AD0001 - Creando nuestro primer

Active Directory en Windows Server

2008 R2
Como no poda ser de otra manera, en ste primer post de mi nuevo blog veremos como crear nuestro primer Active Directory utilizando Windows Server 2008 R2.

Para quienes no lo sepan, Active Directory es uno de los tantos componentes que vienen dentro de Windows Server 2008 R2 y que nos har de base para armar nuestra red lgica
empresarial. Desde el AD (Active Directory) podremos centralizar todos los recursos tales como usuarios, computadoras, impresoras, grupos de distribucin, grupos de seguridad entre
otros pero principalmente tendremos Identidad y Acceso a nuestra red.

Para poder poner en marcha nuestro primer AD, precisamos contar con al menos un servidor con Windows Server 2008 R2 instalado, en nuestro caso con Service Pack 1 ya instalado
como tambin todos sus updates.
Antes de empezar con la instalacin y configuracin de nuestro AD, debemos cumplir con un check list esencial:

Nombre del host: nuestro servidor debe tener el nombre adecuado que queramos, ya que lo recomendado es que una vez configurado nuestro AD, el nombre de host no se
cambie.

IP: adicionalmente al nombre de host, el servidor debe contar con una IP fija, la cual debemos establecerla segn la red que estemos armando.

Nombre de dominio: este punto es muy importante dado que representa en la mayora de los casos a la organizacin o compaa. Si bien podemos elegir como dominio,
uno propio que ya dispongamos en Internet, se recomienda que ste sea de uso exclusivo de uso interno de nuestra red. Si nuestro dominio en Internet es mswin.org, lo
ideal para nuestro AD sera mswin.local o mswin.corp o similares.

1) Cambiando el nombre de host a nuestro servidor:

1.1) Vamos a Start y hacemos clic con el botn derecho del mouse sobre Computer y elegimos Properties

1.2) Luego en la ventana de System, veremos el actual nombre de nuestro servidor y para cambiarlo debemos hacer un clic sobre Change settings.

1.3) Ahora hacemos un clic en Change

1.4) En este paso debemos darle el nombre que queramos y luego hacer un clic en Ok.

1.5) Debido a que cambiamos el nombre de nuestro servidor, el sistema nos pedir un reinicio para que aplique los cambios, lo cual aceptamos y luego lo reiniciamos.

2) Cambiando la IP de nuestro servidor

2.1) Para cambiar la IP de nuestro servidor, debemos acceder a las propiedades del adaptador de red. Para ello, hacemos un clic en el icono de red tal como se muestra en la siguiente
imagen, y seleccionamos Open Network and Sharing Center

2.2) Luego en la ventana de Network and Sharing Center, seleccionamos Change adapter settings

2.3) En este paso, debemos seleccionar el protocolo Internet Protocol Version 4 (TCP/IPv4) y apretar en el boton deProperties.

2.4) Ahora debemos ingresar la IP correspondiente para nuestro servidor como as tambin la Subnet Mask, el Default Gateway y el DNS Primario. Estos ltimos dos tems, llevan la
misma IP que nuestro servidor. En el caso del DNS es debido a que nuestro primer servidor de AD tambin ser nuestro primer DNS, servicio bsico para que Active Directory funcione.

3) Instalando y Configurando Active Directory Domain Services (AD DS) Role

3.1) Una vez que tenemos listo los pasos anteriores, estaremos preparados para iniciar la instalacin de nuestro primer Domain Controller. Existen varias formas para poder instalar el rol
de AD DS, pero en este caso utilizaremos el comandodcpromo.exe para iniciar el proceso.
Vamos a Start Run y en Open escribimos dcpromo y luego hacemos un clic en Ok.
Luego debemos esperar a que se instalen los archivos necesarios para poder comenzar con el proceso.

3.2) Ahora veremos que se abre el Active Directory Domain Services Installation Wizard, donde nos dar la opcin de usar el modo avanzado de instalacin el cual no
utilizaremos en este caso. Para avanzar tan solo apretamos en Next.

3.3) En la pagina de Operating System Compatibility podemos revisar cuales son las opciones de seguridad por defecto en los controladores de dominio de Windows Server 2008 y
Windows Server 2008 R2. Aqu tan solo lo leemos y avanzamos con Next.

3.4) En este punto, dado que no tenemos ningn Forest creado, crearemos uno nuevo seleccionando Create a new domain in a new forest y luego hacemos un clic en Next.

3.5) Ahora debemos ingresar el nombre que le daremos a nuestro dominio, en nuestro caso ser mswin.corp y luego seleccionamos Next, donde el sistema chequear que los nombre
del DNS y NetBIOS no estn en uso ya en nuestra red.

3.6) En la pagina de Set Forest Functional Level debemos seleccionar el nivel de funcionamiento que queramos que tenga nuestro dominio y dependiendo de esto, tendremos mas
o menos caractersticas habilitadas, como as tambin mayor o menor seguridad en nuestro dominio. En nuestro caso seleccionamos Windows Server 2008 R2. Luego
seleccionamos Next.

3.7) En la pagina de Additional Domain Controller Options, la opcin de DNS server ya est marcada por defecto, dado que el proceso de instalacin crear la zona necesaria. Las
opciones sin posibilidad de cambio son debido a que el Global Catalog es necesario para nuestro primer DC y adicionalmente ste no puede ser un Read-Only.
Seleccionamos Next para avanzar.

3.8) Recibiremos una advertencia que la delegacin para el DNS Server no podr ser creada. Podemos ignorar este mensaje y avanzar seleccionando en Yes.

3.9) Ahora debemos seleccionar el path donde alojar la Base de Datos, los Log Files y la SYSVOL folder. Si bien podemos dejar estas opciones de forma predeterminada, en ambientes
productivos se recomiendan separar en tres volmenes de discos diferentes, que no tengan aplicaciones o archivos que no estn relacionadas con el rol de AD DS. Este ayuda a tener
mejor performance e incrementa la eficiencia de backup y restore. Dado que en nuestro caso es una demo, dejamos las opciones por defecto y hacemos un clic en Next.

3.10) Ahora ingresaremos una clave compleja que se utilizar para el Directory Services Restore Mode Administrator. Luego seleccionamos en Next.

3.11) En la pagina de Summary, podremos revisar todas las opciones que seleccionamos anteriormente. Tambin podremos exportar la configuracin para utilizarla en otro momento.
Para iniciar la instalacin y configuracin seleccionamos en Next. Luego el sistema pedir reiniciar al seleccionar en Finish.

4) Tareas posteriores a la instalacin del rol AD DS

4.1) Lo primero que debemos hacer luego del reinicio es iniciar sesin en el dominio y
revisar en el Event Viewer los eventos y chequear que stos no tengan relevancia alguna. En
caso de tener eventos importantes debemos proceder con la solucin de los mismos.
4.2) Otra de las cosas que podemos hacer es iniciar la consola de Active Directory Users
and Computers desde donde administraremos los objetos tales como Usuarios, Grupos y
equipos entre otros. Para iniciar dicha consola podremos hacerlo
desde Start Administrative Tools y all seleccionamos Active Directory Users and
Computers. Otra forma de hacerlo mas rpidamente es desde Start Run y all
escribimos dsa.msc y le damos Enter.

Conclusin:

En este primer articulo hemos visto como preparar nuestro primer Domain
Controller en Windows Server 2008 R2. En prximos artculos veremos otras
funcionalidades de Active Directory.
Active Directory (AD) es el trmino que usa Microsoft para referirse a su
implementacin de servicio de directorio en una red distribuida de computadores.
Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).
Su estructura jerrquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin
de recursos y polticas de acceso.1
Active Directory permite a los administradores establecer polticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una
organizacin entera. Un Active Directory almacena informacin de una organizacin en
una base de datos central, organizada y accesible. Pueden encontrarse desde
directorios con cientos de objetos para una red pequea hasta directorios con millones
de objetos.
ndice

[ocultar]
1 Estructura
1.1 Objetos

2 Funcionamiento
2.1 Intercambio entre dominios[2]

2.1.1 Confianza transitiva

2.1.2 Confianza explcita

2.1.3 Confianza de Acceso Directo

2.1.4 Confianza entre bosques

2.2 Direccionamientos a recursos
3 Diferencias entre Windows NT y Active Directory
4 Interfaces de programacin[3]
5 Requisitos de instalacin[4]
6 Alternativas[5]
7 Referencias

8 Enlaces externos
Estructura [editar]
Active Directory est basado en una serie de estndares llamados X.500, aqu se
encuentra una definicin lgica a modo jerrquico.
Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS,
razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el
direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado
de equipos conectados; y los componentes lgicos de la red, como el listado de
usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a
un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin
necesidad de pertenecer a cada uno de los subdominios.
A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que
por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una

relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los
distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el
propio Active Directory.
Objetos [editar]
Active Directory se basa en una estructura jerrquica de objetos. Los objetos se
enmarcan en tres grandes categoras. recursos (p.ej. impresoras), servicios
(p.ej. correo electrnico), y usuarios (cuentas, o usuarios y grupos). El AD proporciona
informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad.
Cada objeto representa una entidad individual ya sea un usuario, un equipo, una
impresora, una aplicacin o una fuente compartida de datos y sus atributos. Los
objetos pueden contener otros objetos. Un objeto est unvocamente identificado por su
nombre y tiene un conjunto de atributoslas caractersticas e informacin que el objeto
puede contenerdefinidos por y dependientes del tipo. Los atributos, la estructura
bsica del objeto, se definen por un esquema, que tambin determina la clase de
objetos que se pueden almacenar en el AD.
"Cada atributo se puede utilizar en diferentes "schema class objects". Estos objetos se
conocen como objetos esquema, o metadata, y existen para poder extender el
esquema o modificarlo cuando sea necesario. Sin embargo, como cada objeto del
esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o cambiar
estos objetos puede tener consecuencias serias porque cambiar la estructura
fundamental del ANUNCIO en s mismo. Un objeto del esquema, cuando es alterado,
se propagar automticamente a travs de Active Directory y una vez que se cree
puede ser desactivado-no solamente suprimido. Cambiar el esquema no es algo que se
hace generalmente sin un cierto planeamiento " OLMER
Funcionamiento [editar]
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory
Access Protocol), ya que este protocolo viene implementado de forma similar a una
base de datos, la cual almacena en forma centralizada toda la informacin relativa a un
dominio de autenticacin. Una de sus ventajas es la sincronizacin presente entre los
distintos servidores de autenticacin de todo el dominio.
A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en
modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email,
etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo
modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda
almacenada en Active Directory replicndose de forma automtica entre todos los
servidores que controlan el acceso al dominio.
De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de
red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando
todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos
replicada a todo el dominio de administracin, los eventuales cambios sern visibles en
todo el mbito. Para decirlo en otras palabras, Active Directory es una implementacin
de servicio de directorio centralizado en una red distribuida que facilita el control, la

administracin y la consulta de todos los elementos lgicos de una red (como pueden
ser usuarios, equipos y recursos).
Intercambio entre dominios2 [editar]
Para permitir que los usuarios de un dominio accedan a recursos de otro dominio,
Active Directory usa una relacin de confianza (en ingls, trust). La relacin de
confianza es creada automticamente cuando se crean nuevos dominios. Los lmites
de la relacin de confianza no son marcados por dominio, sino por el bosque al cual
pertenece. Existen relaciones de confianza transitivas, donde las relaciones de
confianza de Active Directory pueden ser un acceso directo (une dos dominios en
rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos vas), reino
(transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para
conectarse a otros bosques o dominios que no son de Active Directory. Active Directory
usa el protocolo V5 de Kerberos, aunque tambin soporta NTLM y usuarios webs
mediante autentificacin SSL/TLS.
Confianza transitiva [editar]
Las Confianzas transitivas son confianzas automticas de dos vas que existen entre
dominios en Active Directory.
Confianza explcita [editar]
Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual
para entregar una ruta de acceso para la autenticacin. Este tipo de relacin puede ser
de una o dos vas, dependiendo de la aplicacin.
Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios
compuestos por ordenadores con Windows NT 4.0.
Confianza de Acceso Directo [editar]
La Confianza de acceso directo es, esencialmente, una confianza explcita que crea
accesos directos entre dos dominios en la estructura de dominios. Este tipo de
relaciones permite incrementar la conectividad entre dos dominios, reduciendo las
consultas y los tiempos de espera para la autenticacin.
Confianza entre bosques [editar]
La Confianza entre bosques permite la interconexin entre bosques de dominios,
creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre
bosques son de tipo explcito, al contrario de Windows Server 2003.
Direccionamientos a recursos [editar]
Los direccionamientos a recursos de Active Directory son estndares con la
Convencin Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y
nombrado de LDAP.
Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name
(DN)), as una impresora llamada Imprime en una Unidad Organizativa (en ingls,
Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las
siguientes formas para ser direccionado:

en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde

CN es el nombre comn (en ingls, Common Name)

DC es clase de objeto de dominio (en ingls, Domain object Class).

En forma cannica sera foo.org/Ventas/Imprime

Los otros mtodos de direccionamiento constituyen una forma local de localizar un

recurso

Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)),

que busca un recurso slo con el Nombre Comn (CN).
Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es
usado por Active Directory para buscar y replicar informacin

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User
Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de
la red. Su forma es objetodered@dominio
Diferencias entre Windows NT y Active Directory [editar]
A diferencia del anterior sistema de administracin de dominios de Windows NT Server,
que provea nicamente el dominio de administracin, Active Directory permite tambin
crear estructuras jerrquicas de dominios y subdominios, facilitando la estructuracin
de los recursos segn su localizacin o funcin dentro de la organizacin a la que
sirven. Otra diferencia importante es el uso de estndares como X.500 y LDAP para el
acceso a la informacin.
Interfaces de programacin3 [editar]
Las interfaces de servicio de Active Directory (ADSI) entregan al programador una
interfaz orientada a objetos, facilitando la creacin de programas de directorios
mediante algunas herramientas compatibles con lenguajes de alto nivel, como Visual
Basic, sin tener que lidiar con los distintos espacios de nombres.
Mediante las ADSI se permite crear programas que realizan un nico acceso a varios
recursos del entorno de red, sin importar si estn basados en LDAP u otro protocolo.
Adems, permite generar secuencias de comandos para los administradores.
Tambin se puede desarrollar la Interfaz de mensajera (MAPI), que permite generar
programas MAPI.
Requisitos de instalacin4 [editar]
Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos
recomendados:

Tener cualquier versin Server de Windows 2000, 2003 (Server, Advanced

Server o Datacenter Server) o Windows 2008, en el caso de 2003 server, tener
instalado el service pack 1 en la mquina.

Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con

una direccin asignada por DHCP,

Tener un servidor de nombre de DNS, para resolver la direccin de los distintos

recursos fsicos presentes en la red

Poseer ms de 250 MB en una unidad de disco formateada en NTFS.DE

WINDOWS

Alternativas5 [editar]
Samba es un programa de cdigo libre, que tiene disponible un controlador de
dominios compatible con Windows NT 4, Windows 2003 y Windows 2008.
El programa de cdigo libre Mandriva Directory Server ofrece una interfaz web para
manejar el controlador de dominios de Samba y el servicio de directorios de LDAP.
Otra alternativa es Novell eDirectory, que es Multiplataforma: se puede correr sobre
cualquier sistema operativo: Linux, AIX, Solaris, Novell Netware, UNIX e integra LDAP
v.3 Nativo. Es el precursor en materia de estructuras de Directorio, ya que fue
introducido en 1990 con la versin de Novell Netware 4.0. Aunque AD de Microsoft
alcanz mayor popularidad, todava no puede igualar la fiabilidad y calidad de
eDirectory y su capacidad Multiplataforma.
Sun Java ES Directory Server[1] y OpenDS [2] son otras alternativas, el primero
basado en java y el segundo basado y desarrollado en C. El primero es un producto
de Sun Microsystems y el segundo una alternativa de cdigo abierto.
Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba y adems
certificacin digital y Bind9 (modificado para usar LDAP como backend)
esWBSAgnitio ([3]).
ACTIVE DIRECTORY
ACTIVE DIRECTORY (AD) es el trmino utilizado por Microsoft para
referirse a su implementacin deservicio de directorio en
unared distribuidad e c o m p u t a d o r e s . U t i l i z a d i s t i n t o s protocolos (
principalmenteLDAP,DNS,DHCP,kerberos)Su estructura jerrquica permit
e mantener una serie de objetosrelacionados con componentes de una
red, como usuarios, grupos deusuarios, permisos y asignacin de recursos y
polticas de acceso.Active directory provee de forma centralizada la
administracin para
todos los recursos de la red; combinando las denominaciones deX.50
0 y el sistema de nombres de dominio (DNS) como motor
debsq ueda y com o protocolo central utiliza LDAP de igual forma
integra kerberos como servidor de autenticacin.

TERMINOLOGIA Y CONCEPTOS DE ACTIVE DIRECTORYATRIBUTOCada

fragmento de informacin que describe algn aspecto de unaentrada.
Este esta formado por un tipo del atributo y uno o mas valores del
atributo.OBJETOEs un conjunto determ inad o d e atrib utos que repres
entan alg ocompleto tales como usuarios, impresoras o aplicacin. Los
atributoscontienen la informacin que describe lo que se identifica por medio
del objeto de directorio. Cada objeto en AD tiene una identidad nica, se
pueden mover o renombrar pero esta nunca cambia; son conocidos con
su identidad mas no con su nombre actual. Su identificador es el GUID
(Globally Unique Identifier usado por el AD para bsqueda de
replicacin de informacin) asignado por el DSA (Directory System
Agent) en la creacin del objeto. CONTENEDOR Similar a un objeto puesto
que posee atributos pero a diferencia de este no representa algo
concreto; es decir, un almacn de objetos y otros contenedores. ARBOL Y
SUBARBOLEs una jerarqua de objetos y contenedores que muestran
como se relacionan los objetos o el camino desde un objeto hasta otro,
los puntos finales de un rbol son generalmente objetos. Un subrbol es
cualquier camino sin interrupciones del rbol, incluyen todos los
miembros de cada contenedor en dicho camino. ARBOLESEs un espacio de
nombres* nico y contiguo donde cada nombre del espacio de nombres
desciende directamente de un nico nombre raz.
BOSQUE Un bosque es la agrupacin de varios rboles de dominio en
una
estru ctura jerrquic a. Dom inio de rbo les en un bos que co n un

esquema comn, la configuracin, y el catlogo global. Los dominios

en el bosque estn vinculados por dos vas confianza transitiva.Media
nte el nivel funcional del bosque, puede habilitar ms amplia del
bosque de Active Directory caractersticas. El bosque niveles
funcionales que se pueden establecer son Windows 2000,
WindowsServer 2003 provisional, y Windows Server 2003.Es una coleccin
de arboles esencialmente iguales, sin una nica razen el espacio de nombres.