Este documento describe la configuración de Active Directory. Explica que Active Directory es un servicio de directorio que permite administrar los recursos de red de forma eficiente. Detalla las características, organización y conceptos clave de Active Directory como dominios, unidades organizativas, árboles y bosques de dominio. También explica los roles de controlador de dominio y servidor miembro.
1. Tema 13.
13
Configuración de Active
g
Directory
Administración de Sistemas Operativos
Mª Pilar González Férez
Tema 13. Configuración de Active Directory 1
2. Índice
1. Introducción al Active Directory
2. Características de Active Directory
3. Organización de Active Directory
4. Conceptos de Active Directory
5. Directivas en Active Directoryy
6. Instalación de Active Directory
7. Herramientas de Active Directory y
1. Dominios y confianzas de Active Directory
2. Sitios y servicios de Active Directory
3. Herramientas de línea de órdenes
4. Administración de directivas
Tema 13. Configuración de Active Directory 2
3. Introducción al Active Directory
• Active Directory es un servicio de directorio extensible y
escalable que permite administrar eficientemente los
q p
recursos de red y ayuda a monitorizar y localizar estos
servicios
– U servicio de directorio es un l
Un i i d di t i lugar donde se centraliza
d d t li
información sobre los recursos de una organización
– Un directorio es una base de datos optimizada para lectura,
navegación y búsqueda
ió bú d
– Los servicios de directorio son almacenes de información acerca
de entidades de red (aplicaciones, archivos, impresoras y usuarios)
– Los servicios de directorio proporcionan una manera consistente
de nombrar, describir, localizar, acceder, administrar y asegurar
información acerca de los recursos almacenados
Tema 13. Configuración de Active Directory 3
4. Introducción al AD (ii)
• Active Directory permite un punto único de
administración para todos los recursos públicos (ficheros,
dispositivos periféricos, bases de datos, usuarios, etc.)
di iti ifé i b d d t i t )
– El administrador da acceso a los recursos definidos
• Un dominio es una unidad lógica que agrupa objetos
(usuarios o equipos) a los que se dará acceso a los recursos
(ficheros, dispositivos, bases de datos)
– Controlador de dominio: equipo con Windows Server 2008 que
mantienen la base de datos del Active Directory
– Servidor miembro: equipo que forma parte del dominio haciendo
uso de los servicios del mismo Necesita autenticarse en el
mismo.
dominio (mediante un controlador de dominio) para poder usar los recursos
Tema 13. Configuración de Active Directory 4
5. Características de Active Directory
• Escalabilidad
– Puede crecer y soportar un elevado número de objetos
• Integración con el DNS
– Los nombres de dominio son nombres DNS y tienen que estar
registrados en él
– AD usa DNS como servicio de nombres y de localización
– Es necesario instalar DNS antes de poder instalar AD
• Extensible
– Permite personalizar las clases y objetos que están definidas
dentro de AD según las necesidades propias
• Seguridad
– Incorpora las características de seguridad de W2008-Server, p.e.,
se puede controlar el acceso a cada objeto
Tema 13. Configuración de Active Directory 5
6. Características de AD (ii)
• Multimaestro
– No distingue entre controladores de dominio primarios o
secundarios
d i
– Cualquier controlador de dominio puede procesar cambios del
directorio
– Las actualizaciones o modificaciones realizadas en un controlador
li i difi i li d l d
se replican al resto, siendo todos “iguales”
• Flexible
– Permite reflejar la organización lógica y física de la empresa u
organización donde se instala
– Permite que varios dominios se conecten en una estructura de
árbol d b
á b l o de bosque
• Sigue el estándar LDAP (Lightweight Directory Access Protocol)
Tema 13. Configuración de Active Directory 6
7. Organización
Organi ación de AD
• Objetos de Active Directory
– Active Directory almacena información sobre los recursos de red y
proporciona los servicios que permiten que la información se
encuentre disponible y sea útil
– Esta información la pone a disposición de los administradores y
los usuarios de la red
• P.e., almacena información sobre las cuentas de usuario (nombres,,
, (
contraseñas, nº de teléfono, etc.) y permite que otros usuarios autorizados de
la misma red tengan acceso a esa información
– Los recursos almacenados se denominan objetos y pueden ser:
usuarios, impresoras servidores
usuarios impresoras, servidores, bases de datos, grupos, equipos y
datos grupos
directivas o políticas de seguridad
– Un objeto es diferenciado por su nombre y representa un recurso
de red
– Un objeto tiene un conjunto de atributos que lo definen y son sus
características (para un usuario su nombre, apellidos, e-mail, ...)
Tema 13. Configuración de Active Directory 7
8. Organización de AD (ii)
Active Directory
Objetos
ory
ctive Directo
Impresoras
Atributos
Nombre de Impresora1
quema del Ac
impresora
Ubicación de Impresora2
Impresoras la impresora
Impresora3
p Atributo
Definid en el Esq
Valor
Atributos Usuarios
Nombre Pilar Gon.
dos
Apellidos
Nombre de inicio Antonio Ruiz
Usuarios de sesión
• Los objetos representan los recursos de red
• Los atributos definen la información relativa a un objeto
j
Tema 13. Configuración de Active Directory 8
9. Organización de AD (iii)
O i ió d
• Estructura lógica
– Active Directory organiza los recursos mediante una estructura
lógica, lo
ló i l que permite localizar un recurso por su nombre y no por
it l li b
su localización física (que se hace transparente a los usuarios)
– Dominio
• Colección de equipos que comparten la base de datos del Active
Directory y que se administran de forma conjunta
– Los controladores de dominio, almacenan una copia de la base de datos
y permiten gestionarla y administrarla. También controlan el acceso a la
administrarla
red, a la BD del directorio y a los recursos compartidos
– Los servidores miembros usan los servicios y recursos
• El dominio es la unidad central de la estructura lógica de AD
a u dad ce t a a est uctu a óg ca
• Un dominio se crea al generar el primer controlador del dominio
Tema 13. Configuración de Active Directory 9
10. Organización de AD (iv)
• Estructura lógica
– Dominio (continúa )
(continúa...)
• Un dominio representa:
– El límite para la autenticación
– El límite para la replicación de la base de datos
– El límite para las políticas o directivas
• El nombre del dominio debe ser único y ha de estar registrado
en el DNS
– El DNS es la base de la infraestructura del Active Directory ya
que permite que los servidores miembros localicen a los
controladores de dominio
• Un dominio puede estar en varias subredes
• En una red pueden existir varios dominios
Tema 13. Configuración de Active Directory 10
11. Organización de AD (v)
• Estructura lógica
– Dominio (continúa...)
• Mantiene su ACL (lista de control de acceso) con todos los
permisos para los recursos del dominio, controlando los
dominio
usuarios que pueden acceder al mismo y el tipo de acceso
• Los elementos de la base de datos del directorio (cuentas de
usuarios, grupos, equipos y recursos compartidos, como impresoras y
i i tid i
carpetas) los usarán todos los equipos del dominio
• Todos los recursos (u objetos) de la red existen en un dominio
y cada dominio almacena información exclusivamente de los
objetos que contiene
Tema 13. Configuración de Active Directory 11
12. Organización de AD ( i)
O i ió d (vi)
• Estructura lógica
– Unidades organizativas
• Los recursos del dominio se organizan en Unidades Organizativas
(OU, Organizational Units), que son contenedores (como directorios) que
permiten ordenar los recursos u objetos dentro de un dominio
• Contienen agrupaciones lógicas de recursos, como archivos,
impresoras, cuentas, aplicaciones y otros recursos del dominio
• Son como subgrupos dentro del dominio q reflejan, normalmente,
g p que j
la estructura funcional o de negocios de una organización
• Sólo pueden contener objetos del dominio al que están asociados
• Crean vistas del directorio más pequeñas y manejables
• Se puede delegar la autoridad sobre las mismas, para manejar con
más facilidad el acceso a los recursos administrativos
Tema 13. Configuración de Active Directory 12
13. Organización de AD (vii)
• Estructura lógica
– Unidades organizativas
– A nivel de Administración permiten
– Agrupar objetos con los mismos requerimientos
– Delegación de tareas de una unidad organizativa
– A nivel de políticas (directivas) de grupo permiten
– Establecer una configuración distinta a una unidad organizativa
g g
– Establecer detalles de seguridad distintos a una unidad organizativa
– Ejemplo de unidades organizativas
• Usuarios (unidad organizativa)
• Profesores (unidad organizativa)
• AdministraciónSistemasOperativos (uo)
Pilar, Álvaro, José (usuarios)
• Arquitectura ( ) (uo)
Javier, Manolo, Antonio, Gregorio (usuarios)
• Redes (uo)
Juan, Óscar, Félix (usuarios)
, ,
Tema 13. Configuración de Active Directory 13
14. Organización de AD (viii)
• Estructura lógica
– Árboles de dominio
• U á b l de dominio es una agrupación de uno o más
Un árbol d d i i ió d á
dominios que comparten un espacio de nombres continuo
– aso.es (ppal), sup.aso.es, sis.aso.es, ges.aso.es (el resto secundarios)
• El nombre de dominio de un dominio secundario es el nombre
l b d d i i d d i i d i l b
relativo a ese dominio agregado al nombre del dominio ppal
• Los dominios dentro del árbol comparten el esquema común,
el catálogo global y los datos de configuración (topología del
directorio)
• Confianza: los dominios de un árbol están conectados por
f p
medio de relaciones de confianza
• Al crear un nuevo dominio ya forma un árbol: es el dominio
principal de ese árbol
p p
Tema 13. Configuración de Active Directory 14
15. Organización de AD (i )
O i ió d A (ix)
• Estructura lógica
– Bosques de dominio
• Un bosque de dominio está compuesto por uno o más árboles de
dominio distintos e independientes entre sí, que comparten
información del directorio común
– aso.es, sup.aso.es, sis.aso.es, ges.aso.es
– etc.es, sup.etc.es, sis.etc.es, ges.etc.es
– redes.es, sup.redes.es, sis.redes.es, ges.redes.es
• Todos los árboles de un bosque comparten el esquema común, el
catálogo global y los datos de configuración
• Los dominios en un bosque operan independientemente, p
q p p , pero el
bosque permite la comunicación a lo largo de toda la organización
Tema 13. Configuración de Active Directory 15
16. Organización de AD (x)
• Estructura lógica
– Bosques de dominio
• El bosque tiene un único dominio raíz, llamado dominio raíz
del bosque, que es el primer dominio creado en el mismo
• Los nombres de dominio dentro de un bosque pueden ser
discontinuos o continuos en la jerarquía del DNS
– Continuos: están en el mismo árbol de dominio
– Discontinuos: forman varios árboles de dominio
• Por defecto, un único dominio ya forma un árbol y un bosque
– Se puede ampliar el árbol añadiendo un nuevo dominio con un
nombre continuo
b i
– Se puede ampliar el bosque al añadir un nuevo dominio con un
nombre discontinuo, que formará un nuevo árbol de dominio
Tema 13. Configuración de Active Directory 16
17. Organización de AD ( i)
O i ió d (xi)
• Estr ct ra lógica
Estructura
• Dominios
• Unidades organizativas
Aso.es
• Árboles y bosques
Árbol
UO
Sup.aso.es UO Domain
UO
Bosque
Sis.aso.es
Sis aso es
Etc.es
Árbol
Sup.etc.es
Sup etc es Ges.etc.es
Ges etc es
Tema 13. Configuración de Active Directory 17
18. Organización de AD (xii)
• Estructura física
– Controlador de dominio
• Un controlador de dominio es un equipo con W2008Server
que almacena una copia del directorio del dominio (base de
datos local del dominio)
• Puede haber varios controladores de dominio, cada uno de
ellos tendrá una copia completa del directorio
• Cada controlador permite realizar cambios en el directorio
directorio,
administrando los cambios y replicándolos a los otros
controladores de dominio del mismo dominio
• Los controladores de dominio administran todas las facetas de
las interacciones de los usuarios en un dominio (localización
de objetos o validación de un intento de inicio de sesión, ...)
Tema 13. Configuración de Active Directory 18
19. Organización de AD (xiii)
• Estructura física
– C t l d
Controladores d d i i (continúa…)
de dominio
• La replicación se hace en intervalos de tiempo, pudiendo
establecer la frecuencia a la que se producen las replicaciones
entre controladores de dominio
• AD usa un modelo replicación multimaestro:
– Ningún controlador del dominio es el maestro
g
– Todos los controladores son “iguales” y contienen una copia de
la BD del directorio. (En realidad todos los controladores son “casi iguales”)
– Los controladores replican los cambios entre ellos
p
– Cualquier controlador de dominio puede procesar los cambios
del directorio y replicarlos
Tema 13. Configuración de Active Directory 19
20. Organización de AD (xiv)
• Estructura física
– Controladores de dominio (continúa…)
• Los controladores de dominio replican inmediatamente ciertas
actualizaciones urgentes, por ejemplo la eliminación de una
urgentes
cuenta de usuario
• Establecer varios controladores de dominio dentro de un
dominio permite tener tolerancia a fallos
• Todos tienen asignadas las mismas tareas salvo:
– Servidor de cabeza de puente para replicar información del
directorio con otros sitios
– Las funciones del maestro de operaciones
Tema 13. Configuración de Active Directory 20
21. Organización de AD (xv)
• Estructura física
– Sitios
• Un sitio es una agrupación de equipos que están conectados
físicamente por conexiones rápidas y de alta fiabilidad.
Habitualmente equipos conectados en una LAN
• La razón básica de crear sitios es aprovechar los mecanismos
de comunicación “eficientes” (rápidos y fiables) entre sistemas bien
comunicados
com nicados
• Un sitio es básicamente una subred TCP/IP
• Son independientes de la estructuras lógica de dominio. No
existe relación entre la estructura física de la red y la lógica
del dominio:
– Un único dominio puede estar en varios sitios
– En un sitio puede haber varios dominios
• Importante no confundir sitio con dominio:
– Dominio: agrupación lógica de usuarios y equipos
– Sitio: agrupación física de equipos
Tema 13. Configuración de Active Directory 21
22. Organización
Organi ación de AD (xvi)
( i)
• Estructura física
– Sitios (continúa ...)
• Los equipos están asignados a sitios según su localización en la
subred o en un conjunto de subredes
• Si la empresa tiene varias subredes que no tienen buena conexión
entre sí o están en ubicaciones geográficas distintas, (p.e. una sucursal en
Murcia y otra en Cartagena), hay que definir un sitio por cada subred
• Debe tener asociado, al menos, un controlador de dominio en cada
sitio (para facilitar y acelerar el acceso a los datos del AD)
• La información de los sitios se usa para:
– V lid ió de seguridad en los servidores miembros: el proceso de
Validación d id d l id i b l d
autenticación se hace en los controladores del dominio del sitio en el
que está el servidor miembro (si es posible …)
– La replicación de la información de directorio se hace con más
frecuencia dentro de sitios que entre sitios ( d i d el tráfico de la red)
(reduciendo l t áfi d l d)
• Un controlador del dominio será servidor de cabeza de puente:
realiza la réplica de datos hacia y desde un sitio, y envía los datos
recibidos a los otros controladores del sitio
Tema 13. Configuración de Active Directory 22
23. Conceptos de Active Directory
• Almacén de datos o Directorio Activo
– Contiene información sobre objetos del dominio, como
pueden ser cuentas de usuarios, grupos o equipos, recursos
d d i i
compartidos, unidades organizativas y directivas o políticas
de grupo
• E información se publica para que otros usuarios y
Esta i f ió bli i
administradores del dominio la utilicen
– Se conoce como almacén de datos o directorio, es el propio
Directorio Activo (A ti Di t )
(Active Directory)
– Se almacena en un fichero llamado ntds.dit que tiene que
estar localizado en una partición de tipo NTFS
– L controladores de dominio replican los cambios del
Los l d d d i i li l bi d l
almacén de datos de forma multimaestro: todos los
controladores de dominio tienen la misma base de datos
Tema 13. Configuración de Active Directory 23
24. Conceptos de AD (ii)
• Catálogo global
– El catálogo global es un almacén central de información de
todos los objetos del directorio de los dominios del bosque
– Tiene una copia completa todos los objetos (todos sus atributos) del
p p j
directorio de su dominio y una copia parcial de todos los
objetos de los directorios de los otros dominios del bosque
• La copia parcial almacena los atributos usados con más frecuencia en
las
l operaciones de búsqueda
i d bú d
– De manera predeterminada, el primer controlador de
dominio creado al instalar AD se convierte en catálogo
global y es conocido como servidor de catálogo global
l b l id id d tál l b l
– La información que almacena es generada automáticamente
en cada dominio mediante el proceso de réplica
– Se pueden definir varios CG’s en un dominio, pero esto
incrementará el tráfico de red para hacer las réplicas (para
actualizar los distintos catálogos)
Tema 13. Configuración de Active Directory 24
25. Conceptos de AD (iii)
• Catálogo global (continúa …)
– Realiza las siguientes funciones clave en el directorio:
• Resuelve las búsquedas de información en un dominio, árbol
o bosque, con independencia de la ubicación de los datos (con
independencia de en qué dominio estén)
i d d i d éd i i é )
• Resuelve los nombres principales de usuarios (UPN) de otros
dominios del bosque, permitiendo que usuarios esos dominios
se autentiquen en el dominio
• La información sobre los grupos universales se almacena sólo
en el CG. Cuando un usuario inicie una sesión, el CG
p p
proporcionará la p
pertenencia (o no) a los grupos universales
( ) g p
• Permite validar las referencias a objetos de otros dominios del
bosque, informando si son o no correctas
– Diseñado para responder a las p g
p p preguntas sobre objetos de j
cualquier dominio del bosque (máxima velocidad y poco tráfico de red)
• Una pregunta sobre un objeto de otro dominio puede ser resuelta por
el catálogo global del dominio donde se realiza la pregunta
Tema 13. Configuración de Active Directory 25
26. Conceptos de AD (iv)
Subconjunto de
atributos de todos
los objetos Aso.es
Etc.es
Sup.aso.es Sis.aso.es
Sup.etc.es
S t Ges.etc.es
G t
Catálogo global
Consultas
Pertenencia a grupos
g p
universales cuando el
usuario inicia sesión
Servidor de
catálogo global
Tema 13. Configuración de Active Directory 26
27. Conceptos d AD ( )
C de (v)
• E
Esquema de Active Di
d A i Directory
– El esquema define todos los objetos y tipos de datos que se
p
pueden almacenar en Active Directoryy
• Define los objetos a través de clases, las propiedades de las clases y
los atributos
– Hay dos tipos de definiciones en el esquema:
y p q
• Clases (o clases de objetos): describen las características de los
objetos de AD. Es una colección de atributos
• Atributos
– Se almacena como un objeto del AD
l bj d l
– Proporciona unas clases y atributos por defecto
– Pero es un elemento ampliable: se pueden definir nuevos
objetos o atributos a un objeto que ya existe
• A user se le puede asociar los nuevos atributos: nota_teoría,
prácticas y nota_f
nota_p final
Tema 13. Configuración de Active Directory 27
28. Conceptos de AD (vi)
• Maestro de operaciones flexible
– Las funciones de maestro de operaciones son realizar tareas que
son impracticables en entornos multimaestro
– P
Pero estas tareas pueden ser asignadas a di i
d i d distintos controladores
l d
del dominio (no tienen que realizarse en el mismo controlador)
– Hay cargos que se asignan sólo una vez en el bosque de dominio,
otros se deben definir una vez en cada dominio
– Las funciones que realiza son:
• Maestro de esquema: controla las actualizaciones y modificaciones
del esquema del directorio Sólo existe uno en el bosque
directorio.
• Maestro de nombres de dominio: controla la agregación o
eliminación de nombres de dominios en el bosque. Un en todo el
bosque
• Maestro de Id. relativo: asigna los Id. Relativos a los controladores
de dominio
Tema 13. Configuración de Active Directory 28
29. Conceptos de AD (vii)
• M
Maestro d operaciones
de i
– Sus cargos son: (continúa...)
• M t de infraestructuras: actualiza las referencias a objetos
Maestro d i f t t t li l f i bj t
comparando sus datos de directorio con el catálogo global,
replicando los cambios si es necesario. (Es preferible que no
coincida con el CD que hace de catálogo global)
i id l h d ál l b l)
• Emulador PDC:
– Recibe una replicación preferencial de los cambios realizados
en l contraseñas por otros controladores del dominio
las l d d ld i i
» Si una autenticación de inicio de sesión produce un error por una
contraseña incorrecta, se reenviará la solicitud de autenticación al
emulador del PDC antes de rechazar el intento de inicio de sesión
– Sincronización horaria en todo el bosque
Tema 13. Configuración de Active Directory 29
30. Conceptos de AD (viii)
• Espacio de nombres
– Los nombres de AD son nombres registrados en el servidor de
DNS, por lo que se pueden usar formatos de nombre estándar
del ti
d l tipo aso.es
– Esto permite la estructuración jerárquica de AD
– Nomenclaturas: 4 nomenclaturas para identificar objetos
p j
• DN (Distinguished Name) (nombre completo)
– Único para cada objeto
– Contiene suficiente información para q un usuario recupere el
p que p
objeto del directorio, incluyendo el nombre del dominio y la ruta
– Se compone de varios atributos: el nombre del dominio al que
pertenece (DC) y de las unidades organizativas en las que está
(OU) y el nombre relativo del objeto (CN)
Tema 13. Configuración de Active Directory 30
31. Conceptos de AD (ix)
• Espacio de nombres (continúa...)
– Nomenclaturas:
• RDN (Relative Distinguished Name) (nombre completo relativo)
– Identifica unívocamente al objeto dentro su unidad organizativa
j g
– Es parte del DN
– Podemos tener dos objetos con el mismo nombre si los objetos
pertenecen a distintas Unidades Organizativas
• GUID (Globally Unique Name) (identificador global único)
– Número de 128 bits, distinto para cada objeto, y que no cambia
nunca
– E único y está f
Es ú i tá formado por el Id de seguridad del dominio (prefijo) y
d l d id d d l d i i
un Id relativo único, (asignado por el maestro de operaciones)
• UPN (User Principal Name) (nombre principal de usuario)
– Son nombres cortos y descriptivos del objeto
– El nombre común del objeto se combina con el dominio para
formar el UPN
Tema 13. Configuración de Active Directory 31
32. Conceptos de AD (x)
• Espacio de nombres (continúa...)
– Nomenclaturas:
• Supongamos que tenemos el dominio aso.es y dentro de él la
unidad organizativa users, d t la unidad organizativa
id d i ti dentro l id d i ti
Profesores y dentro el usuario Pilar:
– El nombre completo o distinguished name para este usuario:
» CN=Pilar OU=Profesores OU=users DC=aso DC=es
CN=Pilar,OU=Profesores,OU=users,DC=aso,DC=es
– El nombre completo relativo o Relative Distinguished Name:
» Pilar
• Si movemos el usuario Pilar a una nueva unidad organizativa
llamada Investigadores:
– El nombre completo o distinguished name será:
» CN=Pilar,OU=Investigadores,DC=aso,DC=es
CN Pilar,OU Investigadores,DC aso,DC es
• UPN: pilar@aso.es
Tema 13. Configuración de Active Directory 32
33. Directivas en AD
• En un dominio, se pueden definir directivas de grupo a nivel de
sitio, de dominio o de unidades organizativas
• Se aplicarán a todos los servidores miembros del dominio
• El orden de aplicación de las directivas es el siguiente:
1) Directivas de grupo local (las definidas en el equipo local)
2) Directivas de grupo de sitio
3) Directivas de grupo de dominio
4) Directivas de unidad organizativa
5) Directivas de unidad organizativa secundaria, etc.
secundaria etc
• En caso de conflictos, las que se aplican más tarde tienen
preferencia y sobrescriben las directivas aplicadas previamente
• Se pueden aplicar a todos los usuarios (al dominio) o a un único
usuario (en una unidad organizativa concreta)
Tema 13. Configuración de Active Directory 33
34. Instalación de AD
I l ió d
• dcpromo.exe es la orden para abrir el Asistente para instalar AD
• Al ejecutarlo se puede:
– C ea u uevo do
Crear un nuevo dominio, creando un nuevo árbol y un nuevo bosque
o, c ea do u uevo á bo u uevo
– Unirse como nuevo controlador a un dominio que ya existe
– Crear un nuevo dominio en un árbol de dominios ya existente
– Crear un nuevo árbol, creando nuevo dominio, en un bosque de dominios
, , q
ya existente
– Al unir un nuevo controlador de dominio a un dominio/árbol/bosque que
ya existe, hay que indicar un usuario (y su contraseña) correcto para
autenticarnos en él. El usuario a indicar es Administrador
él
• Si AD ya está instalado, lo que hace es desinstalar AD, esto es
degradar el controlador de dominio a servidor miembro (e.d., a
cliente del dominio)
– Si al degradarlo fuese el último CD existente, elimina también el dominio
Tema 13. Configuración de Active Directory 34
35. Instalación de AD (ii)
( )
• Instalando AD:
– Nombre del nuevo dominio:
• El nombre asignado al dominio tiene que ser un nombre DNS válido
que debe estar registrado en el mismo
– Si el DNS está configurado correctamente, el nuevo nombre se
registrará de forma automática. Esto es lo conveniente
• Al instalar el primer CD de un nuevo dominio/árbol/bosque, si el
DNS no permite actualizaciones automáticas, ofrece la posibilidad de
instalar un servidor de DNS para controlar todo lo relacionado con el
nombre del dominio, los controladores de dominio, etc.
– N b d d i i N tBIOS para compatibilidad con
Nombre de dominio NetBIOS: ibilid d
versiones anteriores de Windows (nombre corto)
– Nivel funcional del bosque: establece la versión mínima de
q
sistema operativo de los controladores de dominio:
• Windows Server 2008, Windows Server 2003, Windows 2000 nativo
y Windows 2000 mixto (predeterminado),
(p )
Tema 13. Configuración de Active Directory 35
36. Instalación de AD (iii)
( )
• Instalar AD:
– Ubicación de la base de datos y el registro de AD
• Por defecto %SystemRoot%ntds (el valor de %SystemRoot% es c:windows)
• La BD de AD contendrá los objetos y sus propiedades
• Los archivos de registro de AD registrarán las actividades del servicio
de directorio
• Tienen que ser en una unidad con formato NTFS
– Ubicación del “Volumen de sistema compartido”
• Por defecto, %SystemRoot%sysvol
• Sysvol es un recurso compartido que contiene información del
dominio que se replica al resto de controladores de dominio de la red
• Tiene que estar en una unidad NTFS
• Almacena la copia de servidor de las carpetas públicas del dominio
Tema 13. Configuración de Active Directory 36
37. Instalación de AD (iv)
• Configurando un Servidor miembro
– En la herramienta Propiedades del Sistema en la ficha
Nombre del equipo indicamos el dominio al que
queremos unir ese equipo
• Pedirá un usuario y su clave para autenticarse en el dominio,
habrá que indicarle el usuario administrador
q
– En esa ficha también se ve si el equipo ya pertenece a
un dominio o bien a un grupo de trabajo
Tema 13. Configuración de Active Directory 37
38. Herramientas de AD
• Asistente de instalación de AD
• Dominios y confianzas de AD
f
– Cambia el modo de funcionamiento del dominio, gestionando las
relaciones de confianza entre dominios, árboles de dominio y
bosques de dominios
• Usuarios y equipos de AD
– Crear, gestionar y configurar usuarios, grupos, equipos y unidades
organizativas del AD
g
• Sitios y servicios de AD
– Crear y configurar sitios de dominios, y gestionar el proceso de
duplicación de controladores de dominio
• Esquema de AD
– Modificar el esquema que definen los objetos y propiedades de AD
Tema 13. Configuración de Active Directory 38
39. Dominios y confianzas de AD
• Herramientas administrativas/Dominios y confianzas de AD
• Permite:
– Administrar relaciones de confianza entre dominios:
• Los usuarios de un dominio pueden acceder a recursos ubicados en
otro dominio en que se confíe
– Establecer sufijos de nombre principal de usuario (UPN) y
nodos d d i i
d de dominio:
• Como sufijo del nombre principal de usuario, se utiliza el nombre de
dominio (pilar@aso.es), pero se pueden establecer alternativos
– Cambiar el nivel de funcionalidad del dominio
– Cambiar el CD que hace de maestro de operaciones
– Cambiar el usuario que es el administrador designado para el
s ario q e
dominio
Tema 13. Configuración de Active Directory 39
40. Sitios
Siti y servicios de AD
i i d
• Para ejecutarlo: Herramientas administrativas /Sitios y servicios de AD
• Default-First-Site-Name: sitio por defecto creado al crear el
p
primer controlador de dominio
• Cada sitio tiene varios contenedores:
– Servers (Servidores) con los diferentes controladores de dominio del
sitio, así como varios objetos entre ellos:
, j
• Licensing Site Settings
• NTDS Setings, que permite deshabilitar la generación automática de
replicación en todas sus posibilidades
• Las propiedades del sitio permiten especificar una descripción y
su ubicación, y temas relacionados con la seguridad
• Con subnet se pueden establecer los “límites” de un sitio:
p
dirección de red y máscara de red
– Si hay más de un sitio es necesario definir subredes para que AD sepa
ubicar los controladores de dominio en las subredes y sitios apropiados
Tema 13. Configuración de Active Directory 40
41. Sitios
Siti y servicios de AD (ii)
i i d
• Permite, entre otras tareas:
– Crear nuevos sitios
– Habilitar/deshabilitar un dominio como catálogo global
– Designar un servidor de cabeza de puente, que maneja la
transferencia de réplica de datos hacia y desde un sitio, y envía los
datos recibidos a los otros controladores del sitio
– Reparar controladores de dominio
– Configurar el transporte entre sitios, definiendo posibles
conexiones lógicas entre dos o más sitios, para optimizar los
i ló i d á ii i i l
procesos de replicación entre sitios, su velocidad, etc.
Tema 13. Configuración de Active Directory 41
42. Herramientas en línea de órdenes
H i t lí d ód
• Dsadd → añade equipos, contactos, grupos, unidades
organizativas y usuarios
• Dsget → muestra propiedades de equipos, contactos, grupos,
unidades organizativas, usuarios, sitios, subredes y servidores
• Dsmod → modifica las propiedades de equipos, contactos,
grupos, unidades organizativas, usuarios y servidores
id d i ti i id
• Dsmove→ mueve un objeto a una nueva ubicación en el
dominio, o lo renombra
• Dsquery→ localiza equipos, contactos, grupos, unidades
organizativas, usuarios, sitios, subredes y servidores dentro de
AD utilizando criterios de búsqueda
• Dsrm→ elimina objetos del AD
Tema 13. Configuración de Active Directory 42
43. Administración de directivas en AD
• Directivas de sitio/dominio/unidad organizativa:
– Para sitios desde Sitios y servicios del AD
– Para dominios o unidades organizativas desde Usuarios y
equipos del AD
i d l
– En las Propiedades del sitio, dominio o unidad en el que
administrar la directiva de grupo, seleccione la ficha
Directiva de grupo
Di i d
• Con la herramienta Administración de directivas de grupo
– Por d f
defecto no se i
instala, hay que instalarla mediante la
l h i l l di l
herramienta Programas y características
– Aparecerá como una nueva opción de menú dentro de
p p
Herramientas Administrativas
Tema 13. Configuración de Active Directory 43