impresoras compartidas del edificio central de la delegacin de Alicante). b. Delegar la administracin. Cada unidad organizativa puede administrarse de forma independiente. En concreto, se puede otorgar la administracin total o parcial de una unidad organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administracin de subconjuntos estancos del dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada. c. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada unidad organizativa pueden vincularse polticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en funcin exclusivamente de la unidad organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de contabilidad para que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica. En muchos sentidos, el concepto de unidad organizativa se puede utilizar en Windows 2003 de la misma forma que se entenda el concepto de dominio en versiones
Pgina 11
Active Directory
anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursos administrados independientemente. En realidad, en Windows 2003 el concepto de dominio viene ms bien asociado a la distribucin de los sitios (topologa de red) y a la implementacin de DNS que exista (o quiera crearse) en la empresa. De este modo, en muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (polticas) diferentes.
Pgina 12
Active Directory
Se puede usar Active Directory para crear los siguientes objetos. Icono Objeto Usuario Descripcin Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso. Contacto Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrnico. Equipo Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, sta es la cuenta de equipo. Unidad Las unidades organizativas se utilizan como contenedores para organizativa organizar de manera lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administracin de cantidades grandes de objetos. Carpeta Una carpeta compartida es un recurso compartido de red que se compartida ha publicado en el directorio. Impresora Una impresora compartida es una impresora de red que se ha compartida publicado en el directorio.
El tipo de esquema creado para una carpeta en ltima instancia determinar cmo se utilizan estos objetos. Por ejemplo, no se puede eliminar algunos objetos con ciertos esquemas, slo pueden ser desactivados. Otros tipos de esquemas con determinados atributos pueden eliminarse completamente. Por ejemplo, se puede eliminar un objeto de usuario, pero no se puede eliminar el objeto de administrador. Cuando la comprensin directorios activos, es importante conocer el marco en el que se pueden ver objetos en. De hecho, un directorio activo puede verse en cualquiera de los tres niveles, estos niveles son llamados los bosques, rboles o dominios. La estructura ms alta se llama el bosque porque puede ver todos los objetos incluidos en el directorio activo. Dentro de la estructura de bosques son rboles, estas estructuras suelen contener uno o ms dominios. Bajar an ms la estructura de un directorio activo es dominios nico. Poner el bosque, rboles y dominios en perspectiva, considere el siguiente ejemplo. Una gran organizacin tiene varias docenas de usuarios y procesos. El bosque puede ser toda la red de usuarios finales y equipos especficos en una definicin de la ubicacin. Dentro de este directorio de bosque son ahora rboles que contienen informacin sobre objetos especficos tales como controladores de dominio, datos de programa y sistema, entre otros. Dentro de estos objetos son incluso ms objetos que pueden ser controlados y clasificados.
Pgina 13
Active Directory
ESTRUCTURA FSICA
En Active Directory, la estructura lgica est separada de la estructura fsica. La estructura lgica se utiliza para organizar los recursos de red mientras que la estructura fsica se utiliza para configurar y administrar el trfico de red. En concreto, la estructura fsica de Active Directory se compone de sitios y controladores de dominio. La estructura fsica de Active Directory define dnde y cundo se producen el trfico de replicacin y de inicio de sesin. Una buena comprensin de los componentes fsicos de Active Directory permite optimizar el trfico de red y el proceso de inicio de sesin, as como solventar problemas de replicacin.
Sitios
Un sitio es una combinacin de una o varias subredes IP que estn conectadas por un vnculo de alta velocidad. Definir sitios permite configurar la topologa de replicacin y acceso a Active Directory de forma que Windows 2003 utilice los vnculos y programas ms efectivos para el trfico de inicio de sesin y replicacin. Normalmente los sitios se crean por dos razones principalmente:
Para optimizar el trfico de replicacin. Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexin confiable de alta velocidad.
Es decir, los sitios definen la estructura fsica de la red, mientras que los dominios definen la estructura lgica de la organizacin.
Controladores de dominio
Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesin de usuario. La informacin almacenada en cada controlador de dominio se divide en tres categoras (particiones): dominio, esquema y datos de configuracin. Estas particiones del directorio son las unidades de replicacin: A. Particin de directorio de dominio: contiene todos los objetos del directorio para este dominio. Los datos del dominio en cada dominio se replican a cada controlador de domino en este dominio, pero no mas all del dominio. B. Particin del directorio de esquema: contiene todos los tipos de objetos y atributos que pueden ser creados en el Active Directory. Estos datos son comunes a todos los dominios en el bosque. Por tanto los datos del esquema se replican a todos los controladores de dominio del bosque.
Pgina 14
Active Directory
C. Particin de directorio de configuracin: contiene la topologa de replicacin y los metadatos. Por ejemplo, aplicaciones compatibles con Active Directory almacenan informacin en esta particin del directorio. Estos datos son comunes a todos los dominios en el bosque, y se replican a todos los controladores de dominio en el bosque. Adems de estas tres particiones de directorio de escritura, existe una cuarta categora de informacin almacenada en un controlador de dominio: el catlogo global. Un catlogo global es un controlador de dominio que almacena las particiones de directorio de escritura, as como copias parciales de slo lectura de todas las dems particiones de directorio de dominio del bosque.
Permite que un usuario inicie una sesin en la red mediante el suministro de la informacin de pertenencia a grupos universales a un controlador de dominio cuando inicia un proceso de sesin. Permite que un usuario busque informacin de directorio en todo el bosque, independiente de la ubicacin de los datos.
Pgina 15
Active Directory
Todos los dominios de Active Directory deben tener controladores de dominio que cumplan tres de las cinco funciones de operaciones de maestro nico: Maestro de identificadores relativos (RID). El controlador de dominio maestro de identificadores relativos (RID) asigna secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento slo puede haber un controlador de dominio que acte como maestro de RID en cada dominio del bosque. Cuando un controlador de dominio crea un objeto de usuario, grupo o equipo, asigna al objeto un identificador de seguridad nico (SID). Este identificador est formado por un identificador de seguridad de dominio, que es el mismo para todos los que se crean en el dominio, y un identificador relativo que es nico para cada identificador de seguridad que se crea en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debe iniciar la operacin en el controlador de dominio que acta como maestro de RID en el dominio que contiene el objeto en ese momento.
Pgina 16
Active Directory
Emulador de controlador de dominio principal (PDC). Para mantener la compatibilidad con servidores basados en Windows NT que puedan funcionar como controladores de dominio de reserva (BDC) en dominios de Windows 2003 en modo mixto, pero todava requieren un controlador principal de dominio (PDC), se asigna a un controlador de dominio especfico basado en Windows 2003, la funcin de emular a un PDC. A este controlador de dominio lo ven los servidores basados en NT como un PDC. Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o Windows XP Professional o bien si contiene controladores de dominio de reserva (BDC) de Windows NT, el maestro emulador de PDC acta como controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contrasea de los clientes y replica las actualizaciones en los BDC. En todo momento slo puede haber un controlador de dominio que acte como maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, el maestro emulador del PDC tambin se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deber configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecucin del comando "net time" con la sintaxis siguiente: net time \\ nombreServidor /setsntp: recursoHora El resultado final ser que la hora slo variar unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000. El emulador del PDC recibe una replicacin preferencial de los cambios realizados en las contraseas por otros controladores del dominio. Si una contrasea ha cambiado recientemente, ese cambio tarda algn tiempo en replicarse en cada controlador del dominio. Si una autenticacin de inicio de sesin produce un error en otro controlador de dominio debido a una contrasea incorrecta, ese controlador de dominio reenviar la solicitud de autenticacin al emulador del PDC antes de rechazar el intento de inicio de sesin. El controlador de dominio configurado con la funcin de emulador del PDC admite dos protocolos de autenticacin: el protocolo Kerberos V5 el protocolo NTLM
Maestro de infraestructuras. Cuando los objetos se mueven o se eliminan, un controlador de dominio de cada dominio, el maestro de infraestructura, es el responsable de actualizar los identificadores de seguridad y nombres completos en las referencias de objetos de dominio cruzado de ese dominio.
Pgina 17
Active Directory
En todo momento slo puede haber un controlador de dominio que acte como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catlogo global. Los catlogos globales reciben actualizaciones peridicas de los objetos de todos los dominios mediante la replicacin, de forma que los datos de los catlogos globales siempre estn actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catlogo global. Despus el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio. Importante A menos que haya un nico controlador de dominio en el dominio, la funcin de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catlogo global. Si el maestro de infraestructuras y el catlogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionar. El maestro de infraestructuras no encontrar nunca datos no actualizados, por lo que nunca replicar los cambios en los otros controladores del dominio. Si todos los controladores del dominio tambin albergan el catlogo global, todos los controladores de dominio ya tendrn los datos ms actuales y ser irrelevante conocer el controlador de dominio que desempea la funcin de maestro de infraestructuras. El maestro de infraestructuras tambin es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variacin o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicacin del miembro. As se evita perder las pertenencias de grupo que estn asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras distribuye la actualizacin a travs de la replicacin de varios maestros. La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualizacin del grupo. Slo un administrador que est examinando la pertenencia a ese grupo en particular podra darse cuenta de la falta momentnea de coherencia.
Pgina 18
Active Directory
Pgina 19
Active Directory
DSBUtil.exe Mantenimiento de la base de datos del Active Directory. Configura los puertos usados para el AD LDS ( Light ) y puedes ver las instancias del directorio ligero. DSGet.exe Consultar propiedades de objetos del directorio como usuarios y mquinas. DSMove.exe Mueve objetos en el directorio de unas OUs a otras siendo ests mquinas, grupos, usuarios DSMGmt.exe Es el encargado de administrar la particin de aplicacin y realizar operaciones y acciones en el maestro de operaciones. DSMod.exe Modifica objetos del directorio activo, pudiendo cambiar las propiedades de dichos objetos. DSRm.exe Borra objetos del directorio Activo. Visor de sucesos El visor de sucesos del directorio activo, para consultar errores y auditorias de objetos del Da. GPFixUp.exe Repara dependencias de nombre de dominio y polticas de grupo al renombrar un dominio. Tambin vuelve a hacer los link despus de haber renombrado un dominio. Group Policy Management Console Crea, administra y hace backups y restores de las GPOs KSetup.exe Configura un cliente para usar la versin de Kerberos v5 LDIFDE.exe Importa datos dentro del directorio activo ligero o AD LDS. Ldp.exe Personaliza operaciones LDAP. Movetree.exe Mueve objetos entre dominios y bosques Netdom.exe Administra con la herramienta mquinas, cuentas y relaciones de confianza etc
Pgina 20
Active Directory
NLtest.exe Consulta el estado de replicacin en las relaciones de confianza. Ntdsutil.exe Solo con AD DS y NO con AD LDS. Personaliza el mantenimiento de la base de datos del directorio activo. Repadmin.exe Soluciona y diagnostica problemas de la replicacin de los controladores de dominio utilizando FRS (File Replication Service), usado cuando el nivel de funcionalidad del bosque se NO encuentra en W2008 Nativo. Server Manager Administra un dominio existente, un controlador de dominio existente o un AD LDS ( light ). System Monitor Realiza performances del directorio activo para ver cuntas consultas y como estn de cargados los servidores de directorio. W32tm.exe Configura y diagnostica la sincronizacin de la hora con nuestro servidor PDC. Windows Server Backups Hace Backups y restauraciones del AD DS y de AD LDS (light). Con esta lista tenemos prcticamente todas las herramientas con las que podemos gestionar el Directorio Activo. Tienes que tener en cuenta que puedes encontrarte en la situacin que algunas no funcionen en versiones W2008 o W2003, pero he querido escribir en el post todas ellas. Podrs encotrar ms herramientas grficas por Internet pero realmente todas se basan en las herrameintas nativas del sistema operativo que son estas.
Pgina 21
Active Directory
Pgina 22
Active Directory
Pgina 23
Active Directory
CONCLUSIN
El Active Directory proporciona un mtodo para el diseo de la estructura de directorios que responde a las necesidades de cualquier organizacin. El Active Directory posee numerosas ventajas, no slo el poder manejar instalaciones de cualquier tamao, desde un nico servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory tambin simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una nica forma de acceder a mltiples directorios, ya estn basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services). En Windows 2003, Active Directory integra el concepto de espacio de nombres de Internet con los servicios de directorio del sistema operativo. Esta combinacin permite la unificacin de mltiples espacios de nombres entre, por ejemplo, la mezcla de entornos software y hardware de las redes corporativas, incluso de un lado a otro de las fronteras entre sistemas operativos. La capacidad de subsumir directorios empresariales individuales en un directorio de propsito general implica que Active Directory puede reducir notablemente los costes de la administracin de mltiples espacios de nombres. Tambin soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). Todo objeto de Active Directory se puede mostrar como una pgina en Lenguaje de marcas de hipertexto (HTML, Hypertext Markup Languaje) en un explorador Web. El directorio soporta extensiones para que el Servicio de informacin de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en pginas HTML para mostrarlas en cualquier cliente HTML. Finalmente, permite un punto nico de administracin para todos los recursos pblicos, entre los que se pueden incluir archivos, dispositivos perifricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localizacin, organiza los objetos en dominios dentro de una jerarqua de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en rbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory slo utiliza controladores de dominio, y las actualizaciones se replicarn en el resto de controladores de dominio.
Pgina 24
Active Directory
BIBLIOGRAFIA
http://foro.elhacker.net/tutoriales_documentacion/introduccion_a_active_directo ry-t40090.0.html http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003 /admng.mspx http://technet.microsoft.com/en-us/library/cc739492(WS.10).aspx http://www.tech-faq.com/active-directory.html http://fferrer.dsic.upv.es/cursos/Windows/Avanzado/ch03s02.html http://fmc.axarnet.es/win2003srv/tema-02/tema-02-1.htm http://www.scribd.com/doc/8079976/CONCEPTOS-TEORICOS-ACTIVEDIRECTORY http://www.eltate.net/ad/herramientas-de-administracion-del-directorio-activo http://www.slideshare.net/tournament21/directorio-activo http://www.ordenadores-y-portatiles.com/directorio-activo.html http://tecnoloxiaxa.blogspot.com/2010/03/unidad-3-el-directorio-activo-en.html
Pgina 25