La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Tema 6: Servicios de Active Directory

Publicada porInés Saavedra Toledo Modificado hace 8 años

Presentaciones similares

Presentación del tema: "Tema 6: Servicios de Active Directory"— Transcripción de la presentación:

1 Tema 6: Servicios de Active Directory
Resumen: Conceptos básicos de Active Directory Planificar la implantación de Active Directory Implantación de Active Directory Administración de Active Directory 6. Servicios de Active Directory

2 6. Servicios de Active Directory
1. Introducción a Active Directory Características generales Servicio de directorio de Windows 2000 Es un servicio seguro, distribuido, particionado y replicado Funciona en redes de diferentes tamaños 1 servidor y cientos de objetos ---- miles de servidores y millones de objetos Es un servicio que puede reflejar la jerarquía, escalabilidad y seguridad distribuida de diferentes entornos empresariales Integrado con Internet e intranet Es una herramienta para ofrecer información distribuida y que se administra de forma distribuida Integra el concepto “espacio de nombres” de Internet Colección estructurada de nombres utilizada para representar de forma simbólica otra clase de información: IPhost 6. Servicios de Active Directory

3 6. Servicios de Active Directory
La integración del espacio de nombres va a permitir unificar los múltiples espacios de nombres que se usan actualmente AD utiliza el protocolo LDAP que opera superando los límites del sistema operativo No es un directorio X.500: utiliza LDAP como protocolo de acceso y soporta el modelo de información X.500 (nota técnica) AD ofrece un único punto de administración de información publicada: archivos, bases de datos, accesos Web, dispositivos, etc Utiliza DNS como servicio localizador, organiza los objetos en dominios según una jerarquía de OU (unidades organizacionales) y permite que varios dominios se conecten en una estructura en árbol La administración se realiza mediante varios CD: Un cambio en alguno de los CD se replicará en el resto (ver nota técnica) 6. Servicios de Active Directory

4 6. Servicios de Active Directory
Conceptos de Active Directory Esquema extensible: La información en el AD se define siguiendo un esquema formal Para cada clase objeto se definen: Atributos que debe tener el objeto Atributos que podría tener Qué objetos padre puede tener este objeto Al instalar AD en un CD se define un esquema predeterminado con los siguientes objetos: Usuarios, grupos, equipos e impresoras Otros objetos y propiedades que utiliza internamente AD Extensibilidad: Se pueden definir nuevos objetos y atributos Se almacenan en el almacén AD (catálogo), que se actualiza automáticamente Operación para usuarios avanzados (ver notas técnicas): Guía del programador de Active Directory 6. Servicios de Active Directory

5 6. Servicios de Active Directory
Catálogo global: Repositorio central de información de los objetos que hay en un árbol de dominios o en un bosque AD genera los contenidos del catálogo con la información que procede de los distintos CD mediante replicación Es un servicio y un almacén La replicación permite consultar el catálogo sin acudir al CD origen Contiene la información de uso más frecuente (id de usuario, etc) y la necesaria para realizar una réplica total del objeto Se puede utilizar el catálogo para obtener cualquier información de los objetos sin replicar toda la información del dominio Se pueden indicar expresamente los atributos que se desea mantener en el catálogo Al instalar un CD, se instala un AD y se crea un catálogo global: ese servidor se convierte en un servidor del catálogo global Posteriores CD se pueden convertir en servidores del catálogo global Cuantos más servidores de catálogo, más tráfico de replicación y respuestas más rápidas a los usuarios 6. Servicios de Active Directory

6 6. Servicios de Active Directory
Espacio de nombres: Un espacio de nombres es un área limitada en la que se pueden resolver nombres Resolver nombres: realizar la correspondencia entre un nombre y la información que representa El espacio de nombres de AD se basa en el esquema de nombres DNS buscando la interoperatibilidad con las tecnologías Internet Sirve para gestionar múltiples entornos hw y sw en una red Dos tipos: Espacio de nombres contiguo: el nombre de un objeto hijo incluye el nombre del dominio padre Espacio de nombres disjunto: el nombre del objeto hijo no tiene relación con el padre, como ocurre en los árboles. Convenciones de nombres: Cada objeto en AD se identifica por un nombre Los servicios de AD utilizan diferentes convenciones de nombres: Nombres distinguidos, nombres distintos relativos, id únicos globales y nombres de usuario principal 6. Servicios de Active Directory

7 6. Servicios de Active Directory
Nombres distinguidos: Los objetos se localizan en AD según una ruta jerárquica que incluye las etiquetas del dominio y de cada nivel de objeto contenedor Cada objeto de AD tiene un nombre distinguido (DN) Identifica unívocamente a cada objeto Contiene información suficiente para acceder al objeto Ejemplo: DC=COM/DC=Microsoft/CN=Users/CN=James Smith Las herramientas de AD no muestran las abreviaturas (O=, DC=,CN=) 6. Servicios de Active Directory

8 6. Servicios de Active Directory
Nombres distinguidos relativos: En AD se puede encontrar un objeto mediante sus atributos Uno de los atributos de los objetos es el nombre distinguido relativo (RDN), que es parte del nombre completo DN En el ejemplo, el RDN del objeto James Smith es CN=James Smith Se pueden duplicar RDN con tal de que pertenezcan a diferentes OU Identificador único global: Cada objeto en AD tiene también un identificar único global GUID Es un número de 128 bits que el Directory System Agent (DSA) asigna al objeto cuando se crea Nunca cambia Se almacena en un atributo objectGUID Nombre de usuario principal User principal name (UPN): Es independiente del nombre distinguido (nombre de inicio de sesión) 6. Servicios de Active Directory

9 6. Servicios de Active Directory
Arquitectura de AD: Modelo de datos: Se deriva del modelo de datos de X.500 Un directorio contiene objetos que representan componentes de la red Cada objeto se describe por sus atributos La colección de objetos que se almacena en el directorio se define en el esquema Esquema: Se implementa como un conjunto de instancias de clases de objetos Se actualiza dinámicamente Utilizan ACL para el control de acceso Modelo de seguridad: Utiliza la infraestructura de seguridad de Windows 2000 Las ACL protegen todos los objetos del AD Modelo de administración: Los usuarios autorizados pueden realizar acciones especificadas sobre objetos determinados en porciones del árbol del directorio Se denomina administración delegada El DSA gestiona el espacio físico 6. Servicios de Active Directory

10 6. Servicios de Active Directory
Acceso a los servicios de AD: Soporte de protocolos: LDAP 2 y 3: protocolo base de AD MAPI-RPC: soporte de llamadas a procedimiento remoto mediante interfaz MAPI API: Los servicios de AD proporcionan un conjunto de API: ADSI, LDAP C, Windows Messaging y Contenedores Virtuales. AD Service Interfaz: Interfaz de programación extensible y sencilla para manejar: servicios AD, directorios basados en LDAP, otros (NDS de Novell) Forma parte de Open Directory Services Interfaces (ODSI) y de la Windows Open Services Architecture (WOSA) ADSI es un sistema para proporcionar un único directorio a partir de diferentes proveedores de servicios de red Simplifica el desarrollo y administración de aplicaciones distribuidas Los objetos ADSI han sido diseñados para satisfacer a tres audiencias: Desarrolladores: lenguajes de alto nivel Administradores: lenguajes script usuarios 6. Servicios de Active Directory

11 6. Servicios de Active Directory
LDAP C API: Solución de más bajo nivel para desarrollar aplicaciones que necesiten comunicación con diferentes tipos de clientes Se recomienda a los desarrolladores LDAP que migren a ADSI Windows Messaging API Aplicaciones que funcionan con MAPI tienen soporte en AD Contenedores Virtuales: Permite acceder a directorios compatibles con LDAP mediante servicios AD Arquitectura del servicio de directorio 6. Servicios de Active Directory

12 6. Servicios de Active Directory
Tres capas de servicios: DSA: construye la jerarquía a partir de la relaciones padre-hijo y proporciona las API capa de base de datos: interfaz entre las llamadas y las bases de datos motor de almacenamiento extensible: gestiona las comunicaciones con los registros individuales partiendo del atributo RDN Almacén de datos Interfaces: LDAP: interfaz ADSI REPL: replicación entre sitios e intra-sitios SAM: compatibilidad con NT MAPI: clientes y aplicaciones MAPI como Outlook Directory System Agent (DSA) Proceso que se ejecuta en todos los CD y gestiona las funciones del AD Operaciones que soporta: Identificación de objetos Procesamiento de transacciones Actualizaciones del esquema Control de acceso Replicación 6. Servicios de Active Directory

13 6. Servicios de Active Directory
Capa de base de datos: Proporciona objetos a partir de la información Es una interfaz interna Todos los accesos al motor de almacenamiento se realizan desde esta capa AD proporciona un espacio de nombres jerárquicos; los objetos se referencian en la base de datos a partir de su RDN Establece la correspondencia entre el DN y una etiqueta interna del DN utilizada para restringir los accesos a los registros Motor de almacenamiento extensible (ESE) La información se gestiona mediante un método de acceso secuencial indexado Archivos esenciales: esent.dll (motor), ntds.dit (datos) y archivos de registros utilizados para implementar las transacciones Soporta una base de datos que puede llegar a los 16TB ESE almacena espacio solamente para los atributos de los objetos que tengan valores asignados 6. Servicios de Active Directory

14 6. Servicios de Active Directory
2. Planificar la implementación de Active Directory Planificar un espacio de nombres El espacio de nombres de AD es el nombre de dominio totalmente cualificado de más alto nivel de una empresa basada en dominios windows 2000 Primera decisión: espacio de nombres interno y externo iguales o diferentes Espacios de nombres interno y externo El mismo espacio de nombres: AD gestionará el dominio de Internet registrado para la empresa Diferentes espacios: AD gestionará el espacio de nombres interno Los espacios de nombres están separados por un cortafuegos Dos escenarios: AD gestionando el mismo espacio interna que externamente AD gestionando un espacio de nombres interno diferente del externo 6. Servicios de Active Directory

15 6. Servicios de Active Directory
El mismo espacio de nombres: Requisitos: Los usuarios pueden acceder a recursos dentro de la red y más allá del cortafuegos Los clientes que acceden desde el exterior no deben acceder a los recursos internos Para implementarlo hay que definir dos zonas DNS separadas El DNS externo se configura para que no resuelva accesos a recursos internos Ventajas: El nombre del dominio es consistente en la red privada y en Internet Los nombres de usuario (inicio de sesión) sirven como nombres de Internet (correo electrónico) Desventajas: La configuración es más compleja Existe el peligro de publicar recursos internos en Internet Se duplican los esfuerzos de gestión de recursos A pesar de ser el mismo espacio de nombres, los usuarios ven zonas diferentes 6. Servicios de Active Directory

16 6. Servicios de Active Directory
Espacios de nombres separados: Se configura dos espacios de nombres separados e independientes, una para Internet y otro interno Ambos deben registrarse en el DNS de Internet Si no se registra el interno, los clientes no podrán distinguir entre los recursos propios y los del dominio registrado por otra empresa Ventajas: Las diferencias entre las redes es más clara La gestión es más sencilla al no duplicar esfuerzos La configuración de los proxys es más sencilla Desventajas: Los identificadores de red son diferentes de las direcciones de correo Deben registrarse múltiples nombres en el DNS de Internet 6. Servicios de Active Directory

17 6. Servicios de Active Directory
Definir una arquitectura de espacio de nombres: Se trata de definir un espacio de nombres escalable, flexible, fácil de administrar Modo de conseguirlo: definir un dominio en tres capas: Dominio raiz Dominio de primer nivel Dominio de segundo nivel Dominio raíz: Primer dominio de un espacio de nombres Se corresponde con el espacio de nombres de la empresa Todos los dominios internos son parte de este dominio raíz formando un árbol Dominio de primer nivel: Se trata de definir dominios estables aunque haya cambios en la empresa Para ello se puede tomar una referencia geográfica o política Deben tener al menos 3 caracteres de longitud Se definen relaciones de confianza entre todos los dominios de este nivel Dominio de segundo nivel: Debería definir países Se pueden definir dominios hijo a partir de este nivel 6. Servicios de Active Directory

18 6. Servicios de Active Directory
Planificar unidades organizacionales: Aspectos generales: Deben recoger la estructura organizativa de la empresa Se puede delegar tareas administrativas en las OU: crear usuarios, modificar contraseñas, definir directivas Una OU puede contener otras OU Crear una estructura OU Comenzar por el primer dominio de la empresa Guía de diseño de la OU: Crear OU para delegar administración Crear una estructura lógica de OU que facilite la administración Crear OU para aplicar directivas de seguridad Crear OU para proporcionar o restringir el acceso a ciertos recursos por parte de ciertos usuarios Crear estructuras OU relativamente estáticas Evitar asignar demasiados objetos a una OU 6. Servicios de Active Directory

19 6. Servicios de Active Directory
Estructurar la jerarquía de OU: OU basadas en administración o en objetos OU basadas en divisiones geográficas OU basadas en las funciones del negocio OU basadas en departamentos OU basadas en proyectos Planificar un sitio: Sitio: una o más subredes conectas por un enlace de alta velocidad El servicio de replicación de AD permite distinguir entre enlaces rápidos o lentos El modo de establecer los sitios afecta a: Inicio de sesión Replicación Los sitios no forman parte del espacio de nombres, se almacenan aparte a efectos de replicación Guía: Combinar en un sitio solamente subredes con enlaces rápidos (512kbps) Configurar la replicación en horas de poco tráfico 6. Servicios de Active Directory

20 6. Servicios de Active Directory
4. Administración de Active Directory Introducción Tareas a realizar en la administración de AD: Aprender a crear OU y sus objetos Localizar, modificar, mover y eliminar objetos creados Controlar el acceso a los objetos de AD Crear OU y sus objetos: Introducción: Objeto = recurso de la red Recurso: cuentas de usuarios y grupos, impresoras Antes de crear un objeto, hace falta crear una OU Creación de OU: Se pueden crear OU en un dominio, en un CD o dentro de otra OU Debe tener permiso para crear OU en el objeto padre (OU, dominio o CD) 6. Servicios de Active Directory

21 6. Servicios de Active Directory
El grupo Administradores tiene permiso para crear OU No se pueden crear OU dentro de grupos o equipos Las OU sirven para facilitar la tarea de administrar la red La estructura de OU’s debe reflejar la organización de la empresa Se puede cambiar la estructura de OU cuando se necesite Se pueden mover objetos entre OU Motivos para crear OU: Para delegar control administrativo a otros usuarios y administradores Para agrupar objetos que requieren las mismas tareas administrativas Crear OU: Mediante la aplicación Usuarios y Equipos de AD (Herramientas administrativas) seleccionando el dominio u OU seleccionando Accion | Nuevo | Unidad Organizacional 6. Servicios de Active Directory

22 6. Servicios de Active Directory
Agregar objetos a las OU: Se requiere tener permisos adecuados en la OU a la que se van a agregar objetos Los miembros del grupo Administradores pueden realizar esta acción Los objetos disponibles dependen del asistente utilizado para crearlos Al crear un objeto no se dispone de todos sus atributos inmediatamente Procedimiento: Usuarios y equipos de AD | seleccionar la OU | Accion | nuevo | seleccionar objeto 6. Servicios de Active Directory

23 6. Servicios de Active Directory
Administrar objetos de AD Localizar objetos: El catálogo global contiene una réplica parcial del contenido del directorio Contiene información de cualquier objeto que esté en el árbol de dominios o en el bosque Los contenidos del catálogo global los genera los servicios de AD de los dominios que forman el directorio Para localizar objetos: Ejecutar el programa Usuarios y Equipos de AD | seleccionar el dominio o la OU en la que se desea buscar | menú contextual | Buscar Elementos del diálogo Buscar: Menú desplegable Buscar: tipos de objetos a incluir en la búsqueda Menú desplegable En: todo el AD, un dominio específico o una OU Ficha Usuarios, Contactos y Grupos: introducir Nombre o Descripción Ficha Avanzada: Campo, Condición, Valor, Criterio de búsqueda Resultados: 6. Servicios de Active Directory

24 6. Servicios de Active Directory
Modificar los atributos o eliminar objetos: Nota: modificar atributos u objetos en el esquema no es lo mismo que modificar objetos de AD. Los cambios en el esquema son permanentes y se replican en todos los CD Modificaciones: Programa Usuarios y Equipos de AD | seleccionar instancia del objeto | del menú Acción seleccionar Propiedades | realizar los cambios Eliminar un objeto: abrir Usuarios y Equipos de AD | seleccionar el objeto | Eliminar Desplazar objetos: Mover objetos de una OU a otra: adecuar la red a la empresa Usuarios y Equipos de AD | seleccionar el objeto a mover | seleccionar la opción Mover del menú Acción | elegir la nueva ubicación 6. Servicios de Active Directory

25 6. Servicios de Active Directory
Controlar el acceso a los objetos de AD Cuestiones generales Modelo de seguridad basado en objetos similar al que emplea NTFS Cada objeto tiene un descriptor de seguridad que indica quién tiene acceso y qué tipo de acceso tiene Para facilitar la administración: agrupar objetos con idénticas características de seguridad en la misma OU y asignar los permisos a la OU Administrar los permisos de AD Seguridad de AD Los permisos de AD se utilizan para determinar quién tiene acceso y el tipo de acceso a un objeto Cada objeto mantiene una ACL Se puede asignar derecho de administración a un usuario sobre una OU o una jerarquía de OU y sin perder el control de otros objetos de AD Permisos de objeto Cada tipo de objeto tiene un conjunto de permisos (Borrar la Clave, usr) En caso de conflicto (usuario, grupo): combinación de ambos Denegar un permiso tiene precedencia (ver nota) 6. Servicios de Active Directory

26 6. Servicios de Active Directory
Asignar permisos de AD Se realiza mediante Usuarios y Equipos de AD Se pueden aplicar a objetos e incluso a atributos de los objetos No se recomienda aplicar permisos a los atributos  complica la tarea En las Propiedades de un objeto aparece la ficha Seguridad Dos tipos de permisos: Permisos estándar Permisos especiales: botón Avanzado Herencia de permisos: Mecanismo para reducir la gestión de permisos: un objeto puede heredar los permisos del objeto padre Se activa o desactiva mediante el cuadro de comprobación Permitir que los Permisos Heredables se Propaguen a este Objeto Al desactivar ese control: Se puede copiar la máscara de permisos que tenía Se puede eliminar 6. Servicios de Active Directory

27 6. Servicios de Active Directory
Delegar control administrativo de objetos Modo de distribuir la responsabilidad y el trabajo de administrar una red Se puede configurar mediante el asistente Delegar el Control Tipos de acciones que se puede delegar: Asignar permisos a un usuario o grupo para crear o modificar objetos en una OU Asignar permisos a un usuario o grupo para modificar permisos específicos de un objeto (modificar la contraseña) Lo más práctico es asignar permisos al nivel de OU: es más sencillo de administrar Se puede asignar Control Total a un responsable de área en su OU Consejos para delegar el control: Asignar control al nivel OU Utilizar el asistente Delegar el Control Verificar los permisos asignados con la delegación Utilizar el esquema de organización de la empresa Asistente: Usuarios y Equipos de AD | seleccionar la OU | menú Acción | seleccionar Delegar el Control 6. Servicios de Active Directory

28 6. Servicios de Active Directory
Consejos para la administración de los servicios de AD: En grandes organizaciones, coordinar la estructura de AD con otros administradores Al crear objetos AD (usuarios), completar todos los atributos que sean importantes para la empresa Evitar el denegar un permiso. Puede indicar una mala planificación de los permisos Asegurarse de que todos los objetos al menos tienen un usuario con Control Total Comprobar que los administradores delegados funcionan correctamente Proporcionar entrenamiento a los administradores delegados, de modo que puedan realizar su tarea correctamente 6. Servicios de Active Directory

Descargar ppt "Tema 6: Servicios de Active Directory"

Presentaciones similares

Internet y tecnologías web

Internet y tecnologías web
Active directory COMP 417.

Active directory COMP 417.
Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS

Base de Datos Distribuidas FUNDAMENTOS DE BASES DE DATOS DISTRIBUIDAS
Tecnologías Cliente / Servidor Capitulo III Richard Jiménez V. clienteserver.wordpress.com.

Tecnologías Cliente / Servidor Capitulo III Richard Jiménez V. clienteserver.wordpress.com.
DIRECT ACCESS.

DIRECT ACCESS.
Sistemas Operativos Distribuidos Plataforma Cliente/Servidor

Sistemas Operativos Distribuidos Plataforma Cliente/Servidor
Ing. Horacio Carlos Sagredo Tejerina

Ing. Horacio Carlos Sagredo Tejerina
Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.

Gestión de usuarios en redes Miguel A. González Ruz 19/11/07.
Directorio Activo- Active Directory

Directorio Activo- Active Directory
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.

Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.
TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»

TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»
UNIDAD II Modelo de Datos.

UNIDAD II Modelo de Datos.
Modulo 2 – Leccion 1 Administración de Active Directory y Protocolos de Red compatibles Windows 2000 Preparación de la instalación Instalación del primer.

Modulo 2 – Leccion 1 Administración de Active Directory y Protocolos de Red compatibles Windows 2000 Preparación de la instalación Instalación del primer.
Servidores de nombres de dominio (DNS)

Servidores de nombres de dominio (DNS)
DE LAS CUENTAS DE USUARIO Y OPCIONES DE CARPETA

DE LAS CUENTAS DE USUARIO Y OPCIONES DE CARPETA
Por: Santiago Toro Rendón Raquel Sepúlveda.  El SO se instala en una sección definida de la unidad de disco duro, denominada partición de disco. Existen.

Por: Santiago Toro Rendón Raquel Sepúlveda.  El SO se instala en una sección definida de la unidad de disco duro, denominada partición de disco. Existen.
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.

Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
Creación y administración de objetos de Active Directory

Creación y administración de objetos de Active Directory
Introducción al servicio de directorio Microsoft Active Directory

Introducción al servicio de directorio Microsoft Active Directory
Planificación de los grupos de usuarios El primer paso del proceso de planificación, decidir la estrategia global de seguridad, es como establecer la.

Planificación de los grupos de usuarios El primer paso del proceso de planificación, decidir la estrategia global de seguridad, es como establecer la.

Presentaciones similares

Anuncios Google