TNT1-81

Nuevas caractersticas de Windows Server 2003 Active Directory - Basadas en las funciones

Nombre Cargo

Lo que vamos a cubrir:

Funciones nuevas de implementacin Funciones nuevas de administracin Funciones nuevas de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Funciones de soporte de las aplicaciones

Prerrequisitos

Familiaridad con NT 4.0 Familiaridad con los dominios de NT 4.0 Familiaridad con Windows 2000 Familiaridad con Active Directory Experiencia en dar soporte a las redes de Microsoft Experiencia en dar soporte a los usuarios finales

Nivel 200

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Implementacin e interoperabilidad
Niveles de funcionalidad de dominio y de bosque

Windows Server 2003 tiene niveles funcionales

Para dominios y bosques Similares al modo mixto/nativo de Windows 2000 Dominio: para cada dominio Bosque: para todo el bosque (impacta a todos los dominios) Es irreversible Pone a disposicin funciones nuevas

Elevar los niveles funcionales

Herramientas

Usuarios y PCs de Active Directory Dominios y confianzas de Active Directory

Implementacin e interoperabilidad
Niveles de funcionalidad del dominio

Niveles
Nivel funcional del dominio
Windows 2000 mixto (predeterminado) Windows 2000 nativo Windows Server 2003

Controladores de dominio compatibles

Windows NT 4.0, 2000, 2003 Windows 2000/2003 Windows Server 2003

Nuevas funciones de nivel Windows Server 2003

Renombrar el controlador de dominio, mejoras a Kerberos, ms Todas las funciones en modo nativo de Windows 2000

Implementacin e interoperabilidad
Niveles de funcionalidad del bosque

Niveles
Nivel funcional del bosque
Windows 2000 (predeterminado) Windows Server 2003

Controladores de dominio compatibles

Windows NT 4.0, 2000, 2003 Windows Server 2003

Nuevas funciones de nivel Windows Server 2003

Rplica mejorada Confianzas de bosque a bosque Funcionalidad mejorada del esquema

Implementacin e interoperabilidad
Objeto InetOrgPerson

Objetos InetOrgPerson (RFC 2798)

Clase de objeto comn en otros directorios LDAP (Novell y Netscape) Soporta usuarios y aplicaciones La interfaz de administracin de usuarios funciona con esta clase Permite la migracin de objetos InetOrgPerson Permite que las aplicaciones se basen en InetOrgPerson para ser portadas a Active Directory

Active Directory soporta InetOrgPerson

Importante para la interoperabilidad

Implementacin e interoperabilidad
Renombrar dominio y reestructurar

Contoso.com

WorldWideImporters.com

Fabrikam.com

Crear un rbol nuevo

Ventas Ingeniera Contoso

Contoso

Mover un dominio existente a otro rbol

Implementacin e interoperabilidad
Crear un controlador de dominio de una rplica Opcin para crear controladores
Sitio grande

de dominio adicionales en sitios conectados por enlaces lentos

Sucursal 128K

Respaldar el estado del sistema en el controlador de dominio y copiar a CD Restaurar la informacin en el sistema que se convertir en el nuevo controlador de dominio
Ejecutar DCPromo /adv Reduce la duplicacin inicial de los datos del dominio

Implementacin e interoperabilidad
Herramienta de migracin de Active Directory v2

Herramienta de migracin de Active Directory v2

Migra cuentas de usuarios, grupos y PCs Migra informacin de seguridad Cuentas migradas de usuarios y grupos Cuentas vencidas Permisos de cuenta en un PC especfico Conflictos de nombre de las cuentas

Nuevo Asistente de reportes

Genera y guarda las pginas Web

Implementacin e interoperabilidad
Otras caractersticas nuevas de ADMTv2

Migracin de contrasea

Utiliza un Servidor de exportacin de contraseas (PES) en el dominio fuente

Se crea un nuevo archivo de registro para cada migracin Permite la conversin de seguridad al dominio objetivo Excluya atributos de los objetos de usuario, grupo o PCs para que no se migren

Mltiples archivos de registro de migracin

Correlacin SID

Exclusin de atributos de Windows 2000

Demo 1
Implementacin e interoperabilidad de Active Directory Niveles funcionales Crear un controlador de dominio desde un medio de respaldo

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Funciones de administracin
Arrastrar y soltar

Ahora se soporta arrastrar y soltar

Usuarios y PCs de Active Directory Sitios y servicios de Active Directory Funciona como otras herramientas administrativas
Nuevos contenedores o unidades organizacionales Grupos

Interfaz ms amigable

Arrastrar y soltar usuarios en:

Funciones de administracin
Consultas guardadas

Una consulta guardada en Usuarios y PCs de Active Directory

Se accede como una carpeta

Slo muestra un conjunto especfico de objetos basados en la consulta Ejemplo: definir las consultas para mostrar las cuentas con base en:

Nombre o descripcin de usuario o grupo Estado de cuenta y contrasea Das desde el ltimo inicio de sesin

Funciones de administracin
Grfico de consultas guardadas

Funciones de administracin
Herramientas de la lnea de comando de Active Directory
Herramienta Se utiliza para DSAdd Agrega objetos como usuarios, grupos, unidades organizacionales, etc. Muestra los atributos de un objeto de AD Modifica un objeto de AD existente Mueve o vuelve a nombrar un objeto de AD Consulta y enumera los objetos de AD Elimina objetos de AD

DSGet
DSMod DSMove DSQuery DSRM

Administracin de Active Directory

Con secuencias de comandos para tareas repetitivas

Demo 2 Administracin de Active Directory

Administracin de arrastrar y soltar Consultas guardadas Herramientas de lnea de comando

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Funciones de duplicacin
Problema de duplicacin del catlogo global

Problema de Windows 2000:

Agregar al conjunto parcial de atributos (PAS) Configurar USNs de GC en 0 Provoc que todo el catlogo global se reduplicara Uso del ancho de banda, procesamiento de controlador de dominio, tiempo de duplicacin El estado de sincronizacin de GC se conserva Al agregar al PAS slo se duplican los atributos nuevos

Cre problemas potenciales

Windows Server 2003

Funciones de duplicacin
Duplicacin mejorada

Duplicacin de la membresa de grupos

Almacena y duplica los valores de los miembros individuales

Escala a bosques con grandes nmeros de sitios

Mejor generador de topologa entre sitios (ISTG)

Desactiva la compresin de sitio a sitio Eliminacin prolongada de objetos

Elimina los objetos que se quedaron debido a una larga indisponibilidad de un controlador de dominio Puede escribir secuencias de comandos para supervisar la duplicacin

Proveedores WMI

Funciones de duplicacin
Cach de membresa de grupo universal
GC GC

Grupo universal 1

Grupo universal 2 DC
128K

Oficina grande

Sucursal

El inicio de sesin es ms rpido debido a que las membresas de grupo se almacenan localmente en la memoria cach!

Funciones de duplicacin
Duplicacin del DFS del dominio

Sistema de archivos distribuido

Unifica el almacenamiento fsico a travs de la raz del directorio virtual (raz DFS) DFS del dominio permite races DFS duplicadas Se utiliz el programa de duplicacin de Active Directory No es bueno debido a la diferencia en el tamao de los datos

Duplicacin DFS del dominio Windows 2000

Windows Server 2003

Se puede configurar un programa de duplicacin por separado

Demo 3
Funciones de duplicacin
Habilitar la memoria cach de la membresa de grupo universal

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Confianzas de bosque a bosque

Confianzas de bosque

Nuevo tipo de confianza Permite que todos los dominios en un bosque confen en todos los dominios de otro bosque

La confianza entre los dominios de ambos bosques es temporal Las confianzas de bosques pueden ser confianzas unidireccionales o bidireccionales

Las confianzas entre bosques NO son temporales

El bosque A confa en el bosque B El bosque A confa en el bosque C El bosque C no confa en el bosque B de manera temporal

Conectar los bosques

Grfica de las confianzas de bosque
Bosque de la divisin B

Bosque de la divisin A

Confianza

Intranet

Usuarios Bosque de la divisin C

Confianzas de bosque a bosque

Espacios de nombre y confianzas de bosques

Los bosques publican espacios de nombre Los espacios de nombre son sufijos UPN

WorldWideImporters.com Streetmarket.net

Los espacios de nombre se utilizan para determinar el lugar de donde vienen las cuentas confiables

Inicio de sesin con un inicio de sesin UPN al acceder a los recursos en un bosque confiable Ejemplo: user@worldwideimporters.com

Se confa en que los bosques son fuentes fidedignas de los espacios de nombres publicados

Confianzas de bosque a bosque

Crear confianzas de bosques

Crear en los dominios y confianzas de Active Directory.

Utilizar el nuevo Asistente de confianzas Confirmar las confianzas entrantes y salientes Puede confirmar ambos lados de la confianza Ambos bosques deben estar a un nivel funcional de bosque de Windows Server 2003

Prerrequisitos

Demo 4 Confianzas de bosques

Crear una confianza de bosque Acceder a los recursos del bosque

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Administracin de la Poltica de grupo

Problemas de la Administracin de la poltica de grupo

Problema: La Poltica de grupo es demasiado estricta La interfaz existente es confusa y limitada Faltan capacidades bsicas

Reporte de las configuraciones del GPO Respaldo / restauracin de GPOs Importar / exportar GPOs

Las capacidades existentes no se pueden implementar a travs de secuencias de comandos

Administracin de la Poltica de grupo

Consola de administracin de la Poltica de grupo (GPMC)

Qu es la GPMC?

Nueva herramienta de administracin para manejar la Poltica de grupo:

Conjunto de objetos utilizables en las secuencias de comandos para administrar la GP Complemento MMC, desarrollado sobre estos objetos

Versin Web independiente

Poco despus del RTM de Windows Server 2003

GPMC permite

Administracin centralizada de GPOs Planeacin de la implementacin Compartir y reutilizar los GPOs entre dominios/bosques Habilitar el acceso programtico a la GP

Administracin de la Poltica de grupo

Respaldo y restauracin

Respaldar / Exportar:

Transfiere cualquier GPO vivo al sistema de archivos Respalda las configuracin de las polticas, ACLs, vnculos a filtros WMI Regresa las cosas exactamente a como estaban antes El GPO debe estar en el mismo dominio Restaurar una poltica para regresar a las configuraciones originales

Restaurar:

Escenario:

Administracin de la Poltica de grupo

Copiar e importar
Poltica Poltica
Copiar poltica

Administrador

Poltica Confianza de bosque

Bosque de divisin A

Bosque de divisin A

Administracin de la Poltica de grupo

Modelado de la Poltica de grupo

Asistente para modelar una Poltica de grupo

Reemplaza el Conjunto resultante de polticas (RSoP) Modo de planeacin

Seleccione las unidades organizacionales de los usuarios y PCs

O seleccione las cuentas especficas

Muestra las configuraciones ganadoras de las polticas

Ver los efectos de los GPOs antes de la implementacin Evitar conflictos y resultados inesperados

Ver resultados en reportes basados en el Web

Administracin de la Poltica de grupo

Resultado del modelado de la Poltica de grupo

Administracin de la Poltica de grupo

Filtros de WMI

Administracin de la Poltica de grupo

Estn disponibles polticas nuevas

Establecer los parmetros de dominio

Configuraciones del nombre del sitio, Descubrimiento del controlador de dominio

Configuraciones del cliente DNS Activar/desactivar el administrador de credenciales Administrar software de 32 y 64 bits Servicios de Terminal Server

La mayora de las opciones de configuracin Puede redireccionar la carpeta principal del usuario

Carpeta Mis documentos

Demo 5 Administracin de la Poltica de grupo

Consola de la Administracin de la Poltica de grupo Modelado de la Poltica de grupo

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Polticas de restriccin de software

Objetivos

Nueva funcin de la Poltica de grupo Permitir o restringir el acceso al software

Establecer el valor predeterminado para permitir o no el software Crear las reglas para evitar el valor predeterminado Especificar las extensiones de los archivos afectados

Evitar:

Virus Aplicaciones no aprobadas o no estndar Cualquier aplicacin que desee restringir

Polticas de restriccin de software

Reglas

Reglas de certificado

Verificar el certificado digital Identificar el software con un cdigo de control nico Aplica a los paquetes del instalador de Windows Definir la ruta especfica para el software

Reglas Hash

Reglas de zona de Internet

Reglas de la ruta

Demo 6 Polticas de restriccin de software

Polticas de restriccin de software Crear una regla de ruta

Agenda

Implementacin e interoperabilidad Funciones de administracin Funciones de duplicacin Confianzas de bosque a bosque Administracin de la Poltica de grupo Polticas de restriccin de software Soporte a las aplicaciones

Soporte a las aplicaciones

Particiones de las aplicaciones
Datos DNS Datos aplic Datos aplic

Datos DNS

Administrador

Dominio

Soporte a las aplicaciones

Particiones COM+

Las Particiones COM+ se crean en los servidores de aplicacin

Permiten un asilamiento completo de los componentes COM Ejecutan varios conjuntos de componentes COM sin conflictos

Particiones COM+ de Active Directory

Correlacionan las particiones de COM+ en los servidores de aplicacin Le permiten asignar particiones COM+ especficas a los usuarios o unidades organizacionales

Demo 7 Funciones de soporte a las aplicaciones

Particiones a las aplicaciones Particiones de COM+

Resumen de la sesin

Active Directory interopera con las versiones previas La administracin es ms sencilla y fcil Se agiliza la duplicacin Acceda a recursos del bosque con las Confianzas de bosque La implementacin y administracin del GPO se agiliza con la GPMC Las Polticas de restriccin de software ofrecen proteccin contra virus Se mejora el soporte a las aplicaciones

Para mayores informes...

Sitio Web principal de TechNet Web en

www.microsoft.com/technet

La pgina de recursos de esta sesin

www.microsoft.com/technet/tnt1-81

Para mayores informes...

Windows Server 2003

www.microsoft.com/WindowsServer2003

Consola de administracin de Poltica de grupo

www.microsoft.com/windowsserver2003/gpmc/gp mcintro.mspx

MS Press
Informacin interna para profesionales de informtica

Para encontrar los ttulos ms recientes relacionados con los Profesionales de informtica, visite

www.microsoft.com/mspress/it/

Publicaciones de terceros
complementarias para los Profesionales de informtica

Estos libros se pueden encontrar y adquirir en todas las libreras de prestigio y tiendas al menudeo en lnea

Capacitacin
Recursos de capacitacin para profesionales de informtica

Actualizar las habilidades de soporte de Microsoft Windows NT 4.0 a la familia Microsoft Windows 2003

Nmero de curso: 2270 Disponibilidad: Actual Programa de estudios detallado: www.microsoft.com/traincert

Para localizar un proveedor de capacitacin, acceda a

www.microsoft.com/traincert
Microsoft Certified Technical Education Centers son los socios de negocios recomendados por Microsoft para servicios de capacitacin

Convirtase en un Microsoft Certified Systems Administrator (MCSA)

Qu es la certificacin MCSA?

Para los profesionales que implementan, administran y resuelven problemas de los ambientes existentes de red y sistemas con base en las plataformas Microsoft Windows 2000

Cmo me convierto en un MCSA en Microsoft Windows 2000?

Apruebe 3 exmenes bsicos Apruebe un examen opcional o dos certificaciones CompTIA

Dnde obtengo mayores informes?

Para mayores informes acerca de los requerimientos, exmenes y opciones de capacitacin para la certificacin, visite www.microsoft.com/mcp

Convirtase en un Microsoft Certified Systems Engineer (MCSE)

Qu es la certificacin MCSE?

Certificacin Premier para profesionales que analizan los requerimientos de negocios y disean e implementan la infraestructura para soluciones de negocios con base en el software del servidor Microsoft.

Cmo me convierto en un MCSE en Microsoft Windows 2000?

Apruebe 4 exmenes bsicos Apruebe 1 examen de diseo Apruebe 2 examen opcional de una amplia lista Para mayores informes acerca de los requerimientos, exmenes y opciones de capacitacin para la certificacin, visite www.microsoft.com/mcse

Dnde obtengo mayores informes?

Evaluar su Preparacin
Evaluacin de habilidades de Microsoft
Qu es la evaluacin de habilidades de Microsoft?

Una herramienta de aprendizaje de auto estudio para evaluar la preparacin respecto a las soluciones de productos y tecnologa, en lugar de roles de trabajo (certificacin) Estn disponibles actualmente las evaluaciones de Windows Server 2003; las de .NET Developer estarn disponibles a finales de mayo y las de Exchange Server 2003 a mediados de 2003 Sin costo, en lnea, sin supervisin y disponibles para cualquiera Responde a: Estoy listo? Determina las brechas de habilidades, proporciona los planes de aprendizaje con los cursos de Microsoft Official Curriculum, adems de las sugerencias de contenido de aprendizaje de Microsoft como recursos TechNet Coloque su Calificacin ms alta para ver cmo se compara con los dems
visite

http://www.microsoft.com/assessment

Qu es TechNet?

Pone las respuestas correctas a su alcance

TechNet es la coleccin completa de recursos que ayuda a los implementadores de informtica a planear, implementar y administrar de manera exitosa los productos de Microsoft
Actualizaciones mensuales proporcionadas en DVD o CD El recurso definitivo para ayudarle a evaluar, implementar y mantener los productos de Microsoft Se accede en www.microsoft.com/technet Recursos y comunidad en lnea Servicios en lnea slo para suscriptores Boletn de noticias electrnico quincenal Actualizaciones de seguridad, nuevos recursos y ofertas especiales Resmenes informativos sobre los productos y tecnologas ms recientes de Microsoft Informacin prctica Grupos de usuarios Grupos de noticias administrados

Suscripcin a TechNet

Sitio Web de TechNet

TechNet Flash

Eventos TechNet y Web Casts Comunidades TechNet

La Suscripcin a TechNet
TechNet es un servicio de suscripcin mensual que proporciona las herramientas, el software y los recursos que un profesional de informtica necesita para planear, implementar, administrar y soportar de manera eficiente los productos de Microsoft. Est probado que una Suscripcin a TechNet le ahorra a usted y a su compaa tiempo y dinero. Si usted es un profesional de informtica que trabaja en soporte tcnico, administracin de redes o sistemas, o arquitectura tecnolgica, TechNet fue creado para usted. Usted tiene todo lo que necesita para resolver los problemas en un solo lugar Wayne Brown, VP de Sistemas, Heald College

Dnde puedo obtener TechNet?

Visite TechNet en lnea en

www.microsoft.com/technet

Regstrese para recibir TechNet Flash en

www.microsoft.com/technet/usingtn/register/flash.asp

nase al foro TechNet Online en

www.microsoft.com/technet/itcommunity

Convirtase en un suscriptor de TechNet en

www.microsoft.com/technet/buynow/subscribe

Asista a ms Eventos TechNet o valos en lnea en

www.microsoft.com/technet/tcevents/itevents