Active Directory al Descubierto

Slides:



Advertisements
Presentaciones similares
Implantación de Servicios de Exchange 2000
Advertisements

Copyright © 2007 Quest Software WebSeminar: Recuperación AD/Exchange Carles Martin Sales Consultant 27 de Abril de 2007.
INTEGRANTES: GIOMARA ALVARADO JOHNNY YUQUILEMA. El directorio activo es una herramienta incluida en los sistemas operativos de Microsoft, encaminados.
TNT4-04 KEY MESSAGE: Entry Slide SLIDE BUILDS: 0 SLIDE SCRIPT:
Servicios de Infraestructura Utiles al Desarrollo de Aplicaciones
Políticas de Grupo en Windows Vista Jose Manuel Alonso
Logon en Windows XP con Tarjetas y Certificados CERES
Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP
Gestión de Políticas de Grupo (GPOs) en Windows Server 2003
© 2006 Microsoft Corporation. All rights reserved.
Perspectiva general técnica de Microsoft Forefront Client Security (FCS)
Gestión de Políticas de Grupo en Windows Vista y Windows Server 2008
Administración de actualizaciones de seguridad
Entender la Política de grupo Parte 2. Lo que vamos a cubrir Administración avanzada de la política de grupo Implementar software con la Política de grupo.
Active directory COMP 417.
Windows Server Gestión de GPOs Fernando Punzón Ortiz Código: HOL-WIN02.
HOL-WIN32 Windows Server 2008 Active Directory
3/29/ :02 AM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered.
Sistemas Operativos Distribuidos Plataforma Cliente/Servidor
SERVIDOR DNS Y WINS INTEGRANTES: Farroñan Beltran Brenher
Ing. Horacio Carlos Sagredo Tejerina
Introducción a los servicios Web
José Parada Gimeno ITPro Evangelist
Systems Management Server 2003 Santiago Pastor Zaltor Soluciones Informáticas.
Directorio Activo- Active Directory
Es un Sistema operativo de red. Es una de las plataformas de servicio más fiable para ofrecer acceso seguro y continuado a la red y los recursos de.
TEMA 8: « LA ADMINISTRACIÓN DE DOMINIOS»
Interoperabilidad de NT 4.0 y Windows Server 2003 Active Directory
Modulo 2 – Leccion 1 Administración de Active Directory y Protocolos de Red compatibles Windows 2000 Preparación de la instalación Instalación del primer.
Universidad de La Coruña Escuela Universitaria Politécnica Control de Procesos por Computador Diego Cabaleiro 24 de Noviembre 2009.
Creación y administración de objetos de Active Directory
Servicios de Directorio en Windows Server Francisco Rojo Consultor Senior Consulting Services Getronics Iberia
Introducción al servicio de directorio Microsoft Active Directory
Controlador de Dominio Primario Exel Silva Troppa.
Michael Ángelo De Lancer Franco Michael Ángelo De Lancer Franco
7. Administración de Windows 2000 Server 1 Tema 7: Administración de Windows 2000 Server Resumen: –El programa Administración de Equipos –Planificar la.
Instalación de Active Directory
5. Sistemas de archivos avanzados1 Tema 5: Sistemas de Archivos Avanzados Resumen: –Sistema de archivos distribuido –File Replication Service.
Tema 1. Introducción a Windows 2000
WINDOWS SERVER 2003 Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año Está basada.
Creación de un dominio Windows  Descripción general Introducción a la creación de un dominio de Windows 2000 Instalación de Active Directory Proceso.
Diana Herrera León 6 º «H». Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores.
WINDOWS SERVER 2003 Es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año Está basada.
Programa 5 Estrellas Nombre Cargo Compañía. Introducción El programa Profesional 5 Estrellas tiene por objetivo: –Identificar el nivel de conocimiento.
LOGO Not Another Dynamic DNS Claudia Codriansky / Francisco Castillo.
Grupo 7: Nelson de Jesús escobar duque Yanny Andrés
Michael Ángelo De Lancer Franco  DNS: es un protocolo de resolución de nombres para redes TCP/IP, como Internet o la red de una organización.
Cuentas de usuarios y grupos en windows 2008 server
S.O. WINDOWS SERVER 2003.
Tareas Básicas de un Network Administrator Prof. Carlos Rodríguez Sánchez.
Exploración de Active Directory
Configuración de cuentas de
La administración de dominios
Instalación de Active Directory en Windows Server 2003
INTRODUCCIÓN Para comenzar les hablaremos de lo que significa Windows server 2003, el cual es un sistema operativo de la familia Windows de la marca Microsoft.
Ediciones de Windows 2003  Web Edition Servidor Web Servidor Web Servicios WebServicios Web Aplicaciones WebAplicaciones Web Integración con Plataforma.NET.Integración.
Gestión de sistemas operativos de red
ABRIMOS NUESTRA, MMC PERSONALIZADA. NOS POSICIONAMOS DENTRO DE “ACTIVE DIRECTORY USERS AND COMPUTERS” Y LO EXPANDIMOS.
Francis Ariel Jiménez Zapata
Protocolos de comunicación TCP/IP
Actividades Administrativas Comunes en Active Directory
• SQL Server Integration Services SSIS
Seguridad de Datos Soluciones y Estándares de Seguridad.
Sustentante: Francis Ariel Jiménez Zapata Matricula: Grupo: 2 Profesora: Jose Doñe Asignatura: Sistema Operativo 2.
Usuarios, grupos y unidades organizativas de active directory Integrante: Saúl curitomay cruz Profesor: Waldir Cruz Ramos.
Instituto Tecnológico Superior de Libres Organismo Publico Descentralizado del Gobierno del Estado de Puebla José Alejandro Leal González.
WINDOWS SERVER 2008 r2 ADMINISTRACION DE RECURSOS: Con el Administrador de recursos del sistema de Windows del sistema operativo Windows Server® 2008 R2,
Módulo 4: Administrar el acceso a recursos
Configuración de DNS y WINS en Windows 2003 Server. Presentado por: Francis Zamata Condori.
Módulo 1: Introducción a la administración de cuentas y recursos.
Transcripción de la presentación:

Active Directory al Descubierto Eduardo Munizaga Senior TAM MCSE Windows 2003 eduardmu@microsoft.com Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 rodgomez@microsoft.com

Workshop Diseño Active Directory 24/03/2017 Agenda 1. Objetivos 2. Prerrequisitos 3. Conceptos Active Directory 3.1. Elementos de Diseño Lógico 3.2. Elementos de Diseño Físico 3.3. Elementos de Arquitectura DNS 3.4. Administración Usuarios y Equipos

1. Objetivos Aprovechar al máximo las características de Active Directory 2003. Aprender a implementar: Estructuras lógicas y físicas. DNSs. Delegación de control y políticas de grupo. Implementación de catálogos globales. Roles FSMO.

Workshop Diseño Active Directory 24/03/2017 2. Prerrequisitos Comprender lo que es un servicio de directorio KEY MESSAGE: SLIDE BUILDS: None SLIDE SCRIPT: Since this is a fundamentals session, there are not really product-specific requirements. However, an understanding of what a directory service is will come in handy. SLIDE TRANSITION:

3. Conceptos Active Directory Workshop Diseño Active Directory 24/03/2017 3. Conceptos Active Directory 3.1. Elementos de Diseño Lógico 3.2. Elementos de Diseño Físico 3.3. Elementos de Arquitectura DNS 3.4. Administración Usuarios y Equipos

3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1. Elementos de Diseño Lógico 3. Conceptos Active Directory 3.1.1. Bosque (Forest) 3.1.2. Dominio (Domain) 3.1.3. Árboles (Domain Trees) 3.1.4. Unidades Organizacionales (OUs) 3.1.5. Relaciones de Confianza 3.1.6. Niveles Funcionales (Functional Levels)

Workshop Diseño Active Directory 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.1. Bosque (Forest) Conjunto de uno o más dominios Active Directory que comparten: Estructura lógica común Global Catalog Schema Partition Configuration Partition Relaciones de confianza bi-direccionales automáticas entre los dominios participantes del forest El forest es la frontera máxima de seguridad (security boundary)

Workshop Diseño Active Directory 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.2. Dominio (Domain) Cada dominio es una partición de un forest Active Directory Las cuentas de usuarios, grupos y máquinas son creados en el dominio Las políticas de seguridad son definidas a nivel del dominio, y no al nivel del Forest: Políticas de Contraseñas Políticas de Account Lockout Políticas de Ticket Kerberos El dominio es una frontera de administración (administration boundary)

Workshop Diseño Active Directory 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.3. Domain Trees Conjunto de dominios dentro de un forest Active Directory agrupados en un namespace contínuo Cada forest puede contener múltiples Domain Trees

Bosque, Dominio, Árboles 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 Bosque, Dominio, Árboles Forest Domain Tree dom1.com dom2.dom1.com dom3.dom1.com dom4.dom2.dom1.com dom5.com dom6.dom5.com

3.1.4. Unidades Organizacionales 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.4. Unidades Organizacionales Containers de objetos en la jerarquía dentro de un dominio Active Directory Subdivisiones lógicas del dominio Anidamiento OUs no son Security Principals: OUs no pueden ser miembros de grupos No se puede asignar permisos a recursos a través de OUs Group Policy puede ser asociado a OUs: Permite utilizar distintas políticas de usuarios, equipos y desktops dentro de un mismo dominio

demo Active Directory Users and Computers Dominios OUs

3.1.5. Relaciones de Confianza 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.5. Relaciones de Confianza Tipos de relaciones de confianza: NTLM Unidireccionales No transitivos Explícitos Kerberos Bidireccionales Transitivos Implícitos (entre los dominios del forest)

3.1.5. Relaciones de Confianza Workshop Diseño Active Directory 3.1. Elementos de Diseño Lógico 24/03/2017 3.1.5. Relaciones de Confianza Windows NT 3.x/4.0: NTLM Windows 2000: NTLM: hacia/desde dominios NT 3.x/4.0 hacia/desde dominios Windows 2000 de otros forest Kerberos: bidireccionales y transitivos entre todos los dominios del forest hacia/desde realms MIT Kerberos V5 no AD Shortcut Trusts entre dominios del mismo forest Windows 2003: Idem Windows 2000 mas Interforest Trusts

3.1.5. Relaciones de Confianza 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.5. Relaciones de Confianza Implícito Transitivo Bidireccional Implícito Transitivo Bidireccional dom1.com dom5.com Explícito No transitivo Unidireccional dom3 (Dominio Windows NT) dom6.dom5.com dom2.dom1.com dom4.dom2.dom1.com

Workshop Diseño Active Directory 3.1. Elementos de Diseño Lógico 24/03/2017 Shortcut Trust Implícito Transitivo Bidireccional Implícito Transitivo Bidireccional dom1.com dom5.com Shortcut Trust Explícito Transitivo Bidireccional dom6.dom5.com dom2.dom1.com dom3.dom1.com dom4.dom2.dom1.com

Workshop Diseño Active Directory 3.1. Elementos de Diseño Lógico Workshop Diseño Active Directory 24/03/2017 3.1.6. Functionality Levels Windows 2000: Mixed Mode: permite coexistencia con BDCs NT 4.0 Native Mode: Todos los DCs deben ser Windows 2000 Utilización de Universal Security Groups Mayores opciones de nesting de grupos Windows 2003: Domain Modes: Windows 2000 Mixed Windows 2000 Native Windows 2003 Interim Windows 2003 Forest Modes: Windows 2000

Versiones de OS Soportados Workshop Diseño Active Directory 3.1.7. Functionality Levels 24/03/2017 Versiones de OS Soportados 3.1.7.1. Windows 2003 Domain Modes: 3.1.7.2. Windows 2003 Forest Modes:

Funcionalidades por Domain Mode Workshop Diseño Active Directory 3.1.7.1. Windows 2003 Domain Modes: 24/03/2017

Funcionalidades por Forest Mode Workshop Diseño Active Directory 3.1.7.2. Windows 2003 Forest Modes: 24/03/2017

3.2. Elementos de Diseño Físico 3. Conceptos Active Directory Workshop Diseño Active Directory 24/03/2017 3.2. Elementos de Diseño Físico 3.2.1. Particiones del Directorio 3.2.2. Tipos de Particiones 3.2.3. Replicación en Active Directory 3.2.4. Componentes del Diseño Físico 3.2.5. Tipos de Replicación

3.2.1. Particiones del Directorio Workshop Diseño Active Directory 24/03/2017 3.2.1. Particiones del Directorio 3.2. Elementos de Diseño Físico En un forest existen 3 tipos de particiones: Forest Wide (1 x forest, se replican a todos los DCs del forest): Schema Partition Configuration Partition Domain Wide (1 x dominio, se replica a todos los DCs del dominio) Domain Partition Application Partition (N x forest) Por default existen dos: ForestDNSZones: 1 x forest; replicada a todos los DCs del forest DomainDNSZones: replicada a todos los DCs del dominio 1 x dominio; replicada a todos los DCs del dominio Es posible crear custom Application Partitions La replicación es definida por el administrador

Workshop Diseño Active Directory 24/03/2017 3.2.1. Particiones del Directorio Directory Tree DC Storage Partition Hierarchy Schema RootDSE Configuration Forest Root Domain Domain Application Partition Configuration Application Partition Schema

Workshop Diseño Active Directory 24/03/2017 3.2.2. Tipos de Particiones 3.2. Elementos de Diseño Físico 3.2.2.1. Schema Partition 3.2.2.2. Configuration Partition 3.2.2.3. Domain Partition 3.2.2.4. Global Catalog 3.2.2.5. Application Partitions

Workshop Diseño Active Directory 24/03/2017 3.2.2.1. Schema Partition 3.2.2. Tipos de Particiones Replicada a todos los DCs del forest No es posible evitar que se replique a un DC determinado Contiene y describe las clases correspondientes a los objetos que pueden ser creados en el directorio Ejemplos: Clase User Clase Computer Clase Domain Etc.

3.2.2.2. Configuration Partition Workshop Diseño Active Directory 24/03/2017 3.2.2.2. Configuration Partition 3.2.2. Tipos de Particiones Replicada a todos los DCs del forest No es posible evitar que se replique a un DC determinado Contiene todos los aspectos de configuración del forest: Diseño físico crossRef a todos los dominios del forest

Workshop Diseño Active Directory 24/03/2017 3.2.2.3. Domain Partition 3.2.2. Tipos de Particiones Contiene a todos los objetos del dominio Replicada a todos los DCs del dominio No es posible evitar que se replique a todos los DCs del dominio

Workshop Diseño Active Directory 24/03/2017 3.2.2.4. Global Catalog 3.2.2. Tipos de Particiones NOTA: no es estrictamente una partición Subconjunto de todos los objetos del forest: No todas las clases estan en el GC No todos los atributos de las clases están en el GC Las clases y atributos replicadas al GC son modificables por el administrador Permite que todos los objetos del forest sean visibles en todos los dominios El administrador define que DCs son GC

3.2.2.5. Application Partitions Workshop Diseño Active Directory 24/03/2017 3.2.2.5. Application Partitions 3.2.2. Tipos de Particiones Particiones en Windows 2000: Configuration Partition : forest wide Schema Partition : forest wide Domain Partition : domain wide Particiones en Windows 2003: Application Partitions: Tambien llamadas “non-domain naming contexts” ó NDNCs

Workshop Diseño Active Directory 24/03/2017 Características 3.2.2.5. Application Partitions Particiones orientadas a almacenamiento de información temporaria o de carácter volátil Pueden ser creadas y replicadas a cualquier DC del forest Definidas por el administrador Puede contener objetos AD de cualquier tipo excepto Security Principals (users, groups and computers) Utilizadas en Windows 2003 para: Zonas DNS AD/AM COM+ partitions TAPI Applications

3.2.3. Replicación en Active Directory Workshop Diseño Active Directory 24/03/2017 3.2.3. Replicación en Active Directory 3.2. Elementos de Diseño Físico “Multimaster loose consistency with convergence” Multimaster Loose consistency Convergencia Pull replication State-based replication Replicación a nivel Objeto y nivel Atributo

Workshop Diseño Active Directory Qué se replica? 3.2.2. Replicación en Active Directory 24/03/2017 Los replication partners se replican entre sí: Particiones en común: Schema Partition Configuration Partition Si son DCs del mismo dominio: Partición dominio Application Partitions Global Catalog Si ambos DCs estan configurados como GC

demo Particiones Replicación Dcdiag NETDIAG ADSIEDIT

3.2.4. Componentes del Diseño Físico Workshop Diseño Active Directory 24/03/2017 3.2.4. Componentes del Diseño Físico 3.2. Elementos de Diseño Físico 3.2.4.1. Sites 3.2.4.2. Sites Links 3.2.4.3. Bridgehead Servers 3.2.4.4. Site Links Bridges 3.2.4.5. FSMO Roles 3.2.4.6. Otros

Workshop Diseño Active Directory 24/03/2017 3.2.4.1. Sites 3.2.4. Componentes del Diseño Físico Conjuntos de DC con buena conectividad entre sí Agrupación a través de subnets IP con buena conectividad entre sí Las subnets que definen a un site son definidas por el administrador Cada DC es asignado a una subnet Independencia diseño lógico del físico: Un site puede abarcar múltiples dominios Un dominio puede abarcar múltiples sites Relevantes para: Routing Replication Client affinity (logon) SYSVOL replication DFS Service Location

Múltiples Dominios por Site Workshop Diseño Active Directory 24/03/2017 Múltiples Dominios por Site Independencia diseño lógico del físico Site B Site A dom1.com dom2.dom1.com dom3.dom1.com dom4.dom2.dom1.com

Múltiples Sites por Dominio Workshop Diseño Active Directory 24/03/2017 Múltiples Sites por Dominio Independencia diseño lógico del físico dom1.com Site A Site B

Workshop Diseño Active Directory 24/03/2017 3.2.4.2. Sites Links 3.2.4. Componentes del Diseño Físico Nexo entre 2 sites: Creados por el administrador Cada Site Link se compone en realidad de: Connection Objects: Conexión unidireccional entre 2 DCs Dos por Site Link Server Objects: Objeto que representa a cada DC involucrado en el CO

Workshop Diseño Active Directory 24/03/2017 3.2.4.3. Bridgehead Servers 3.2.4. Componentes del Diseño Físico Servidores designados para replicación en el site

Workshop Diseño Active Directory 24/03/2017 3.2.4.4. Site Links Bridges 3.2.4. Componentes del Diseño Físico Unión de 2 ó mas Site Links Crea COs entre todos los Sites involucrados en los Site Links Por default, todos los Site Links pertenecen a un Site Link Bridge Opción Bridge All Site Links

Workshop Diseño Active Directory 24/03/2017 3.2.4.5. FSMO Roles 3.2.4. Componentes del Diseño Físico Flexible Single Master Operations Roles Active Directory para operaciones especiales que requieren modelo Single Master 2 tipos de FSMO Roles: Forest Wide: Schema Master : administración de cambios en el Schema Domain Naming Master : administración de altas/bajas de dominios en el forest Domain Wide: PDC Emulator : emulación de PDC NT 4.0 para clientes no AD RID Master : Relative ID; generación de RIDs en el dominio Infrastructure Master: Mantiene la lista de Security Principals de otros dominios que pertenecen a grupos del dominio propio

demo Site and Services Roles FSMO

Workshop Diseño Active Directory 24/03/2017 3.3. Elementos de TCP/IP 3. Conceptos Active Directory 3.3.1. Active Directory y DNS 3.3.2. Service Locator Records 3.3.3. DNS Application Partitions

Workshop Diseño Active Directory 24/03/2017 3.3.1. Active Directory y DNS 3.3. Elementos de TCP/IP Active Directory utiliza DNS como: Mecanismo resolución de nombres Naming: Nombre de dominio = nombre de dominio DNS Jerarquía de dominios Service Locator Logon Búsquedas Búsquedas DC mas cercano: Cliente-DC Entre DCs Determinación de site

Configuración de zonas DNS Workshop Diseño Active Directory 24/03/2017 Configuración de zonas DNS 3.3.1. Active Directory y DNS Los zonas DNS correspondientes a dominios Windows 2000/Windows 2003 pueden ser: Zonas DNS estándar (archivo de texto) Active Directory integrated: Windows 2000: Domain Partition Windows 2003: Domain Partition ó, Application Partitions Default para nuevas instalaciones Zonas AD Integrated pueden ser convertidas a DNS estándar y vicecersa DCs con zona DNS estándar pueden ser secundarios de DCs con zonas AD integrated

3.3.2. Service Locator Records Workshop Diseño Active Directory 24/03/2017 3.3.2. Service Locator Records 3.3. Elementos de TCP/IP Registros “especiales” para servicios: Mapeo de un servicio a nombre DNS de equipo que provee ese servicio. Ejemplos: Domain Controllers Global Catalogs LDAP Servers Kerberos Distribution Center Otros Formato: _Service._Protocol.DnsDomainName

3.3.5. DNS Application Partitions Workshop Diseño Active Directory 24/03/2017 3.3.5. DNS Application Partitions 3.3. Elementos de TCP/IP 3.3.5.1. Comportamiento Windows 2000 3.3.5.2. Comportamiento Windows 2003 3.3.5.3. Ventajas

3.3.5.1. Comportamiento Windows 2000 Workshop Diseño Active Directory 24/03/2017 3.3.5.1. Comportamiento Windows 2000 3.3.5. DNS Application Partitions Forest Wide Locator records Localizados en _msdcs.<rootforestdomain> Dominio DNS por cada dominio Storage en archivos DNS estándar ó AD integrated Prácticas recomendadas: Delegación de zona _msdcs.<rootforestdomain> Replicación de _msdcs.<rootforestdomain> a todos los DCs Zonas AD Integrated

3.3.5.2. Comportamiento Windows 2003 Workshop Diseño Active Directory 24/03/2017 3.3.5.2. Comportamiento Windows 2003 3.3.5. DNS Application Partitions Información de zonas DNS en Application Partitions DNS Application Partitions: ForestDnsZones: DomainDnsZones Visibles como cualquier otra partición en ADSIEdit, LDP, etc.

ForestDNSZone: ejemplo Workshop Diseño Active Directory 24/03/2017 ForestDNSZone: ejemplo

DomainDNSZone: ejemplo Workshop Diseño Active Directory 24/03/2017 DomainDNSZone: ejemplo

demo Active Directory y DNS

Workshop Diseño Active Directory 24/03/2017 Windows 2000 vs. Windows 2003 DC2-A DC3-A GC & DNS A.COM DC1-A Link for GC from b.a.com and DNS records DNS B.A.COM DNS DC3-B GC DC1-B DC2-B Schema & Config (combined) ForestDNSZones DomainDNSZones (a.com) DomainDNSZones (b.a.com) Domain A.COM (and Windows 2000 AD Integrated Zones) Domain B.A.COM (and Windows 2000 AD Integrated Zones)

3.4. Administración Usuarios y Equipos Workshop Diseño Active Directory 24/03/2017 3.4. Administración Usuarios y Equipos 3. Conceptos Active Directory 3.4.1. Introducción 3.4.2. Group Policy Objects (GPO) 3.4.3. Procesamiento de GPOs 3.4.4. Group Policy Modeling 3.4.5. Security Templates

Workshop Diseño Active Directory 3.4.1. Introducción 3.4. Administración Usuarios y Equipos 24/03/2017 IntelliMirror: Conjunto de tecnologías presentes en Windows® 2000, Windows® XP y Windows Server 2003 que permiten la administración de la configuración de servidores, workstations, y usuarios en forma centralizada a través de los servicios de directorios Componentes principales: Active Directory Group Policy Group Policy: Mecanismo configuración y administración centralizada de servidores, workstations y usuarios de un usuario del dominio Active Directory Reemplaza mecanismo System Policies (Windows NT 4.0/9x)

Workshop Diseño Active Directory IntelliMirror 3.4.1. Introducción 24/03/2017 User Data Management Administración centralizada de los archivos de los usuarios User Settings Management Configuración del desktop del usuario (colores, fonts, restricciones, profile, aplicaciones, etc.) Security Settings: Administración de todas las configuraciones de seguridad del usuario: Internet Protocol security (IPSec) Software Restrictions Policies Wireless Network Policies Group Policy–based software installation Administración centralizada de instalación, reparación, actualización y de-instalación de software en el desktop del usuario Internet Explorer settings Connection settings, custom Universal Resource Locators (URLs), security settings, Program Associations Logon/Logoff Startup/Shutdown Scripts Remote Installation Services (RIS) Instalación de sistema operativo y aplicaciones en forma automatizada a través del directorio

3.4.2. Group Policy Objects (GPO) Workshop Diseño Active Directory 24/03/2017 3.4.2. Group Policy Objects (GPO) 3.4. Administración Usuarios y Equipos GPO: Unidad básica de administración Objeto que contiene las configuraciones que van a recibir las cuentas de usuario y máquina Cada objeto GPO contiene 2 conjuntos de configuraciones: Computer User

Workshop Diseño Active Directory 24/03/2017 Componentes 3.4. Administración Usuarios y Equipos En los Domain Controllers: Objecto Active Directory que contiene las configuraciones de User y Computer Se almacena en Group Policy container en la domain partition Cada objeto tiene las siguientes propiedades: Version information Status (Enabled/Disabled) Lista de componentes (extensions) que tienen settings en el GPO Configuración de cada setting Policy settings as defined by the extension snap-ins: Group Policy Template Conjunto de archivos en el file system de los Domain Controllers, en directorio System Volume (SYSVOL) Contiene: Administrative Templates (.ADM): Archivos que contienen registry-based Group Policy settings Security Settings Aplicaciones disponible para Software Installation Logon/Logoff y Startup/Shutdown scripots

Workshop Diseño Active Directory Componentes 3.4.2. Group Policy Objects (GPO) 24/03/2017 En las workstations: Client-side Extensions: DLLs que procesan los GPOs Lista de DLLs: Registry (in Administrative Templates) : Userenv.dll Disk Quota (in Administrative Templates) : Dskquota.dll Folder Redirection : Fdeploy.dll Scripts : Gptext.dll Software Installation : Appmgmts.dll Security : Scecli.dll IP Security : Gptext.dll EFS (Encrypting File System) Recovery : Scecli.dll Internet Explorer Maintenance : Iedkcs32.dll

Workshop Diseño Active Directory 3.4.3. Procesamiento de GPOs 3.4. Administración Usuarios y Desktops 24/03/2017 GPOs pueden ser asociados a: Sites Active Directory Dominios Active Directory Organizational Units No pueden ser asociados a un forest Múltiples GPOs pueden ser aplicados a un mismo site, dominio, u OU Synchronous vs Asynchronous Processing: Default: comportamiento sincrónico CTRL+ALT+DEL es mostrado solo cuando finalizó el procesamiento de GPO Computer settings Shell está activo solo cuando finalizó el procesamiento de GPO User Settings Es posible configurar comportamiento asincrónico (no recomendado)

Workshop Diseño Active Directory 24/03/2017 Orden de aplicación 3.4.3. Procesamiento de GPOs Orden de aplicación (default): Local/Site/Domain/OU El último valor aplicado tiene precedencia

Orden de aplicación. Ejemplo: Workshop Diseño Active Directory Orden de aplicación. Ejemplo: 3.4.3. Procesamiento de GPOs 24/03/2017 Máquinas en OU=Servers reciben GPOs: A3, A1, A2, A4, A6 Usuarios OU=Marketing reciben GPOs: A3, A1, A2, A5 Independientemente desde qué equipo hagan logon

Workshop Diseño Active Directory 24/03/2017 Orden de aplicación 3.4.3. Procesamiento de GPOs Orden de aplicación (default): Local/Site/Domain/OU El último valor aplicado tiene precedencia Opción Block Policy Inheritance: Propiedad de la OU y el dominio que permite romper la herencia default de aplicación de GPOs de niveles superiores en la jerarquía Opción No Override: Propiedad del GPO link que permite que los valores configurados en un GPO determinado no sean sobre-escritos por GPOs de niveles inferiores en la jerarquía No Override tiene prioridad sobre Block Policy Inheritance en caso de conflicto

Workshop Diseño Active Directory 24/03/2017 3.4.4. Group Policy Modeling 3.4. Administración Usuarios y Equipos Group Policy Modeling: Permite simular la ejecución de GPOs previo a su implementación en producción en base a: Lista de GPOs indicados Configuraciones en GPOs Cuenta de usuario Pertenencia a grupos Filtros WMI ACLs en GPO Equipo en que loguea el usuario Muestra un reporte con los GPO settings efectivos Nota: no permite simular el Local GPO del equipo, por lo que los resultados pueden variar si es que existen Local GPO configurados en el equipo Group Policy Results: Permite a un administrador determinar los GPOs settings efectivos reales de una sesión activa de cualquier equipo del dominio en forma remota Generación reporte HTML con resultados Requerimientos seguridad: Permiso Remotely access Group Policy Results data en el dominio u OU que contiene al equipo o cuenta destino ó, Pertenencia al grupo Administrators del equipo destino

Workshop Diseño Active Directory 24/03/2017 3.4.5. Security Templates 3.4. Administración Usuarios y Equipos Conjunto de configuraciones de seguridad pre-definidas Pueden ser aplicados a través de: Herramienta SECEDIT Línea de comando MMC “Security Configuration and Analysis” Group Policy Objects (GPO)

Aplicación de Security Templates a través de GPO Workshop Diseño Active Directory 24/03/2017 Aplicación de Security Templates a través de GPO 3.4.10. Security Templates Ejemplo: 1. Crear estructura de OUs 2. Mover servidores a OU 3. Crear Global Groups de administración 4. Delegar administración en la OU al grupo de administradores 5. Crear Security Templates 6. Crear GPO asociados a los OUs 7. Importar Security Template en el GPO

Active Directory: Lectura Recomendada (1/2) Workshop Diseño Active Directory 24/03/2017 Active Directory: Lectura Recomendada (1/2) Windows 2003 Resource Kit: Windows 2003 Deployment Planning Guide Windows 2003 Distributed Systems Guide Diseño: Design Considerations for Delegation of Administration in Active Directory Multiple Forest Considerations Planning and Implementing Federated Forests in Windows Server2003 Soluciones: Solution Accelerator for Domain Server Consolidation and Migration MS Solution for Identity Management Windows Server Deployment Solution Accelerator Active Directory Branch Office Planning Guide Solution Guide for Windows Security and Directory Services for UNIX

Active Directory: Lectura Recomendada (2/2) Workshop Diseño Active Directory 24/03/2017 Active Directory: Lectura Recomendada (2/2) Seguridad: Guide to Windows Server 2003 Changes in Default Behavior Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP Windows 2003 Security Guide 823659: Client, service, and program incompatibilities that may occur when you modify security settings and user rights assignments Operaciones: Active Directory Operations Guide Management: Active Directory Management Guide Group Policies: Windows 2000 Change and Configuration Management Deployment Guide Windows 2000: Best Practice Active Directory Design for Managing Windows Networks Best Practice Active Directory Deployment for Managing Windows Networks

Visita www.microsoft.com/chile/technet

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2025 SlidePlayer.es Inc. All rights reserved.