Windows 2008

Server
Active Directory
Administracin SSII
Contenidos
Introduccin

Estructura lgica

Estructura fsica

Objetos a administrar en AD
Contenidos
Introduccin
Que es Active Directory?
Autenticacin
Interoperabilidad

Estructura lgica

Estructura fsica

Objetos a administrar en AD
Introduccin
Directorio
Estructura jerrquica que almacena info. sobre objetos
existentes en la red.

Active Directory Domain Services (AD DS)

Almacena info. de los recursos disponibles en el dominio
Permite acceso controlado a usuarios
Medio centralizado

Servidor con AD = Controlador de Dominio (DC)

Introduccin

Authentication is the process that verifies a users identity

Credentials: at least two components required

Username Secret, for example, password

Two types of authentication

Local (interactive) Logon Remote (network) logon
authentication for logon to the authentication for access to
local computer resources on another
computer
Introduccin
AD es interoperable con los servicios:
DHCP
DNS
SNTP (Simple Network Time Protocol)
LDAP
Kerberos V5 (authentication)
Certificados X.509 (transferencia segura)
Introduccin
Dominios y ordenadores que se presentan como objetos
en el AD, son tambien nodos en el DNS
AD utiliza el DNS para:
Resolucin de nombres
Definicion de nombres
Busqueda de componentes fisicos en el AD

Un dominio es un conjunto de ordenadores, o equipos, que

comparten una base de datos de directorio comn.
Introduccin
Active Directory is a database
Each record is an object
Users, groups, computers,
Each field is an attribute
Logon name, SID, password, description, membership,
Identities (security principals or accounts)

Services: Kerberos, DNS, replication, etc.

AD DS is, in the end, a database
and the services that support or use that database
Accessing the database
Windows tools, user interfaces, and components
APIs (.NET, VBScript, Windows PowerShell)
Lightweight Directory Access Protocol (LDAP)
Install and Configure a Domain Controller

1 Install the Active Directory Domain Services role

using the Server Manager

Run the Active Directory Domain Services

2 Installation Wizard

3 Choose the deployment configuration

4 Select the additional domain controller features

Select the location for the database, log files, and

5 SYSVOL folder

Configure the Directory Services Restore

6 Mode Administrator Password
The MMC Console
Show/Hide Show/Hide
Console Actions
Tree Pane

Console Details Actions

Tree Pane Pane
Contenidos
Introduccin

Estructura lgica
Dominios
Mltiples Dominios
Nivel funcional
Relacin de Confianza
Unidad organizativa

Estructura fsica

Estructura fsica

Objetos a administrar en AD
Dominios
Con el uso de dominios se consigue:
Delimitar la seguridad
Replicar informacin entre los DCs
Aplicar polticas de grupo
Delegar permisos administrativos
Mltiples dominios
Mltiples dominios en una organizacin
rbol
Bosque
Mltiples dominios
Arbol:
Conjunto de 1 o mas dominios dentro de un bosque, que
comparten un espacio de nombres contiguo (sufijo DSN)

treyresearch.net

proseware.com

antarctica.treyresearch.net
Mltiples dominios
Arbol:
Los dominios que forman arbol se vinculan mediante
relaciones de confianza bidireccionales.
IMPORTANTE: El administrador del dominio padre (upm.es)
puede conceder permisos para recursos a cuentas de
cualquiera de los dominios del rbol (fi.upm.es), pero por
defecto no los puede administrar.
Mltiples dominios
Bosque:
Coleccin de uno o mas arboles AD que no comparten espacio
de nombres contiguo pero se conectan mediante relaciones de
confianza.
Todos los DCs comparten la misma configuracin, mismo
esquema de directorio y catalogo global.
Mltiples dominios
Bosque
No se pueden mover dominios de Active Directory entre
bosques.
Slo se puede eliminar un dominio de un bosque si este no
tiene dominios hijo.
Despus de haber creado el dominio raz de un rbol, no se
pueden aadir al bosque dominios con un nombre de dominio
de nivel superior.
No se puede crear un dominio padre de un dominio existente.
Nivel Funcional
Compatibilidad con otros Windows Server
Nivel funcional difiere
Si DCs con Windows Server previos, se mantiene el nivel
funcional de los dominios.
Actualizar poco a poco cada DCs

Niveles de funcionalidad en dominios Windows Server

2008 R2
Windows 2000 nativo (AD + anidar grupos + grupos
universales)
Windows Server 2003 (previo + cambio nombre DC +
redireccin de contenedores)
Windows Server 2008 (previo + politica seguridad + nuevo
sistema replicacin)
Windows Server 2008 R2 (previo + gestin federada)
Nivel Funcional
Active Directory Federation Services (AD FS)
Extends the authority of AD DS to authenticate users
Traditional trust
Two Windows domains
Numerous TCP ports open in firewalls
Everyone from trusted domain is trusted
AD FS uses Web services technologies to implement trust
One AD DS/LDS directory; other side can be Active Directory or other
platforms
Port 443: transactions are secure and encrypted
Rules specifying which users from trusted domain are trusted
Uses
Business-to-business: partnership
Single sign-on
Relacin de confianza
relacin establecida entre dos dominios de forma que
permite a los usuarios de un dominio ser reconocidos por
los DCs de otro dominio.
Creacin de relaciones automtica y manual

Relaciones unidireccionales y bidireccionales

Relaciones transitivas y no transitivas

Relacin de confianza
Tipos de relaciones de confianza
Raiz de arbol: automtica, bidir. y transitiva entre dominios
raiz de un mismo bosque
Principal-Secundario: automtico, bidir. y transitiva entre
dominio y subdominio.
Acceso directo: manual, transitiva y unidir. Acceso a dominios
distantes
Externa: manual, unidir y transitiva. Acceso a dominios de
otros bosques o dominios NT4.
De Bosque: manual, unidir y transitiva. Acceso a dominios raiz
de diferentes bosques (funcional W2003)
De Territorio: manual, unidir (si/no transitiva). Acceso de
W2008 a terreno no Windows con Kerberos.
Unidad Organizativa
Containers
Users
Computers
Unidad Organizativa
Tambin llamado Organizational Unit (OU)
Es un objeto del Directorio Activo que puede contener a otros
objetos del directorio
Podemos crear una jerarqua de objetos en el directorio
Cada OU es nica
Funciones:
Delegar administracin
Establecer comportamientos a usuarios y equipos
Contenidos
Introduccin

Estructura lgica

Estructura fsica
Sitios
DCs
Funciones de DC
Servidor de catlogo global
Operaciones de maestro nico

Objetos a administrar en AD
Sitios
Un sitio es una combinacin de una o varias subredes IP
que estn conectadas por un vnculo de alta velocidad.
Definir sitios permite configurar la topologa de replicacin
y el acceso a Active Directory de forma que los sistemas
Windows Server 2008 utilicen los vnculos y programas
ms efectivos para el trfico de inicio de sesin y
replicacin.

Se crean por dos razones principalmente:

Para optimizar el trfico de replicacin.
Para permitir que los usuarios se conecten a un controlador de
dominio concreto mediante una conexin confiable de alta
velocidad.
Controladores de Dominio
Tambin llamado Domain Controller (DC)

Es un equipo donde se ejecuta Windows Server y que

almacena una replica del Directorio.
Informacin almacenada
Directorio de esquema: definicin de tipos de objetos y
atributos a poder crearse en AD. ALL DCs de bosques.
Directorio de configuracin: estructura de dominios y
topologa. ALL DCs de bosques.
Directorio de dominio: objetos del directorio para un dominio
especifico. ALL DCs de ese dominio.
Directorio de aplicaciones: datos especficos de aplicacin (NO
cuentas de usuario, grupos y equipos).
Catlogo global
Funciones de DC
Funcionamiento de maestro nico (NT4)

Primario y secundario o backup

Replicacin multi-maestro (problema de trafico)

Servidor de catlogo global
Catlogo global
Es una particin de slo lectura que almacena una copia
parcial (subconjunto de atributos mas consultados) de las
particiones de dominio de todos los dominios del bosque.
Incorpora la informacin necesaria para determinar la
ubicacin de cualquier objeto del directorio.
Contiene informacin de usuarios pertenecientes a grupos
universales

Servidor de catlogo global

DC que almacena una copia del catlogo y procesa las
consultas al mismo.
En cada bosque debe existir al menos un DC configurado como
servidor de catlogo global
Por defecto, el primer DC que se crea en el bosque se
configura automticamente como un servidor de catlogo
global.
Operaciones de maestro nico
Un maestro de operaciones es un DC al que se le ha
asignado una o varias funciones de maestro nico en un
dominio o bosque de AD.
Funciones de bosque:
Maestro de esquema: Controla todas las actualizaciones y
modificaciones del esquema
Maestro de nombres de dominio: operaciones de agregar,
quitar y renombrar dominios del bosque, asegurando que los
nombres de dominio sean nicos en el bosque.
Operaciones de maestro nico
Funciones de dominio:
Maestro de identificadores relativos (RID): asigna
secuencias de identificadores relativos a cada uno de los
distintos controladores de su dominio. Con eso se garantiza
que dos controladores de dominio no pueden asignar el mismo
SID.
Emulador de controlador de dominio principal (PDC):
para accesos de usuarios de Sever inferior a 2000 y para
cambios de contrasea
Maestro de infraestructuras: Actualiza los identificadores
de seguridad cuando objeto cambia/borra de OU.
Contenidos
Introduccin

Estructura lgica

Estructura fsica

Objetos a administrar en AD
Usuarios globales
Equipos
Grupos
Usuarios globales
Frente a usuarios locales por equipo

Accesos de usuarios en distintos equipos gracias a AD

Usuarios globales
Creacin:
MMC Console
DSAdd
Usuarios globales
dsadd user "UserDN" samid pre-Windows 2000 logon name
pwd { password | * } mustchpwd yes
UserDN. Distinguished name of user to create
-samid. Required for new account
Pre-Windows 2000 logon name. The downlevel logon
name that can be used in the logon format
domain\username and that becomes %username%
-pwd password. The desired initial password
Asterisk (*) will prompt you to enter it at the command
prompt, so that the plain text password is not entered with
the command
-mustchpwd { yes | no }. User must change password at
next logon

Lots of optional attributes, including

-email
Can use $username$ token to represent the
value of samid; for example,
-hmdir & -profile -profile \\server01\users\$username$\profile
Equipos
Prestage (pre-create) a computer in the correct OU

Right-click the OU and choose New Computer

Computer Name and Computer Name (Pre-Windows 2000)

should be the same
User Or Group box delegates permissions to the specified
account to join the computer to the domain
Equipos
From the System Properties dialog box or window

Prompted for domain credentials

Requires restart
Grupos

Identity Access Management Resource

Grupos

Identity Group Resource

Access Management
Grupos

Identity Group Access Management Resource

Role-Based Management: Role Groups and Rule Groups

Identity Role Group Rule Group Resource

Access Management
Grupos
Grupos locales de dominio.
Visible solo en el dominio (Locales )
Sirven para administrar recursos locales del dominio

Grupos globales.
Visible en todos los dominios del bosque
Sirven para agrupar usuarios por roles

Grupos universales.
Visible en todo el bosque
Suelen utilizarse para administrar recursos situados en
ordenadores de varios dominios del bosque.
Grupos
Regla general

1. Asignar usuarios a grupos globales, segn las labores

que desempeen en la organizacin.
2. Incluir (usuarios y/o) grupos globales en grupos locales
del dominio segn el nivel de acceso que vayan a tener
en los recursos del dominio.
3. Asignar permisos y derechos nicamente a estos grupos
locales del dominio en dichos recursos.

La utilizacin de grupos universales est recomendada en

casos en los que un mismo conjunto de usuarios (y/o
grupos) pertenecientes a varios dominios deben recibir
acceso a recursos situados en dominios distintos.
 Grupos
Members Members Can be
from Domain from Trusted Assigned
Members from in Same External Permissions to
Group Scope Same Domain Forest Domain Resources
Local U, C, U, C, U, C, On the local
GG, DLG, UG GG, UG GG computer only
and local users
Domain Local U, C, U, C, U, C, Anywhere in the
GG, DLG, UG GG, UG GG domain

Universal U, C, U, C, N/A Anywhere in the

GG, UG GG, UG forest
Global U, C, N/A N/A Anywhere in the
GG domain or a
trusted domain

U User
C Computer
GG Global Group
DLG Domain Local Group
UG Universal Group
Grupos
Creados por defecto en AD
Admin de dominio
Usuario de dominio
Admin de empresa (admin de todo el AD del bosque)
Group Policy Creator Owners (a nivel de dominio)
Demonstration: Basic Administration with Active
Directory Users and Computers
In this demonstration, you will learn:
How to view objects in Active
Directory Users and Computers
How to refresh the view

How to create objects

How to configure object attributes

How to view all object attributes

Demonstration: Basic Administration with Active
Directory Users and Computers
If not already started launch 6425B-HQDC01-A and log
on to HQDC01 as Pat.Coleman_Admin with the
password Pa$$w0rd.
Open Active Directory Users and Computers from the
Administrative Tools folder
Viewing objects
Select several containers, starting with the domain, some
organizational units, and the Users container. Show that the
details pane displays the objects in the container.

Refreshing the view

Emphasize that you must select a container (domain,
organizational unit, or container) in the console tree and then
click Refresh or press F5. If an item in the details pane is
selected, the Refresh command does not refresh the view of
all objects in the container.
Demonstration: Basic Administration with Active
Directory Users and Computers
Creating objects
Create a simple sample user account in the User
Accounts\Employees organizational unit to demonstrate that
You right-click a container and then click New object.
The New ObjectobjectType Wizard steps you through
creating the object.
Only a subset of available properties is presented during
object creation, including, of course, those that are required.
Demonstration: Basic Administration with Active
Directory Users and Computers
Configuring object attributes
Open the Properties dialog box for the user object you just
created, to demonstrate that
You right-click an object and then click Properties to
configure the attributes of an object.
There are many attributes that were not presented during
object creation.
Attributes are organized on tabs.
You can make changes on different tabs and those changes
will persist until you click OK or Apply. You dont have to apply
changes before navigating to another tab.
Clicking OK or Apply are both valid ways of saving your
changes. The only difference is that OK closes the dialog box,
whereas Apply leaves the dialog box open and with focus.
Windows 2008
Server
Active Directory
Administracin SSII