25/11/2015

25/11/2015

Active Directory

Un directorio es una lista que permite organizar y

localizar elementos.
En trminos informticos los dos elementos de un
directorio son:
El almacn de datos: contiene los objetos tales
como aplicaciones, bases de datos, impresoras,
usuarios,
Los servicios que actan sobre los datos: lleva a
cabo funciones como: replicacin, medidas de
seguridad, distribucin de datos,

Active Directory

Definicin de Active Directory

Es un almacn de objetos y un servicio basado en la red ,
con una estructura jerrquica que ubica y administra
recursos, ponindolos al alcance de grupos y usuarios.
En AD todo es un objeto: usuarios, servidores, estaciones
de trabajo, documentos,

Cada objeto tiene sus propios atributos as como una ACL

(Access Control List) asociada.

25/11/2015

Active Directory

FUNCIONES DE AD
Almacn jerrquico de los objetos.
Esquema. Conjunto de reglas que definen la estructura
de los objetos que se pueden crear en AD.
Catlogo global. Es el conjunto de todos los objetos de
AD.
Sistema de ndices y consultas. Se pueden realizar
consultas sobre objetos, es decir, buscar informacin
sobre un objeto. Esto se realiza mediante LDAP (Protocolo
Ligero de Acceso al Directorio)
Servicio de replicacin. Permite la sincronizacin de
datos entre varios servidores de AD.

Active Directory

FUNCIONES DE AD
Nombres integrados con DNS. Es esquema de nombres
de los diferentes objetos sigue el estndar DNS.

25/11/2015

Active Directory

PROTOCOLOS Y ESTNDARES DE AD
DNS( Servicio de nombres de dominio). Realiza la
traduccin entre nombres de dominio y direcciones IP.
SNTP (Protocolo Simple de tiempo de red). Permite
sincronizar el tiempo entre dos ms mquinas de la red.
Kerberos v5. Es el protocolo utilizado para la
autenticacin de usuarios y mquinas.
Certificados X.509. Estndar de infraestructura de clave
pblica, usado para certificados digitales

Active Directory

AD dispone de dos elementos estructurales ms un

tercer elemento que sera el esquema:
Estructura lgica: est compuesta por los objetos
as como sus atributos asociados. Los objetos de AD
se organizan segn un modelo jerrquico de
dominio.
Estructura fsica: esta estructura presenta
mecanismos para la replicacin y comunicacin de
datos. Sus dos aspectos fundamentales son:
La definicin de elemento estructural de la subred
IP, constituido por los sitios de AD
El servidor fsico que almacena y replica datos de AD

25/11/2015

Active Directory

Esquema: contiene las definiciones de todos los

objetos que se crean y almacenan en Active Directory
y sus propiedades.
Las clases describen los posibles objetos del directorio
que se pueden crear. Cada clase es una coleccin de
atributos. Al crear un objeto, los atributos almacenan
la informacin que describe el objeto.
El esquema es responsabilidad del controlador de
dominio.
Una copia se replica a todos los DC del bosque para
asegurar la integridad y coherencia de los datos en
todo el bosque.

25/11/2015

Active Directory

Los bloques organizativos disponibles en la estructura

lgica son:
Dominios
rboles de dominio
Bosques de dominio
Unidades organizativas

25/11/2015

Active Directory

Dominio

Consta de los sistemas de equipo y los recursos de

red que comparte un lmite de seguridad lgica, es
decir, comparten un nombre, un conjunto de
directivas y unas bases de datos.
Es la estructura principal de AD. Todos los objetos
forman parte de un dominio y la poltica de seguridad
es uniforme en l.

Active Directory

Cada dominio se identifica unvocamente con un

nombre de dominio DNS, que debe ser el sufijo DNS
principal de todos sus equipos.
Ejemplo: Si equipo1 pertenece al dominio
smrdominio.local, el nombre completo del equipo ser
equipo1.smrdominio.local

Objetivos de utilizar un dominio:

Lmite de seguridad. La configuracin de seguridad
de cada dominio es independiente.
Lmite de replicacin de informacin. Cualquier
controlador de dominio admite cambios de
informacin y es capaz de replicarlos al resto de
controladores del mismo dominio.

25/11/2015

Active Directory

Lmite de delegacin de permisos administrativos.

Se pueden delegar los derechos administrativos del
dominio a otros usuarios pero no a otros dominios

Active Directory

rboles de dominios
Es un conjunto de dominios comparten un esquema,
relaciones de confianza de seguridad y un catlogo
global, se crea un rbol de dominio, definido por
espacios de nombre comn y contiguo.
Ejemplo: hijo1.raiz.com, hijo2.raiz.com e
hijo3.raiz.com pueden formar parte de un rbol, ya
que comparten una nomenclatura contigua y pueden
tener un esquema y catlogo global comunes.

El primer dominio creado se conoce como dominio raz y

contiene la configuracin y los datos de esquema para el
rbol.

25/11/2015

Active Directory

Algunos de los motivos para crear diferentes dominios en

un rbol son:
Se pueden gestionar organizaciones diferentes y
proporcionar identidades de unidad.
Se pueden reforzar distintos lmites de seguridad y
directivas de contrasea
Proporciona una mejor gestin de un gran nmero
de objetos administrados
Descentraliza la administracin

Active Directory

Bosques de dominios
Es un conjunto de uno o ms rboles, conectados entre
los dominios raz de dichos rboles a travs de relaciones
de confianza bidireccionales.
Si hay ms de un rbol en el bosque, estos no tienen el
mismo espacio de nombres.
Pero las relaciones de confianza tambin se pueden
establecer entre rboles de dominio con distintos
espacios de nombres. Cuando esto ocurre se crean
distintos espacios de nombres.
Un bosque no tiene un nombre propio.

25/11/2015

Active Directory

Bosques de dominios

Las razones para crear rboles son:

Mantener los nombres de dominio de los rboles
Proporcionar una estructura de red (si mi empresa
tiene varias empresas subsidiarias independientes, se
creara un rbol para cada empresa.
Fusiones de empresas que quieren mantener su
entidad.
NO se pueden mover dominios entre bosques.

Cuando se crea el primer controlador de dominio en la

organizacin se crea el dominio raz del bosque

http://delreguero.com/wordpress/wpcontent/uploads/ASO/otros/01_intro_infraestruct_DA/media08_1.htm

10

25/11/2015

Active Directory

Unidades organizativas
Los dominios se pueden dividir de manera interna en
subestructuras administrativas conocidas como Unidades
Organizativas.
Pueden considerarse como objetos de contenedor.
Las UO pueden anidarse dentro de otras UO, pudiendo
crear una estructura jerrquica dentro del dominio.

11

25/11/2015

Componentes de AD

CONTROLADOR DE DOMINIO:
Contiene la base de datos de objetos del directorio para un determinado dominio,
incluida la informacin relativa a la seguridad. Adems, ser responsable de la
autenticacin de objetos dentro de su mbito de control.
En un dominio dado, puede haber varios controladores de dominio asociados, de
modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin
embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo
dominio, tendrn la misma importancia.
Un controlador de dominio de slo lectura RODC contiene una copia de solo lectura de
AD. Por lo tanto, desde l no se puede administrar el AD.
Su objetivo es proporcionar un acceso rpido y que no suponga un ataque de
seguridad a la red (se suele utilizar en sucursulas)

12

25/11/2015

Componentes de AD

UN SITIO es un grupo de ordenadores que se encuentran

relacionados, de una forma lgica, con una localizacin
geogrfica particular.
En realidad, pueden encontrarse fsicamente en ese lugar o,
como mnimo, estar conectados, mediante un enlace
permanente, con el ancho de banda adecuado.
En otras palabras, un controlador de dominio puede estar en la
misma zona geogrfica de los clientes a los que ofrece sus
servicios o puede encontrarse en el otro extremo del planeta
(siempre que estn unidos por una conexin adecuada). Pero en
cualquier caso, todos juntos formarn el mismo sitio.

Componentes de AD

Una relacin de confianza es una relacin establecida

entre los dominios de forma que permite a los usuarios de
un dominio ser reconocidos por los DCs de otro dominio.

Las relaciones de confianza tienen tres rasgos

caractersticos:
Mtodo de creacin: algunos tipos de relaciones e
confianza se crean de forma automtica (implcita) y
otros de forma manual (explcita).

13

25/11/2015

Componentes de AD

Direccin: algunos tipos de relaciones son

unidireccionales y otros bidireccionales. Si la relacin
es unidireccional, los usuarios del dominio A (de
confianza) pueden utilizar los recursos del dominio B
(que confa), pero no al revs.
Transitividad: una relacin de confianza transitiva es
aquella que permite que si un dominio A confa en otro
B, y ste confa en un tercero C, entonces, de forma
automtica, A confa en C.

Componentes de AD

Los tipos de relaciones de confianza vlidos en dominios y

bosques son:
Bidireccionales y transitivas.
Relacin entre dominios del mismo rbol o bosque.
Cuando se crea un dominio hijo, ste confa en el
padre y viceversa.
Por defecto se incluyen las confianzas establecidas
de forma automtica entre los dominios raz de los
rboles del mismo bosque.
La relacin entre dominio-subdominio

14

25/11/2015

Componentes de AD

Los tipos de relaciones de confianza vlidos en dominios y

bosques son:
De acceso directo o atajo. Son relaciones creadas
manualmente que mejoran la eficacia de los inicio de
sesin remotos, acortando la la ruta entre dos
dominios.
Se utiliza cuando los usuarios de un dominio
necesitan acceder a los recursos de otro.
Externas o unidireccionales no transitivas. Se crean
entre dos dominios de diferentes bosques. (Usuarios
del dominio A pueden utilizar recursos de dominio B,
pero no al revs).

Componentes de AD

(Usuarios del dominio A pueden utilizar recursos de

Confianza
dominio B, del
perobosque.
no al revs).

Se crea de forma manual entre dominios raz de dos bosques

distintos.
Permite a los usuarios de un bosque acceder a los recursos
de cualquier dominio del otro bosque.
Es unidireccional y transitiva entre dos bosques.
Confianza de territorio.
Se establece de forma manual entre un dominio Windows
Server 2008 y un Kerberos que no sea Windows.

15

25/11/2015

Componentes de AD

Componentes de AD. Niveles funcionales

A lo largo del tiempo los sistemas Windows

Server han evolucionado respecto a su
funcionalidad.
Esta evolucin se refleja en lo que se conoce
como niveles funcionales.

Un nivel funcional establece una serie de

caractersticas o funcionalidades disponibles en el
dominio/bosque y la posibilidad de ser
compatible con un versin previa de Windows
Server.

16

25/11/2015

Componentes de AD. Niveles funcionales

Windows Server 2008 R2 dispone de los

siguientes niveles funcionales:
Windows 2000 Nativo
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2

Sistemas de nombres de AD

Se estructura de la siguiente manera:

Nombre completo.
Cada objeto se identifica de manera nica.
Para ello, AD utiliza el nombre completo.
Ejemplo: Un usuario con nombre comn
(CN), se ubica en la Unidad organizativa
(OU), y se encuentra en un dominio (DC)
Ejemplo:
CN=Rafael Prez, OU=Users, DC=ejemplo,
DC=com

17

25/11/2015

Sistemas de nombres de AD

Se estructura de la siguiente manera:

Nombre completo relativo. Define la ruta del objeto sin
mencionar ni el dominio, ni la unidad organizativa.
Ejemplo: Si estamos dentro de la OU Users del dominio
ejemplo.com para encontrar el usuario se debe
especificar Rafael Prez.
Nombre principal de usuario. Es el nombre con el cual se
registra el usuario. Se debe especificar usuario y dominio.
Ejemplo: rperez@ejemplo.com
Identificador nico global (GUID) o identificador de
seguridad (SID). Son dos identificadores de un objeto. Si
cambio de dominio el SID vara pero GUID no debe cambia.

Sistemas de nombres de AD

AD utiliza el sistema de nombres DNS para

tres funciones:
Resolver los nombres de dominios y objetos.
Para localizar un equipo PC1: PC1.ejemplo.com

Asignar nombres a los dominios y a los objetos.

Localizar los controladores de dominio y sus
componentes

18

25/11/2015

Instalacin de Active Directory

Antes de instalar Active Directory hay que tener un par

de cosas en cuenta:

Cambia el nombre del equipo en la red ya que

despus de promocionarlo a controlador de dominio
ser mucho ms difcil.

Siempre es conveniente que el DC tenga las IP

asignadas como estticas (ya que tambin va a
funcionar como servidor DNS), por lo que asegrate
de que tienen esta configuracin.

19

25/11/2015

Instalacin de Active Directory

Instalacin de Active Directory

Como cualquier nueva funcionalidad que queramos

asignarle al servidor hemos de hacerlo en
Administrador del servidor y ah elegimos Agregar
funciones.

20

25/11/2015

Instalacin de Active Directory

Instalacin de Active Directory

21

25/11/2015

Instalacin de Active Directory

Instalacin de Active Directory

Nos aseguramos de que la instalacin ha finalizado

correctamente.

22

25/11/2015

Instalacin de Active Directory

Ya tenemos instalada la funcin de Controlador de

dominio pero el equipo an no lo es.
Para ello hay que promocionarlo a controlador de
dominio.
Esto lo hacemos desde la lnea de comandos
utilizando la orden dcpromo.

Instalacin de Active Directory

Seleccionamos la opcin de instalacin en modo

avanzado.

23

25/11/2015

Instalacin de Active Directory

Instalacin de Active Directory

Si ya tenemos un dominio en la organizacin

podremos aadir el dominio al bosque existente.
En caso contrario crearemos un bosque nuevo.

24

25/11/2015

Instalacin de Active Directory

Debemos asignar un FQDN (Fully Qualified Domain

Name) a nuestro dominio.
Como es un dominio interno para nuestra
organizacin es buena costumbre poner la extensin
.local

Instalacin de Active Directory

Por compatibilidad con versiones anterior hemos de

asignarle un nombre NetBIOS para el servidor.
Recuerda que NetBIOS/NetBEUI es el protocolo de
asignacin de nombres en red utilizado en los
equipos Windows.

25

25/11/2015

Instalacin de Active Directory

Se indica el nivel funcional del bosque.

Segn el nivel funcional que escojamos limitaremos la
versin de Windows Server que tienen que tener
otros controladores de dominio del servidor.

Instalacin de Active Directory

Active Directory requiere

un servidor DNS en el
dominio para la
resolucin de nombres.
Si no tenemos un
servidor DNS en la red
marcamos la casilla
Servidor DNS para que lo
instale.
Hay otras dos casillas marcadas en gris que solo se muestran si ya
tenemos otro DC en la red:
Catlogo global: si la marcamos el catlogo global del dominio
se almacenar en el DC que estamos instalando.
DC de solo lectura: si queremos que el controlador de dominio
que instalamos sea de solo lectura.

26

25/11/2015

Instalacin de Active Directory

Indicamos donde queremos guardar la base de datos

de AD, los archivos de registro y SYSVOL.
En un DC en produccin es aconsejable hacerlo en un
disco diferente.

Instalacin de Active Directory

El Modo de restauracin nos permite recuperar el

sistema en caso de fallo. Aqu indicaremos la
contrasea que necesitaremos en caso de hacerlo.

27

25/11/2015

Instalacin de Active Directory

Finalmente nos
muestra un
resumen de las
opciones
escogidas y
procede a la
promocin del
DC

Instalacin de Active Directory

Al finalizar reiniciamos el equipo para que se apliquen

los cambios.

28

25/11/2015

Instalacin de Active Directory

Cuando reiniciemos el
equipo podemos ver que ya
nos estamos validando
contra el dominio y no como
usuario local.
En el controlador de dominio
no hay usuario locales.
Ya veremos que en el resto
de equipos del dominio
podemos entrar como
usuarios locales o como
usuarios del dominio.

Instalacin de Active Directory

Ahora en nuestro servidor

tenemos tres nuevas
entradas para gestionar el
administrar el dominio.

29