La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Windows Server 2003. Gestión de Directorio Activo Fernando Punzón Ortiz Código: HOL-WIN01.

Presentaciones similares


Presentación del tema: "Windows Server 2003. Gestión de Directorio Activo Fernando Punzón Ortiz Código: HOL-WIN01."— Transcripción de la presentación:

1 Windows Server Gestión de Directorio Activo Fernando Punzón Ortiz Código: HOL-WIN01

2 Agenda Introducción Instalación Principales objetos del Directorio Activo. Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación

3 Directorio Activo Centraliza el control de los recursos de red Centraliza y descentraliza la administración de recursos Almacena objetos de manera segura en una estructura lógica Optimiza el tráfico de red

4 Estructura Lógica AD Domai n OU Tree Dominio Forest Unidad Organizativat Objetos

5 Estructura Física AD Sitios Controladores de dominio WAN links Sitio Controlador de dominio WAN Link Sitio

6 Domain OU1 Computers Computer1 Users User1 Users User2 OU2 Printers Printer1 Servicio de Directorio Un repositorio organizado de información sobre personas y recursos KimYoshida Attribut es Values Name Buildi ng Floor Kim Yoshid a 117 1

7 Definición formal de todos los objetos Directorio Activo y sus atributos Cada tipo de objeto (clase) deriva de una clase principal Top –Las clases heredan de otras clases su definición y comportamiento Cada objeto dispone de atributos obligatorios y atributos opcionales Símil con una tabla de BBDD Relacional –Clase => Definición en una fila de un objeto –Atributos => Columnas que definen una clase Schema (I)

8 Cada atributo a su vez puede verse como una colección de posibles valores El Esquema se puede ver en la consola de Active Directory Schema –Se pueden ver/añadir/modificar clases y atributos por separado Schema (II)

9 Schema (III) Ejemplos de atributos accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo firstName lastName

10 Catálogo Global (I) Repositorío que contiene un subconjunto de atributos de todos los objetos del Directorio Activo Global Catalog Solo lectuira

11 Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest –Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos Catálogo Global (II)

12 Cualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site Catálogo Global (III)

13 Cualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site Catálogo Global (IV)

14 Herramientas Administrativas Consolas Administrativas –Usuarios y qequipos del Directorio Activo –Dominios y confianzas Directorio Activo –Sitios y servicios del Directorio Activo –Schema del Directorio Activo Herramientas de línea de comando. –Dsadd –Dsmod –Dsquery –Dsmove Windows Scripting Host –DSrm –DSget –CSVDE –LDIFDE

15 Agenda Instalación

16 Requisitos Instalacion de AD Una máquina ejecutando Windows 2003 Server 250 MB de espacio libre en una partición formateada en NTFS Privilegios administrativos para la creación de un dominio TCP/IP instalado y configurado para utilizar DNS

17 Instalación AD

18

19

20

21

22

23

24

25

26

27 IFM (Install From Media) 1.Instalar un DC con Windows 2003 en un dominio. 2.Realizar un Backup del system state de un DC 2003 en ese dominio. 3.Restaurar el system state a una ubicación alternativa en el Servidor 2003 que va debe ser promovido. 4.Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el system state How to use the Install from Media feature to promote Windows Server 2003-based domain controllers

28 Verificación de la Instalación Verificar la creacion de SYSVOL Base de datos del directorio y archivos de transacciones Estructura basica del AD Verificacion del visor de sucesos Verificar la creacion de SYSVOL Base de datos del directorio y archivos de transacciones Estructura basica del AD Verificacion del visor de sucesos

29 SYSVOL Es un recurso compartido que se genera en cada DC al realizar DCpromo. Contiene: Políticas de Sistema (Windows NT, 9X) GPO para los miembros del dominio Scripts de Logon y Logoff.

30 Agenda Principales objetos del Directorio Activo.

31 Estructura Lógica de la BBDD Active Directory Database Replicación configurable Dominio Bosque Schema Configuracion Definición y reglas para la creación y manipulación de objetos y atributos Información sobre la estructura del Directorio Activo Información sobre objetos especificos del dominio Información sobre Aplicaciones

32 Archivos de datos y de Log FileDescription Ntds.dit Archivo de datos del AD Almacena información de objetos en el DC Ubicación por defecto: systemroot\NTDS folder Edb*.log Archivo de transacciones Archivo de transacciones por defecto:Edb.log Edb.chk Archivo de comprobación Guarda informacion no escrita al archivo de BBDD Res1.log Res2.log Reserva de espacio para archivos de transacciones

33 Proceso de Modificación de AD Petición Transacción inciada Escritura en le buffer de transacciones Escritura en el archivo de BBDD Ntds.dit on Disk EDB.log Escritura en el log de transacciones Commit transacción Actualización del checkpoint Edb.chk

34 Funciones Bosques y Dominios Entorno Nivel de funcionalidad de dominio Nivel de funcionalidad de bosque Windows 2000 modo mixto Windows 2000 Modo nativo Windows Server 2003 Domain Windows Server 2003 Interim

35 Relaciones de confianza Tipos de Confianzas Objetos de confianza Cómo trabaja una confianza en un bosque Cómo trabaja una confianza entre bosques Cómo crear confianzas Cómo verificar y eliminar confianzas.

36 Tipos de Confianzas Forest (root) Tree/Root Trust Tree/Root Trust Forest Trust Forest Trust Shortcut Trust External Trust External Trust Kerberos Realm Realm Trust Realm Trust Domain D Forest 1 Domain B Domain A Domain E Domain F Forest (root) Domain P Domain Q Parent/Child Trust Forest 2 Domain C

37 Representan cada relación de confianza dentro de un dominio Almacena informacion respecto a la transitividad y al tipo de confianza. Representan cada relación de confianza dentro de un dominio Almacena informacion respecto a la transitividad y al tipo de confianza. Objetos de Confianza

38 Proceso de administración descentralizada en una OU La delegación posibilita: –Autonomía administrativa –Aislamiento de datos o servicios Domain Admin1 Admin2 Admin3 OU1 OU2 OU3 Posibilidades dentro de una OU Cambiar las propiedades de un contenedor Crear y borrar objetos de un tipo especifico Actualizar propiedades en objetos de un tipo específico Cambiar las propiedades de un contenedor Crear y borrar objetos de un tipo especifico Actualizar propiedades en objetos de un tipo específico Unidades Organizativas

39 Planificacion Estructura de OUs Modelo de administraciónDiseño de OU basado en: geográficoLocalización organizaciónEstructura de la organización NegocioFunciones en la organización Híbrido Localizacion para las Ou más altas EStructura para las Ou más bajas Accounting Research Sales

40 Modos de Creación y Mantenimiento Active Directory Users and Computers Directory Service Tools DSadd DSmod DSrm DSadd DSmod DSrm Ldifde command-line tool Windows Script Host

41 Tipos de Cuentas Cuentas de usuario Habilita un inicio de sesión para un usuario Permite el acceso a recursos Habilita un inicio de sesión para un usuario Permite el acceso a recursos Cuentas de equipo Habilita la autenticación y la auditoria del acceso a recursos de un equipo Grupos Ayudan a simplificar la administración

42 Tipos de Grupos Grupos de ditribucion Utilizados solo con aplicaciones de Grupos de seguridad Utilizados para asignar permisos y derechos sobre recursos a grupos de usuarios y de equipos Más efectivos cuando están anidados Utilizados para asignar permisos y derechos sobre recursos a grupos de usuarios y de equipos Más efectivos cuando están anidados El nivel de funcionalidad determina qué grupos se pueden crear.

43 Tipos de Grupos

44 Grupos Locales de Dominio Pueden contener Grupos universales, grupos globales y otros grupos locales de su propio dominio Cuentas de cualquier dominio del bosque Grupos universales, grupos globales y otros grupos locales de su propio dominio Cuentas de cualquier dominio del bosque

45 Grupos Globales Puede contener usuarios, grupos y equipos como miembros

46 Grupos Universales Usuarios, grupos y equipos de cualquier dominio de su bosque

47 Creación y Administración de Multiples Cuentas Herramientas para crear y administrar cuentas: –herramienta Csvde –herramienta –Windows Script Host

48 Planificación de una Estrategía de Usuarios, Grupos y Equipos Denominación de cuentas Restricciones en contraseñas Autenticación, autorización y cuentas administrativas Estrategias de grupo

49 Denominación de Cuentas Convenciones de nombre Nombres de cuenta que identifiquen al usuario Equipos:identificar el propietario, la localización y el tipo de máquina Grupos: identificar el tipo de grupo, su localización y el proposito.

50 Restricciones en Contraseñas Guardar hasta 24 passwords en el historial Vida máxima de la contrseña 42 días Vida mínima de la contraseña 2 días Longuitud minima 8 caracteres Habilitar requisitos de complejidad

51 Autenticación, Autorización y Cuentas Administrativas Bloqueo de cuentas tras un determinado número de intentos Protección de cuentas administrativas Autenticación multifactor Estrategia A-G-U-DL-P

52 Estrategias de Grupo Asignar a grupos globales a usuarios con responsabilidades laborales similares a grupos globales Crear grupos de dominio locales para compartir recursos Añadir grupos globales que requieran acceso a recursos a grupos locales de dominio Utilizar los grupos universales para asignar acceso a recursos en multiples dominios Asignar a grupos globales a usuarios con responsabilidades laborales similares a grupos globales Crear grupos de dominio locales para compartir recursos Añadir grupos globales que requieran acceso a recursos a grupos locales de dominio Utilizar los grupos universales para asignar acceso a recursos en multiples dominios

53 Copia de los objetos entre DCs del directorio activo AD Desde el punto de vista de la replicación –Dominios Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores) –Sites Reflejan la estructura física de la red. –Subredes Una vez definidas, los servidores, según su dirección IP, se unirán automáticamente a los sites adecuados (en el momento de la instalación) Replicación (I)

54 Entre DCs de un site la replicación es automática Entre DCs de distintos sites hay que configurar conectores Los conectores llevan asociados costes dependiendo de las posibles conexiones físicas Replicación (II)

55 Agenda Roles de servidor

56 FSMO (I) Flexible Single Master of Operations –La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor) –Ciertas tareas del directorio activo se dejan en manos de un solo servidor –Se puede seleccionar a qué servidor asignar cada rol. Cinco roles FSMO –Emulador de PDC –RID Master –Infrastructure Master –Domain Naming Master –Schema Master

57 FSMO (II) Emulador de PDC –Uno por dominio –Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 –Sincroniza tiempos y sincroniza la creación de políticas de grupo –Domain Master Browser –Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) –Menú Operations Masters »Tab PDC

58 FSMO (III) RID Master (Relative ID Master) –Uno por dominio –Encargado de la asignación de identificadores únicos (p.e. GUIDs) –Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) –Menú Operations Masters »Tab RID

59 FSMO (IV) Infrastructure Master –Uno por dominio –Responsable de la comprobación de pertenencia a grupos universales en entornos multidominio –Responsable de la actualización de referencias de objetos de su dominio a otros dominios –Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) –Menú Operations Masters »Tab Infrastructure

60 FSMO (V) Domain Naming Master –Uno por forest –Responsable de que los nombres de dominio sean únicos –Controla el que se puedan añadir nuevos dominios –Se determina el servidor en: Active Directory Domains and Trusts (botón derecho en raíz de la consola) –Menú Operations Master

61 FSMO (VI) Schema Master –Uno por forest –Controla cambios y actualizaciones del esquema –Se determina el servidor en: Registrar MMC de Active Directory Schema –C:\>regsvr32 schmmgmt.dll Active Directory Schema (botón derecho en raíz de la consola) –Menú Operations Master

62 FSMO (VII) Los cambios de rol se pueden realizar también con Ntdsutil.exe Permite realizar múltiples operaciones –Opción Roles permite realizar cambios de rol de FSMO

63 FSMO (VIII) ¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO? –A través de ntdsutil.exe Opción Roles -> Seice : Rol –Permite pasar el rol a otro DC El DC original no se debe volver a poner en la red

64 El Interior del Directorio Activo Catálogo Global (I) Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest –Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos

65 Transferencia de Roles Nuevo Maestro de Operaciones Maestro de Operaciones inicial Transferencia de un rol a un nuevo DC

66 Reasignación de Roles Solo si no se puede transferir Puede perderse información Solo si no se puede transferir Puede perderse información Maestro de operaciones funcional Maestro de operaciones dañado Reasignación de Roles a otro DC

67 Manejo de LDAP. Búsquedas LDP (I) Herramienta de soporte para realizar búsquedas LDAP Vale para cualquier tipo de servidor LDAP, no sólo para AD

68 Manejo de LDAP. Búsquedas LDP (II) Pasos: –Conexión con un servidor LDAP Por defecto devuelve RootDSE –Antes de consultar hay que validar Opción bind con usuario y contraseña –Buscar Definir el ámbito de la búsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la búsqueda (En el ámbito dado) Resultados a devolver (Qué atributos extraer)

69 Manejo de LDAP. Búsquedas LDP (III) Demo búsqueda sencilla –Lista de usuarios en una OU dada –Obtener su GUID, SID y displayName Base DN: OU=usuariosdemo,DC=zaltormovil,DC=local Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName

70 Manejo de LDAP. Búsquedas LDP (IV) Ejemplo de búsqueda por SID –Obtener los datos del usuario a través de su SID Base DN: Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName

71 Manejo de LDAP. Búsquedas LDP (V) Ejemplo de búsqueda por GUID –Obtener los datos del usuario a través de su GUID Base DN: Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName

72 Manejo de LDAP. Búsquedas LDP (VI) Ejemplo de búsqueda compleja. –Lista de todos los atributos que se replican al catálogo global Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeS et=TRUE)) Scope: Subtree Options - > Attributes: lDAPDisplayName

73 Manejo de LDAP. Búsquedas LDP (VII) Ejemplo de búsqueda de usuarios eliminados. –Ventana de seguridad muestra usuario en forma de: Account Unknown(S ) Base DN: Filter: objectClass=* Scope: Base Options -> Attributes: objectGUID;objectSid Options -> Search type -> Extended Options -> TimeOut -> 120 Options -> Controls -> Return Deleted Objects

74 Agenda Scripting

75 Scripts Windows pone a disposición del sistema una librería que permite, entre otras cosas, acceder al Directorio Activo mediante código –ADSI (Active Directory Services Interface) La programación se realiza en lenguajes de Script –VBScript –JScript

76 Scripts: Demo Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript) Set objRootDSE = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://ou=milusuarios," & _ objRootDSE.Get("defaultNamingContext")) For i = 1 To 100 Set objLeaf = objContainer.Create("User", "cn=UserNo" & i) objLeaf.Put "sAMAccountName", "UserNo" & i objLeaf.SetInfo Next WScript.Echo "100 Usuarios creados."

77 Scripts: Technet Script Center Colección de scripts que sirven como base para realizar tareas de administración muy elaboradas Cientos de ejemplos agrupados por áreas en TechNet Script Center –http://www.microsoft.com/technet/scriptcenter

78 Agenda Herramientas de diagnostico

79 Netdiag.exe –Realiza diversas comprobaciones de la red. Útil para trazar problemas de conectividad, DNS, LDAP, etc. Dcdiag.exe –Realiza diversas comprobaciones de diagnóstico del servidor como Controlador de Dominio Diagnóstico y Monitorización

80 Dsastat.exe –Permite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicación correctamente) ReplMon.exe –Replication Monitor. Muestra gráficamente el estado de la replicación entre servidores Diagnóstico y Monitorización

81 Repadmin.exe –Utilidad muy extensa que permite trabajar con cómo está establecida la configuración de replicación Diagnóstico y Monitorización

82 Agenda Planificación

83 Diseño, Planificación e Implementación. Basado en los requisitos de negocio de la organización Diseño Basado en aspectos técnicos Resultado. Pautas de implementacion Basado en aspectos técnicos Resultado. Pautas de implementacion Planificación Creación de la estructura de bosque y de dominio Implementación

84 Diseño Tareas Recepción de información organizativa Análisis de esa información Análisis de las posibles opciones de diseño Elección de una alternativa Recepción de información organizativa Análisis de esa información Análisis de las posibles opciones de diseño Elección de una alternativa Resultado Diseño de : Bosques Dominios Sitios Unidades organizativas Diseño de : Bosques Dominios Sitios Unidades organizativas

85 Planificación Cuentas Auditoría Unidades organizativas Sitios Despliegue de software Ubicación física de servidores Políticas de grupo Plan de implantación del Directorio Activo.

86 Implementación Creación de Bosques Dominios Sites Unidades organizativas. Etc. Creación de Bosques Dominios Sites Unidades organizativas. Etc.

87 Boletín quincenal TechNews

88 ¿ Preguntas ?

89 Contactos Informática 64 –http://www.informatica64.comhttp://www.informatica64.com – Profesor


Descargar ppt "Windows Server 2003. Gestión de Directorio Activo Fernando Punzón Ortiz Código: HOL-WIN01."

Presentaciones similares


Anuncios Google