Configuracin de Active

Directory
1
Docente: Jos Luis Pampa Quispe
Especialista en Administracin de Redes y
Seguridad Informtica
Mail: jose.pampa@marina.pe
jpampaq@hotmail.com

ndice
1. Introduccin al Active Directory
2. Caractersticas de Active Directory
3. Organizacin de Active Directory
4. Conceptos de Active Directory
5. Directivas en Active Directory
6. Instalacin de Active Directory
7. Herramientas de Active Directory

Dominios y confianzas de Active Directory
Sitios y servicios de Active Directory
Herramientas de lnea de rdenes
Administracin de directivas
1
Introduccin al Active Directory
Active Directory es un servicio de directorio extensible y escalable que
permite administrar eficientemente los recursos de red y ayuda a
monitorizar y localizar estos servicios.

Un servicio de directorio es un lugar donde se centraliza
informacin sobre los recursos de una organizacin.
Un directorio es una base de datos optimizada para lectura,
navegacin y bsqueda.
Los servicios de directorio son almacenes de informacin acerca
de entidades de red (aplicaciones, archivos, impresoras y
usuarios).
Los servicios de directorio proporcionan una manera
consistente de nombrar, describir, localizar, acceder,
administrar y asegurar informacin acerca de los recursos
almacenados
1
Introduccin al AD
Active Directory permite un punto nico de administracin para
todos los recursos pblicos (ficheros, dispositivos perifricos,
bases de datos, usuarios, etc.)
El administrador da acceso a los recursos definidos

Un dominio es una unidad lgica que agrupa objetos
(usuarios o equipos) a los que se dar acceso a los
recursos (ficheros, dispositivos, bases de datos)
Controlador de dominio: equipo con Windows Server 2008
que mantienen la base de datos del Active Directory
Servidor miembro: equipo que forma parte del dominio
haciendo uso de los servicios del mismo. Necesita
autenticarse en el dominio (mediante un controlador de
dominio) para poder usar los recursos
1
Caractersticas de Active Directory
Escalabilidad
Puede crecer y soportar un elevado nmero de objetos

Integracin con el DNS
Los nombres de dominio son nombres DNS y tienen que
estar registrados en l
AD usa DNS como servicio de nombres y de localizacin
Es necesario instalar DNS antes de poder instalar AD

Extensible
Permite personalizar las clases y objetos que estn
definidas dentro de AD segn las necesidades propias

Seguridad
Incorpora las caractersticas de seguridad de W2008
Server, que se puede controlar el acceso a cada objeto
1
1
Caractersticas de AD
Multimaestro
No distingue entre controladores de dominio primarios o
secundarios
Cualquier controlador de dominio puede procesar cambios
del directorio
Las actualizaciones o modificaciones realizadas en un
controlador se replican al resto, siendo todos iguales

Flexible
Permite reflejar la organizacin lgica y fsica de la empresa
u organizacin donde se instala
Permite que varios dominios se conecten en una estructura
de rbol o de bosque

Sigue el estndar LDAP (Lightweight Directory Access Protocol)
Organizacin de AD
Objetos de Active Directory

Active Directory almacena informacin sobre los recursos de
red y proporciona los servicios que permiten que la informacin
se encuentre disponible y sea til
Esta informacin la pone a disposicin de los
administradores y los usuarios de la red almacenan
informacin sobre las cuentas de usuario (nombres,
contraseas, n de telfono, etc.) y permite que otros
usuarios autorizados de la misma red tengan acceso a esa
informacin
Los recursos almacenados se denominan objetos y pueden ser:
usuarios, impresoras, servidores, bases de datos, grupos,
equipos y directivas o polticas de seguridad
Un objeto es diferenciado por su nombre y representa un
recurso de red
Un objeto tiene un conjunto de atributos que lo definen y son
sus caractersticas (para un usuario su nombre, apellidos, e-
mail)
Tema 13. Configuracin de Active Directory 1
Organizacin de AD
Active Directory
Objetos
D
e
f
i
n
i
d
o
s

e
n

e
l

E
s
q
u
e
m
a

d
e
l

A
c
t
i
v
e

D
i
r
e
c
t
o
r
y

Atributos
Nombre de
impresora
Ubicacin de la
impresora
Impresoras
Impresora1
Impresora2
Atributo
Impresoras
Impresora3
Atributos
Nombre
Apellidos
Usuarios
Julia
Valor
Nombre de inicio
de sesin
Antonio
Ruiz
Usuarios
Los objetos representan los recursos de red
Los atributos definen la informacin relativa a un objeto
Organizacin de AD
Estructura lgica
Active Directory organiza los recursos mediante una estructura
lgica, lo que permite localizar un recurso por su nombre y no
por su localizacin fsica (que se hace transparente a los
usuarios)
Dominio
Coleccin de equipos que comparten la base de datos
del Active Directory y que se administran de forma
conjunta
Los controladores de dominio, almacenan una copia de
la base de datos y permiten gestionarla y administrarla.
Tambin controlan el acceso a la red, a la BD del
directorio y a los recursos compartidos
Los servidores miembros usan los servicios y recursos
El dominio es la unidad central de la estructura lgica de AD
Un dominio se crea al generar el primer controlador del
dominio
Tema 13. Configuracin de Active Directory 1
Organizacin de AD
Estructura lgica

Un dominio representa:
El lmite para la autenticacin
El lmite para la replicacin de la base de datos
El lmite para las polticas o directivas

El nombre del dominio debe ser nico y ha de estar
registrado en el DNS
El DNS es la base de la infraestructura del Active
Directory ya que permite que los servidores
miembros localicen a los controladores de dominio

Un dominio puede estar en varias subredes

En una red pueden existir varios dominios
10
10
Estructura lgica

Mantiene su ACL (lista de control de acceso) con todos los
permisos para los recursos del dominio, controlando los
usuarios que pueden acceder al mismo y el tipo de acceso
Los elementos de la base de datos del directorio (cuentas
de usuarios, grupos, equipos y recursos compartidos,
como impresoras y carpetas) los usarn todos los
equipos del dominio
Todos los recursos (u objetos) de la red existen en un dominio
y cada dominio almacena informacin exclusivamente de los
objetos que contiene
Organizacin de AD
Estructura lgica
- Unidades organizativas
Los recursos del dominio se organizan en Unidades Organizativas
(OU, Organizational Units), que son contenedores (como
directorios) que permiten ordenar los recursos u objetos dentro de
un dominio
Contienen agrupaciones lgicas de recursos, como archivos,
impresoras, cuentas, aplicaciones y otros recursos del
dominio
Son como subgrupos dentro del dominio que reflejan,
normalmente, la estructura funcional o de negocios de una
organizacin
Slo pueden contener objetos del dominio al que estn asociados
Crean vistas del directorio ms pequeas y manejables
Se puede delegar la autoridad sobre las mismas, para manejar
con ms facilidad el acceso a los recursos administrativos
10
Organizacin de AD
Estructura lgica
- Unidades organizativas
A nivel de Administracin permiten
Agrupar objetos con los mismos requerimientos
Delegacin de tareas de una unidad organizativa
A nivel de polticas (directivas) de grupo permiten
Establecer una configuracin distinta a una unidad
organizativa
Establecer detalles de seguridad distintos a una unidad
organizativa
- Ejemplo de unidades organizativas
Usuarios (unidad organizativa)
Profesores (unidad organizativa)
AdministracinSistemasOperativos (uo)
Pilar, lvaro, Jos (usuarios)
Arquitectura (uo)
Javier, Manolo, Antonio, Gregorio (usuarios)
Redes (uo)
Juan, scar, Flix (usuarios)
10
Organizacin de AD
Estructura lgica
- rboles de dominio
Un rbol de dominio es una agrupacin de uno o ms
dominios que comparten un espacio de nombres continuo
aso.es (ppal), sup.aso.es, sis.aso.es, ges.aso.es (el resto
secundarios)
El nombre de dominio de un dominio secundario es el nombre
relativo a ese dominio agregado al nombre del dominio ppal
Los dominios dentro del rbol comparten el esquema comn, el
catlogo global y los datos de configuracin (topologa del
directorio)
Confianza: los dominios de un rbol estn conectados por
medio de relaciones de confianza
Al crear un nuevo dominio ya forma un rbol: es el dominio
principal de ese rbol
10
Organizacin de AD
Estructura lgica
- Bosques de dominio
Un bosque de dominio est compuesto por uno o ms
rboles de dominio distintos e independientes entre s, que
comparten informacin del directorio comn
aso.es, sup.aso.es, sis.aso.es, ges.aso.es
etc.es, sup.etc.es, sis.etc.es, ges.etc.es
redes.es, sup.redes.es, sis.redes.es, ges.redes.es
Todos los rboles de un bosque comparten el esquema
comn, el
catlogo global y los datos de configuracin
Los dominios en un bosque operan independientemente,
pero el bosque permite la comunicacin a lo largo de toda la
organizacin
10
Organizacin de AD
10
Estructura lgica
- Bosques de dominio
El bosque tiene un nico dominio raz, llamado dominio
raz del bosque, que es el primer dominio creado en el
mismo
Los nombres de dominio dentro de un bosque pueden
ser discontinuos o continuos en la jerarqua del DNS
Continuos: estn en el mismo rbol de dominio
Discontinuos: forman varios rboles de dominio
Por defecto, un nico dominio ya forma un rbol y un
bosque
Se puede ampliar el rbol aadiendo un nuevo dominio
con un nombre continuo
Se puede ampliar el bosque al aadir un nuevo dominio
con un nombre discontinuo, que formar un nuevo
rbol de dominio
Organizacin de AD
Estructura lgica
Dominios
Unidades organizativas
rboles y bosques
abc.pe
rbol
UO
DomainDomain
Sup..aabc.pe
Bosque
UO UO
Etc..eess
Sis.a so.es
Ges..eettcc..eess Sup..eettcc..eess
10
rbol
Organizacin de AD
10
Estructura fsica
Controlador de dominio
Un controlador de dominio es un equipo con W2008Server
que almacena una copia del directorio del dominio (base de
datos local del dominio)
Puede haber varios controladores de dominio, cada uno de
ellos tendr una copia completa del directorio
Cada controlador permite realizar cambios en el directorio,
administrando los cambios y replicndolos a los otros
controladores de dominio del mismo dominio
Los controladores de dominio administran todas las facetas
de las interacciones de los usuarios en un dominio
(localizacin de objetos o validacin de un intento de inicio de
sesin)
Organizacin de AD
10
Estructura fsica
- Controladores de dominio (contina)
La replicacin se hace en intervalos de tiempo, pudiendo
establecer la frecuencia a la que se producen las
replicaciones entre controladores de dominio
AD usa un modelo replicacin multimaestro:
Ningn controlador del dominio es el maestro
Todos los controladores son iguales y contienen una
copia de la BD del directorio. (En realidad todos los
controladores son casi iguales)
Los controladores replican los cambios entre ellos
Cualquier controlador de dominio puede procesar los
cambios del directorio y replicarlos
Organizacin de AD
20
Estructura fsica
Controladores de dominio (contina)
Los controladores de dominio replican inmediatamente
ciertas actualizaciones urgentes, por ejemplo la
eliminacin de una cuenta de usuario
Establecer varios controladores de dominio dentro de
un dominio permite tener tolerancia a fallos
Todos tienen asignadas las mismas tareas salvo:
Servidor de cabeza de puente para replicar
informacin del directorio con otros sitios
Las funciones del maestro de operaciones
Organizacin de AD
Estructura fsica
- Sitios
Un sitio es una agrupacin de equipos que estn
conectados fsicamente por conexiones rpidas y de alta
fiabilidad. Habitualmente equipos conectados en una LAN
La razn bsica de crear sitios es aprovechar los
mecanismos de comunicacin eficientes (rpidos y
fiables) entre sistemas bien comunicados
Un sitio es bsicamente una subred TCP/IP
Son independientes de la estructuras lgica de dominio.
No existe relacin entre la estructura fsica de la red y la
lgica del dominio:
Un nico dominio puede estar en varios sitios
En un sitio puede haber varios dominios
Importante no confundir sitio con dominio:
Dominio: agrupacin lgica de usuarios y equipos
Sitio: agrupacin fsica de equipos
20
Organizacin de AD
20
Estructura fsica

Los equipos estn asignados a sitios segn su
localizacin en la subred o en un conjunto de subredes
Si la empresa tiene varias subredes que no tienen buena
conexin entre s o estn en ubicaciones geogrficas
distintas, (p.e. una sucursal en Murcia y otra en Cartagena),
hay que definir un sitio por cada subred
Debe tener asociado, al menos, un controlador de dominio
en cada sitio (para facilitar y acelerar el acceso a los datos
del AD)
La informacin de los sitios se usa para:
Validacin de seguridad en los servidores miembros: el
proceso de autenticacin se hace en los controladores
del dominio del sitio en el que est el servidor miembro
(si es posible )
La replicacin de la informacin de directorio se hace
con ms frecuencia dentro de sitios que entre sitios
(reduciendo el trfico de la red)
Un controlador del dominio ser servidor de cabeza de
puente: realiza la rplica de datos hacia y desde un sitio, y
enva los datos recibidos a los otros controladores del sitio
Organizacin de AD
20
Almacn de datos o Directorio Activo

Contiene informacin sobre objetos del dominio, como pueden
ser cuentas de usuarios, grupos o equipos, recursos
compartidos, unidades organizativas y directivas o polticas de
grupo
Esta informacin se publica para que otros
usuarios y administradores del dominio la
utilicen
Se conoce como almacn de datos o directorio, es el propio
Directorio Activo (Active Directory)
Se almacena en un fichero llamado ntds.dit que tiene que
estar localizado en una particin de tipo NTFS
Los controladores de dominio replican los cambios del
almacn de datos de forma multimaestro: todos los
controladores de dominio tienen la misma base de datos
Conceptos de Active Directory
Catlogo global

El catlogo global es un almacn central de informacin de
todos los objetos del directorio de los dominios del bosque
Tiene una copia completa todos los objetos (todos sus
atributos) del directorio de su dominio y una copia parcial de
todos los objetos de los directorios de los otros dominios del
bosque
La copia parcial almacena los atributos usados con ms
frecuencia en las operaciones de bsqueda
De manera predeterminada, el primer controlador de
dominio creado al instalar AD se convierte en catlogo
global y es conocido como servidor de catlogo global
La informacin que almacena es generada automticamente
en cada dominio mediante el proceso de rplica
Se pueden definir varios CGs en un dominio, pero esto
incrementar el trfico de red para hacer las rplicas (para
actualizar los distintos catlogos)
20
Conceptos de Active Directory
Catlogo global

Realiza las siguientes funciones clave en el directorio:
Resuelve las bsquedas de informacin en un dominio, rbol
o bosque, con independencia de la ubicacin de los datos
(con independencia de en qu dominio estn)
Resuelve los nombres principales de usuarios (UPN) de otros
dominios del bosque, permitiendo que usuarios esos dominios
se autentiquen en el dominio
La informacin sobre los grupos universales se almacena slo
en el CG. Cuando un usuario inicie una sesin, el CG
proporcionar la pertenencia (o no) a los grupos universales
Permite validar las referencias a objetos de otros dominios del
bosque, informando si son o no correctas

Diseado para responder a las preguntas sobre objetos de
cualquier dominio del bosque (mxima velocidad y poco trfico
de red)
Una pregunta sobre un objeto de otro dominio puede ser
resuelta por el catlogo global del dominio donde se realiza la
pregunta
20
Conceptos de Active Directory
Subconjunto de
atributos de todos
los objetos
abc.pe
Etc.es
Sis.abc.pe Sup.abc.pe
Ges.etc.es Sup.etc.es
Catlogo global
Consultas
PPeerrtteenneenncciiaa a grupos
Servidor de
universales cuando el
usuario inicia sesin
catlogo global
20
Conceptos de Active Directory
Esquema de Active Directory

El esquema define todos los objetos y tipos de datos que se
pueden almacenar en Active Directory
Define los objetos a travs de clases, las propiedades de las
clases y los atributos
Hay dos tipos de definiciones en el esquema:
Clases (o clases de objetos): describen las
caractersticas de los objetos de AD. Es una coleccin
de atributos
Atributos
Se almacena como un objeto del AD
Proporciona unas clases y atributos por defecto
Pero es un elemento ampliable: se pueden definir nuevos
objetos o atributos a un objeto que ya existe
A user se le puede asociar los nuevos atributos:
nota_teora, nota_prcticas y nota_final
20
Conceptos de Active Directory
Maestro de operaciones flexible

Las funciones de maestro de operaciones son realizar tareas
que son impracticables en entornos multimaestro
Pero estas tareas pueden ser asignadas a distintos
controladores del dominio (no tienen que realizarse en el
mismo controlador)
Hay cargos que se asignan slo una vez en el bosque de
dominio, otros se deben definir una vez en cada dominio
Las funciones que realiza son:
Maestro de esquema: controla las actualizaciones y
modificaciones del esquema del directorio. Slo existe uno
en el bosque
Maestro de nombres de dominio: controla la agregacin o
eliminacin de nombres de dominios en el bosque. Uno en
todo el bosque
Maestro de Id. relativo: asigna los Id. Relativos a los
controladores de dominio
20
Conceptos de Active Directory
Maestro de operaciones

Sus cargos son:
Maestro de infraestructuras: actualiza las referencias a
objetos comparando sus datos de directorio con el catlogo
global, replicando los cambios si es necesario. (Es preferible
que no coincida con el CD que hace de catlogo global)
Emulador PDC:
Recibe una replicacin preferencial de los cambios
realizados en las contraseas por otros controladores
del dominio
Si una autenticacin de inicio de sesin produce un
error por una contrasea incorrecta, se reenviar la
solicitud de autenticacin al emulador del PDC antes
de rechazar el intento de inicio de sesin
Sincronizacin horaria en todo el bosque
20
Conceptos de Active Directory
Espacio de nombres

Los nombres de AD son nombres registrados en el servidor de
DNS, por lo que se pueden usar formatos de nombre estndar
del tipo aso.es
Esto permite la estructuracin jerrquica de AD
Nomenclaturas: 4 nomenclaturas para identificar objetos
DN (Distinguished Name) (nombre completo)
nico para cada objeto
Contiene suficiente informacin para que un usuario
recupere el objeto del directorio, incluyendo el nombre
del dominio y la ruta
Se compone de varios atributos: el nombre del
dominio al que pertenece (DC) y de las unidades
organizativas en las que est (OU) y el nombre
relativo del objeto (CN)
30
Conceptos de Active Directory
Espacio de nombres

Nomenclaturas:
RDN (Relative Distinguished Name) (nombre completo relativo)
Identifica unvocamente al objeto dentro su unidad
organizativa
Es parte del DN
Podemos tener dos objetos con el mismo nombre si los
objetos pertenecen a distintas Unidades Organizativas
GUID (Globally Unique Name) (identificador global nico)
Nmero de 128 bits, distinto para cada objeto, y que no
cambia nunca
Es nico y est formado por el Id de seguridad del dominio
(prefijo) y un Id relativo nico, (asignado por el maestro de
operaciones)
UPN (User Principal Name) (nombre principal de usuario)
Son nombres cortos y descriptivos del objeto
El nombre comn del objeto se combina con el dominio
para formar el UPN
30
Conceptos de Active Directory
Espacio de nombres

Nomenclaturas:
Supongamos que tenemos el dominio abc.pe y dentro de l
la unidad organizativa users, dentro la unidad organizativa
Profesores y dentro el usuario julia
El nombre completo o distinguished name para este
usuario:
CN=julia,OU=Profesores,OU=users,DC=abc,DC=pe
El nombre completo relativo o Relative Distinguished
Name:
julia
Si movemos el usuario julia a una nueva unidad
organizativa llamada Investigadores:
El nombre completo o distinguished name ser:
CN=julia,OU=Investigadores,DC=abc,DC=pe

UPN: julia@abc.pe
30
Conceptos de Active Directory
En un dominio, se pueden definir directivas de grupo a nivel de
sitio, de dominio o de unidades organizativas
Se aplicarn a todos los servidores miembros del dominio
El orden de aplicacin de las directivas es el siguiente:
1) Directivas de grupo local (las definidas en el equipo local)
2) Directivas de grupo de sitio
3) Directivas de grupo de dominio
4) Directivas de unidad organizativa
5) Directivas de unidad organizativa secundaria, etc.
En caso de conflictos, las que se aplican ms tarde tienen
preferencia y sobrescriben las directivas aplicadas previamente
Se pueden aplicar a todos los usuarios (al dominio) o a un nico
usuario (en una unidad organizativa concreta)
30
Directivas de Active Directory