Introduccin a los servicios Active Directory

Pgina 91

Captulo 4
A. Introduccin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 B. Informacin general de Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 C. Informacin general de un controlador de dominio . . . . . . . . . . . . . . . . . . . . . . . 99 D. Promover un controlador de dominio. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 E. La papelera de reciclaje AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 F. La directiva de contrasea muy especficas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 G. Talleres: Promover un controlador de dominio . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 H. Validacin de conocimientos: preguntas/respuestas. . . . . . . . . . . . . . . . . . . . . . 121

Editions ENI - All rights reserved

Examen 70-410

Pgina 92
W i n d o wprevios Requisitos s Serv ye objetivos r 20 12 - I n s ta l a ci n y co n f i g u ra c i n

Captulo 4
Introduccin a los servicios Active Directory

Requisitos previos
Poseer conocimientos de Active Directory.

Objetivos
Definicin del directorio Active Directory. Presentacin de los roles FSMO. Promover un servidor miembro a controlador de dominio. Gestin de la papelera AD y de una directiva de contrasea muy especfica.

A. Introduccin
Active Directory es un directorio implementado en los sistemas operativos Microsoft a partir de Windows 2000 Server. Como los otros directorios, se basa en la normativa LDAP. Se han aportado muchas mejoras desde entonces.

B. Informacin general de Active Directory

El rol Servicios de dominio de Active Directory contiene los componentes fsicos y lgicos. Los componentes fsicos van a englobar varios elementos clave en un dominio Active Directory: - El controlador de dominio, que contiene una copia de la base de datos Active Directory. - La base de datos y la carpeta sysvol, que contendrn el conjunto de la informacin de Active Directory, cada controlador de dominio del dominio Active Directory contiene una copia. - El servidor de directorio global, que contiene una copia parcial de los atributos y objetos del bosque. Permite realizar bsquedas rpidas sobre los atributos de algn objeto de un dominio diferente al del bosque. Todos los componentes funcionan con componentes lgicos, los cuales permiten la puesta en marcha de la estructura de Active Directory deseada. De esta forma podemos encontrar los siguientes componentes: - Las particiones, que son selecciones de la base de datos de Active Directory. As, podremos encontrar la particin de configuracin, la particin de dominio, la particin DNS - El esquema de Active Directory, que contiene los atributos de todos los objetos que pueden ser creados en Active Directory. - El dominio, que permite poner en marcha un lmite administrativo para los objetos usuarios y equipos. - Una arborescencia de dominio, contiene un conjunto de dominios que comparten un espacio de nombres DNS contiguo. - El bosque Active Directory, que contiene el conjunto de dominios Active Directory.

Windows Server 2012 - Instalacin y configuracin

Introduccin a los servicios Active Directory

Pgina 93

- El sitio de Active Directory, que permite dividir un dominio en varias partes, para as limitar y controlar la replicacin entre dos sitios remotos. - La unidad organizativa, que permite aplicar una directiva de grupo e igualmente implementar una delegacin.

1. El dominio Active Directory

Un dominio Active Directory es una agrupacin lgica de cuentas de usuario, equipos o grupos. Los objetos creados se almacenan en una base de datos presente en todos los controladores de dominio Active Directory. Esta base de datos puede almacenar varios tipos de objeto: - La cuenta de usuario, que permite efectuar una autenticacin y autorizar los accesos a los diferentes recursos compartidos. - La cuenta de equipo, que permite autenticar la mquina en la que el usuario inicia una sesin. - Finalmente los grupos, que permiten agrupar las cuentas de usuario y equipos con el objetivo de autorizar el acceso a un recurso, una delegacin

2. Las unidades organizativas

Las unidades organizativas (OU - Organizational Unit) son objetos contenedores que permiten la agrupacin de cuentas de usuario o de equipo. La creacin de este tipo se utiliza con el fin de asignar una directiva de grupo al conjunto de objetos presentes en el contenedor. La segunda funcin de este tipo de objeto es la puesta en marcha de una delegacin para permitir a una persona diferente al administrador gestionar objetos presentes en el contenedor. De esta forma las OU representan una jerarqua lgica en el dominio Active Directory. Es, por ejemplo, posible crear una unidad organizativa por ciudad (Alicante, Madrid...) o por tipo de objeto (usuario, equipo...). Durante la creacin del dominio se encuentran presentes las carpetas de sistema y unidades organizativas predeterminadas: - Carpeta Builtin: almacena los grupos predeterminados: Administradores, Operadores de impresin

Editions ENI - All rights reserved

Examen 70-410

Pgina 94

Captulo 4

- Carpeta Users: carpeta predeterminada al crear un nuevo usuario. Contiene de forma predeterminada la cuenta de administrador y los diferentes grupos administradores (Administradores de dominio, Administradores de empresas...).

Windows Server 2012 - Instalacin y configuracin

Introduccin a los servicios Active Directory

Pgina 95

- Carpeta Computers: carpeta predeterminada para agregar nuevos equipos. - Unidad organizativa Domain Controllers: emplazamiento predeterminado para las cuentas de los controladores de dominio. Esta OU es la nica presente al crear el dominio. La directiva de grupo Default Domain Controller Policy est ubicada en esta unidad organizativa.

3. El bosque Active Directory

Un bosque est formado por uno o ms dominios Active Directory. Hablamos de dominio raz para el primer dominio del bosque, adicionalmente este ltimo proporciona el nombre al bosque. En nuestra maqueta el dominio raz es Formacion.local, el bosque tiene pues el nombre de este ltimo, es decir Formacion.local. En un bosque Active Directory encontramos una sola configuracin y un solo esquema que son compartidos por el conjunto de los controladores de dominio presentes en el bosque. Tiene asimismo como objetivo la puesta en prctica de una frontera de seguridad, los otros bosques no tienen ningn permiso sobre ste y no se replica ningn dato fuera del bosque.
Editions ENI - All rights reserved

Un bosque Active Directory est compuesto por un conjunto de dominios llamados a su vez arborescencia de dominios, estos ltimos comparten un espacio de nombres contiguo. La relacin entre dominios de una misma arborescencia es de tipo padre/hijo. Un dominio que dispone de un espacio de nombres diferente forma parte de una arborescencia diferente.

Examen 70-410

Pgina 96

Captulo 4

El dominio representa a su vez un lmite de seguridad porque el objeto usuario que permite la autenticacin de una entidad (persona fsica de la empresa...) se define por cada dominio. Este ltimo contiene al menos un controlador de dominio, siendo dos lo recomendable en trminos de alta disponibilidad. Este tipo de servidor tiene la responsabilidad de autenticar los objetos usuarios y equipos en un dominio AD.

4. El esquema de Active Directory

El esquema de Active Directory es un componente que permite definir los objetos y atributos que pueden crearse en Active Directory. Al crear un nuevo objeto, se utiliza el esquema para recuperar la definicin apropiada para el objeto. As, estas definiciones permiten controlar los atributos del objeto y su sintaxis (booleano, entero...).

Windows Server 2012 - Instalacin y configuracin