47. Server Core
• Versión reducida del
sistema operativo
• Le lleva a una interfaz
gráfica de usuario
reducida (GUI).
o Esencialmente
una línea de
comandos.
• Escriba los comandos en
la línea de comandos
47
48. Ventajas de
Server Core
48
• La conservación de los recursos de hardware
• Espacio en disco reducido
• Reduce la frecuencia de parcheo.
o Menos actualizaciones de seguridad
• Superficie de ataque reducida
o Menos componentes→ menores fallos de
seguridad→ Aumenta seguridad del sistema
49. Server Core
• Server Core es la opción de instalación predeterminada.
• Herramientas de GUI pueden añadirse y eliminarse utilizando los comandos
de Windows PowerShell.
o Ojo con las ISOS que se descargan de internet de la
versión CORE, ya que no traen la opción de instalación de
la GUI y resulta muy complicado de instalarlas.
• Para paliar la falta de GUI, existen herramientas de
administración remota muy completas.
o En sistemas reales los servidores se encuentran en CPD’s
sin pantallas ni teclados y en la mayoría de los casos sin
acceso a los administradores.
o Por este motivo existen las herramientas de
administración remota. 49
50. Utilizando la mínima
GUI de servidor
50
• Un ajuste que elimina algunos de los elementos de
hardware más intensiva de la GUI.
• Algo intermedio entre Server Core y instalación
con GUI completa.
• Los administradores quedan con herramientas
esenciales:
o El administrador del servidor
o Aplicaciones de MMC
o Device Manager
o Windows PowerShell
52. Introducción a Active Directory
52
• Un servicio de directorio (LDAP) es un repositorio de
información sobre los recursos (hardware, software, y
los que están conectados a una red.
• Los usuarios, equipos y aplicaciones a través de la red
puede acceder al repositorio para una variedad de
propósitos:
o Autenticación de usuario
o Almacenamiento de datos de configuración
o Acceso a archivos e impresoras.
53. Los Servicios de dominio de
Active Directory (AD DS)
53
• AD DS es un servicio de directorio que permite a los
administradores crear divisiones organizacionales
llama dominios.
• Un dominio es un contenedor lógico de los
componentes de la red, organizada por al menos un
servidor designado como Controlador de dominio.
54. La arquitectura de AD
54
• Active Directory es un servicio de directorio jerárquico,
basado en el dominio, que es escalable en ambos sentidos.
• Un dominio se puede subdividir en unidades organizativas
y rellenarlo con objetos.
• Puede crear múltiples dominios y agruparlos en plantas,
árboles y bosques.
• AD DS proporciona una arquitectura altamente flexible que
puede acomodar a los más pequeños y a las grandes
organizaciones.
55. Los objetos y atributos
55
• Un dominio de AD DS es una estructura jerárquica que
adopta la forma de un árbol, de forma muy similar a un
sistema de archivos.
• Consta de Objetos, cada uno de los cuales representa un
recurso físico o lógico.
• Cada objeto se compone de Atributos que almacenan
información sobre el objeto.
• Objetos diferentes tienen diferentes atributos, según su
función.
• El esquema del directorio, define los atributos de cada
objeto y la información requerida y opcional.
56. Clases de objetos
56
puede haber objetos
subordinados:
• Los usuarios
• Equipos
• Grupos
• Aplicaciones
• Los recursos de la red
Un Objeto contenedor (container Un Objeto hoja (leaf object) No
object ) Puede haber otros
objetos subordinados a él:
• El dominio
• Unidad organizativa
57. Los objetos y atributos
Los atributos de un objeto de usuario, como se muestra en la hoja de
propiedades
57
58. Dominios
58
• Se puede crear una jerarquía dentro de un dominio.
• Se puede crear una jerarquía de múltiples dominios.
• Puede comenzar el proceso de diseñar una
infraestructura de Active Directory por decidir qué
dominios para crear y comenzar la implementación de
AD DS mediante la creación de su primer dominio.
59. Árboles de dominio (1)
59
• Cuando se crea el primer dominio en una red de Active
Directory, se crea el directorio raíz de un Árbol de
dominio.
• Puede llenar el árbol con dominios adicionales,
siempre y cuando formen parte del mismo espacio de
nombres contiguo.
• Cuando se utilizan los nombres de dominio de Internet
registrado, subdominios puede utilizarse para crear
otros dominios dentro del árbol de dominios.
60. Árboles de dominio (2)
60
• Puede añadir tantos dominios al árbol como necesite.
• Cada dominio en un árbol es una entidad de seguridad
independiente con su propia configuración de directiva de grupo,
permisos y cuentas de usuario.
• A diferencia de las unidades organizativas, los subdominios en
un árbol no heredan los permisos y las políticas de sus dominios
primarios.
• Dominios en el mismo árbol tienen relaciones de confianza
bidireccionales entre ellos, lo que significa que un administrador
de un dominio determinado puede conceder a cualquier usuario
en el árbol de acceso a los recursos del dominio.
62. Los bosques
62
• Un Active Directory Bosque Se compone de uno o
más árboles de dominios diferentes, que tienen las
mismas relaciones de confianza bidireccionales entre
ellos como dos dominios en el mismo árbol.
• Cuando se crea el primer dominio de Active Directory
en una red, se está creando un nuevo bosque, y que
se convierte en el primer dominio Dominio raíz del
bosque.
63. Niveles funcionales
63
• Niveles funcionales Están diseñados para proporcionar
compatibilidad con versiones anteriores de AD DS
instalaciones con controladores de dominio que ejecutan
diferentes versiones del sistema operativo Windows Server.
• Seleccionando el nivel funcional que representa la versión
más antigua de Windows en la que se ejecutan en los
controladores de dominio, puede deshabilitar las nuevas
funciones de manera que, los diversos controladores de
dominio pueden interoperar correctamente.
66. Implementación de AD DS
66
Hay muchas variables que pueden afectar el rendimiento
de una instalación de Active Directory:
• El hardware que usted seleccione para los
controladores de dominio
• Las capacidades de la red
• Los tipos de enlaces WAN que conecta los sitios
remotos
67. La instalación de AD DS en SC
67
• En Windows Server 2012, ahora es posible instalar los
Servicios de dominio de Active Directory en un equipo
que ejecute la opción de instalación Server Core y
promover el sistema a un controlador de dominio,
todos con Windows PowerShell.
• Para instalar la función de AD DS, use el comando
siguiente:
Install-WindowsFeature -name AD-Domain-Services -
IncludeManagementTools
68. La instalación de AD DS en
Server Core
Después de instalar el rol, debe promover el servidor a
controlador de dominio utilizando el módulo
ADDSDeployment PowerShell.
Hay tres cmdlets para las tres configuraciones de
despliegue:
• Install-AddsForest
• Install-AddsDomainController
• Install-AddsDomain 68
69. La instalación de
AD DS en Server
Core
Sintaxis para la instalación-AddsForest Cmdlet En
Windows PowerShell
69
70. Un script de instalación generado por los Servicios de dominio de
Active Directory Configuration Wizard
Ejemplo
70
73. OU’
s
73
• Son objetos contenedores dentro de un dominio, se utiliza
para dividir la seguridad y responsabilidad administrativa
entre varias divisiones o departamentos
• En función de la capacidad de un subordinado a un
dominio, como un subdominio, pero sin la separación
completa de las políticas de seguridad
• Pueden contener otras unidades organizativas, así como
objetos finales (usuarios, grupos, equipos,...)
• Puede tener distintos la configuración de directiva de
grupo aplicada a ellos
76. Crear
OU
76
dsadd ou <OrganizationalUnitDN>[-desc <Description>]
[{-s
<Server>| -d. <Domain>}] [-u <UserName>] [-p
{<Password>|
*] [-q] [{-uc | - uco | - uci}]
dsadd ou ou = test, dc = contoso, dc = com
77. Crear objetos de usuario
Tema 4: Creación y administración de usuarios y equipos
de Active Directory
77
78. Crear objetos de usuario
78
• Las cuentas de usuario de Active Directory representan
entidades físicas, como personas. Pero también se pueden
usar como cuentas de servicio dedicadas para algunas
aplicaciones.
• También se denominan entidades de seguridad. Las
entidades de seguridad son objetos de directorio a los que se
asignan automáticamente identificadores de seguridad (SID),
que se pueden usar para obtener acceso a recursos del
dominio
79. Crear objetos de usuario
• Autentica la identidad de un usuario:
o Una cuenta de usuario permite que un usuario inicie sesión
en equipos y dominios con una identidad que el dominio
pueda autenticar. Un usuario que inicia sesión en la red
debe tener una
cuenta de usuario y una contraseña propias y únicas. Se
debe evitar que varios usuarios compartan una
misma cuenta.
• Autoriza o deniega el acceso a los recursos del dominio.
o Después de que un usuario se autentica, se le concede o 79
80. Tipos de usuarios
80
• Los usuarios locales: Estas cuentas sólo pueden
tener acceso a recursos en el equipo local y se
almacenan en el local Administrador de cuentas de
seguridad (SAM) Base de datos en el equipo donde
residen.
• Usuarios del dominio: Puede acceder a estas
cuentas de AD DS o recursos basados en red, como
impresoras y carpetas compartidas.
o La información de cuenta para estos usuarios se almacena
en la base de datos de AD DS y se replican a todos los
controladores de dominio dentro del mismo dominio.
81. Las cuentas de usuario
integradas
81
Administrador e Invitado
• En un servidor miembro o servidor independiente: La
cuenta de administrador local integrada tiene el control total
de todos los archivos, así como la gestión completa de
permisos para el equipo local.
• En un controlador de dominio: La cuenta de
administrador integrada creada en Active Directory tiene
pleno control del dominio en el que se creó.
La cuenta de administrador no se puede eliminar, pero se
puede cambiar de nombre.
82. Herramientas de creación
de usuario
82
• Dsadd.exe.: La herramienta de línea de comandos estándar para crear
objetos hoja de AD DS, que se puede usar con archivos de proceso por
lotes para crear objetos de AD DS a gran escala.
• Windows PowerShell: La herramienta de mantenimiento de Windows
actualmente aprobados, con la que puede crear secuencias de comandos
de creación de objetos de complejidad casi ilimitado.
• Directorio de intercambio de valores separados por comas
(CSVDE.exe.): Una utilidad de línea de comandos que puede crear nuevos
objetos de AD DS mediante la importación de información desde un archivo
de valores separados por comas (Archivo .Csv ).
• Formato de intercambio de datos LDAP Directory Exchange
(LDIFDE.exe.): LikeCSVDE, una utilidad que puede importar información de
AD DS y usarlo para agregar, eliminar o modificar objetos, además de la
modificación del esquema, si es necesario.
83. Crear un usuario con Usuarios y equipos de
Active Directory
La consola Usuarios y equipos de Active Directory
83
84. Utilizando dsadd.exe.
84
Sintaxis del programa dsadd.exe.
Donde UserDN debe indicarse como:
cn=nombreUsuario,OU=unidadOrganizativa,DC=dominio,dc
=exte nsióndelDominio.
86. Uso de Windows PowerShell
Sintaxis del nuevo-ADUser Cmdlet
86
87. Ejemplos prácticos:
New-AdUser -name pepita -path
“ou=tarde,ou=usuarios,dc=raquel,dc=local” -
enabled
$true -PasswordNotRequired $true -passthru.
Uso de Windows PowerShell
87
88. Ejemplos prácticos:
Si queremos añadir una contraseña deberemos
indicar el parámetro -accountPassword y
transformar la contraseña a un valor apropiado.
Por ejemplo:
Uso de Windows PowerShell
88
89. Crear varios usuarios
• Archivos por lotes
o Los archivos de texto que contienen comandos.
o Abra el Bloc de notas y usar el dsadd.exe sintaxis descrita
anteriormente, colocando un solo comando en cada línea.
• CSVDE.exe.
o Una utilidad de línea de comandos permite a los administradores
importar o exportar objetos de Active Directory mediante un
archivo .CSV.
• LDIFDE.exe.
o Similar a CSVDE, pero también le permite eliminar y modificar objetos
más tarde.
• Windows PowerShell
o Usar archivos CSV para crear objetos de usuario con Windows
PowerShell.
89
91. Agregar un equipo
A un dominio
91
Dos formas de crear objetos equipo AD:
• Crear los objetos de equipo con antelación mediante
una herramienta de Active Directory (dsadd), de modo
que los equipos puedan localizar los objetos existentes
cuando se unan al dominio. (Netdom)
• Iniciar el proceso de incorporación en primer lugar y
dejar que el ordenador crea su propio objeto de
equipo.(djoin)
92. Objetos: equipo
92
• Constan de propiedades que especifican el nombre del
equipo, dónde se encuentra y quién está autorizado
para administrarlo.
• Heredan la configuración de directiva de grupo de
objetos contenedores, como, por ejemplo, dominios,
sitios y unidades organizativas.
• Pueden ser miembros de grupos y heredan los
permisos del grupo de objetos.
93. Crear equipos con
dsadd.exe.
93
Dsadd computer <Dnequipo>
El <Dnequipo> Parámetro especifica un nombre distintivo
para el nuevo objeto de grupo que desea crear.
dsadd computer <ComsputerDN>[-samid <SAMName>] [-desc
<Description>] [-loc <Location>] [-memberof < DNGrupo... >] [{-s
<Server>| -d. <Domain>}] [-u <UserName>] [-p {<Password>| *]
[-q] [{- uc | - uco | - uci}]
dsadd computer cn=client01,
OU=equipos
,dc=contoso,dc=com
94. Unirse a un dominio
con conexión Netdom.exe.
NetDom <Operation>[<Computer>] [{/ d: | / domain:}
<Domain>] [<Options>]Ayuda de netDom <Operation>
94
ejemplo
netdom join /d:contoso.com client1 OU:
OU=Equipos, DC=contoso,DC=com
95. Unirse a un dominio
sin conexión
95
• Utilice Djoin.exe. Programa dos veces:
1. En un ordenador con acceso a un controlador de dominio
2. En El equipo se unió.
• La sintaxis para la fase 1 del proceso:
Djoin /disposición /domain <Nombre de dominio>
/MACHINE <Nombre de equipo> /
Savefile <Filename.txt>
• Usted entonces transportar el archivo de metadatos para el
equipo esté unido y ejecutar Djoin.exe. De nuevo.
• La sintaxis para la fase 2 del proceso:
Djoin /RequestODJ /Loadfile <Filename.txt>
/Windowspath %SystemRoot% /Localos
96. Grupos
96
• Contienen objetos de grupo de usuarios (de un solo o
varios dominios o unidades organizativas) que
requieren un acceso similar a los recursos o los
derechos para realizar tareas.
• Los miembros de un grupo heredan los derechos y
permisos asignados al grupo.
97. Grupos
Un grupo es un conjunto de cuentas de usuario y de equipo, contactos y otros grupos
que se pueden administrar como una sola unidad. Los usuarios y los equipos que
pertenecen a un grupo determinado se denominan miembros del grupo.
97
Los grupos de Servicios de dominio de Active Directory (AD DS) son objetos de
directorio que residen en un dominio y en objetos contenedores de unidad
organizativa (OU).
AD DS proporciona un conjunto de grupos predeterminados cuando se instala y
también incluye una opción para crearlos.
Los grupos de AD DS se pueden usar para:
• Simplificar la administración al asignar los permisos para un recurso compartido
a un grupo en lugar de a usuarios individuales. Cuando se asignan permisos a un
grupo, se concede el mismo acceso al recurso a todos los miembros de dicho
grupo.
• Delegar la administración asignando derechos de usuario a un grupo una sola
vez mediante la directiva de grupo. Después, a ese grupo le puede agregar
miembros que desee que tengan los mismos derechos que el grupo.
• Crear listas de distribución de correo electrónico.
98. dsadd group <GroupDN>[-secgrp {yes | no}] [-ámbito {l | g | u}] [-
samid
<SAMName>] [-desc <Description>] [-memberof <Group>...] [-
miembros
<Member>...] [{-s servidor >| -d. <Domain>}] [-u <UserName>] [-p
{<Password>| *] [-q] [{-uc | - uco | - uci}]
dsadd group “CN=Grupo1, OU=grupos, DC=contoso, DC=com” -samid grupo1 -
members “CN=opositores, OU=usuarios, DC=contoso,DC=com”
Creación de grupos