Active directory

Tema 13Tema 13.
Configuración de Activeg
Directory
Administración de Sistemas Operativos
Mª Pilar González Férez
Tema 13. Configuración de Active Directory 1

ÍndiceÍndice
1. Introducción al Active Directory
2. Características de Active Directory
3. Organización de Active Directory
4. Conceptos de Active Directory
5. Directivas en Active Directoryy
6. Instalación de Active Directory
7. Herramientas de Active Directoryy
1. Dominios y confianzas de Active Directory
2. Sitios y servicios de Active Directory
3. Herramientas de línea de órdenes
4. Administración de directivas

Introducción al Active Directory
• Active Directory es un servicio de directorio extensible y
escalable que permite administrar eficientemente losq p
recursos de red y ayuda a monitorizar y localizar estos
servicios
U i i d di t i l d d t li– Un servicio de directorio es un lugar donde se centraliza
información sobre los recursos de una organización
– Un directorio es una base de datos optimizada para lectura,
ió bú dnavegación y búsqueda
– Los servicios de directorio son almacenes de información acerca
de entidades de red (aplicaciones, archivos, impresoras y usuarios)
– Los servicios de directorio proporcionan una manera consistente
de nombrar, describir, localizar, acceder, administrar y asegurar
información acerca de los recursos almacenados

Introducción al AD (ii)
• Active Directory permite un punto único de
administración para todos los recursos públicos (ficheros,
di iti ifé i b d d t i t )dispositivos periféricos, bases de datos, usuarios, etc.)
– El administrador da acceso a los recursos definidos
• Un dominio es una unidad lógica que agrupa objetosUn dominio es una unidad lógica que agrupa objetos
(usuarios o equipos) a los que se dará acceso a los recursos
(ficheros, dispositivos, bases de datos)
Controlador de dominio: equipo con Windows Server 2008 que– Controlador de dominio: equipo con Windows Server 2008 que
mantienen la base de datos del Active Directory
– Servidor miembro: equipo que forma parte del dominio haciendo
uso de los servicios del mismo Necesita autenticarse en eluso de los servicios del mismo. Necesita autenticarse en el
dominio (mediante un controlador de dominio) para poder usar los recursos

Características de Active Directory
• Escalabilidad
– Puede crecer y soportar un elevado número de objetos
• Integración con el DNS
– Los nombres de dominio son nombres DNS y tienen que estar
registrados en él
– AD usa DNS como servicio de nombres y de localización
– Es necesario instalar DNS antes de poder instalar AD
• ExtensibleExtensible
– Permite personalizar las clases y objetos que están definidas
dentro de AD según las necesidades propias
• Seguridad• Seguridad
– Incorpora las características de seguridad de W2008-Server, p.e.,
se puede controlar el acceso a cada objeto

Características de AD (ii)
• Multimaestro
– No distingue entre controladores de dominio primarios o
d isecundarios
– Cualquier controlador de dominio puede procesar cambios del
directorio
li i difi i li d l d– Las actualizaciones o modificaciones realizadas en un controlador
se replican al resto, siendo todos “iguales”
• Flexible
– Permite reflejar la organización lógica y física de la empresa u
organización donde se instala
– Permite que varios dominios se conecten en una estructura de
á b l d bárbol o de bosque
• Sigue el estándar LDAP (Lightweight Directory Access Protocol)

Organi ación de ADOrganización de AD
• Objetos de Active DirectoryObjetos de Active Directory
– Active Directory almacena información sobre los recursos de red y
proporciona los servicios que permiten que la información se
encuentre disponible y sea útilencuentre disponible y sea útil
– Esta información la pone a disposición de los administradores y
los usuarios de la red
• P.e., almacena información sobre las cuentas de usuario (nombres,, ( ,
contraseñas, nº de teléfono, etc.) y permite que otros usuarios autorizados de
la misma red tengan acceso a esa información
– Los recursos almacenados se denominan objetos y pueden ser:
usuarios impresoras servidores bases de datos grupos equipos yusuarios, impresoras, servidores, bases de datos, grupos, equipos y
directivas o políticas de seguridad
– Un objeto es diferenciado por su nombre y representa un recurso
de redde red
– Un objeto tiene un conjunto de atributos que lo definen y son sus
características (para un usuario su nombre, apellidos, e-mail, ...)

Organización de AD (ii)
Active DirectoryActive Directory
ObjetosObjetos
Organización de AD (ii)ory
AtributosAtributos
Nombre de
Impresoras
Impresora1
ObjetosObjetos
ctiveDirecto
impresora
Ubicación de
la impresora
Impresora2
AtributoAtributo
Impresoras
Impresora3
quemadelAc
AtributosAtributos
Nombre
Apellidos
Usuarios
Pilar Gon.
ValorValor
p
dosenelEsq
Apellidos
Nombre de inicio
de sesión
Antonio Ruiz
Usuarios
Definid
• Los objetos representan los recursos de red
• Los atributos definen la información relativa a un objeto
j

O i ió d AD (iii)Organización de AD (iii)
• Estructura lógica
– Active Directory organiza los recursos mediante una estructura
ló i l it l li blógica, lo que permite localizar un recurso por su nombre y no por
su localización física (que se hace transparente a los usuarios)
– Dominio
• Colección de equipos que comparten la base de datos del Active
Directory y que se administran de forma conjunta
– Los controladores de dominio, almacenan una copia de la base de datos
y permiten gestionarla y administrarla También controlan el acceso a lay permiten gestionarla y administrarla. También controlan el acceso a la
red, a la BD del directorio y a los recursos compartidos
– Los servidores miembros usan los servicios y recursos
• El dominio es la unidad central de la estructura lógica de ADdominio es a u dad ce t a de a est uctu a óg ca de
• Un dominio se crea al generar el primer controlador del dominio

Organización de AD (iv)
– Dominio (continúa )Dominio (continúa...)
• Un dominio representa:
– El límite para la autenticación
El límite para la replicación de la base de datos– El límite para la replicación de la base de datos
– El límite para las políticas o directivas
• El nombre del dominio debe ser único y ha de estar registrado
en el DNSen el DNS
– El DNS es la base de la infraestructura del Active Directory ya
que permite que los servidores miembros localicen a los
controladores de dominio
• Un dominio puede estar en varias subredes
• En una red pueden existir varios dominios

Organización de AD (v)
– Dominio (continúa...)
• Mantiene su ACL (lista de control de acceso) con todos los
permisos para los recursos del dominio controlando lospermisos para los recursos del dominio, controlando los
usuarios que pueden acceder al mismo y el tipo de acceso
• Los elementos de la base de datos del directorio (cuentas de
i i tid iusuarios, grupos, equipos y recursos compartidos, como impresoras y
carpetas) los usarán todos los equipos del dominio
• Todos los recursos (u objetos) de la red existen en un dominio
y cada dominio almacena información exclusivamente de los
objetos que contiene

O i ió d AD ( i)Organización de AD (vi)
– Unidades organizativas
• Los recursos del dominio se organizan en Unidades Organizativas
(OU, Organizational Units), que son contenedores (como directorios) que
permiten ordenar los recursos u objetos dentro de un dominio
• Contienen agrupaciones lógicas de recursos, como archivos,
impresoras, cuentas, aplicaciones y otros recursos del dominio
• Son como subgrupos dentro del dominio que reflejan, normalmente,g p q j
la estructura funcional o de negocios de una organización
• Sólo pueden contener objetos del dominio al que están asociados
• Crean vistas del directorio más pequeñas y manejablesCrean vistas del directorio más pequeñas y manejables
• Se puede delegar la autoridad sobre las mismas, para manejar con
más facilidad el acceso a los recursos administrativos

Organización de AD (vii)Organización de AD (vii)
• Estructura lógicaEstructura lógica
– Unidades organizativas
– A nivel de Administración permiten
Agrupar objetos con los mismos requerimientos– Agrupar objetos con los mismos requerimientos
– Delegación de tareas de una unidad organizativa
– A nivel de políticas (directivas) de grupo permiten
– Establecer una configuración distinta a una unidad organizativag g
– Establecer detalles de seguridad distintos a una unidad organizativa
– Ejemplo de unidades organizativas
• Usuarios (unidad organizativa)
• Profesores (unidad organizativa)
• AdministraciónSistemasOperativos (uo)
Pilar, Álvaro, José (usuarios)
• Arquitectura ( )• Arquitectura (uo)
Javier, Manolo, Antonio, Gregorio (usuarios)
• Redes (uo)
Juan, Óscar, Félix (usuarios)
, ,

Organización de AD (viii)
– Árboles de dominio
U á b l d d i i ió d á• Un árbol de dominio es una agrupación de uno o más
dominios que comparten un espacio de nombres continuo
– aso.es (ppal), sup.aso.es, sis.aso.es, ges.aso.es (el resto secundarios)
l b d d i i d d i i d i l b• El nombre de dominio de un dominio secundario es el nombre
relativo a ese dominio agregado al nombre del dominio ppal
• Los dominios dentro del árbol comparten el esquema común,
el catálogo global y los datos de configuración (topología del
directorio)
• Confianza: los dominios de un árbol están conectados porf p
medio de relaciones de confianza
• Al crear un nuevo dominio ya forma un árbol: es el dominio
principal de ese árbol
p p

O i ió d A (i )Organización de AD (ix)
– Bosques de dominio
• Un bosque de dominio está compuesto por uno o más árboles de
dominio distintos e independientes entre sí, que comparten
información del directorio común
– aso.es, sup.aso.es, sis.aso.es, ges.aso.es
– etc.es, sup.etc.es, sis.etc.es, ges.etc.es
– redes.es, sup.redes.es, sis.redes.es, ges.redes.es
• Todos los árboles de un bosque comparten el esquema común, el
catálogo global y los datos de configuración
• Los dominios en un bosque operan independientemente, pero elq p p , p
bosque permite la comunicación a lo largo de toda la organización

Organización de AD (x)
Bosques de dominio– Bosques de dominio
• El bosque tiene un único dominio raíz, llamado dominio raíz
del bosque, que es el primer dominio creado en el mismo
• Los nombres de dominio dentro de un bosque pueden ser
discontinuos o continuos en la jerarquía del DNS
– Continuos: están en el mismo árbol de dominio
– Discontinuos: forman varios árboles de dominio
• Por defecto, un único dominio ya forma un árbol y un bosque
– Se puede ampliar el árbol añadiendo un nuevo dominio con un
b inombre continuo
– Se puede ampliar el bosque al añadir un nuevo dominio con un
nombre discontinuo, que formará un nuevo árbol de dominio

O i ió d AD ( i)Organización de AD (xi)
Estr ct ra lógica• Estructura lógica
• Dominios
• Unidades organizativasUnidades organizativas
• Árboles y bosques
Aso.esAso.es
Árbol
UO
DomainDomainSup.aso.esSup.aso.es
Bosque
Sis aso es
UO
UOUO
Etc.esEtc.es
Sis.aso.es
Ges.etc.esGes.etc.esSup.etc.esSup.etc.es
Árbol

Organización de AD (xii)
• Estructura física
Controlador de dominio– Controlador de dominio
• Un controlador de dominio es un equipo con W2008Server
que almacena una copia del directorio del dominio (base de
datos local del dominio)datos local del dominio)
• Puede haber varios controladores de dominio, cada uno de
ellos tendrá una copia completa del directorio
• Cada controlador permite realizar cambios en el directorioCada controlador permite realizar cambios en el directorio,
administrando los cambios y replicándolos a los otros
controladores de dominio del mismo dominio
• Los controladores de dominio administran todas las facetas deLos controladores de dominio administran todas las facetas de
las interacciones de los usuarios en un dominio (localización
de objetos o validación de un intento de inicio de sesión, ...)

Organización de AD (xiii)
C t l d d d i i– Controladores de dominio (continúa…)
• La replicación se hace en intervalos de tiempo, pudiendo
establecer la frecuencia a la que se producen las replicaciones
entre controladores de dominio
• AD usa un modelo replicación multimaestro:
– Ningún controlador del dominio es el maestrog
– Todos los controladores son “iguales” y contienen una copia de
la BD del directorio. (En realidad todos los controladores son “casi iguales”)
– Los controladores replican los cambios entre ellosp
– Cualquier controlador de dominio puede procesar los cambios
del directorio y replicarlos

Organización de AD (xiv)
– Controladores de dominio (continúa…)
• Los controladores de dominio replican inmediatamente ciertas
actualizaciones urgentes por ejemplo la eliminación de unaactualizaciones urgentes, por ejemplo la eliminación de una
cuenta de usuario
• Establecer varios controladores de dominio dentro de un
dominio permite tener tolerancia a fallos
• Todos tienen asignadas las mismas tareas salvo:
– Servidor de cabeza de puente para replicar información delServidor de cabeza de puente para replicar información del
directorio con otros sitios
– Las funciones del maestro de operaciones

Organización de AD (xv)Organización de AD (xv)
– Sitios
• Un sitio es una agrupación de equipos que están conectados
físicamente por conexiones rápidas y de alta fiabilidad.
Habitualmente equipos conectados en una LAN
• La razón básica de crear sitios es aprovechar los mecanismos
de comunicación “eficientes” (rápidos y fiables) entre sistemas bien
com nicadoscomunicados
• Un sitio es básicamente una subred TCP/IP
• Son independientes de la estructuras lógica de dominio. No
existe relación entre la estructura física de la red y la lógicaexiste relación entre la estructura física de la red y la lógica
del dominio:
– Un único dominio puede estar en varios sitios
– En un sitio puede haber varios dominiosEn un sitio puede haber varios dominios
• Importante no confundir sitio con dominio:
– Dominio: agrupación lógica de usuarios y equipos
– Sitio: agrupación física de equipos

Organi ación de AD ( i)Organización de AD (xvi)
• Estructura física• Estructura física
– Sitios (continúa ...)
• Los equipos están asignados a sitios según su localización en la
subred o en un conjunto de subredessubred o en un conjunto de subredes
• Si la empresa tiene varias subredes que no tienen buena conexión
entre sí o están en ubicaciones geográficas distintas, (p.e. una sucursal en
Murcia y otra en Cartagena), hay que definir un sitio por cada subred
• Debe tener asociado, al menos, un controlador de dominio en cada
sitio (para facilitar y acelerar el acceso a los datos del AD)
• La información de los sitios se usa para:
V lid ió d id d l id i b l d– Validación de seguridad en los servidores miembros: el proceso de
autenticación se hace en los controladores del dominio del sitio en el
que está el servidor miembro (si es posible …)
– La replicación de la información de directorio se hace con más
frecuencia dentro de sitios que entre sitios ( d i d l t áfi d l d)frecuencia dentro de sitios que entre sitios (reduciendo el tráfico de la red)
• Un controlador del dominio será servidor de cabeza de puente:
realiza la réplica de datos hacia y desde un sitio, y envía los datos
recibidos a los otros controladores del sitio

Conceptos de Active Directory
• Almacén de datos o Directorio Activo
– Contiene información sobre objetos del dominio, como
d d i ipueden ser cuentas de usuarios, grupos o equipos, recursos
compartidos, unidades organizativas y directivas o políticas
de grupo
E i f ió bli i• Esta información se publica para que otros usuarios y
administradores del dominio la utilicen
– Se conoce como almacén de datos o directorio, es el propio
Directorio Activo (A ti Di t )Directorio Activo (Active Directory)
– Se almacena en un fichero llamado ntds.dit que tiene que
estar localizado en una partición de tipo NTFS
L l d d d i i li l bi d l– Los controladores de dominio replican los cambios del
almacén de datos de forma multimaestro: todos los
controladores de dominio tienen la misma base de datos

Conceptos de AD (ii)Conceptos de AD (ii)
• Catálogo global
– El catálogo global es un almacén central de información de
todos los objetos del directorio de los dominios del bosque
– Tiene una copia completa todos los objetos (todos sus atributos) delp p j
directorio de su dominio y una copia parcial de todos los
objetos de los directorios de los otros dominios del bosque
• La copia parcial almacena los atributos usados con más frecuencia en
l i d bú dlas operaciones de búsqueda
– De manera predeterminada, el primer controlador de
dominio creado al instalar AD se convierte en catálogo
l b l id id d tál l b lglobal y es conocido como servidor de catálogo global
– La información que almacena es generada automáticamente
en cada dominio mediante el proceso de réplica
– Se pueden definir varios CG’s en un dominio, pero esto
incrementará el tráfico de red para hacer las réplicas (para
actualizar los distintos catálogos)

Conceptos de AD (iii)Conceptos de AD (iii)
• Catálogo global (continúa …)
– Realiza las siguientes funciones clave en el directorio:
• Resuelve las búsquedas de información en un dominio, árbol
o bosque, con independencia de la ubicación de los datos (con
i d d i d é d i i é )independencia de en qué dominio estén)
• Resuelve los nombres principales de usuarios (UPN) de otros
dominios del bosque, permitiendo que usuarios esos dominios
se autentiquen en el dominiose autentiquen en el dominio
• La información sobre los grupos universales se almacena sólo
en el CG. Cuando un usuario inicie una sesión, el CG
proporcionará la pertenencia (o no) a los grupos universalesp p p ( ) g p
• Permite validar las referencias a objetos de otros dominios del
bosque, informando si son o no correctas
– Diseñado para responder a las preguntas sobre objetos dep p p g j
cualquier dominio del bosque (máxima velocidad y poco tráfico de red)
• Una pregunta sobre un objeto de otro dominio puede ser resuelta por
el catálogo global del dominio donde se realiza la pregunta

Conceptos de AD (iv)Conceptos de AD (iv)
Subconjunto de
atributos de todosatributos de todos
los objetos
Aso.es
Etc.es
Sis.aso.esSup.aso.es
Ges.etc.esSup.etc.es
Catálogo globalCatálogo global
Ges etc esSup etc es
ConsultasConsultas
Pertenencia a gruposPertenencia a grupos
Servidor de
catálogo global
g pg p
universales cuando eluniversales cuando el
usuario inicia sesiónusuario inicia sesión
catálogo global

C d AD ( )Conceptos de AD (v)
E d A i Di• Esquema de Active Directory
– El esquema define todos los objetos y tipos de datos que se
pueden almacenar en Active Directoryp y
• Define los objetos a través de clases, las propiedades de las clases y
los atributos
– Hay dos tipos de definiciones en el esquema:y p q
• Clases (o clases de objetos): describen las características de los
objetos de AD. Es una colección de atributos
• Atributos
l bj d l– Se almacena como un objeto del AD
– Proporciona unas clases y atributos por defecto
– Pero es un elemento ampliable: se pueden definir nuevosPero es un elemento ampliable: se pueden definir nuevos
objetos o atributos a un objeto que ya existe
• A user se le puede asociar los nuevos atributos: nota_teoría,
nota prácticas y nota final
_p y _f

Conceptos de AD (vi)
• Maestro de operaciones flexible• Maestro de operaciones flexible
– Las funciones de maestro de operaciones son realizar tareas que
son impracticables en entornos multimaestro
P d i d di i l d– Pero estas tareas pueden ser asignadas a distintos controladores
del dominio (no tienen que realizarse en el mismo controlador)
– Hay cargos que se asignan sólo una vez en el bosque de dominio,
otros se deben definir una vez en cada dominiootros se deben definir una vez en cada dominio
– Las funciones que realiza son:
• Maestro de esquema: controla las actualizaciones y modificaciones
del esquema del directorio Sólo existe uno en el bosquedel esquema del directorio. Sólo existe uno en el bosque
• Maestro de nombres de dominio: controla la agregación o
eliminación de nombres de dominios en el bosque. Uno en todo el
bosque
• Maestro de Id. relativo: asigna los Id. Relativos a los controladores
de dominio

Conceptos de AD (vii)Conceptos de AD (vii)
M d i• Maestro de operaciones
– Sus cargos son: (continúa...)
M t d i f t t t li l f i bj t• Maestro de infraestructuras: actualiza las referencias a objetos
comparando sus datos de directorio con el catálogo global,
replicando los cambios si es necesario. (Es preferible que no
i id l CD h d ál l b l)coincida con el CD que hace de catálogo global)
• Emulador PDC:
– Recibe una replicación preferencial de los cambios realizados
l l d d l d i ien las contraseñas por otros controladores del dominio
» Si una autenticación de inicio de sesión produce un error por una
contraseña incorrecta, se reenviará la solicitud de autenticación al
emulador del PDC antes de rechazar el intento de inicio de sesión
– Sincronización horaria en todo el bosque

Conceptos de AD (viii)Conceptos de AD (viii)
• Espacio de nombres• Espacio de nombres
– Los nombres de AD son nombres registrados en el servidor de
DNS, por lo que se pueden usar formatos de nombre estándar
d l tidel tipo aso.es
– Esto permite la estructuración jerárquica de AD
– Nomenclaturas: 4 nomenclaturas para identificar objetosp j
• DN (Distinguished Name) (nombre completo)
– Único para cada objeto
– Contiene suficiente información para que un usuario recupere elp q p
objeto del directorio, incluyendo el nombre del dominio y la ruta
– Se compone de varios atributos: el nombre del dominio al que
pertenece (DC) y de las unidades organizativas en las que está
(OU) y el nombre relativo del objeto (CN)(OU) y el nombre relativo del objeto (CN)

Conceptos de AD (ix)Conceptos de AD (ix)
• Espacio de nombres (continúa...)
– Nomenclaturas:
• RDN (Relative Distinguished Name) (nombre completo relativo)
– Identifica unívocamente al objeto dentro su unidad organizativaj g
– Es parte del DN
– Podemos tener dos objetos con el mismo nombre si los objetos
pertenecen a distintas Unidades Organizativas
• GUID (Globally Unique Name) (identificador global único)
– Número de 128 bits, distinto para cada objeto, y que no cambia
nunca
E ú i tá f d l Id d id d d l d i i– Es único y está formado por el Id de seguridad del dominio (prefijo) y
un Id relativo único, (asignado por el maestro de operaciones)
• UPN (User Principal Name) (nombre principal de usuario)
Son nombres cortos y descriptivos del objeto– Son nombres cortos y descriptivos del objeto
– El nombre común del objeto se combina con el dominio para
formar el UPN

Conceptos de AD (x)Conceptos de AD (x)
• Espacio de nombres• Espacio de nombres (continúa...)
– Nomenclaturas:
• Supongamos que tenemos el dominio aso.es y dentro de él la
id d i ti d t l id d i tiunidad organizativa users, dentro la unidad organizativa
Profesores y dentro el usuario Pilar:
– El nombre completo o distinguished name para este usuario:
» CN=Pilar OU=Profesores OU=users DC=aso DC=es» CN=Pilar,OU=Profesores,OU=users,DC=aso,DC=es
– El nombre completo relativo o Relative Distinguished Name:
» Pilar
• Si movemos el usuario Pilar a una nueva unidad organizativa• Si movemos el usuario Pilar a una nueva unidad organizativa
llamada Investigadores:
– El nombre completo o distinguished name será:
» CN=Pilar,OU=Investigadores,DC=aso,DC=es» CN Pilar,OU Investigadores,DC aso,DC es
• UPN: pilar@aso.es

Directivas en ADDirectivas en AD
• En un dominio, se pueden definir directivas de grupo a nivel de
sitio, de dominio o de unidades organizativas
• Se aplicarán a todos los servidores miembros del dominio
• El orden de aplicación de las directivas es el siguiente:• El orden de aplicación de las directivas es el siguiente:
1) Directivas de grupo local (las definidas en el equipo local)
2) Directivas de grupo de sitio
3) Directivas de grupo de dominio
4) Directivas de unidad organizativa
5) Directivas de unidad organizativa secundaria etc5) Directivas de unidad organizativa secundaria, etc.
• En caso de conflictos, las que se aplican más tarde tienen
preferencia y sobrescriben las directivas aplicadas previamente
• Se pueden aplicar a todos los usuarios (al dominio) o a un único
usuario (en una unidad organizativa concreta)

I l ió d ADInstalación de AD
• dcpromo.exe es la orden para abrir el Asistente para instalar AD
• Al ejecutarlo se puede:
– Crear un nuevo dominio, creando un nuevo árbol y un nuevo bosqueC ea u uevo do o, c ea do u uevo á bo y u uevo bosque
– Unirse como nuevo controlador a un dominio que ya existe
– Crear un nuevo dominio en un árbol de dominios ya existente
– Crear un nuevo árbol, creando nuevo dominio, en un bosque de dominios, , q
ya existente
– Al unir un nuevo controlador de dominio a un dominio/árbol/bosque que
ya existe, hay que indicar un usuario (y su contraseña) correcto para
autenticarnos en él El usuario a indicar es Administradorautenticarnos en él. El usuario a indicar es Administrador
• Si AD ya está instalado, lo que hace es desinstalar AD, esto es
degradar el controlador de dominio a servidor miembro (e.d., a
cliente del dominio)cliente del dominio)
– Si al degradarlo fuese el último CD existente, elimina también el dominio

Instalación de AD (ii)( )
• Instalando AD:
– Nombre del nuevo dominio:
• El nombre asignado al dominio tiene que ser un nombre DNS válido
que debe estar registrado en el mismo
– Si el DNS está configurado correctamente, el nuevo nombre se
registrará de forma automática. Esto es lo conveniente
• Al instalar el primer CD de un nuevo dominio/árbol/bosque, si el
DNS no permite actualizaciones automáticas, ofrece la posibilidad de
instalar un servidor de DNS para controlar todo lo relacionado con el
nombre del dominio, los controladores de dominio, etc.
N b d d i i N tBIOS ibilid d– Nombre de dominio NetBIOS: para compatibilidad con
versiones anteriores de Windows (nombre corto)
– Nivel funcional del bosque: establece la versión mínima deq
sistema operativo de los controladores de dominio:
• Windows Server 2008, Windows Server 2003, Windows 2000 nativo
y Windows 2000 mixto (predeterminado),
y (p )

Instalación de AD (iii)( )
• Instalar AD:Instalar AD:
– Ubicación de la base de datos y el registro de AD
• Por defecto %SystemRoot%ntds (el valor de %SystemRoot% es c:windows)
• La BD de AD contendrá los objetos y sus propiedades
• Los archivos de registro de AD registrarán las actividades del servicio
de directorio
• Tienen que ser en una unidad con formato NTFS
– Ubicación del “Volumen de sistema compartido”
• Por defecto, %SystemRoot%sysvolPor defecto, %SystemRoot%sysvol
• Sysvol es un recurso compartido que contiene información del
dominio que se replica al resto de controladores de dominio de la red
• Tiene que estar en una unidad NTFSTiene que estar en una unidad NTFS
• Almacena la copia de servidor de las carpetas públicas del dominio

Instalación de AD (iv)
• Configurando un Servidor miembro
– En la herramienta Propiedades del Sistema en la ficha
Nombre del equipo indicamos el dominio al que
queremos unir ese equipoqueremos unir ese equipo
• Pedirá un usuario y su clave para autenticarse en el dominio,
habrá que indicarle el usuario administradorq
– En esa ficha también se ve si el equipo ya pertenece a
un dominio o bien a un grupo de trabajo

Herramientas de AD
• Asistente de instalación de AD
• Dominios y confianzas de ADy f
– Cambia el modo de funcionamiento del dominio, gestionando las
relaciones de confianza entre dominios, árboles de dominio y
bosques de dominios
• Usuarios y equipos de AD
– Crear, gestionar y configurar usuarios, grupos, equipos y unidades
organizativas del ADg
• Sitios y servicios de AD
– Crear y configurar sitios de dominios, y gestionar el proceso de
duplicación de controladores de dominioduplicación de controladores de dominio
• Esquema de AD
– Modificar el esquema que definen los objetos y propiedades de AD

Dominios y confianzas de ADDominios y confianzas de AD
• Herramientas administrativas/Dominios y confianzas de ADHerramientas administrativas/Dominios y confianzas de AD
• Permite:
– Administrar relaciones de confianza entre dominios:
• Los usuarios de un dominio pueden acceder a recursos ubicados en
otro dominio en que se confíe
– Establecer sufijos de nombre principal de usuario (UPN) y
d d d i inodos de dominio:
• Como sufijo del nombre principal de usuario, se utiliza el nombre de
dominio (pilar@aso.es), pero se pueden establecer alternativos
– Cambiar el nivel de funcionalidad del dominio
– Cambiar el CD que hace de maestro de operaciones
Cambiar el s ario q e es el administrador designado para el– Cambiar el usuario que es el administrador designado para el
dominio

Siti i i d ADSitios y servicios de AD
• Para ejecutarlo: Herramientas administrativas /Sitios y servicios de AD
• Default-First-Site-Name: sitio por defecto creado al crear el
primer controlador de dominiop
• Cada sitio tiene varios contenedores:
– Servers (Servidores) con los diferentes controladores de dominio del
sitio, así como varios objetos entre ellos:, j
• Licensing Site Settings
• NTDS Setings, que permite deshabilitar la generación automática de
replicación en todas sus posibilidades
• Las propiedades del sitio permiten especificar una descripción y
su ubicación, y temas relacionados con la seguridad
• Con subnet se pueden establecer los “límites” de un sitio:p
dirección de red y máscara de red
– Si hay más de un sitio es necesario definir subredes para que AD sepa
ubicar los controladores de dominio en las subredes y sitios apropiados

Siti i i d AD (ii)Sitios y servicios de AD (ii)
• Permite, entre otras tareas:
– Crear nuevos sitios
– Habilitar/deshabilitar un dominio como catálogo global– Habilitar/deshabilitar un dominio como catálogo global
– Designar un servidor de cabeza de puente, que maneja la
transferencia de réplica de datos hacia y desde un sitio, y envía los
datos recibidos a los otros controladores del sitiodatos recibidos a los otros controladores del sitio
– Reparar controladores de dominio
– Configurar el transporte entre sitios, definiendo posibles
i ló i d á i i i i lconexiones lógicas entre dos o más sitios, para optimizar los
procesos de replicación entre sitios, su velocidad, etc.

H i t lí d ó dHerramientas en línea de órdenes
• Dsadd → añade equipos, contactos, grupos, unidades
organizativas y usuarios
• Dsget → muestra propiedades de equipos, contactos, grupos,Dsget → muestra propiedades de equipos, contactos, grupos,
unidades organizativas, usuarios, sitios, subredes y servidores
• Dsmod → modifica las propiedades de equipos, contactos,
id d i ti i idgrupos, unidades organizativas, usuarios y servidores
• Dsmove→ mueve un objeto a una nueva ubicación en el
dominio, o lo renombra
• Dsquery→ localiza equipos, contactos, grupos, unidades
organizativas, usuarios, sitios, subredes y servidores dentro de
AD utilizando criterios de búsquedaAD utilizando criterios de búsqueda
• Dsrm→ elimina objetos del AD

Administración de directivas en ADAdministración de directivas en AD
• Con la herramienta Administración de directivas de grupo• Con la herramienta Administración de directivas de grupo
– Por defecto no se instala, hay que instalarla mediante la
herramienta Programas y características, y aparecerá como unag y , y p
nueva opción de menú dentro de Herramientas Administrativas
– Para el dominio, los sitios, o las unidades organizativas se pueden
asignar directivas de grupo y editar los valores correspondientesasignar directivas de grupo, y editar los valores correspondientes
– Dependiendo del nivel de aplicación afectarán a los
equipos/usuarios correspondientes:
• Dominio → todos
• Sitio → equipos de ese sitio
• Unidad organizativa → equipos/usuarios de esa u.o.

Active directory

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (6)

Similar a Active directory

Similar a Active directory (20)

Último

Último (20)

Active directory