Professional Documents
Culture Documents
Captulo 1
16 16 17
17 17 18 18 18 20 20 21 21 21 21 22
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . Funcin del servicio de directorio en la empresa. . . . . . . . . . Posicionamiento e innovaciones de Windows Server 2008 . . . . .
1. 2. 3. 4. 5. 6. Versin principal de Windows Server . . . . . . . . . . . . . Evoluciones en materia de seguridad . . . . . . . . . . . . . Acceso a las aplicaciones y movilidad . . . . . . . . . . . . . Virtualizacin de servidores . . . . . . . . . . . . . . . . . Novedades aportadas por Windows Server 2008... . . . . . . . Innovaciones aportadas a Active Directory . . . . . . . . . . . a. AD DS: Auditora . . . . . . . . . . . . . . . . . . . . b. AD DS: Gestin granular de las polticas de contrasea . . . . c. AD DS: Controladores de dominio de slo lectura . . . . . . d. AD DS: Rearranque de los servicios de dominio Active Directory e. AD DS: Ayuda en la recuperacin de datos . . . . . . . . . f. AD DS: Mejoras de la interfaz Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D.
23
23 24 24 24 24 25 25 25
E.
27
32
32
Contenido
2. Qu son los servicios DNS? . . . . . . . . . . . 3. Terminologa del sistema DNS . . . . . . . . . . a. El espacio de nombre DNS (Domain Namespace) b. Jerarqua DNS y espacio de nombres Internet . . 4. El DNS: base de datos distribuida . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 35 35 39 40
B.
42
42 42
C. D.
44 45
46 47 55 56 56 59 63 65 66 69 72 74 74 75 75 76 77
5. 6. 7. 8.
9.
E. F. G. H.
Gestin de los nombres multihost . . . . . . . . . . . . . . . . Caducidad y borrado de los registros DNS . . . . . . . . . . . . Opciones de inicio del servidor DNS . . . . . . . . . . . . . . . Recursividad de los servidores DNS y proteccin de los servidores . .
1. Bloqueo de los ataques de tipo Spoofing DNS . . . . . . . . . . . .
79 79 82 85
85
Contenido
2. Bloqueo de los ataques de tipo Spoofing DNS en servidores de tipo Internet 86
I. J.
Sntesis de las funciones de los servidores DNS . . . . . . . . . . Comandos de gestin del servicio DNS . . . . . . . . . . . . . .
1. El a. b. c. 2. El 3. El 4. El 5. El comando ipconfig . . . . . . . . . . . . Administracin de la cach del cliente DNS y Renovacin de la inscripcin del cliente DNS Nuevas opciones del comando ipconfig . . . comando NSLookup . . . . . . . . . . . comando DNSCmd . . . . . . . . . . . . comando DNSLint . . . . . . . . . . . . comando Netdiag . . . . . . . . . . . . . . . de los . . . . . . . . . . . . . . . . . . . . . . . . . . registros dinmicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86 87
88 88 89 91 92 93 95 96
K.
98
98 102 103 105
L.
106 108
108 108 108 109 109 109 112 113 113 117 117 117
. . . . . . . . .
Contenido
b. Estaciones de trabajo Windows XP y configuracin DNS necesaria para los entornos de dominios Active Directory . . . . . . . . . . 4. Peticiones de resolucin DNS y NetBIOS: Proceso de seleccin del mtodo 5. Prueba de integracin del equipo en el dominio Active Directory . . . . .
N.
134
134 134 135 135 136 138 138
. . . . . . . . . . . .
Captulo 3
142 142
143 145 145 146 149 151 153 155 156 156 157 158
Introduccin a la integracin de las zonas DNS en Active Directory . Almacenamiento de las zonas DNS y replicacin de Active Directory .
1. Objetos ordenadores Active Directory y denominaciones . . . . . . 2. Ventajas de la integracin de las zonas DNS en Active Directory . . . a. Actualizacin en modo multimaestro . . . . . . . . . . . . . b. Seguridad avanzada de los controles de acceso en la zona y en los registros . . . . . . . . . . . . . . . . . . . . . . 3. Particiones predeterminadas disponibles con Windows 2000 . . . . 4. Integracin de las zonas DNS en Active Directory con Windows 2000 5. Integracin de las zonas DNS en Active Directory con Windows Server y Windows Server 2008. . . . . . . . . . . . . . . . . . . . a. ForestDnsZones.NombreBosqueDns . . . . . . . . . . . . . b. DomainDnsZones.NombredeDominioDns . . . . . . . . . . . c. Utilizacin de otras particiones del directorio de aplicaciones. . . d. Creacin de una particin en el directorio de aplicaciones Active Directory. . . . . . . . . . . . . . . . . . . . . . e. Replicacin de las particiones del directorio de aplicaciones y caso de los catlogos globales . . . . . . . . . . . . . . . . . . . . . . . . . . . 2003 . . . . . . . . . . . .
Contenido
Almacenamiento de las zonas, particiones de aplicaciones y replicaciones . . . . . . . . . . . . . . . . . . . . . . . . . g. Zonas DNS integradas en Active Directory y particiones de directorio ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . h. Condiciones necesarias para realizar un cambio de almacenamiento. . i. Sugerencias de raz . . . . . . . . . . . . . . . . . . . . . . j. Almacenamiento de las zonas en Active Directory y registros dinmicos de los controladores de dominio Windows 2000, Windows Server 2003 y Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 6. Proteger las actualizaciones dinmicas. . . . . . . . . . . . . . . . a. Configurar las actualizaciones dinmicas seguras . . . . . . . . . . 7. Actualizaciones seguras y registros DNS realizados a travs de DHCP. . . a. Uso del grupo especial DNSUpdateProxy para realizar las actualizaciones dinmicas de las zonas DNS seguras . . . . . . b. Proteccin de los registros al usar el grupo DnsUpdateProxy . . . . . c. Proteccin de las zonas DNS y poder del servicio servidor DHCP sobre los controladores de dominio Active Directory . . . . . . . . d. Comando Netsh y declaracin de la autenticacin del servidor DHCP . 8. Conflictos de gestin de las confianzas en las zonas DNS . . . . . . . . f.
C.
174
174 175 176 176 176 177 177
Captulo 4
180 180
Contenido
C. D. Estructura DNS e integracin en el directorio Active Directory . . . .
1. Estructura de acogida de la zona DNS para los registros de recursos de tipo SRV . . . . . . . . . . . . . . . . . . . . . . . . a. A propsito del registro de recursos DNS de tipo SRV. . . . . b. Registros SRV inscritos en el servicio "Inicio de sesin de red" . c. A propsito del registro DsaGuid._msdcs.NombredeBosque . . d. Registros de recursos para los clientes no compatibles con los registros SRV . . . . . . . . . . . . . . . . . . 2. Servidores DNS no dinmicos y registros dinmicos de los controladores de dominio . . . . . . . . . . . . . . . 3. A propsito de la zona DNS del dominio raz del bosque . . . . .
185
. . . . . . . . .
E. F. G.
196 197
197
200
Captulo 5
206 206
208 209 213 214 216 217
C. D. E.
Controladores de dominio y estructura lgica . . . . . . . . . . . Las unidades organizativas (OU) . . . . . . . . . . . . . . . . Los rboles . . . . . . . . . . . . . . . . . . . . . . . . .
Contenido
F. Los bosques . . . . . . . . . . . . . . . . . . . . . . . . . 237
1. Criterios, funcin y buen uso de los bosques . . . . . . . . . . . . . 239 2. Configuracin del bosque y del dominio raz . . . . . . . . . . . . . 239 3. Activacin de las nuevas funcionalidades de bosque de Windows Server 2003 y de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 241 4. Unidades de replicacin y funcin de los bosques . . . . . . . . . . . 246 5. Maestros de operaciones FSMO de bosques . . . . . . . . . . . . . 249 6. El bosque y la infraestructura fsica Active Directory . . . . . . . . . . 249 7. Fronteras de seguridad y funcin de los bosques . . . . . . . . . . . 251 8. Confianzas dentro de los bosques Active Directory . . . . . . . . . . . 253 a. Beneficios de la transitividad en las confianzas . . . . . . . . . . 253 b. Estructura del bosque y confianzas . . . . . . . . . . . . . . . 254 c. Confianzas y objetos TDO en los bosques Active Directory . . . . . . 255 d. Tipos de confianza soportadas . . . . . . . . . . . . . . . . . 259 e. Bosques Windows Server (2003 o 2008) y confianzas de bosques . . 261 f. Enrutamiento de los sufijos de nombres y confianzas en el bosque . . 262 g. Uso del comando Netdom para crear y administrar confianzas . . . . 265
G.
xito del proceso de actualizacin de Active Directory a los servicios de dominio Active Directory de Windows Server 2008 . . . . . . .
1. Comprobaciones y gestin de los riesgos . . . . . . . . . . . . . 2. Preparacin de la infraestructura Active Directory para Windows Server 2008 . . . . . . . . . . . . . . . . . . 3. Implementacin de un nuevo controlador Windows Server 2008 AD DS 4. Reasignacin de funciones FSMO . . . . . . . . . . . . . . . . 5. Operaciones de finalizacin Post Migracin . . . . . . . . . . . . a. Modificacin de las directivas de seguridad de los controladores de dominio . . . . . . . . . . . . . . . . . . . . . . . b. Actualizacin de las autorizaciones de objetos GPO para los dominios migrados a partir de Windows 2000 . . . . . . . . . . . . . . .
266
267 267 269 269 270 270 271
. . . .
Captulo 6
274 274
274
Introduccin a los grupos, OUs y delegacin . . . . . . . . . . . Uso de los grupos en el entorno Active Directory . . . . . . . . .
1. Los diferentes tipos de grupos Windows . . . . . . . . . . . . . . .
Contenido
a. Los grupos de seguridad . . . . . . . . b. Los grupos de distribucin . . . . . . . 2. mbito de los grupos . . . . . . . . . . . a. Los grupos globales . . . . . . . . . . b. Los grupos locales de dominio . . . . . c. Los grupos universales . . . . . . . . . 3. Reglas generales relativas a los objetos grupos a. Uso correcto de las cuentas de grupo . . b. Uso correcto de los grupos universales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 276 276 276 277 277 278 278 279
C.
279
279 280 282 282 283 283 288 288
Captulo 7
292
292 292 294 295 295 296 296 298
Tecnologa IntelliMirror . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
Contenido
4. Novedades aportadas en las estaciones cliente gracias a los cambios en las directivas de grupo de Windows Server 2008 . . . . . . . . . . a. La administracin centralizada de los parmetros de gestin de energa b. Mejoras aportadas a los parmetros de seguridad . . . . . . . . . c. Mejora de la gestin de los parmetros vinculados a Internet Explorer . d. Asignacin de impresoras en funcin del sitio Active Directory . . . . e. Delegacin de la instalacin de controladores de impresora a travs de las GPO. . . . . . . . . . . . . . . . . . . . . . . . . . f. Nuevos objetos "GPO Starter" . . . . . . . . . . . . . . . . . . g. Parmetros del protocolo NAP - Network Access Protection . . . . . 5. Nuevas preferencias de directivas de grupo de Windows Server 2008 . . a. Preferencias o directivas de grupo? . . . . . . . . . . . . . . . b. Despliegue e implementacin de Preferencias de directivas de grupo . c. Familias de parmetros soportadas por las Preferencias de directivas de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . d. Operaciones y Acciones en los Elementos de las Preferencias . . . . e. Parar el tratamiento de los elementos de esta extensin si se produce un error . . . . . . . . . . . . . . . . . . . . . . . . . . . f. Ejecutar en el contexto de seguridad del usuario conectado (opcin de directiva de usuario) . . . . . . . . . . . . . . . . . g. Eliminar el elemento cuando no se aplica . . . . . . . . . . . . . h. Aplicar una vez y no volver a aplicar . . . . . . . . . . . . . . . i. Seleccin a nivel del elemento de Preferencias. . . . . . . . . . . j. Utilizacin de variables en el editor de seleccin . . . . . . . . . . k. Seguimiento de la ejecucin de las Preferencias de directivas de grupo
298 298 300 300 301 301 302 303 304 305 307 309 312 313 313 314 314 314 315 316
B.
318
318 318 319 319 321 327 331 331
Contenido
Administracin de los parmetros de configuracin y seguridad de Internet Explorer . . . . . . . . . . . . . . . . . . . . . . g. Redireccionamiento de las carpetas de usuario (carpetas especiales) . h. Qu es una directiva de grupo?. . . . . . . . . . . . . . . . . i. Qu es una directiva local? . . . . . . . . . . . . . . . . . . Estructura fsica de una directiva de grupo . . . . . . . . . . . . . . a. Objeto contenedor de directiva de grupo . . . . . . . . . . . . . b. Plantilla de la directiva de grupo . . . . . . . . . . . . . . . . c. Componentes de una directiva de grupo . . . . . . . . . . . . . d. Plantillas de directivas de grupo ADMX para Windows Vista . . . . . e. Creacin de "Central Store" en SYSVOL . . . . . . . . . . . . . . f. Recomendaciones sobre la administracin de las GPO en Windows Vista. . . . . . . . . . . . . . . . . . . . . . . Aplicacin de las directivas de grupo en el entorno Active Directory . . . a. Aplicacin con la plantilla S,D,OU y orden de procesamiento. . . . . b. Dominios Active Directory y dominios NT: L, S, D, OU y 4, L, S, D, OU c. Vnculos de las directivas de grupo a los objetos Sitios, Dominio y Unidades Organizativas y herencia . . . . . . . . . . . . . . . . d. Vnculos y atributo gPLink . . . . . . . . . . . . . . . . . . . e. Seleccin del controlador de dominio preferido. . . . . . . . . . . Creacin de una directiva de grupo con las herramientas de Active Directory a. Uso de la consola de administracin MMC Usuarios y equipos Active Directory . . . . . . . . . . . . . . . . . . . . . . . . b. Utilizacin de la consola de administracin MMC Sitios y servicios Active Directory . . . . . . . . . . . . . . . . . . . . . . . Creacin de una directiva de grupo con la GPMC . . . . . . . . . . . a. Creacin de una directiva de grupo no vinculada . . . . . . . . . . b. Creacin de una directiva de grupo vinculada . . . . . . . . . . . c. Administracin de los vnculos de directiva de grupo . . . . . . . . d. Eliminacin de una directiva de grupo . . . . . . . . . . . . . . e. Desactivacin de una directiva de grupo . . . . . . . . . . . . . Administracin del despliegue . . . . . . . . . . . . . . . . . . . a. Administracin de los conflictos de procesamiento de las directivas de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . b. Administracin del filtrado del despliegue de directivas de grupo . . . c. Puntos importantes . . . . . . . . . . . . . . . . . . . . . . f.
4.
333 334 338 338 340 340 343 344 345 350 351 352 352 355 356 357 357 360 361 362 363 363 363 363 364 365 365 365 367 369
5.
6.
7.
8.
10
Contenido
d. Definicin de los filtros WMI . . . . . . . . . . . . . . . . . . 370
C.
374
374 374 374 374 375 376 377 378 378 379 381 381
D.
383
383 385 386 386 386
. . . .
E. F.
Comprobacin y resolucin de problemas relativos a las directivas de grupo con RsoP . . . . . . . . . . . . . . . . . . . . . . Delegacin del control administrativo de directivas de grupo . . . .
1. Conceder una delegacin a travs del grupo Propietarios del creador de directivas de grupo . . . . . . . . . . . . . . . . . . . . . . 2. Conceder una delegacin con ayuda de la consola de administracin GPMC a. Conceder la delegacin de los vnculos de las directivas de grupo . . . b. Conceder un permiso de modelacin de directivas de grupo . . . . .
387 387
389 390 390 391
11
Contenido
c. Conceder una delegacin de creacin de filtros WMI . . . . . . . . 392
G.
393
Captulo 8
396
396 397
B.
Despliegue de software . . . . . . . . . . . . . . . . . . . .
1. Las diferentes etapas . . . . . . . . . . . . . . . . . . . . a. Disponer de un paquete MSI . . . . . . . . . . . . . . . b. Desplegar el software: Distribucin y seleccin de objetivos . . c. Asegurar el mantenimiento del software . . . . . . . . . . d. Eliminar el software . . . . . . . . . . . . . . . . . . . 2. Tecnologa Windows Installer y tipos de paquetes . . . . . . . . a. Programas con formato Microsoft Windows Installer . . . . . b. Aplicaciones reempaquetadas en formato MSI . . . . . . . . c. Archivos .Zap . . . . . . . . . . . . . . . . . . . . . d. Observaciones generales sobre los diferentes tipos de formatos de instalacin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
401
401 401 402 405 405 406 406 408 409 411
. . .
C.
411
411 411 414 417 417
D.
418
418 420 422
12
Contenido
Captulo 9
426
426 427 429 431
Introduccin . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . .
B.
431
431 432 432 437 440 441 442 452 452 454 459 461 461 463 464 464 464 466 466 467 469 470 471 472
. .
13
Contenido
a. Interfaz CNG (Cryptographic API Next Generation) . . . . . . . . . 7. Servicios de certificados de Windows Server 2008. . . . . . . . . . . a. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . b. Por qu utilizar una PKI Microsoft Windows Server en lugar de otra? . c. Importancia de la Arquitectura de una infraestructura de clave pblica 8. Novedades aportadas por las Autoridades Windows Server 2008 . . . . a. Nuevo componente MMC PKI de empresa . . . . . . . . . . . . b. Inscripcin de los dispositivos de red con el protocolo MSCEP . . . . c. Evolucin de los mtodos de inscripcin Web con AD CS . . . . . . d. OCSP y parmetros de validacin de la ruta de acceso . . . . . . . 472 473 473 475 476 477 478 479 486 490
C.
502
502 505 505 508
D.
509
509 510 511 523
E.
524
524 525 525 527 534 542
ndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
545
14