La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

HOL-WIN32 Windows Server 2008 Active Directory

Publicada porAlicia Tijerina Modificado hace 10 años

Presentaciones similares

Presentación del tema: "HOL-WIN32 Windows Server 2008 Active Directory"— Transcripción de la presentación:

1 HOL-WIN32 Windows Server 2008 Active Directory
Francisco Nogal

2 Agenda Introducción El Servicio de Directorio Activo
Los Controladores de Dominio RODC Diseño de una solución de Active Directory Gestión de Roles Gestión de sistemas mediantes políticas Infraestructura de replicación Particionamiento del Servicio de Directorio Diseño de Solución de empresa

3 Directorio Activo Centraliza el control de los recursos de red
Centraliza y descentraliza la administración de recursos Almacena objetos de manera segura en una estructura lógica Optimiza el tráfico de red Active Directory guarda información sobre usuarios equipos y recursos de red y permite el acceso a los mismos. 1.- Por ejemplo Servidores de archivos y Servidores de impresión. 2.- Administración desde una única interfaz y Delegación. INTRODUCIR OU. 3.- Estructura lógica segura. 4.- Por Ejemplo: Active Directory se asegura de que nos autoriza la entidad que se encuentra más cercana. INTRODUCIR SITES.

4 Estructura Lógica Bosque Árbol Objetos Unidad Organizativa Dominio OU
Los objetos en Active Directory representan usuarios y recursos. Algunos objetos pueden ser contenedores de otros objetos GRUPOS Y OU. COMPONENTES DE LA ESTRUCTURA LOGICA: 1.- OBJETOS: Clases y atributos, cada objeto tiene una representación única de atributos y valores. 2.- OU: Contenedor de objetos que los organiza con propósitos organizativos. DELEGACION, ANIDADAS. 3.- DOMINIO: Corazón del Active Directory. Colección de objetos que comparte una BD de directorio, relaciones de confianza y políticas de seguridad. 4.- ÁRBOLES DE DOMINIO: Dominios agrupados en estructura jerárquica. DOMINIOS HIJOS ESTRUCTURA DE NOMBRES. 5.- BOSQUE: Uno o más árboles. RAIZ. Active Directory comparte información a nivel de bosque.

5 Controlador de dominio
Estructura Física Sitios Controladores de dominio Enlaces WAN Sitio Controlador de dominio Enlace WAN La estructura física optimiza el tráfico de red: 1.- ELEMENTOS. 2.- DC. 3.- SITIOS 4.- PARTICIONES. A.- DOMINIO B.- CONFIGURACION C.- SCHEMA D.- APLICACION

6 Agenda Introducción El Servicio de Directorio Activo
Los Controladores de Dominio RODC Diseño de una solución de Active Directory Gestión de Roles Gestión de sistemas mediantes políticas Infraestructura de replicación Particionamiento del Servicio de Directorio Diseño de Solución de empresa

7 Servicio de Directorio
Un repositorio organizado de información sobre personas y recursos Domain OU1 Computers Computer1 Users User1 User2 OU2 Printers Printer1 KimYoshida Atributos Valores Nombre Edificio Planta Kim Yoshida 117 1 *.- Active Directory permite el acceso a usuarios y aplicaciones a información sobre objetos. VER MMC *.- Hace transparente la topología de red al usuario de los recursos. *.- Permite el almacenamiento de información sobre grandes cantidades de objetos. *.- 40 mil objetos de cuenta en NT con 2000 ya 100 millones de objetos.

8 Schema (I) Definición formal de todos los objetos Directorio Activo y sus atributos Cada tipo de objeto (clase) deriva de una clase principal TOP Las clases heredan de otras clases su definición y comportamiento Cada objeto dispone de atributos obligatorios y atributos opcionales

9 Schema (II) Símil con una tabla de BBDD Relacional
Clase => Definición en una fila de un objeto Atributos => Columnas que definen una clase Cada atributo a su vez puede verse como una colección de posibles valores El Esquema se puede ver en la consola de Active Directory Schema Se pueden ver/añadir/modificar clases y atributos por separado

10 Schema (III) Ejemplos de atributos accountExpires department
distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo firstName lastName Ver con las pestañas de la MMC.

11 Catalogo Global (I) Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo Global Catalog Solo Lectura Solo los miembros del grupo administradores del Schema pueden cambiar los atributos almacenados en el Catalogo Global. Contiene: 1.- Los atributos mas frecuentemente buscados (Por Ejemplo: Nombre) 2.- Permisos de acceso para cada objeto. El Servidor Catalogo Global propicia búsquedas entre bosques. NOTA: Es el primer controlador q instalas aunque pueden existir más balancear la carga de trabajo.

12 Catálogo Global (II) Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos

13 Catálogo Global (III) Cualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site

14 Herramientas Administrativas
Consolas Administrativas Usuarios y equipos del Directorio Activo Dominios y confianzas Directorio Activo Sitios y servicios del Directorio Activo Schema del Directorio Activo Herramientas de línea de comando. Dsadd Dsmod Dsquery Dsmove Windows Scripting Host DSrm DSget CSVDE LDIFDE Windows\system32\adminpak.msi E:\Program Files\Support Tools\adsiedit.msc

15 Dsadd

16 Dsquery

17 Dsmod Modifica un objeto existente de un tipo específico del directorio Para deshabilitar varias cuentas de equipo, dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -disabled yes Para restablecer varias cuentas de equipo: dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -reset

18 Dsmove Mueve un objeto que se encuentra en un dominio desde su ubicación actual en el directorio a otra ubicación, o cambia el nombre de un solo objeto sin moverlo en el árbol del directorio Para cambiar el nombre de un objeto de usuario de Claudia Ramírez a Claudia del Valle: dsmove "CN=Claudia Ramírez,OU=Ventas,DC=Microsoft,DC=Com" -newname "Claudia del Valle"

19 Dsmove Para mover el usuario Claudia Ramírez desde la organización Ventas a la organización Marketing: dsmove "CN=Claudia Ramírez,OU=Ventas,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com Para combinar las operaciones de cambio de nombre y ubicación: dsmove "CN=Claudia Ramírez,OU=Ventas,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com -newname "Claudia del Valle"

20 Dsrm Elimina un objeto de un tipo específico o cualquier objeto general del directorio Para eliminar una unidad organizativa llamada "Marketing" y todos los objetos situados por debajo de ella: dsrm -subtree -noprompt -c OU=Marketing,DC=Microsoft,DC=Com Para eliminar todos los objetos bajo la unidad organizativa llamada "Marketing", pero sin eliminar la unidad organizativa: dsrm -subtree -exclude -noprompt -c "OU=Marketing,DC=Microsoft,DC=Com"

21 Dsget Muestra las propiedades seleccionadas de un objeto específico del directorio Para mostrar las descripciones de todos los equipos de una unidad organizativa determinada cuyo nombre comience por "tst": dsquery computer OU=Test,DC=Microsoft,DC=Com -name tst* | dsget computer -desc Para mostrar la lista de grupos, expandida de manera recursiva, a los que pertenece el equipo "MiServidorBD: dsget computer CN=MiServidorBD,CN=computers,DC=Microsoft,DC=Com -memberof -expand

22 Csvde Comma Separated Value Data Exchange

23 LDIFDE Lightweight Data Interchange Format, Data Exchange

24 Agenda Introducción El Servicio de Directorio Activo
Los Controladores de Dominio RODC Diseño de una solución de Active Directory Gestión de Roles Gestión de sistemas mediantes políticas Infraestructura de replicación Particionamiento del Servicio de Directorio Diseño de Solución de empresa

25 Requisitos de Instalación DC
Una máquina ejecutando Windows Server 2008 250 MB de espacio libre en una partición formateada en NTFS Privilegios administrativos para la creación de un dominio TCP/IP instalado y configurado para utilizar DNS Enumerar versiones: *.- 200MB base de datos del Active Directory *.- 50 MB registro de transacciones *.- Si un Controlador de dominio es Controlador del Catalogo Global requiere espacio extra.

26 Instalación

27 Install From Media (IFM)
Instalar un DC con Windows Server 2008 en un dominio. Realizar un Backup del “system state” de un DC 2008 en ese dominio. Restaurar el “system state” a una ubicación alternativa en el Servidor 2008 que va debe ser promovido. Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el “system state”

28 Verificación de la Instalación
Verificar la creación de SYSVOL Base de datos del directorio y archivos de transacciones Estructura básica del AD Verificación del visor de sucesos *.- SYSVOL *.- NTDS *.- NTDS.DIT BBD DEL DIRECTORIO (en la carpeta ntds) *.- Archivos edb (Archivos de transacciones) PRACTICA CREACION DE UN DOMINIO HIJO

29 SYSVOL Es un recurso compartido que se genera en cada DC al realizar DCpromo. Contiene: Políticas de Sistema (Windows NT, 9X) GPO para los miembros del dominio Scripts de Logon y Logoff.

30 Niveles Funcionales Modo Mixto desaparece Modo Windows 2000 Server

31 Estructura lógia de Base de Datos
Active Directory Database Replicación configurable Dominio Bosque Schema Configuración <Dominio> <Aplicación> Definición y reglas para la creación y manipulación de objetos y atributos Información sobre la estructura del Directorio Activo Información sobre objetos específicos del dominio Información sobre Aplicaciones

32 Archivos de Datos y Logs
Descripción Ntds.dit Archivo de datos del AD Almacena información de objetos en el DC Ubicación por defecto: systemroot\NTDS folder Edb*.log Archivo de transacciones Archivo de transacciones por defecto: Edb.log Edb.chk Archivo de comprobación Guarda información no escrita al archivo de BBDD Res1.log Res2.log Reserva de espacio para archivos de transacciones

33 Proceso Modificación AD
Edb.chk Actualización checkpoint Petición Realizar transacción Escritura en le buffer de transacciones Escritura en el archivo de BBDD Transacción iniciada Objectives At the end of this presentation, students will be able to: Describe the data modification process Name the files that are used in the data modification process Describe how the data modification process affects database performance, database fragmentation, and data integrity. Escritura en el log de transacciones EDB.log Ntds.dit on Disk

34 Relaciones de Confianza
Tipos de Confianzas Objetos de confianza Cómo trabaja una confianza en un bosque Cómo trabaja una confianza entre bosques Cómo crear confianzas Cómo verificar y eliminar confianzas.

35 Tipos de Relaciones Forest 2 Forest 1 Tree/Root Trust
Shortcut Trust External Kerberos Realm Realm Domain D Forest 1 Domain B Domain A Domain E Domain F Domain P Domain Q Parent/Child Trust Forest 2 Domain C Mecanismo que permite a un usuario autentificado en su dominio acceda a recursos en un dominio de confianza. TIPOS DE CONFIANZAS. TRANSITIVAS. La relacion de confianza se extiende a todos los dominios se extiende a todos los dominios en los q confia el citado dominio EJEMPLO D-E-F Son automaticas Por ejemplo una relacion padre/hijo NO TRANSITIVAS. No son automaticas y deben ser establecidas. Por ejemplos las establecidas entre dominios de bosques distintos. DIRECCIONALIDAD. entrada Salida bidireccionales TIPOS DE CONFIANZAS SHORTCUT. Parcialmente transitiva, solo hacia abajo no hacia arriba. E-A-C FOREST. Parcialmente transitiva. EXTERNA. No transitiva, entre dominios de distintos bosques REALM. El usuario elige la transitividad. Para entornos no windows.

36 Unidades Organizativas
Domain Admin1 Admin2 Admin3 OU1 OU2 OU3 Proceso de administración descentralizada en una OU La delegación posibilita: Autonomía administrativa Aislamiento de datos o servicios Posibilidades dentro de una OU Cambiar las propiedades de un contenedor Crear y borrar objetos de un tipo especifico Actualizar propiedades en objetos de un tipo específico

37 Planificación Estructura de OUs
Modelo de administración Diseño de OU basado en: geográfico Localización organización Estructura de la organización Negocio Funciones en la organización Híbrido Localización para las Ou más altas Estructura para las Ou más bajas Accounting Research Sales

38 Creación y Mantenimiento
Active Directory Users and Computers Directory Service Tools DSadd DSmod DSrm Ldifde command-line tool Windows Script Host Ldifde –i – k –f OuCreate.ldf –b administrator info64.es carr7nclas -i modo de importacion -k ignora errores -b datos de usuario dominio etc. ADSI Wscript crearou.vbs

39 Tipos de Cuentas Cuentas de usuario Cuentas de equipo Grupos
Habilita un inicio de sesión para un usuario Permite el acceso a recursos Cuentas de equipo Habilita la autenticación y la auditoria del acceso a recursos de un equipo Grupos Ayudan a simplificar la administración

40 Tipos de Grupos Grupos de distribución Grupos de seguridad
Utilizados solo con aplicaciones de Grupos de seguridad Utilizados para asignar permisos y derechos sobre recursos a grupos de usuarios y de equipos Más efectivos cuando están anidados En modo mixto no pueden anidarse grupos de un mismo ámbito. El nivel de funcionalidad determina qué grupos se pueden crear.

41 Grupos locales de dominio
Pueden contener Grupos universales, grupos globales y otros grupos locales de su propio dominio Cuentas de cualquier dominio del bosque Solo puede contener recursos del dominio donde se crea. Puede contener a parte de usuarios de cualquier parte del bosque: Grupos universales grupos globales locales de su propio dominio MIEMBROS MIXTO Usuarios y grupos globales de cualquier dominio, un grupo local no puede ser miembro de ningun grupo. NATIVO cuentas, grupos globales , universales de dominios confiables y grupos locales del mismo dominio. Solo es visible en su propio dominio. Para asignar permisos a recursos q se encuentrar en el mismo dominio en q se crea el grupo.

42 Puede contener usuarios, grupos y equipos como miembros
Grupos globales Puede contener usuarios, grupos y equipos como miembros Se pueden asignar recursos de cualquier dominio del bosque MIEMBROS MIXTO Cuentas del mismo dominio. NATIVO cuentas, grupos globales del mismo dominio Visible en su propio dominio y en todos los dominios de confianza. Para asignar permisos sobre recursos que se encuentren en cualquier dominio de confianza.

43 Usuarios, grupos y equipos de cualquier dominio de su bosque
Grupos Universales Usuarios, grupos y equipos de cualquier dominio de su bosque Sirven para asignar derechos sobre cualquier recurso del dominio. MIEMBROS MIXTO no se pueden crear NATIVO y windows 2003 cuentas, globales y universales de cualquier dominio del bosque Salvo en el modo mxto puede ser miembro de locales y de universales Visibles en todos los dominios del bosque. Para anidar grupos globales.

44 Denominación de Cuentas
Convenciones de nombre Nombres de cuenta que identifiquen al usuario Equipos: identificar el propietario, la localización y el tipo de máquina Grupos: identificar el tipo de grupo, su localización y el propósito.

45 Crear grupos de dominio locales para compartir recursos
Estrategias de Grupo Asignar a grupos globales a usuarios con responsabilidades laborales similares a grupos globales Asignar a grupos globales a usuarios con responsabilidades laborales similares a grupos globales Crear grupos de dominio locales para compartir recursos Crear grupos de dominio locales para compartir recursos Añadir grupos globales que requieran acceso a recursos a grupos locales de dominio Añadir grupos globales que requieran acceso a recursos a grupos locales de dominio Utilizar los grupos universales para asignar acceso a recursos en multiples dominios Utilizar los grupos universales para asignar acceso a recursos en múltiples dominios

46 Replicación (I) Copia de los objetos entre DCs del directorio activo
AD Desde el punto de vista de la replicación Dominios Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores) Sites Reflejan la estructura física de la red. Subredes Una vez definidas, los servidores, según su dirección IP, se unirán automáticamente a los sites adecuados (en el momento de la instalación)

47 Replicación (II) Entre DCs de un site la replicación es ‘automática’
Entre DCs de distintos sites hay que configurar conectores Los conectores llevan asociados ‘costes’ dependiendo de las posibles conexiones físicas

48 FSMO Flexible Single Master of Operations Cinco roles FSMO
La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor) Ciertas tareas del directorio activo se dejan en manos de un solo servidor Se puede seleccionar a qué servidor asignar cada rol. Cinco roles FSMO Emulador de PDC RID Master Infrastructure Master Domain Naming Master Schema Master Dominio Bosque

49 Emulador de PDC Emulador de PDC Uno por dominio
Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creación de políticas de grupo Domain Master Browser Se determina en el servidor en: Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Tab PDC

50 RID Master RID Master (Relative ID Master) Uno por dominio
Encargado de la asignación de identificadores únicos (p.e. GUIDs) Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Tab RID

51 Infrastructure Master
Uno por dominio Responsable de la comprobación de pertenencia a grupos universales en entornos multidominio Responsable de la actualización de referencias de objetos de su dominio a otros dominios Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Tab Infrastructure

52 Domain Naming Master Domain Naming Master Uno por forest
Responsable de que los nombres de dominio sean únicos Controla el que se puedan añadir nuevos dominios Se determina el servidor en: Active Directory Domains and Trusts (botón derecho en raíz de la consola) Menú Operations Master

53 Schema Master Schema Master Uno por forest
Controla cambios y actualizaciones del esquema Se determina el servidor en: Registrar MMC de Active Directory Schema C:\>regsvr32 schmmgmt.dll Active Directory Schema (botón derecho en raíz de la consola) Menú Operations Master

54 Diseño, Planificación e Implementación
Basado en los requisitos de negocio de la organización Diseño Basado en aspectos técnicos Resultado. Pautas de implementacion Planificación Creación de la estructura de bosque y de dominio Implementación

55 Diseño Tareas Resultado Diseño de : Bosques Dominios Sitios
Recepción de información organizativa Análisis de esa información Análisis de las posibles opciones de diseño Elección de una alternativa Diseño de : Bosques Dominios Sitios Unidades organizativas

56 Planificación Plan de implantación del Directorio Activo. Cuentas
Auditoría Unidades organizativas Sitios Despliegue de software Ubicación física de servidores Políticas de grupo Plan de implantación del Directorio Activo.

57 Unidades organizativas. Etc.
Implementación Creación de Bosques Dominios Sites Unidades organizativas. Etc.

58 Agenda Introducción El Servicio de Directorio Activo
Los Controladores de Dominio RODC Diseño de una solución de Active Directory Gestión de Roles Gestión de sistemas mediantes políticas Infraestructura de replicación Particionamiento del Servicio de Directorio Diseño de Solución de empresa

59 TechNews de Informática 64
Suscripción gratuita en

60 Contactos Informática 64 Julián Blázquez García
Julián Blázquez García

Descargar ppt "HOL-WIN32 Windows Server 2008 Active Directory"

Presentaciones similares

Implantación de Servicios de Exchange 2000

Implantación de Servicios de Exchange 2000
Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.

Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.
INTEGRANTES: GIOMARA ALVARADO JOHNNY YUQUILEMA. El directorio activo es una herramienta incluida en los sistemas operativos de Microsoft, encaminados.

INTEGRANTES: GIOMARA ALVARADO JOHNNY YUQUILEMA. El directorio activo es una herramienta incluida en los sistemas operativos de Microsoft, encaminados.
TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:

TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:
Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP

Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP
Administración de actualizaciones de seguridad

Administración de actualizaciones de seguridad
Active directory COMP 417.

Active directory COMP 417.
Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.

Rights Management Server Juan Luis García Rambla Código: HOL-WIN13.
Windows Server 2003 Implantación contra Desastres Julián Blázquez García Código: HOL-WIN20.

Windows Server 2003 Implantación contra Desastres Julián Blázquez García Código: HOL-WIN20.
Windows Server 2003 Terminal Services Javier Pereña Peñaranda Código: HOL-WIN15.

Windows Server 2003 Terminal Services Javier Pereña Peñaranda Código: HOL-WIN15.
Windows Server 2003. Gestión de GPOs Fernando Punzón Ortiz Código: HOL-WIN02.

Windows Server Gestión de GPOs Fernando Punzón Ortiz Código: HOL-WIN02.
Código: HOL-WIN36. Core Version ¿Por qué Core Version? Configuración y securización del Servidor Instalación y configuración de roles Instalación y configuración.

Código: HOL-WIN36. Core Version ¿Por qué Core Version? Configuración y securización del Servidor Instalación y configuración de roles Instalación y configuración.
Windows Server Gestión de Directorio Activo

Windows Server Gestión de Directorio Activo
Windows Server 2003 R2 Gestión de Directorio Activo

Windows Server 2003 R2 Gestión de Directorio Activo
Sistemas Operativos Distribuidos Plataforma Cliente/Servidor

Sistemas Operativos Distribuidos Plataforma Cliente/Servidor
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
2.5 Seguridad e integridad.

2.5 Seguridad e integridad.
Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.

Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.
Directorio Activo- Active Directory

Directorio Activo- Active Directory
TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»

TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»

Presentaciones similares

Anuncios Google