Windows Server 2003 R2 Gestión de Directorio Activo Código: HOL-WIN01 Windows Server 2003 R2 Gestión de Directorio Activo Julián Blázquez García jblazquez@informatica64.com
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
Directorio Activo Centraliza el control de los recursos de red Centraliza y descentraliza la administración de recursos Almacena objetos de manera segura en una estructura lógica Optimiza el tráfico de red Active Directory guarda información sobre usuarios equipos y recursos de red y permite el acceso a los mismos. 1.- Por ejemplo Servidores de archivos y Servidores de impresión. 2.- Administración desde una única interfaz y Delegación. INTRODUCIR OU. 3.- Estructura lógica segura. 4.- Por Ejemplo: Active Directory se asegura de que nos autoriza la entidad que se encuentra más cercana. INTRODUCIR SITES.
Estructura Lógica AD Bosque Árbol Objetos Unidad Organizativa Dominio OU Árbol Bosque Unidad Organizativa Objetos Los objetos en Active Directory representan usuarios y recursos. Algunos objetos pueden ser contenedores de otros objetos GRUPOS Y OU. COMPONENTES DE LA ESTRUCTURA LOGICA: ---------------------------------------------------- 1.- OBJETOS: Clases y atributos, cada objeto tiene una representación única de atributos y valores. 2.- OU: Contenedor de objetos que los organiza con propósitos organizativos. DELEGACION, ANIDADAS. 3.- DOMINIO: Corazón del Active Directory. Colección de objetos que comparte una BD de directorio, relaciones de confianza y políticas de seguridad. 4.- ÁRBOLES DE DOMINIO: Dominios agrupados en estructura jerárquica. DOMINIOS HIJOS ESTRUCTURA DE NOMBRES. 5.- BOSQUE: Uno o más árboles. RAIZ. Active Directory comparte información a nivel de bosque.
Controlador de dominio Estructura Física AD Sitios Controladores de dominio Enlaces WAN Sitio Controlador de dominio Enlace WAN La estructura física optimiza el tráfico de red: ---------------------------------------------------- 1.- ELEMENTOS. 2.- DC. 3.- SITIOS 4.- PARTICIONES. A.- DOMINIO B.- CONFIGURACION C.- SCHEMA D.- APLICACION
Servicio de Directorio Un repositorio organizado de información sobre personas y recursos Domain OU1 Computers Computer1 Users User1 User2 OU2 Printers Printer1 KimYoshida Atributos Valores Nombre Edificio Planta Kim Yoshida 117 1 *.- Active Directory permite el acceso a usuarios y aplicaciones a información sobre objetos. VER MMC *.- Hace transparente la topología de red al usuario de los recursos. *.- Permite el almacenamiento de información sobre grandes cantidades de objetos. *.- 40 mil objetos de cuenta en NT con 2000 ya 100 millones de objetos.
Schema (I) Definición formal de todos los objetos Directorio Activo y sus atributos Cada tipo de objeto (clase) deriva de una clase principal TOP Las clases heredan de otras clases su definición y comportamiento Cada objeto dispone de atributos obligatorios y atributos opcionales
Schema (II) Símil con una tabla de BBDD Relacional Clase => Definición en una fila de un objeto Atributos => Columnas que definen una clase Cada atributo a su vez puede verse como una colección de posibles valores El Esquema se puede ver en la consola de Active Directory Schema Se pueden ver/añadir/modificar clases y atributos por separado
Schema (III) Ejemplos de atributos accountExpires department distinguishedName directReports dNSHostName operatingSystem repsFrom repsTo firstName lastName Ver con las pestañas de la MMC.
Catálogo Global (I) Repositorio que contiene un subconjunto de atributos de todos los objetos del Directorio Activo Global Catalog Solo Lectura Solo los miembros del grupo administradores del Schema pueden cambiar los atributos almacenados en el Catalogo Global. Contiene: 1.- Los atributos mas frecuentemente buscados (Por Ejemplo: Nombre) 2.- Permisos de acceso para cada objeto. El Servidor Catalogo Global propicia búsquedas entre bosques. NOTA: Es el primer controlador q instalas aunque pueden existir más balancear la carga de trabajo.
Catálogo Global (II) Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
Catálogo Global (III) Cualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en entornos multidominio Es recomendable, en entornos multidominio, disponer de un servidor de GC en cada site
Herramientas Administrativas Consolas Administrativas Usuarios y equipos del Directorio Activo Dominios y confianzas Directorio Activo Sitios y servicios del Directorio Activo Schema del Directorio Activo Herramientas de línea de comando. Dsadd Dsmod Dsquery Dsmove Windows Scripting Host DSrm DSget CSVDE LDIFDE Windows\system32\adminpak.msi E:\Program Files\Support Tools\adsiedit.msc
Dsadd
Dsquery
Dsmod Modifica un objeto existente de un tipo específico del directorio Para deshabilitar varias cuentas de equipo, dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -disabled yes Para restablecer varias cuentas de equipo: dsmod computer CN=MemberServer1,CN=Computers,DC=Microsoft,DC=Com CN=MemberServer2,CN=Computers,DC=Microsoft,DC=Com -reset
Dsmove Mueve un objeto que se encuentra en un dominio desde su ubicación actual en el directorio a otra ubicación, o cambia el nombre de un solo objeto sin moverlo en el árbol del directorio Para cambiar el nombre de un objeto de usuario de Claudia Ramírez a Claudia del Valle: dsmove "CN=Claudia Ramírez,OU=Ventas,DC=Microsoft,DC=Com" -newname "Claudia del Valle"
Dsmove Para mover el usuario Claudia Ramírez desde la organización Ventas a la organización Marketing: dsmove "CN=Claudia Ramírez,OU=Ventas,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com Para combinar las operaciones de cambio de nombre y ubicación: dsmove "CN=Claudia Ramírez,OU=Ventas,DC=Microsoft,DC=Com" -newparent OU=Marketing,DC=Microsoft,DC=Com -newname "Claudia del Valle"
DSrm Elimina un objeto de un tipo específico o cualquier objeto general del directorio Para eliminar una unidad organizativa llamada "Marketing" y todos los objetos situados por debajo de ella: dsrm -subtree -noprompt -c OU=Marketing,DC=Microsoft,DC=Com Para eliminar todos los objetos bajo la unidad organizativa llamada "Marketing", pero sin eliminar la unidad organizativa: dsrm -subtree -exclude -noprompt -c "OU=Marketing,DC=Microsoft,DC=Com"
DSget Muestra las propiedades seleccionadas de un objeto específico del directorio Para mostrar las descripciones de todos los equipos de una unidad organizativa determinada cuyo nombre comience por "tst": dsquery computer OU=Test,DC=Microsoft,DC=Com -name tst* | dsget computer -desc Para mostrar la lista de grupos, expandida de manera recursiva, a los que pertenece el equipo "MiServidorBD: dsget computer CN=MiServidorBD,CN=computers,DC=Microsoft,DC=Com -memberof -expand
CSVDE Comma Separated Value Data Exchange
LDIFDE Lightweight Data Interchange Format, Data Exchange
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
Requisitos Instalación de AD Una máquina ejecutando Windows 2003 Server R2 250 MB de espacio libre en una partición formateada en NTFS Privilegios administrativos para la creación de un dominio TCP/IP instalado y configurado para utilizar DNS Enumerar versiones: *.- 200MB base de datos del Active Directory *.- 50 MB registro de transacciones *.- Si un Controlador de dominio es Controlador del Catalogo Global requiere espacio extra.
Instalación AD
Instalación AD
Instalación AD
Instalación AD
Instalación AD
Instalación AD
Instalación AD
Instalación AD
Instalación AD
Instalación AD
IFM (Install From Media) Instalar un DC con Windows 2003 Server R2 en un dominio. Realizar un Backup del “system state” de un DC 2003 en ese dominio. Restaurar el “system state” a una ubicación alternativa en el Servidor 2003 que va debe ser promovido. Ejecutar DCPROMO con el modificador /ADV y especificar el path en el disco local donde restauramos el “system state” 311078 How to use the Install from Media feature to promote Windows Server 2003-based domain controllers http://support.microsoft.com/kb/311078/en
Verificación de la Instalación Verificar la creación de SYSVOL Base de datos del directorio y archivos de transacciones Estructura básica del AD Verificación del visor de sucesos *.- SYSVOL *.- NTDS *.- NTDS.DIT BBD DEL DIRECTORIO (en la carpeta ntds) *.- Archivos edb (Archivos de transacciones) PRACTICA CREACION DE UN DOMINIO HIJO
SYSVOL Es un recurso compartido que se genera en cada DC al realizar DCpromo. Contiene: Políticas de Sistema (Windows NT, 9X) GPO para los miembros del dominio Scripts de Logon y Logoff.
Niveles de funcionalidad (I) Modo Mixto Maquinas permitidas: Windows 2000, Windows 2003, Windows Server 2003 R2 y BDC sobre NT Cuando es útil: Entornos con aplicaciones de las que depende nuestro negocio instaladas en un BDC Características: Políticas de grupo e IntelilliMirror para clientes Windows 2000 Professional y Windows XP Notas: BDC pueden participar en este entorno
Niveles de funcionalidad (II) Modo Nativo Maquinas permitidas: Windows 2000, Windows 2003 y Windows Server 2003 R2 Cuando es útil: Cuando en una estructura se combinan dominios de Windows 2000 y dominios de Windows 2003 y Windows 2003 R2 Características: Soporte para grupos universales, SidHistory, desaparece el limite de espacio que imponía la SAM Notas: Los BDC de NT están excluidos de este modo
Niveles de funcionalidad (III) Interim Level Maquinas permitidas: Windows 2000, Windows 2003, Windows Server 2003 R2 y BDC sobre NT Cuando es útil: Al actualizar un dominio que solo incluye controladores Windows NT Características: Grupos de seguridad de más de 5000 usuarios. Notas: Los controladores Windows 2000 están excluidos
Niveles de funcionalidad (IV) Modo Windows 2003 Maquinas permitidas: Windows 2003 Cuando es útil: Solo existen controladores Windows 2003 y Windows Server 2003 R2 Características: Todas las de Windows 2003
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
Estructura Lógica de la BBDD Active Directory Database Replicación configurable Dominio Bosque Schema Configuración <Dominio> <Aplicación> Definición y reglas para la creación y manipulación de objetos y atributos Información sobre la estructura del Directorio Activo Información sobre objetos específicos del dominio Información sobre Aplicaciones
Archivos de datos y de Log Descripción Ntds.dit Archivo de datos del AD Almacena información de objetos en el DC Ubicación por defecto: systemroot\NTDS folder Edb*.log Archivo de transacciones Archivo de transacciones por defecto: Edb.log Edb.chk Archivo de comprobación Guarda información no escrita al archivo de BBDD Res1.log Res2.log Reserva de espacio para archivos de transacciones
Proceso de Modificación de AD Edb.chk Actualización checkpoint Petición Realizar transacción Escritura en le buffer de transacciones Escritura en el archivo de BBDD Transacción iniciada Objectives At the end of this presentation, students will be able to: Describe the data modification process Name the files that are used in the data modification process Describe how the data modification process affects database performance, database fragmentation, and data integrity. Escritura en el log de transacciones EDB.log Ntds.dit on Disk
Funciones Bosques y Dominios Entorno Nivel de funcionalidad de dominio Nivel de funcionalidad de bosque Windows 2000 modo mixto Windows 2000 Modo nativo Windows Server 2003 Domain Windows Server 2003 Interim La funcionalidad establece la extension del directorio activo. MIXTO. Nivel por defecto, puede incluir BDC de NT pero impide usar grupos universales de seguridad. NATIVO. El dom solo contiene w2k y 2000, permite grupos universales de seguridad. WINDOWS 2003 SERVER. Nivel mas alto de funcionalidad, todos los controladores deben ser 2003 INTERIM. Modo especial que soporta controladores NT y W2003 LA FUNCIONALIDAD A NIVEL DE BOSQUE. Incluye mejoras respecto de W2k: Replicacion mejorada, Confianzas entre bosques.
Relaciones de confianza Tipos de Confianzas Objetos de confianza Cómo trabaja una confianza en un bosque Cómo trabaja una confianza entre bosques Cómo crear confianzas Cómo verificar y eliminar confianzas.
Tipos de Confianzas Forest 2 Forest 1 Tree/Root Trust Shortcut Trust External Kerberos Realm Realm Domain D Forest 1 Domain B Domain A Domain E Domain F Domain P Domain Q Parent/Child Trust Forest 2 Domain C Mecanismo que permite a un usuario autentificado en su dominio acceda a recursos en un dominio de confianza. TIPOS DE CONFIANZAS. TRANSITIVAS. La relacion de confianza se extiende a todos los dominios se extiende a todos los dominios en los q confia el citado dominio EJEMPLO D-E-F Son automaticas Por ejemplo una relacion padre/hijo NO TRANSITIVAS. No son automaticas y deben ser establecidas. Por ejemplos las establecidas entre dominios de bosques distintos. DIRECCIONALIDAD. entrada Salida bidireccionales TIPOS DE CONFIANZAS SHORTCUT. Parcialmente transitiva, solo hacia abajo no hacia arriba. E-A-C FOREST. Parcialmente transitiva. EXTERNA. No transitiva, entre dominios de distintos bosques REALM. El usuario elige la transitividad. Para entornos no windows.
Objetos de Confianza Representan cada relación de confianza dentro de un dominio Almacena información respecto a la transitividad y al tipo de confianza.
Creación de Confianzas
Elección del tipo de confianzas
Dirección de las confianzas
Resumen de proceso
Propiedades de la confianza
Unidades Organizativas Domain Admin1 Admin2 Admin3 OU1 OU2 OU3 Proceso de administración descentralizada en una OU La delegación posibilita: Autonomía administrativa Aislamiento de datos o servicios Posibilidades dentro de una OU Cambiar las propiedades de un contenedor Crear y borrar objetos de un tipo especifico Actualizar propiedades en objetos de un tipo específico
Planificación Estructura de OUs Modelo de administración Diseño de OU basado en: geográfico Localización organización Estructura de la organización Negocio Funciones en la organización Híbrido Localización para las Ou más altas Estructura para las Ou más bajas Accounting Research Sales
Modos de Creación y Mantenimiento Active Directory Users and Computers Directory Service Tools DSadd DSmod DSrm Ldifde command-line tool Windows Script Host Ldifde –i – k –f OuCreate.ldf –b administrator info64.es carr7nclas -i modo de importacion -k ignora errores -b datos de usuario dominio etc. ADSI Wscript crearou.vbs
Tipos de Cuentas Cuentas de usuario Cuentas de equipo Grupos Habilita un inicio de sesión para un usuario Permite el acceso a recursos Cuentas de equipo Habilita la autenticación y la auditoria del acceso a recursos de un equipo Grupos Ayudan a simplificar la administración
Tipos de Grupos Grupos de distribución Grupos de seguridad Utilizados solo con aplicaciones de e-mail Grupos de seguridad Utilizados para asignar permisos y derechos sobre recursos a grupos de usuarios y de equipos Más efectivos cuando están anidados En modo mixto no pueden anidarse grupos de un mismo ámbito. El nivel de funcionalidad determina qué grupos se pueden crear.
Tipos de Grupos
Grupos Locales de Dominio Pueden contener Grupos universales, grupos globales y otros grupos locales de su propio dominio Cuentas de cualquier dominio del bosque Solo puede contener recursos del dominio donde se crea. Puede contener a parte de usuarios de cualquier parte del bosque: Grupos universales grupos globales locales de su propio dominio MIEMBROS MIXTO Usuarios y grupos globales de cualquier dominio, un grupo local no puede ser miembro de ningun grupo. NATIVO cuentas, grupos globales , universales de dominios confiables y grupos locales del mismo dominio. Solo es visible en su propio dominio. Para asignar permisos a recursos q se encuentrar en el mismo dominio en q se crea el grupo.
Grupos Globales Puede contener usuarios, grupos y equipos como miembros Se pueden asignar recursos de cualquier dominio del bosque MIEMBROS MIXTO Cuentas del mismo dominio. NATIVO cuentas, grupos globales del mismo dominio Visible en su propio dominio y en todos los dominios de confianza. Para asignar permisos sobre recursos que se encuentren en cualquier dominio de confianza.
Grupos Universales Usuarios, grupos y equipos de cualquier dominio de su bosque Sirven para asignar derechos sobre cualquier recurso del dominio. MIEMBROS MIXTO no se pueden crear NATIVO y windows 2003 cuentas, globales y universales de cualquier dominio del bosque Salvo en el modo mxto puede ser miembro de locales y de universales Visibles en todos los dominios del bosque. Para anidar grupos globales.
Creación y Administración de Múltiples Cuentas Herramientas para crear y administrar cuentas: herramienta Csvde herramienta Windows Script Host
Planificación de una Estrategia de Usuarios, Grupos y Equipos Denominación de cuentas Restricciones en contraseñas Autenticación, autorización y cuentas administrativas Estrategias de grupo
Denominación de Cuentas Convenciones de nombre Nombres de cuenta que identifiquen al usuario Equipos: identificar el propietario, la localización y el tipo de máquina Grupos: identificar el tipo de grupo, su localización y el propósito.
Restricciones en Contraseñas Guardar hasta 24 contraseña en el historial Vida máxima de la contraseña 42 días Vida mínima de la contraseña 2 días Longitud mínima 8 caracteres Habilitar requisitos de complejidad
Autenticación, Autorización y Cuentas Administrativas Bloqueo de cuentas tras un determinado número de intentos Protección de cuentas administrativas Autenticación multifactor Estrategia A-G-U-DL-P
Estrategias de Grupo Asignar a grupos globales a usuarios con responsabilidades laborales similares a grupos globales Asignar a grupos globales a usuarios con responsabilidades laborales similares a grupos globales Crear grupos de dominio locales para compartir recursos Crear grupos de dominio locales para compartir recursos Añadir grupos globales que requieran acceso a recursos a grupos locales de dominio Añadir grupos globales que requieran acceso a recursos a grupos locales de dominio Utilizar los grupos universales para asignar acceso a recursos en multiples dominios Utilizar los grupos universales para asignar acceso a recursos en múltiples dominios
Replicación (I) Copia de los objetos entre DCs del directorio activo AD Desde el punto de vista de la replicación Dominios Engloba, bajo un mismo contexto de nombres y de seguridad, N equipos (clientes servidores) Sites Reflejan la estructura física de la red. Subredes Una vez definidas, los servidores, según su dirección IP, se unirán automáticamente a los sites adecuados (en el momento de la instalación)
Replicación (II) Entre DCs de un site la replicación es ‘automática’ Entre DCs de distintos sites hay que configurar conectores Los conectores llevan asociados ‘costes’ dependiendo de las posibles conexiones físicas
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
FSMO (I) Flexible Single Master of Operations Cinco roles FSMO La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor) Ciertas tareas del directorio activo se dejan en manos de un solo servidor Se puede seleccionar a qué servidor asignar cada rol. Cinco roles FSMO Emulador de PDC RID Master Infrastructure Master Domain Naming Master Schema Master Dominio Bosque
Emulador de PDC Emulador de PDC Uno por dominio Da servicio de PDC a equipos no Windows 2k+, p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creación de políticas de grupo Domain Master Browser Se determina en el servidor en: Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Tab PDC
RID Master (Relative ID Master) Uno por dominio Encargado de la asignación de identificadores únicos (p.e. GUIDs) Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Tab RID
Infrastructure Master Uno por dominio Responsable de la comprobación de pertenencia a grupos universales en entornos multidominio Responsable de la actualización de referencias de objetos de su dominio a otros dominios Se determina el servidor en: Active Directory Users and Computers (botón derecho dominio) Menú Operations Masters Tab Infrastructure
Domain Naming Master Domain Naming Master Uno por forest Responsable de que los nombres de dominio sean únicos Controla el que se puedan añadir nuevos dominios Se determina el servidor en: Active Directory Domains and Trusts (botón derecho en raíz de la consola) Menú Operations Master
Schema Master Schema Master Uno por forest Controla cambios y actualizaciones del esquema Se determina el servidor en: Registrar MMC de Active Directory Schema C:\>regsvr32 schmmgmt.dll Active Directory Schema (botón derecho en raíz de la consola) Menú Operations Master
Utilidad Dumpfsmos
Comprobación de roles con la utilidad Replmon
Transferencia de Roles a través del GUI
Transferencia de roles con Ntdsutil.exe
¿Qué hacer en caso de fallo completo de un equipo que gestionaba un FSMO?
Limpieza de la metabase con Ntdsutil.exe
El Interior del Directorio Activo Catálogo Global (I) Dentro de un dominio, cada DC dispone de una copia completa de la base de datos En un entorno multi-dominio se pueden designar servidores que mantengan copias parciales de los datos de todo el forest Servidores de Catálogo Global Para disminuir tamaño sólo se almacenan los valores de ciertos atributos
Transferencia de Roles Nuevo Maestro de Operaciones Maestro de Operaciones inicial Transferencia de un rol a un nuevo DC
Reasignación de Roles Solo si no se puede transferir Puede perderse información Maestro de operaciones funcional Maestro de operaciones dañado Reasignación de Roles a otro DC
Manejo de LDAP. Búsquedas LDP (I) Herramienta de soporte para realizar búsquedas LDAP Vale para cualquier tipo de servidor LDAP, no sólo para AD
Manejo de LDAP. Búsquedas LDP (II) Pasos: Conexión con un servidor LDAP Por defecto devuelve RootDSE Antes de consultar hay que validar Opción bind con usuario y contraseña Buscar Definir el ámbito de la búsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la búsqueda (En el ámbito dado) Resultados a devolver (Qué atributos extraer)
Manejo de LDAP. Búsquedas LDP (III) Demo búsqueda sencilla Lista de usuarios en una OU dada Obtener su GUID, SID y displayName Base DN: OU=usuariosdemo,DC=zaltormovil,DC=local Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. Búsquedas LDP (IV) Ejemplo de búsqueda por SID Obtener los datos del usuario a través de su SID Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623> Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. Búsquedas LDP (V) Ejemplo de búsqueda por GUID Obtener los datos del usuario a través de su GUID Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d> Filter: (objectClass=user) Options - > Attributes: objectGUID;objectSid;displayName
Manejo de LDAP. Búsquedas LDP (VI) Ejemplo de búsqueda compleja. Lista de todos los atributos que se replican al catálogo global Base DN: cn=schema,cn=configuration,dc=zaltormovil,dc=local Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeSet=TRUE)) Scope: Subtree Options - > Attributes: lDAPDisplayName
Manejo de LDAP. Búsquedas LDP (VII) Ejemplo de búsqueda de usuarios eliminados. Ventana de seguridad muestra usuario en forma de: Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112) Base DN: <SID=S-1-5-21-4091595955-2324484845-4052817843-1112> Filter: objectClass=* Scope: Base Options -> Attributes: objectGUID;objectSid Options -> Search type -> Extended Options -> TimeOut -> 120 Options -> Controls -> Return Deleted Objects
Active Directory Application Mode Modo del Directorio Activo independiente de cualquier dominio pensado para proveer de servicios de Directorio LDAP a aplicaciones Mismo código que Directorio Activo Instalación sencilla basada en un asistente Esquema flexible Estrategia de seguridad usándolo en combinación con el Directorio Activo Autenticación contra el Directorio Activo Autorización contra ADAM Acceso a los datos almacenados por parte de las aplicaciones
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
Scripts Windows pone a disposición del sistema una librería que permite, entre otras cosas, acceder al Directorio Activo mediante código ADSI (Active Directory Services Interface) La programación se realiza en lenguajes de Script VBScript JScript
Scripts – Demo Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript) Set objRootDSE = GetObject("LDAP://rootDSE") Set objContainer = GetObject("LDAP://ou=milusuarios," & _ objRootDSE.Get("defaultNamingContext")) For i = 1 To 100 Set objLeaf = objContainer.Create("User", "cn=UserNo" & i) objLeaf.Put "sAMAccountName", "UserNo" & i objLeaf.SetInfo Next WScript.Echo "100 Usuarios creados."
Scripts: Technet Script Center Colección de scripts que sirven como base para realizar tareas de administración muy elaboradas Cientos de ejemplos agrupados por áreas en TechNet Script Center http://www.microsoft.com/technet/scriptcenter
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
Diagnóstico y Monitorización Netdiag.exe Realiza diversas comprobaciones de la red. Útil para trazar problemas de conectividad, DNS, LDAP, etc.
Dcdiag.exe Realiza diversas comprobaciones de diagnóstico del servidor como Controlador de Dominio
dcdiag /test:DCPROMO /DNSDomain:<domainname> /replicadc
Diagnóstico y Monitorización Dsastat.exe Permite determinar si la estructura de DA de N servidores es igual (para verificar que se ha realizado la replicación correctamente)
ReplMon.exe Replication Monitor. Muestra gráficamente el estado de la replicación entre servidores
Diagnóstico y Monitorización Repadmin.exe Utilidad muy extensa que permite trabajar con cómo está establecida la configuración de replicación
Agenda Introducción Instalación Principales objetos del Directorio Activo Estrategias de implantación Roles de servidor Scripting Herramientas de diagnostico Planificación
Diseño, Planificación e Implementación Basado en los requisitos de negocio de la organización Diseño Basado en aspectos técnicos Resultado. Pautas de implementacion Planificación Creación de la estructura de bosque y de dominio Implementación
Diseño Tareas Resultado Diseño de : Bosques Dominios Sitios Recepción de información organizativa Análisis de esa información Análisis de las posibles opciones de diseño Elección de una alternativa Diseño de : Bosques Dominios Sitios Unidades organizativas
Planificación Plan de implantación del Directorio Activo. Cuentas Auditoría Unidades organizativas Sitios Despliegue de software Ubicación física de servidores Políticas de grupo Plan de implantación del Directorio Activo.
Implementación Creación de Bosques Dominios Sites Unidades organizativas. Etc.
Boletín quincenal TechNews
Contactos Informática 64 Profesor http://www.informatica64.com i64@informatica64.com +34 91 146 20 00 Profesor jblazquez@informatica64.com