SlideShare una empresa de Scribd logo

Conceptos

Famber Baron
Famber Baron
1 de 13
Descargar para leer sin conexión
ACTIVE DIRECTORY ACTIVE DIRECTORY (AD) es el término utilizado por Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, kerberos) Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. Active directory provee de forma centralizada la administración para todos los recursos de la red; combinando las denominaciones de X.500 y el sistema de nombres de dominio (DNS) como motor de búsqueda y como protocolo central utiliza LDAP de igual forma integra kerberos como servidor de autenticación.
TERMINOLOGIA Y CONCEPTOS DE ACTIVE DIRECTORY ATRIBUTO Cada fragmento de información que describe algún aspecto de una entrada. Este esta formado por un tipo del atributo y uno o mas valores del atributo. OBJETO Es un conjunto determinado de atributos que representan algo completo tales como usuarios, impresoras o aplicación. Los atributos contienen la información que describe lo que se identifica por medio del objeto de directorio. Cada objeto en AD tiene una identidad única, se pueden mover o renombrar pero esta nunca cambia; son conocidos con su identidad mas no con su nombre actual. Su identificador es el GUID (Globally Unique Identifier usado por el AD para búsqueda de replicación de información) asignado por el DSA (Directory System Agent) en la creación del objeto. CONTENEDOR Similar a un objeto puesto que posee atributos pero a diferencia de este no representa algo concreto; es decir, un almacén de objetos y otros contenedores. ARBOL Y SUBARBOL Es una jerarquía de objetos y contenedores que muestran como se relacionan los objetos o el camino desde un objeto hasta otro, los puntos finales de un árbol son generalmente objetos. Un subárbol es cualquier camino sin interrupciones del árbol, incluyen todos los miembros de cada contenedor en dicho camino. ARBOLES Es un espacio de nombres* único y contiguo donde cada nombre del espacio de nombres desciende directamente de un único nombre raíz.
BOSQUE Un bosque es la agrupación de varios árboles de dominio en una estructura jerárquica. Dominio de árboles en un bosque con un esquema común, la configuración, y el catálogo global. Los dominios en el bosque están vinculados por dos vías confianza transitiva. Mediante el nivel funcional del bosque, puede habilitar más amplia del bosque de Active Directory características. El bosque niveles funcionales que se pueden establecer son Windows 2000, Windows Server 2003 provisional, y Windows Server 2003. Es una colección de arboles esencialmente iguales, sin una única raíz en el espacio de nombres.
NOMBRE DISTINGUIDO Todo objeto en AD tiene un DN (Distinguished Name). En este contexto, distinguido son las cualidades que permiten distinguir el nombre. Los nombres distinguidos identifican el dominio que contiene el objeto además del camino completo a través de la jerarquía del contenedor utilizado para alcanzar el objeto. CN= Se interpreta como nombre propio (Common Name) OU= Unidad Organizacional (Organizacional Unit) DC= significa controlador de dominio (Domain Controller) ESQUEMA Es generalmente utilizado en el trabajo de clases de datos. En AD son todos los fragmentos que lo componen, los que son: objetos, atributos, contenedores, entre otros. AD posee un esquema predeterminado que define la mayoría de las clases de objetos habituales tales como usuarios, grupos, computadores, departamentos, políticas de seguridad y dominios. El esquema se puede actualizar dinámicamente, sea en la creación o modificación de algún objeto. DSA (DIRECTORY SYSTEM AGENT) Es el proceso que proporciona acceso al almacén físico de la información del directorio ubicado en un disco duro. CATALOGO GLOBAL El catalogo global (GC, Global Catalog) permite a los usuarios y a la aplicaciones encontrar objetos en un árbol de dominio de AD, proporcionando uno o mas atributos del objeto deseado. Contiene una copia de cada contexto de denominación de directorio, también contiene el esquema y contextos de la denominación de la configuración, es decir, contiene una copia de cada objeto de AD pero con solo un pequeño numero de atributos. Los atributos en GC son utilizados para las operaciones de búsqueda y/o para encontrar una copia completa de un objeto. El catálogo global esta integrado en el sistema de replicas de AD. La topología de replicas de GC se genera de forma automática.
SITIO En Active Directory, los sitios se forman a través de la agrupación de múltiples subredes. Sitios suelen ser definidos como lugares en los que el acceso a la red es altamente fiable, rápido y no muy caro. DOMINIOS Y UNIDADES ORGANIZATIVAS Los arboles de red están formados por dominios y unidades organizativas cada uno proporciona fronteras administrativas entre las ramas del árbol, pero tienen implicaciones y requisitos de recursos diferentes. DOMINIOS La unidad principal de AD es el dominio. Todos los objetos de una red forman parte de un dominio, y la política de seguridad es uniforme a lo largo de un dominio. La diferencia de la seguridad de Windows 2000 y Windows 2003 server es que es basado en la versión Kerberos 5 y la relaciones de confianza son transitivas. UNIDADES ORGANIZATIVAS Contenedor de objetos albergada en un dominio, dentro de este hay infinidad objetos sean “usuarios o equipos”. Estas unidades son útiles puesto que pueden usarse cantidad de objetos dentro de las mismas, aplicando: Organización de objetos dentro del dominio. Administración simplificada de recursos agrupados. Delegación de control. Al crear estas unidades organizativas aplico simplificadamente a recursos reunidos dentro de la misma Directivas, Permisos y Políticas; puesto que a estos objetos (contenedores) (OU) son a los únicos que se les puede asignar GPO.
HERRAMIENTAS DE ACTIVE DIRECTORY Este maneja herramientas esenciales para la administración de los elementos contenidos, tales herramientas son: Usuarios y Grupos: Estos representan una entidad física sea como usuario o equipo. Las cuentas de usuarios que gestiona Active Directory son almacenadas en una base de datos SAM (Security Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que también mantiene información sobre servidores, estaciones de trabajo, recursos, aplicaciones, directivas de seguridad, entre otros. La cuenta de un usuario del dominio contiene toda la información necesaria para su autenticación, incluyendo su nombre de usuario y contraseña (necesarios para iniciar sesión). Los grupos cumplen una función muy importante dentro del AD ya que permiten la simplificación de la administración, se pueden asignar permisos para los recursos, donde puede estar basado en AD o equipo individual, se diferencia por ámbito o por tipo.
DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS Las GPO´s son un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta específicamente. Una directiva de grupo consta de varias componentes configurables. El primero son las plantillas administrativas, que definen las directivas basadas en el registro. Los otros componentes principales de directiva de grupos son los siguientes Configuración de la seguridad: Configura la seguridad de los usuarios, computadoras y dominios. Secuencia de comandos: Especifica las secuencias de comandos para el inicio y el apagado de las computadoras, así como para los eventos de inicio y cierre de sesión de los usuarios. Redirección de carpetas: Ubica en la red las carpetas esenciales como mis documentos o las carpetas de aplicación especificada. Instalación de Software: Asigna las aplicaciones a los usuarios. Las GPOS almacenan la información de dos ubicaciones: En una estructura de carpetas denominada plantillas de directiva de grupo (Group Policy Template, GPT) y en un contenedor de directivas de grupo (Group Policy Container, GPC) de AD. La GPT se halla en la carpeta SYSVOL de todos los controladores de dominio. Contiene información sobre las directivas de software, sobre las implantaciones de archivos y aplicaciones, sobre las secuencia de comandos y sobre la configuración de seguridad. Las GPC contienen propiedades de las GPO, como la información de clases de AD relacionada con la implantación de las aplicaciones. La información almacenada en las GPC no se modifica con frecuencia.
GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS Cuando se establece una relación de confianza entre dos dominios los usuarios de uno de los dominios pueden tener acceso a los recursos ubicados en el otro. Los arboles de dominios de AD son conjuntos de dominios que no solo comparten el mismo esquema, la misma configuración y el mismo espacio de nombres, si no que también están conectados por relaciones de confianza. Windows Server 2003 soporta tres tipos de relaciones de confianza: Las relaciones de confianza explicita: Establecen relaciones manuales para entregar la ruta de acceso para autenticarse. Pueden ser de una o 2 vías. Las relaciones de confianza transitivas jerarquicas: Son confianzas automáticas de dos vías existentes entre dominios. Para el flujo utiliza servidores de paso para utilizar recursos de dos o mas arboles no conectados directamente; esto maximiza las relaciones entre Windows porque evita tener exceso de confianza para conectarse con todas las maquinas de la red. Las relaciones de confianza de los bosques: Permiten crear tanto relaciones de confianza transitivas como intransitivas entre dos bosques de Windows Server 2003. FUNCIONES DEL MAESTRO DE OPERACIONES
Active Directory admite la replicación de varios maestros del almacén de datos de directorio entre todos los controladores del dominio, de modo que todos ellos se encuentran, básicamente, en el mismo nivel. No obstante, hay cambios que no se pueden realizar utilizando la replicación de varios maestros. En estos casos, un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios. En cada bosque existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o varios controladores de dominio. Las funciones de maestro de operaciones de todo el bosque deben aparecer una única vez en cada bosque. Las funciones de maestro de operaciones de todo el dominio deben aparecer una única vez en cada dominio del bosque. Nota •Las funciones de maestro de operaciones también se denominan funciones flexibles de operaciones de un solo maestro (FSMO). FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL BOSQUE Cada bosque debe tener las siguientes funciones: •Maestro de esquema •Maestro de nombres de dominio Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio. MAESTRO DE ESQUEMA El controlador de dominio del maestro de esquema controla todas las actualizaciones y los cambios que tienen lugar en el esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. Sólo puede haber un maestro de esquema en todo el bosque. MAESTRO DE NOMBRES DE DOMINIO
El controlador de dominio con la función del maestro de nombres de dominio controla la adición o eliminación de los dominios del bosque. Sólo puede haber un maestro de nombres de dominio en todo el bosque. Nota •Cualquier controlador de dominio que ejecute Windows Server 2003 puede desempeñar la función de maestro de nombres de dominio. Los controladores de dominio que ejecutan Windows 2000 Server y desempeñan la función de maestro de nombres de dominio deben estar habilitados también como servidor de catálogo global. FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL DOMINIO Cada dominio del bosque debe tener las siguientes funciones: •Maestro de Id. relativo (RID) •Maestro emulador del controlador principal de dominio (PDC) •Maestro de infraestructuras Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de RID, un maestro emulador del PDC y un maestro de infraestructuras. MAESTRO DE RID El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque. Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es único para cada uno de los SID creados en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debe iniciar la operación en el controlador de dominio que actúa como maestro de RID en el dominio que contiene el objeto en ese momento. MAESTRO EMULADOR DE PDC
Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o Windows XP Professional o bien si contiene controladores de dominio de reserva (BDC) de Windows NT, el maestro emulador de PDC actúa como controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contraseña de los clientes y replica las actualizaciones en los BDC. En todo momento sólo puede haber un controlador de dominio que actúe como maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, el maestro emulador del PDC también se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deberá configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecución del comando "net time" con la sintaxis siguiente: net time nombreServidor /setsntp: recursoHora El resultado final será que la hora sólo variará unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000. El emulador del PDC recibe una replicación preferencial de los cambios realizados en las contraseñas por otros controladores del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una autenticación de inicio de sesión produce un error en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenviará la solicitud de autenticación al emulador del PDC antes de rechazar el intento de inicio de sesión. El controlador de dominio configurado con la función de emulador del PDC admite dos protocolos de autenticación: •el protocolo Kerberos V5 •el protocolo NTLM MAESTRO DE INFRAESTRUCTURAS
En todo momento sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catálogo global. Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los dominios mediante la replicación, de forma que los datos de los catálogos globales siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catálogo global. Después el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio. Importante •A menos que haya un único controlador de dominio en el dominio, la función de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catálogo global. Si el maestro de infraestructuras y el catálogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionará. El maestro de infraestructuras no encontrará nunca datos no actualizados, por lo que nunca replicará los cambios en los otros controladores del dominio. Si todos los controladores del dominio también albergan el catálogo global, todos los controladores de dominio ya tendrán los datos más actuales y será irrelevante conocer el controlador de dominio que desempeña la función de maestro de infraestructuras. El maestro de infraestructuras también es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicación del miembro. Así se evita perder las pertenencias de grupo que están asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras distribuye la actualización a través de la replicación de varios maestros. La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a
ese grupo en particular podría darse cuenta de la falta momentánea de coherencia. BENEFICIOS DE ACTIVE DIRECTORY La utilización de un AD proporciona varias ventajas y/o beneficios en el manejo centralizado de los recursos, tales como: • La sincronización entre los servidores de autenticación en todo el dominio. • Integración con el DNS, permitiendo la locación de los objetos. • Escalabilidad que permite para el manejo de los objetos. • Administración centralizada. • Delegación de administración. • Delegar administración.

Recomendados

Active directory
Active directory Active directory
Active directoryDC03
 
Active directory
Active directoryActive directory
Active directoryZoila Emilia Ponce Garcia
 
Estructurafisicalogina adds
Estructurafisicalogina addsEstructurafisicalogina adds
Estructurafisicalogina addsOrlando Carrasco
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windowsgrecia789
 
CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008
CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008
CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008belenduca
 
Active directory
Active directoryActive directory
Active directoryDavid Robles
 
Directorio Activo
Directorio ActivoDirectorio Activo
Directorio ActivoDarwin Carchi
 
Estructura fisica y logica de active directory
Estructura fisica y logica de active directoryEstructura fisica y logica de active directory
Estructura fisica y logica de active directoryEduardo J Onofre
 

Recomendados

Active directory
Active directory Active directory
Active directoryDC03
 
Active directory
Active directoryActive directory
Active directoryZoila Emilia Ponce Garcia
 
Estructurafisicalogina adds
Estructurafisicalogina addsEstructurafisicalogina adds
Estructurafisicalogina addsOrlando Carrasco
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windowsgrecia789
 
CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008
CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008
CONCEPTOS SOBRE DOMINIOS CREADOS CON WINDOWS SERVER 2008belenduca
 
Active directory
Active directoryActive directory
Active directoryDavid Robles
 
Directorio Activo
Directorio ActivoDirectorio Activo
Directorio ActivoDarwin Carchi
 
Estructura fisica y logica de active directory
Estructura fisica y logica de active directoryEstructura fisica y logica de active directory
Estructura fisica y logica de active directoryEduardo J Onofre
 
Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008JACKELIN SORALUZ
 
Directorio activo
Directorio activo Directorio activo
Directorio activo jhadir
 
Active directory
Active directoryActive directory
Active directoryCorinnaOrocio
 
Active directory
Active directoryActive directory
Active directoryArmando Sixto
 
Active directory
Active directoryActive directory
Active directoryYulitza Yanet Marrias
 
Active Directory
Active DirectoryActive Directory
Active Directoryshantads
 
Active directory
Active directoryActive directory
Active directoryJulio Raphael Gonzales
 
Estructura De Dominios Y Active Directory
Estructura De Dominios Y Active DirectoryEstructura De Dominios Y Active Directory
Estructura De Dominios Y Active Directorykarivip
 
Arquitectura Directorio Activo
Arquitectura Directorio ActivoArquitectura Directorio Activo
Arquitectura Directorio ActivoIsabel Yepes
 
Objetos De Active Directory
Objetos De Active DirectoryObjetos De Active Directory
Objetos De Active DirectoryGermán Ñacato Caiza
 
Active directory
Active directoryActive directory
Active directoryleidy
 
Protocolos usados por ad ds
Protocolos usados por ad dsProtocolos usados por ad ds
Protocolos usados por ad dsJesus Garcia Guevara
 
Estructura fisica y logica ad c arlos iberico
Estructura fisica y logica ad c arlos ibericoEstructura fisica y logica ad c arlos iberico
Estructura fisica y logica ad c arlos ibericoCarlos Iberico
 
Active Directory
Active DirectoryActive Directory
Active Directoryjessica
 
Trabajo de active directory
Trabajo de active directoryTrabajo de active directory
Trabajo de active directoryydaleuporsiempre_16
 
Tema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directoryTema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directoryIestp Instituto Superior
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentaryuliaranda
 
Active directory
Active directoryActive directory
Active directorygruis_1811
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentaryuliaranda
 
Active Directory
Active DirectoryActive Directory
Active Directorytuamigo
 
Activedirectory16
Activedirectory16Activedirectory16
Activedirectory16Richards Navarro
 
Active directory
Active directoryActive directory
Active directoryJulio César Siesquén Mairena
 

Más contenido relacionado

La actualidad más candente

Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008JACKELIN SORALUZ
 
Directorio activo
Directorio activo Directorio activo
Directorio activo jhadir
 
Active Directory
Active DirectoryActive Directory
Active Directoryshantads
 
Estructura De Dominios Y Active Directory
Estructura De Dominios Y Active DirectoryEstructura De Dominios Y Active Directory
Estructura De Dominios Y Active Directorykarivip
 
Arquitectura Directorio Activo
Arquitectura Directorio ActivoArquitectura Directorio Activo
Arquitectura Directorio ActivoIsabel Yepes
 
Active directory
Active directoryActive directory
Active directoryleidy
 
Estructura fisica y logica ad c arlos iberico
Estructura fisica y logica ad c arlos ibericoEstructura fisica y logica ad c arlos iberico
Estructura fisica y logica ad c arlos ibericoCarlos Iberico
 
Active Directory
Active DirectoryActive Directory
Active Directoryjessica
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentaryuliaranda
 
Active directory
Active directoryActive directory
Active directorygruis_1811
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentaryuliaranda
 
Active Directory
Active DirectoryActive Directory
Active Directorytuamigo
 

La actualidad más candente (20)

Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008Administracion de servidores – windows server 2008
Administracion de servidores – windows server 2008
 
Directorio activo
Directorio activo Directorio activo
Directorio activo
 
Active directory
Active directoryActive directory
Active directory
 
Active directory
Active directoryActive directory
Active directory
 
Active directory
Active directoryActive directory
Active directory
 
Active Directory
Active DirectoryActive Directory
Active Directory
 
Active directory
Active directoryActive directory
Active directory
 
Estructura De Dominios Y Active Directory
Estructura De Dominios Y Active DirectoryEstructura De Dominios Y Active Directory
Estructura De Dominios Y Active Directory
 
Arquitectura Directorio Activo
Arquitectura Directorio ActivoArquitectura Directorio Activo
Arquitectura Directorio Activo
 
Objetos De Active Directory
Objetos De Active DirectoryObjetos De Active Directory
Objetos De Active Directory
 
Active directory
Active directoryActive directory
Active directory
 
Protocolos usados por ad ds
Protocolos usados por ad dsProtocolos usados por ad ds
Protocolos usados por ad ds
 
Estructura fisica y logica ad c arlos iberico
Estructura fisica y logica ad c arlos ibericoEstructura fisica y logica ad c arlos iberico
Estructura fisica y logica ad c arlos iberico
 
Active Directory
Active DirectoryActive Directory
Active Directory
 
Trabajo de active directory
Trabajo de active directoryTrabajo de active directory
Trabajo de active directory
 
Tema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directoryTema 6 parte-4-que-es-active-directory
Tema 6 parte-4-que-es-active-directory
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentar
 
Active directory
Active directoryActive directory
Active directory
 
Famas active directory preentar
Famas active directory preentarFamas active directory preentar
Famas active directory preentar
 
Active Directory
Active DirectoryActive Directory
Active Directory
 

Similar a Conceptos

Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windowsgrecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windowsgrecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windowsgrecia789
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windowsgrecia789
 
Active directory
Active directoryActive directory
Active directoryhectormi100
 
Active directory
Active directoryActive directory
Active directorydarwin789
 
Active diretory [autoguardado]
Active diretory [autoguardado]Active diretory [autoguardado]
Active diretory [autoguardado]judepy
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8mpazguepa
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 ServerDean1506
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8mpazguepa
 

Similar a Conceptos (20)

Activedirectory16
Activedirectory16Activedirectory16
Activedirectory16
 
Active directory
Active directoryActive directory
Active directory
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Qué es el directorio activo de windows
Qué es el directorio activo de windowsQué es el directorio activo de windows
Qué es el directorio activo de windows
 
Active directory
Active directoryActive directory
Active directory
 
Active directory
Active directoryActive directory
Active directory
 
Active directory
Active directoryActive directory
Active directory
 
Active diretory [autoguardado]
Active diretory [autoguardado]Active diretory [autoguardado]
Active diretory [autoguardado]
 
13 active directoryasoitson
13 active directoryasoitson13 active directoryasoitson
13 active directoryasoitson
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
 
Dominios En Windows 2003 Server
Dominios En Windows 2003 ServerDominios En Windows 2003 Server
Dominios En Windows 2003 Server
 
Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8Dominios en-windows-2003-server-1220838475344065-8
Dominios en-windows-2003-server-1220838475344065-8
 
Active directorio
Active directorioActive directorio
Active directorio
 
Active directorio
Active directorioActive directorio
Active directorio
 
Active directorio
Active directorioActive directorio
Active directorio
 
Active directorio
Active directorioActive directorio
Active directorio
 
Active directorio
Active directorioActive directorio
Active directorio
 
Active directorio
Active directorioActive directorio
Active directorio
 

Conceptos

  • 1. ACTIVE DIRECTORY ACTIVE DIRECTORY (AD) es el término utilizado por Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, kerberos) Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. Active directory provee de forma centralizada la administración para todos los recursos de la red; combinando las denominaciones de X.500 y el sistema de nombres de dominio (DNS) como motor de búsqueda y como protocolo central utiliza LDAP de igual forma integra kerberos como servidor de autenticación.
  • 2. TERMINOLOGIA Y CONCEPTOS DE ACTIVE DIRECTORY ATRIBUTO Cada fragmento de información que describe algún aspecto de una entrada. Este esta formado por un tipo del atributo y uno o mas valores del atributo. OBJETO Es un conjunto determinado de atributos que representan algo completo tales como usuarios, impresoras o aplicación. Los atributos contienen la información que describe lo que se identifica por medio del objeto de directorio. Cada objeto en AD tiene una identidad única, se pueden mover o renombrar pero esta nunca cambia; son conocidos con su identidad mas no con su nombre actual. Su identificador es el GUID (Globally Unique Identifier usado por el AD para búsqueda de replicación de información) asignado por el DSA (Directory System Agent) en la creación del objeto. CONTENEDOR Similar a un objeto puesto que posee atributos pero a diferencia de este no representa algo concreto; es decir, un almacén de objetos y otros contenedores. ARBOL Y SUBARBOL Es una jerarquía de objetos y contenedores que muestran como se relacionan los objetos o el camino desde un objeto hasta otro, los puntos finales de un árbol son generalmente objetos. Un subárbol es cualquier camino sin interrupciones del árbol, incluyen todos los miembros de cada contenedor en dicho camino. ARBOLES Es un espacio de nombres* único y contiguo donde cada nombre del espacio de nombres desciende directamente de un único nombre raíz.
  • 3. BOSQUE Un bosque es la agrupación de varios árboles de dominio en una estructura jerárquica. Dominio de árboles en un bosque con un esquema común, la configuración, y el catálogo global. Los dominios en el bosque están vinculados por dos vías confianza transitiva. Mediante el nivel funcional del bosque, puede habilitar más amplia del bosque de Active Directory características. El bosque niveles funcionales que se pueden establecer son Windows 2000, Windows Server 2003 provisional, y Windows Server 2003. Es una colección de arboles esencialmente iguales, sin una única raíz en el espacio de nombres.
  • 4. NOMBRE DISTINGUIDO Todo objeto en AD tiene un DN (Distinguished Name). En este contexto, distinguido son las cualidades que permiten distinguir el nombre. Los nombres distinguidos identifican el dominio que contiene el objeto además del camino completo a través de la jerarquía del contenedor utilizado para alcanzar el objeto. CN= Se interpreta como nombre propio (Common Name) OU= Unidad Organizacional (Organizacional Unit) DC= significa controlador de dominio (Domain Controller) ESQUEMA Es generalmente utilizado en el trabajo de clases de datos. En AD son todos los fragmentos que lo componen, los que son: objetos, atributos, contenedores, entre otros. AD posee un esquema predeterminado que define la mayoría de las clases de objetos habituales tales como usuarios, grupos, computadores, departamentos, políticas de seguridad y dominios. El esquema se puede actualizar dinámicamente, sea en la creación o modificación de algún objeto. DSA (DIRECTORY SYSTEM AGENT) Es el proceso que proporciona acceso al almacén físico de la información del directorio ubicado en un disco duro. CATALOGO GLOBAL El catalogo global (GC, Global Catalog) permite a los usuarios y a la aplicaciones encontrar objetos en un árbol de dominio de AD, proporcionando uno o mas atributos del objeto deseado. Contiene una copia de cada contexto de denominación de directorio, también contiene el esquema y contextos de la denominación de la configuración, es decir, contiene una copia de cada objeto de AD pero con solo un pequeño numero de atributos. Los atributos en GC son utilizados para las operaciones de búsqueda y/o para encontrar una copia completa de un objeto. El catálogo global esta integrado en el sistema de replicas de AD. La topología de replicas de GC se genera de forma automática.
  • 5. SITIO En Active Directory, los sitios se forman a través de la agrupación de múltiples subredes. Sitios suelen ser definidos como lugares en los que el acceso a la red es altamente fiable, rápido y no muy caro. DOMINIOS Y UNIDADES ORGANIZATIVAS Los arboles de red están formados por dominios y unidades organizativas cada uno proporciona fronteras administrativas entre las ramas del árbol, pero tienen implicaciones y requisitos de recursos diferentes. DOMINIOS La unidad principal de AD es el dominio. Todos los objetos de una red forman parte de un dominio, y la política de seguridad es uniforme a lo largo de un dominio. La diferencia de la seguridad de Windows 2000 y Windows 2003 server es que es basado en la versión Kerberos 5 y la relaciones de confianza son transitivas. UNIDADES ORGANIZATIVAS Contenedor de objetos albergada en un dominio, dentro de este hay infinidad objetos sean “usuarios o equipos”. Estas unidades son útiles puesto que pueden usarse cantidad de objetos dentro de las mismas, aplicando: Organización de objetos dentro del dominio. Administración simplificada de recursos agrupados. Delegación de control. Al crear estas unidades organizativas aplico simplificadamente a recursos reunidos dentro de la misma Directivas, Permisos y Políticas; puesto que a estos objetos (contenedores) (OU) son a los únicos que se les puede asignar GPO.
  • 6. HERRAMIENTAS DE ACTIVE DIRECTORY Este maneja herramientas esenciales para la administración de los elementos contenidos, tales herramientas son: Usuarios y Grupos: Estos representan una entidad física sea como usuario o equipo. Las cuentas de usuarios que gestiona Active Directory son almacenadas en una base de datos SAM (Security Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que también mantiene información sobre servidores, estaciones de trabajo, recursos, aplicaciones, directivas de seguridad, entre otros. La cuenta de un usuario del dominio contiene toda la información necesaria para su autenticación, incluyendo su nombre de usuario y contraseña (necesarios para iniciar sesión). Los grupos cumplen una función muy importante dentro del AD ya que permiten la simplificación de la administración, se pueden asignar permisos para los recursos, donde puede estar basado en AD o equipo individual, se diferencia por ámbito o por tipo.
  • 7. DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS Las GPO´s son un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta específicamente. Una directiva de grupo consta de varias componentes configurables. El primero son las plantillas administrativas, que definen las directivas basadas en el registro. Los otros componentes principales de directiva de grupos son los siguientes Configuración de la seguridad: Configura la seguridad de los usuarios, computadoras y dominios. Secuencia de comandos: Especifica las secuencias de comandos para el inicio y el apagado de las computadoras, así como para los eventos de inicio y cierre de sesión de los usuarios. Redirección de carpetas: Ubica en la red las carpetas esenciales como mis documentos o las carpetas de aplicación especificada. Instalación de Software: Asigna las aplicaciones a los usuarios. Las GPOS almacenan la información de dos ubicaciones: En una estructura de carpetas denominada plantillas de directiva de grupo (Group Policy Template, GPT) y en un contenedor de directivas de grupo (Group Policy Container, GPC) de AD. La GPT se halla en la carpeta SYSVOL de todos los controladores de dominio. Contiene información sobre las directivas de software, sobre las implantaciones de archivos y aplicaciones, sobre las secuencia de comandos y sobre la configuración de seguridad. Las GPC contienen propiedades de las GPO, como la información de clases de AD relacionada con la implantación de las aplicaciones. La información almacenada en las GPC no se modifica con frecuencia.
  • 8. GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS Cuando se establece una relación de confianza entre dos dominios los usuarios de uno de los dominios pueden tener acceso a los recursos ubicados en el otro. Los arboles de dominios de AD son conjuntos de dominios que no solo comparten el mismo esquema, la misma configuración y el mismo espacio de nombres, si no que también están conectados por relaciones de confianza. Windows Server 2003 soporta tres tipos de relaciones de confianza: Las relaciones de confianza explicita: Establecen relaciones manuales para entregar la ruta de acceso para autenticarse. Pueden ser de una o 2 vías. Las relaciones de confianza transitivas jerarquicas: Son confianzas automáticas de dos vías existentes entre dominios. Para el flujo utiliza servidores de paso para utilizar recursos de dos o mas arboles no conectados directamente; esto maximiza las relaciones entre Windows porque evita tener exceso de confianza para conectarse con todas las maquinas de la red. Las relaciones de confianza de los bosques: Permiten crear tanto relaciones de confianza transitivas como intransitivas entre dos bosques de Windows Server 2003. FUNCIONES DEL MAESTRO DE OPERACIONES
  • 9. Active Directory admite la replicación de varios maestros del almacén de datos de directorio entre todos los controladores del dominio, de modo que todos ellos se encuentran, básicamente, en el mismo nivel. No obstante, hay cambios que no se pueden realizar utilizando la replicación de varios maestros. En estos casos, un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios. En cada bosque existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o varios controladores de dominio. Las funciones de maestro de operaciones de todo el bosque deben aparecer una única vez en cada bosque. Las funciones de maestro de operaciones de todo el dominio deben aparecer una única vez en cada dominio del bosque. Nota •Las funciones de maestro de operaciones también se denominan funciones flexibles de operaciones de un solo maestro (FSMO). FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL BOSQUE Cada bosque debe tener las siguientes funciones: •Maestro de esquema •Maestro de nombres de dominio Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio. MAESTRO DE ESQUEMA El controlador de dominio del maestro de esquema controla todas las actualizaciones y los cambios que tienen lugar en el esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. Sólo puede haber un maestro de esquema en todo el bosque. MAESTRO DE NOMBRES DE DOMINIO
  • 10. El controlador de dominio con la función del maestro de nombres de dominio controla la adición o eliminación de los dominios del bosque. Sólo puede haber un maestro de nombres de dominio en todo el bosque. Nota •Cualquier controlador de dominio que ejecute Windows Server 2003 puede desempeñar la función de maestro de nombres de dominio. Los controladores de dominio que ejecutan Windows 2000 Server y desempeñan la función de maestro de nombres de dominio deben estar habilitados también como servidor de catálogo global. FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL DOMINIO Cada dominio del bosque debe tener las siguientes funciones: •Maestro de Id. relativo (RID) •Maestro emulador del controlador principal de dominio (PDC) •Maestro de infraestructuras Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de RID, un maestro emulador del PDC y un maestro de infraestructuras. MAESTRO DE RID El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque. Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es único para cada uno de los SID creados en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debe iniciar la operación en el controlador de dominio que actúa como maestro de RID en el dominio que contiene el objeto en ese momento. MAESTRO EMULADOR DE PDC
  • 11. Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o Windows XP Professional o bien si contiene controladores de dominio de reserva (BDC) de Windows NT, el maestro emulador de PDC actúa como controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contraseña de los clientes y replica las actualizaciones en los BDC. En todo momento sólo puede haber un controlador de dominio que actúe como maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, el maestro emulador del PDC también se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deberá configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecución del comando "net time" con la sintaxis siguiente: net time nombreServidor /setsntp: recursoHora El resultado final será que la hora sólo variará unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000. El emulador del PDC recibe una replicación preferencial de los cambios realizados en las contraseñas por otros controladores del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una autenticación de inicio de sesión produce un error en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenviará la solicitud de autenticación al emulador del PDC antes de rechazar el intento de inicio de sesión. El controlador de dominio configurado con la función de emulador del PDC admite dos protocolos de autenticación: •el protocolo Kerberos V5 •el protocolo NTLM MAESTRO DE INFRAESTRUCTURAS
  • 12. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catálogo global. Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los dominios mediante la replicación, de forma que los datos de los catálogos globales siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catálogo global. Después el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio. Importante •A menos que haya un único controlador de dominio en el dominio, la función de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catálogo global. Si el maestro de infraestructuras y el catálogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionará. El maestro de infraestructuras no encontrará nunca datos no actualizados, por lo que nunca replicará los cambios en los otros controladores del dominio. Si todos los controladores del dominio también albergan el catálogo global, todos los controladores de dominio ya tendrán los datos más actuales y será irrelevante conocer el controlador de dominio que desempeña la función de maestro de infraestructuras. El maestro de infraestructuras también es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicación del miembro. Así se evita perder las pertenencias de grupo que están asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras distribuye la actualización a través de la replicación de varios maestros. La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a
  • 13. ese grupo en particular podría darse cuenta de la falta momentánea de coherencia. BENEFICIOS DE ACTIVE DIRECTORY La utilización de un AD proporciona varias ventajas y/o beneficios en el manejo centralizado de los recursos, tales como: • La sincronización entre los servidores de autenticación en todo el dominio. • Integración con el DNS, permitiendo la locación de los objetos. • Escalabilidad que permite para el manejo de los objetos. • Administración centralizada. • Delegación de administración. • Delegar administración.