Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
Roles de los servidores FSMO Flexible Single Master of Operations Flexible Single Master of Operations La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor) La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor) Ciertas tareas del directorio activo se dejan en manos de un solo servidor Ciertas tareas del directorio activo se dejan en manos de un solo servidor Se puede seleccionar a qué servidor asignar cada rol. Se puede seleccionar a qué servidor asignar cada rol. Cinco roles FSMO Cinco roles FSMO Emulador de PDC Emulador de PDC RID Master RID Master Infrastructure Master Infrastructure Master Domain Naming Master Domain Naming Master Schema Master Schema Master
Roles de los servidores Emulador de PDC Uno por dominio Uno por dominio Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creación de políticas de grupo Sincroniza tiempos y sincroniza la creación de políticas de grupo Máximo valor para la elección de Domain Master Browser Máximo valor para la elección de Domain Master Browser Se determina el servidor en: Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Menú Operations Masters Tab PDC Tab PDC
Roles de los servidores RID Master Uno por dominio Uno por dominio Encargado de la asignación de identificadores únicos (p.e. GUIDs) Encargado de la asignación de identificadores únicos (p.e. GUIDs) Se determina el servidor en: Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Menú Operations Masters Tab RID Tab RID
Roles de los servidores Infrastructure Master Uno por dominio Uno por dominio Responsable de la comprobación de pertenencia en la creación de grupos universales en entornos multidominio Responsable de la comprobación de pertenencia en la creación de grupos universales en entornos multidominio Responsable de la actualización de referencias de objetos de su dominio a otros dominios Responsable de la actualización de referencias de objetos de su dominio a otros dominios Se determina el servidor en: Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Menú Operations Masters Tab Infrastructure Tab Infrastructure
Roles de los servidores Domain Naming Master Uno por forest Uno por forest Responsable de que los nombres de dominio sean únicos Responsable de que los nombres de dominio sean únicos Controla el que se puedan añadir nuevos dominios Controla el que se puedan añadir nuevos dominios Se determina el servidor en: Se determina el servidor en: Active Directory Domains and Trusts (botón derecho en raíz de la consola) Active Directory Domains and Trusts (botón derecho en raíz de la consola) Menú Operations Master Menú Operations Master
Roles de los servidores Schema Master Uno por forest Uno por forest Controla cambios y actualizaciones del esquema Controla cambios y actualizaciones del esquema Se determina el servidor en: Se determina el servidor en: Registrar MMC de Active Directory Schema Registrar MMC de Active Directory Schema C:\>regsvr32 schmmgmt.dll C:\>regsvr32 schmmgmt.dll Active Directory Schema (botón derecho en raíz de la consola) Active Directory Schema (botón derecho en raíz de la consola) Menú Operations Master Menú Operations Master
Roles de los servidores Ntdsutil.exe Los cambios de rol se pueden realizar también con Ntdsutil.exe Los cambios de rol se pueden realizar también con Ntdsutil.exe Permite realizar múltiples operaciones Permite realizar múltiples operaciones Opción Roles permite realizar cambios de rol de FSMO Opción Roles permite realizar cambios de rol de FSMO ¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO? ¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO? A través de ntdsutil.exe A través de ntdsutil.exe Opción Roles -> Seize : Rol Opción Roles -> Seize : Rol Permite pasar el rol a otro DC Permite pasar el rol a otro DC El DC original NO se debe volver a poner en la red El DC original NO se debe volver a poner en la red
DEMO FSMO y NTDSUTIL.EXE
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
El catálogo global Catálogo Global (I) Dentro de un dominio, cada DC dispone de una copia completa de la base de datos Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
El catálogo global Catálogo Global (II) Cualquier DC puede tomar el rol de Catálogo Global Cualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site En el inicio de sesión, el servidor que valida al usuario ha de poder comprobar la pertenencia del usuario a todos los grupos (locales y universales) En el inicio de sesión, el servidor que valida al usuario ha de poder comprobar la pertenencia del usuario a todos los grupos (locales y universales) Lo hace a través de un GC. Lo hace a través de un GC. En Windows 2000, si no lo puede contactar no se inicia sesión. En Windows 2000, si no lo puede contactar no se inicia sesión. En Windows 2003, el DC guardará en una caché la pertenencia a grupos universales. En Windows 2003, el DC guardará en una caché la pertenencia a grupos universales.
El catálogo global Catálogo Global (III) En la consola (MMC) del esquema se puede indicar qué atributos se replican en el Catálogo Global En la consola (MMC) del esquema se puede indicar qué atributos se replican en el Catálogo Global Los atributos por los que se vaya a realizar consultas en el GC han de estar indexados Los atributos por los que se vaya a realizar consultas en el GC han de estar indexados Si no, una búsqueda puede hacer que el servidor en el que se realice consuma muchos recursos y no responda a nada más hasta terminar la consulta Si no, una búsqueda puede hacer que el servidor en el que se realice consuma muchos recursos y no responda a nada más hasta terminar la consulta
DEMO Catálogos globales
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
Control de la cobertura de DCs Registro Automático de DNS Situación: Se quiere que los clientes localicen los DC de su site o del CPD Situación: Se quiere que los clientes localicen los DC de su site o del CPD Deshabilitar el registro automático en los DCs de las oficinas Deshabilitar el registro automático en los DCs de las oficinas Windows 2000 con SP2 Windows 2000 con SP2 Mediante entrada en el registro (Windows 2000): Mediante entrada en el registro (Windows 2000): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\Services\Netlogon\Parameters Registry value: DnsAvoidRegisterRecords Registry value: DnsAvoidRegisterRecords Data type: REG_MULTI_SZ Data type: REG_MULTI_SZ Configuración recomendada : Configuración recomendada : En las oficinas realizar sólo los registros AtSite y la entrada DsaCname En las oficinas realizar sólo los registros AtSite y la entrada DsaCname En el CPD realizar todos los registros En el CPD realizar todos los registros
Control de la cobertura de DCs Autositecoverage Un CD puede registrarse como CD de un site que no tiene su propio CD Un CD puede registrarse como CD de un site que no tiene su propio CD Basado en la matriz de costes de replicación Basado en la matriz de costes de replicación Deshabilitado: Deshabilitado:HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Registry value: AutoSiteCoverage Data type: REG_DWORD Configuración manual en Windows 2000: Configuración manual en Windows 2000:HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Registry value: SiteCoverage Data type: REG_MULTI_SZ Registry value: GcSiteCoverage Data type: REG_MULTI_SZ
DEMO Control de la cobertura de DCs
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
Búsquedas LDAP al directorio RootDSE RootDSE es parte del estándar de LDAPv3.0 RootDSE es parte del estándar de LDAPv3.0 Definido en RFC 2251 Definido en RFC 2251 Define la raíz de búsqueda en un servidor LDAP Define la raíz de búsqueda en un servidor LDAP Muestra, entre otras cosas, las particiones básicas a las que se puede conectar un cliente Muestra, entre otras cosas, las particiones básicas a las que se puede conectar un cliente
Búsquedas LDAP al directorio Particiones (I) Particiones = AD Naming Contexts Particiones = AD Naming Contexts Un contexto es equivalente a una partición Un contexto es equivalente a una partición Permiten disponer de secciones del Directorio Activo independientes que se pueden replicar de manera individual Permiten disponer de secciones del Directorio Activo independientes que se pueden replicar de manera individual Por omisión se cuenta con: Por omisión se cuenta con: Schema Naming Context Schema Naming Context Configuration Naming Context Configuration Naming Context Domain Naming Context Domain Naming Context Se pueden generar nuevos contextos de nombres Se pueden generar nuevos contextos de nombres Denominados Application Naming Contexts o Application Directory Partitions Denominados Application Naming Contexts o Application Directory Partitions Permitirán la replicación bajo reglas propias definidas (p.e. replicados sólo a ciertos DCs) Permitirán la replicación bajo reglas propias definidas (p.e. replicados sólo a ciertos DCs)
Búsquedas LDAP al directorio Particiones (II) Schema Naming Context Schema Naming Context Contiene la definición de todas las definiciones de clases de todos los objetos y atributos del directorio activo. Contiene la definición de todas las definiciones de clases de todos los objetos y atributos del directorio activo. Active Directory Schema MMC Active Directory Schema MMC
Búsquedas LDAP al directorio Particiones (III) Configuration Naming Context Configuration Naming Context Mantiene información acerca de la configuración de todo el Forest, incluyendo información acerca de los dominios, controladores de dominio, replicación, subredes, etc. Mantiene información acerca de la configuración de todo el Forest, incluyendo información acerca de los dominios, controladores de dominio, replicación, subredes, etc. Visible mediante ADSIEdit Visible mediante ADSIEdit
Búsquedas LDAP al directorio Particiones (IV) Domain Naming Context Domain Naming Context Contiene toda la información de los objetos definidos en el dominio. Estos objetos se replican exclusivamente a aquellos controladores (DCs) que forman parte del dominio. Contiene toda la información de los objetos definidos en el dominio. Estos objetos se replican exclusivamente a aquellos controladores (DCs) que forman parte del dominio. Visible mediante ADSIEdit Visible mediante ADSIEdit
Búsquedas LDAP al directorio LDP (I) Herramienta de soporte para realizar búsquedas LDAP Herramienta de soporte para realizar búsquedas LDAP Vale para cualquier tipo de servidor LDAP, no sólo para AD Vale para cualquier tipo de servidor LDAP, no sólo para AD
Búsquedas LDAP al directorio LDP (II) Pasos: Pasos: Conexión con un servidor LDAP Conexión con un servidor LDAP Por defecto devuelve RootDSE Por defecto devuelve RootDSE Antes de consultar hay que validar Antes de consultar hay que validar Opción bind con usuario y contraseña Opción bind con usuario y contraseña Buscar Buscar Definir el ámbito de la búsqueda (Base DN) Definir el ámbito de la búsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la búsqueda (En el ámbito dado) Profundidad de la búsqueda (En el ámbito dado) Resultados a devolver (Qué atributos extraer) Resultados a devolver (Qué atributos extraer)
Búsquedas LDAP al directorio LDP (III) Demo búsqueda sencilla Demo búsqueda sencilla Lista de usuarios en una OU dada Lista de usuarios en una OU dada Obtener su GUID, SID y displayName Obtener su GUID, SID y displayName Base DN: OU=[nombreou],DC=[dominio],DC=[dominio] Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName
Búsquedas LDAP al directorio LDP (IV) Ejemplo de búsqueda por SID Ejemplo de búsqueda por SID Obtener los datos del usuario a través de su SID Obtener los datos del usuario a través de su SID Base DN: Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName
Búsquedas LDAP al directorio LDP (V) Ejemplo de búsqueda por GUID Ejemplo de búsqueda por GUID Obtener los datos del usuario a través de su GUID Obtener los datos del usuario a través de su GUID Base DN: Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName
Búsquedas LDAP al directorio LDP (VI) Ejemplo de búsqueda compleja. Ejemplo de búsqueda compleja. Lista de todos los atributos que se replican al catálogo global Lista de todos los atributos que se replican al catálogo global Base DN: cn=schema,cn=configuration,dc=[dominio],dc=[dominio] Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeS et=TRUE)) Scope: Subtree Options - > Attributes: lDAPDisplayName
Búsquedas LDAP al directorio LDP (VII) Ejemplo de búsqueda de usuarios eliminados. Ejemplo de búsqueda de usuarios eliminados. Ventana de seguridad muestra usuario en forma de: Ventana de seguridad muestra usuario en forma de: Account Unknown(S ) Base DN: Filter: objectClass=* Scope: Base Options -> Attributes: objectGUID;objectSid Options -> Search type -> Extended Options -> TimeOut -> 120 Options -> Controls -> Return Deleted Objects
DEMO Búsquedas con LDP
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
Uso y creación de scripts Windows pone a disposición del sistema una librería que permite, entre otras cosas, acceder al Directorio Activo mediante código Windows pone a disposición del sistema una librería que permite, entre otras cosas, acceder al Directorio Activo mediante código ADSI (Active Directory Services Interface) ADSI (Active Directory Services Interface) La programación se realiza en lenguajes de Script La programación se realiza en lenguajes de Script VBScript VBScript Jscript Jscript El script se almacena en un archivo de texto, con una extensión reconocida (.vbs ó.js) y se ejecuta como un programa El script se almacena en un archivo de texto, con una extensión reconocida (.vbs ó.js) y se ejecuta como un programa
Uso y creación de scripts Demo Script Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript) Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript) Set objRootDSE = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://ou=cienusuarios," & _ objRootDSE.Get("defaultNamingContext")) For i = 1 To 100 Set objLeaf = objContainer.Create("User", "cn=UserNo" & i) objLeaf.Put "sAMAccountName", "UserNo" & i objLeaf.SetInfo Next WScript.Echo "100 Usuarios creados."
Uso y creación de scripts Technet Script Center Colección de scripts que sirven como base para realizar tareas de administración muy elaboradas Colección de scripts que sirven como base para realizar tareas de administración muy elaboradas Cientos de ejemplos agrupados por áreas en TechNet Script Center Cientos de ejemplos agrupados por áreas en TechNet Script Center ripts/default.mspx ripts/default.mspx
DEMO Uso y creación de scripts
Agenda Roles de los servidores Roles de los servidores El Catálogo Global El Catálogo Global Control de la cobertura de DCs Control de la cobertura de DCs Búsquedas LDAP al directorio. LDP. Búsquedas LDAP al directorio. LDP. Uso y creación de scripts Uso y creación de scripts Extensiones a la consola de administración MMC Extensiones a la consola de administración MMC
Extensión de la consola MMC El entorno de administración MMC es extensible El entorno de administración MMC es extensible Permite añadir nuevas funcionalidades Permite añadir nuevas funcionalidades Por ejemplo MS Exchange añade nuevas páginas de propiedades a las propiedades de un usuario Por ejemplo MS Exchange añade nuevas páginas de propiedades a las propiedades de un usuario
Extensión de la consola MMC Display Specifiers En el esquema de DA existen objetos de tipo displaySpecifiers En el esquema de DA existen objetos de tipo displaySpecifiers En el apartado de configuración En el apartado de configuración Determinan la localización o los idiomas en los que se mostrarán ciertos elementos de la consola de administración Determinan la localización o los idiomas en los que se mostrarán ciertos elementos de la consola de administración inglés inglés
Extensión de la consola MMC Specifier: user-Display (I) Permite extender las propiedades de un usuario Permite extender las propiedades de un usuario Dependiendo de los valores de sus atributos mostrará unas cosas u otras Dependiendo de los valores de sus atributos mostrará unas cosas u otras Atributo adminContextMenu Atributo adminContextMenu Permite añadir una nueva opción de menú al menú contextual de un usuario Permite añadir una nueva opción de menú al menú contextual de un usuario
Extensión de la consola MMC Specifier: user-Display (II) Ej. Nuevo menú Ej. Nuevo menú Menú sencillo de ejemplo. Simplemente obtiene la información del objeto (path) y extrae su RDN Menú sencillo de ejemplo. Simplemente obtiene la información del objeto (path) y extrae su RDN De esta forma se puede llamar a cualquier ejecutable que acepte parámetros por la línea de comandos Más información en: Más información en: us/netdir/ad/extending_the_user_interface _for_directory_objects.asp?frame=true us/netdir/ad/extending_the_user_interface _for_directory_objects.asp?frame=true
Extensión de la consola MMC Specifier: user-Display (III) Ej. Nuevo menú Ej. Nuevo menú Menú que obtiene el listado de grupos a los que pertenece un determinado usuario de manera recursiva. Menú que obtiene el listado de grupos a los que pertenece un determinado usuario de manera recursiva. Se modifica la propiedad adminMenu Se modifica la propiedad adminMenu Obtiene grupos dentro de grupos Obtiene grupos dentro de grupos Script: getUserGroups.hta Script: getUserGroups.hta
Extensión de la consola MMC Specifier: computer-Display Ej. Nuevo menú Ej. Nuevo menú Menú que obtiene la lista de software instalado en el equipo vía WMI Menú que obtiene la lista de software instalado en el equipo vía WMI Se modifica la propiedad adminMenu Se modifica la propiedad adminMenu Script: getSoftInstalado.hta Script: getSoftInstalado.hta
Extensión de la consola MMC Descarga de los ejemplos Estos ejemplos los podéis obtener en: Estos ejemplos los podéis obtener en: En la sección de este Webcast En la sección de este Webcast
DEMO Extensiones a la consola de administración MMC