La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Active Directory al Descubierto Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 Eduardo Munizaga Senior TAM MCSE Windows.

Presentaciones similares


Presentación del tema: "Active Directory al Descubierto Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 Eduardo Munizaga Senior TAM MCSE Windows."— Transcripción de la presentación:

1 Active Directory al Descubierto Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 Eduardo Munizaga Senior TAM MCSE Windows 2003

2 Agenda 1. Objetivos 2. Prerrequisitos 3. Conceptos Active Directory –3.1. Elementos de Diseño Lógico –3.2. Elementos de Diseño Físico –3.3. Elementos de Arquitectura DNS –3.4. Administración Usuarios y Equipos

3 1. Objetivos Aprovechar al máximo las características de Active Directory Aprender a implementar: –Estructuras lógicas y físicas. –DNSs. –Delegación de control y políticas de grupo. –Implementación de catálogos globales. –Roles FSMO.

4 2. Prerrequisitos Comprender lo que es un servicio de directorio

5 3. Conceptos Active Directory 3.1. Elementos de Diseño Lógico 3.2. Elementos de Diseño Físico 3.3. Elementos de Arquitectura DNS 3.4. Administración Usuarios y Equipos

6 3.1. Elementos de Diseño Lógico Bosque (Forest) Dominio (Domain) Árboles (Domain Trees) Unidades Organizacionales (OUs) Relaciones de Confianza Niveles Funcionales (Functional Levels) 3. Conceptos Active Directory

7 Bosque (Forest) Conjunto de uno o más dominios Active Directory que comparten: –Estructura lógica común –Global Catalog –Schema Partition –Configuration Partition –Relaciones de confianza bi-direccionales automáticas entre los dominios participantes del forest El forest es la frontera máxima de seguridad (security boundary) 3.1. Elementos de Diseño Lógico

8 Dominio (Domain) Cada dominio es una partición de un forest Active Directory Las cuentas de usuarios, grupos y máquinas son creados en el dominio Las políticas de seguridad son definidas a nivel del dominio, y no al nivel del Forest: –Políticas de Contraseñas –Políticas de Account Lockout –Políticas de Ticket Kerberos El dominio es una frontera de administración (administration boundary) 3.1. Elementos de Diseño Lógico

9 Domain Trees Conjunto de dominios dentro de un forest Active Directory agrupados en un namespace contínuo Cada forest puede contener múltiples Domain Trees 3.1. Elementos de Diseño Lógico

10 Forest Bosque, Dominio, Árboles dom1.com dom2.dom1.com dom3.dom1.com dom4.dom2.dom1.com dom5.com dom6.dom5.com Domain Tree 3.1. Elementos de Diseño Lógico

11 Unidades Organizacionales Containers de objetos en la jerarquía dentro de un dominio Active Directory Subdivisiones lógicas del dominio Anidamiento OUs no son Security Principals: –OUs no pueden ser miembros de grupos –No se puede asignar permisos a recursos a través de OUs Group Policy puede ser asociado a OUs: –Permite utilizar distintas políticas de usuarios, equipos y desktops dentro de un mismo dominio 3.1. Elementos de Diseño Lógico

12 Active Directory Users and Computers Dominios OUs demo demo

13 Relaciones de Confianza Tipos de relaciones de confianza: –NTLM Unidireccionales No transitivos Explícitos –Kerberos Bidireccionales Transitivos Implícitos (entre los dominios del forest) Explícitos 3.1. Elementos de Diseño Lógico

14 Relaciones de Confianza Windows NT 3.x/4.0: –NTLM Windows 2000: –NTLM: hacia/desde dominios NT 3.x/4.0 hacia/desde dominios Windows 2000 de otros forest –Kerberos: bidireccionales y transitivos entre todos los dominios del forest hacia/desde realms MIT Kerberos V5 no AD Shortcut Trusts –entre dominios del mismo forest Windows 2003: –Idem Windows 2000 mas Interforest Trusts 3.1. Elementos de Diseño Lógico

15 dom1.com Relaciones de Confianza dom2.dom1.com dom4.dom2.dom1.com dom5.com dom6.dom5.com Implícito Transitivo Bidireccional Implícito Transitivo Bidireccional dom3 (Dominio Windows NT) Explícito No transitivo Unidireccional 3.1. Elementos de Diseño Lógico

16 dom1.com Shortcut Trust dom2.dom1.comdom3.dom1.com dom4.dom2.dom1.com dom5.com dom6.dom5.com Implícito Transitivo Bidireccional Implícito Transitivo Bidireccional Shortcut Trust Explícito Transitivo Bidireccional 3.1. Elementos de Diseño Lógico

17 Functionality Levels Windows 2000: –Mixed Mode: permite coexistencia con BDCs NT 4.0 –Native Mode: Todos los DCs deben ser Windows 2000 Utilización de Universal Security Groups Mayores opciones de nesting de grupos Windows 2003: –Domain Modes: Windows 2000 Mixed Windows 2000 Native Windows 2003 Interim Windows 2003 –Forest Modes: Windows 2000 Windows 2003 Interim Windows Elementos de Diseño Lógico

18 Versiones de OS Soportados Windows 2003 Domain Modes: Windows 2003 Forest Modes: Functionality Levels

19 Funcionalidades por Domain Mode Windows 2003 Domain Modes:

20 Funcionalidades por Forest Mode Windows 2003 Forest Modes:

21 3.2. Elementos de Diseño Físico Particiones del Directorio Tipos de Particiones Replicación en Active Directory Componentes del Diseño Físico Tipos de Replicación 3. Conceptos Active Directory

22 Particiones del Directorio En un forest existen 3 tipos de particiones: –Forest Wide (1 x forest, se replican a todos los DCs del forest): Schema Partition Configuration Partition –Domain Wide (1 x dominio, se replica a todos los DCs del dominio) Domain Partition –Application Partition (N x forest) Por default existen dos: –ForestDNSZones: »1 x forest; replicada a todos los DCs del forest –DomainDNSZones: replicada a todos los DCs del dominio »1 x dominio; replicada a todos los DCs del dominio Es posible crear custom Application Partitions –La replicación es definida por el administrador 3.2. Elementos de Diseño Físico

23 Application Partition Domain Configuration Schema DC Storage RootDSE Configuration Forest Root Domain Schema Partition Hierarchy Application Partition Directory Tree Particiones del Directorio

24 Tipos de Particiones Schema Partition Configuration Partition Domain Partition Global Catalog Application Partitions 3.2. Elementos de Diseño Físico

25 Schema Partition Replicada a todos los DCs del forest –No es posible evitar que se replique a un DC determinado Contiene y describe las clases correspondientes a los objetos que pueden ser creados en el directorio –Ejemplos: Clase User Clase Computer Clase Domain Etc Tipos de Particiones

26 Configuration Partition Replicada a todos los DCs del forest –No es posible evitar que se replique a un DC determinado Contiene todos los aspectos de configuración del forest: –Diseño físico –crossRef a todos los dominios del forest Tipos de Particiones

27 Domain Partition Contiene a todos los objetos del dominio Replicada a todos los DCs del dominio –No es posible evitar que se replique a todos los DCs del dominio Tipos de Particiones

28 Global Catalog NOTA: no es estrictamente una partición Subconjunto de todos los objetos del forest: –No todas las clases estan en el GC –No todos los atributos de las clases están en el GC –Las clases y atributos replicadas al GC son modificables por el administrador Permite que todos los objetos del forest sean visibles en todos los dominios El administrador define que DCs son GC Tipos de Particiones

29 Application Partitions Particiones en Windows 2000: –Configuration Partition : forest wide –Schema Partition : forest wide –Domain Partition : domain wide Particiones en Windows 2003: –Configuration Partition : forest wide –Schema Partition : forest wide –Domain Partition : domain wide –Application Partitions: Tambien llamadas non-domain naming contexts ó NDNCs Tipos de Particiones

30 Características Particiones orientadas a almacenamiento de información temporaria o de carácter volátil Pueden ser creadas y replicadas a cualquier DC del forest –Definidas por el administrador Puede contener objetos AD de cualquier tipo excepto Security Principals (users, groups and computers) Utilizadas en Windows 2003 para: –Zonas DNS –AD/AM –COM+ partitions –TAPI Applications Application Partitions

31 Replicación en Active Directory Multimaster loose consistency with convergence –Multimaster –Loose consistency –Convergencia Pull replication State-based replication –Replicación a nivel Objeto y nivel Atributo 3.2. Elementos de Diseño Físico

32 Qué se replica? Los replication partners se replican entre sí: –Particiones en común: Schema Partition Configuration Partition Si son DCs del mismo dominio: –Partición dominio Application Partitions –Global Catalog Si ambos DCs estan configurados como GC Replicación en Active Directory

33 Particiones Replicación Dcdiag NETDIAG ADSIEDIT demo demo

34 Componentes del Diseño Físico Sites Sites Links Bridgehead Servers Site Links Bridges FSMO Roles Otros 3.2. Elementos de Diseño Físico

35 Sites Conjuntos de DC con buena conectividad entre sí –Agrupación a través de subnets IP con buena conectividad entre sí –Las subnets que definen a un site son definidas por el administrador Cada DC es asignado a una subnet Independencia diseño lógico del físico: –Un site puede abarcar múltiples dominios –Un dominio puede abarcar múltiples sites Relevantes para: –Routing Replication –Client affinity (logon) –SYSVOL replication –DFS –Service Location Componentes del Diseño Físico

36 Múltiples Dominios por Site Site B Site A dom1.com dom2.dom1.com dom3.dom1.com dom4.dom2.dom1.com Independencia diseño lógico del físico

37 dom1.com Site BSite A Múltiples Sites por Dominio Independencia diseño lógico del físico

38 Sites Links Nexo entre 2 sites: –Creados por el administrador Cada Site Link se compone en realidad de: –Connection Objects: Conexión unidireccional entre 2 DCs Dos por Site Link –Server Objects: Objeto que representa a cada DC involucrado en el CO Componentes del Diseño Físico

39 Bridgehead Servers Servidores designados para replicación en el site Componentes del Diseño Físico

40 Site Links Bridges Unión de 2 ó mas Site Links Crea COs entre todos los Sites involucrados en los Site Links Por default, todos los Site Links pertenecen a un Site Link Bridge –Opción Bridge All Site Links Componentes del Diseño Físico

41 FSMO Roles Flexible Single Master Operations Roles Active Directory para operaciones especiales que requieren modelo Single Master 2 tipos de FSMO Roles: –Forest Wide: Schema Master: administración de cambios en el Schema Domain Naming Master: administración de altas/bajas de dominios en el forest –Domain Wide: PDC Emulator : emulación de PDC NT 4.0 para clientes no AD RID Master : Relative ID; generación de RIDs en el dominio Infrastructure Master: –Mantiene la lista de Security Principals de otros dominios que pertenecen a grupos del dominio propio Componentes del Diseño Físico

42 Site and Services Roles FSMO demo demo

43 3.3. Elementos de TCP/IP Active Directory y DNS Service Locator Records DNS Application Partitions 3. Conceptos Active Directory

44 Active Directory y DNS Active Directory utiliza DNS como: –Mecanismo resolución de nombres –Naming: Nombre de dominio = nombre de dominio DNS Jerarquía de dominios –Service Locator Logon Búsquedas Búsquedas DC mas cercano: –Cliente-DC –Entre DCs Determinación de site 3.3. Elementos de TCP/IP

45 Configuración de zonas DNS Los zonas DNS correspondientes a dominios Windows 2000/Windows 2003 pueden ser: –Zonas DNS estándar (archivo de texto) –Active Directory integrated: Windows 2000: –Domain Partition Windows 2003: –Domain Partition ó, –Application Partitions »Default para nuevas instalaciones Zonas AD Integrated pueden ser convertidas a DNS estándar y vicecersa DCs con zona DNS estándar pueden ser secundarios de DCs con zonas AD integrated Active Directory y DNS

46 Service Locator Records Registros especiales para servicios: –Mapeo de un servicio a nombre DNS de equipo que provee ese servicio. Ejemplos: Domain Controllers Global Catalogs LDAP Servers Kerberos Distribution Center Otros Formato: –_Service._Protocol.DnsDomainName 3.3. Elementos de TCP/IP

47 DNS Application Partitions Comportamiento Windows Comportamiento Windows Ventajas 3.3. Elementos de TCP/IP

48 Comportamiento Windows 2000 Forest Wide Locator records –Localizados en _msdcs. Dominio DNS por cada dominio Storage en archivos DNS estándar ó AD integrated Prácticas recomendadas: –Delegación de zona _msdcs. –Replicación de _msdcs. a todos los DCs –Zonas AD Integrated DNS Application Partitions

49 Comportamiento Windows 2003 Información de zonas DNS en Application Partitions DNS Application Partitions: –ForestDnsZones: –DomainDnsZones –Visibles como cualquier otra partición en ADSIEdit, LDP, etc DNS Application Partitions

50 ForestDNSZone: ejemplo

51 DomainDNSZone: ejemplo

52 demo demo Active Directory y DNS

53 Windows 2000 vs. Windows 2003 A.COM B.A.COM Domain A.COM (and Windows 2000 AD Integrated Zones) Domain B.A.COM (and Windows 2000 AD Integrated Zones) Schema & Config (combined) ForestDNSZones DomainDNSZones (a.com) DomainDNSZones (b.a.com) GC & DNS Link for GC from b.a.com and DNS records DNS DC1-A DC1-B DC2-B DC3-B DC2-ADC3-A GC

54 3.4. Administración Usuarios y Equipos Introducción Group Policy Objects (GPO) Procesamiento de GPOs Group Policy Modeling Security Templates 3. Conceptos Active Directory

55 Introducción IntelliMirror: –Conjunto de tecnologías presentes en Windows® 2000, Windows® XP y Windows Server 2003 que permiten la administración de la configuración de servidores, workstations, y usuarios en forma centralizada a través de los servicios de directorios –Componentes principales: Active Directory Group Policy Group Policy: –Mecanismo configuración y administración centralizada de servidores, workstations y usuarios de un usuario del dominio Active Directory –Reemplaza mecanismo System Policies (Windows NT 4.0/9x) 3.4. Administración Usuarios y Equipos

56 IntelliMirror User Data Management –Administración centralizada de los archivos de los usuarios User Settings Management –Configuración del desktop del usuario (colores, fonts, restricciones, profile, aplicaciones, etc.) Security Settings: –Administración de todas las configuraciones de seguridad del usuario: Security Settings: Internet Protocol security (IPSec) Software Restrictions Policies Wireless Network Policies Group Policy–based software installation –Administración centralizada de instalación, reparación, actualización y de-instalación de software en el desktop del usuario Internet Explorer settings –Connection settings, custom Universal Resource Locators (URLs), security settings, Program Associations Logon/Logoff Startup/Shutdown Scripts Remote Installation Services (RIS) –Instalación de sistema operativo y aplicaciones en forma automatizada a través del directorio Introducción

57 Group Policy Objects (GPO) GPO: –Unidad básica de administración –Objeto que contiene las configuraciones que van a recibir las cuentas de usuario y máquina –Cada objeto GPO contiene 2 conjuntos de configuraciones: Computer User 3.4. Administración Usuarios y Equipos

58 Componentes En los Domain Controllers: –Objecto Active Directory que contiene las configuraciones de User y Computer Se almacena en Group Policy container en la domain partition Cada objeto tiene las siguientes propiedades: –Version information –Status (Enabled/Disabled) –Lista de componentes (extensions) que tienen settings en el GPO –Configuración de cada setting –Policy settings as defined by the extension snap-ins: –Group Policy Template Conjunto de archivos en el file system de los Domain Controllers, en directorio System Volume (SYSVOL) Contiene: –Administrative Templates (.ADM): »Archivos que contienen registry-based Group Policy settings –Security Settings –Aplicaciones disponible para Software Installation –Logon/Logoff y Startup/Shutdown scripots 3.4. Administración Usuarios y Equipos

59 Componentes En las workstations: –Client-side Extensions: DLLs que procesan los GPOs –Lista de DLLs: Registry (in Administrative Templates): Userenv.dll Disk Quota (in Administrative Templates): Dskquota.dll Folder Redirection: Fdeploy.dll Scripts: Gptext.dll Software Installation: Appmgmts.dll Security: Scecli.dll IP Security: Gptext.dll EFS (Encrypting File System) Recovery: Scecli.dll Internet Explorer Maintenance: Iedkcs32.dll Group Policy Objects (GPO)

60 Procesamiento de GPOs GPOs pueden ser asociados a: –Sites Active Directory –Dominios Active Directory –Organizational Units –No pueden ser asociados a un forest Múltiples GPOs pueden ser aplicados a un mismo site, dominio, u OU Synchronous vs Asynchronous Processing: –Default: comportamiento sincrónico CTRL+ALT+DEL es mostrado solo cuando finalizó el procesamiento de GPO Computer settings Shell está activo solo cuando finalizó el procesamiento de GPO User Settings –Es posible configurar comportamiento asincrónico (no recomendado) 3.4. Administración Usuarios y Desktops

61 Orden de aplicación Orden de aplicación (default): –Local/Site/Domain/OU –El último valor aplicado tiene precedencia Procesamiento de GPOs

62 Orden de aplicación. Ejemplo: Máquinas en OU=Servers reciben GPOs: –A3, A1, A2, A4, A6 Usuarios OU=Marketing reciben GPOs: –A3, A1, A2, A5 Independientemente desde qué equipo hagan logon Procesamiento de GPOs

63 Orden de aplicación Orden de aplicación (default): –Local/Site/Domain/OU –El último valor aplicado tiene precedencia Opción Block Policy Inheritance: –Propiedad de la OU y el dominio que permite romper la herencia default de aplicación de GPOs de niveles superiores en la jerarquía Opción No Override: –Propiedad del GPO link que permite que los valores configurados en un GPO determinado no sean sobre-escritos por GPOs de niveles inferiores en la jerarquía No Override tiene prioridad sobre Block Policy Inheritance en caso de conflicto Procesamiento de GPOs

64 Group Policy Modeling Group Policy Modeling: –Permite simular la ejecución de GPOs previo a su implementación en producción en base a: Lista de GPOs indicados Configuraciones en GPOs Cuenta de usuario Pertenencia a grupos Filtros WMI ACLs en GPO Equipo en que loguea el usuario –Muestra un reporte con los GPO settings efectivos –Nota: no permite simular el Local GPO del equipo, por lo que los resultados pueden variar si es que existen Local GPO configurados en el equipo Group Policy Results: –Permite a un administrador determinar los GPOs settings efectivos reales de una sesión activa de cualquier equipo del dominio en forma remota –Generación reporte HTML con resultados –Requerimientos seguridad: Permiso Remotely access Group Policy Results data en el dominio u OU que contiene al equipo o cuenta destino ó, Pertenencia al grupo Administrators del equipo destino 3.4. Administración Usuarios y Equipos

65 Security Templates Conjunto de configuraciones de seguridad pre- definidas Pueden ser aplicados a través de: –Herramienta SECEDIT Línea de comando MMC Security Configuration and Analysis –Group Policy Objects (GPO) 3.4. Administración Usuarios y Equipos

66 Aplicación de Security Templates a través de GPO Ejemplo: –1. Crear estructura de OUs –2. Mover servidores a OU –3. Crear Global Groups de administración –4. Delegar administración en la OU al grupo de administradores –5. Crear Security Templates –6. Crear GPO asociados a los OUs –7. Importar Security Template en el GPO Security Templates

67 Active Directory: Lectura Recomendada (1/2) Windows 2003 Resource Kit: –Windows 2003 Deployment Planning Guide –Windows 2003 Distributed Systems Guide Diseño: –Design Considerations for Delegation of Administration in Active Directory –Multiple Forest Considerations –Planning and Implementing Federated Forests in Windows Server2003 Soluciones: –Solution Accelerator for Domain Server Consolidation and Migration –MS Solution for Identity Management –Windows Server Deployment Solution Accelerator –Active Directory Branch Office Planning Guide –Solution Guide for Windows Security and Directory Services for UNIX

68 Active Directory: Lectura Recomendada (2/2) Seguridad: –Guide to Windows Server 2003 Changes in Default Behavior –Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP –Windows 2003 Security Guide –823659: Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments Operaciones: –Active Directory Operations Guide Management: –Active Directory Management Guide Group Policies: –Windows 2000 Change and Configuration Management Deployment Guide Windows 2000: –Best Practice Active Directory Design for Managing Windows Networks –Best Practice Active Directory Deployment for Managing Windows Networks

69 Visita


Descargar ppt "Active Directory al Descubierto Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 Eduardo Munizaga Senior TAM MCSE Windows."

Presentaciones similares


Anuncios Google