100%(1)100% au considerat acest document util (1 vot)
40 vizualizări25 pagini
Este documento proporciona una guía sobre el diseño de Active Directory (AD). Explica que AD simplifica la administración de usuarios y recursos al crear infraestructuras escalables, seguras y administrables. Detalla los modelos lógicos de AD, incluyendo bosques, dominios y unidades organizacionales. También cubre temas como diseño de estructuras lógicas, requisitos, modelos de dominio, grupos y políticas de cuentas. El objetivo final es ayudar a identificar los requisitos de diseño y desarrollo de
Este documento proporciona una guía sobre el diseño de Active Directory (AD). Explica que AD simplifica la administración de usuarios y recursos al crear infraestructuras escalables, seguras y administrables. Detalla los modelos lógicos de AD, incluyendo bosques, dominios y unidades organizacionales. También cubre temas como diseño de estructuras lógicas, requisitos, modelos de dominio, grupos y políticas de cuentas. El objetivo final es ayudar a identificar los requisitos de diseño y desarrollo de
Este documento proporciona una guía sobre el diseño de Active Directory (AD). Explica que AD simplifica la administración de usuarios y recursos al crear infraestructuras escalables, seguras y administrables. Detalla los modelos lógicos de AD, incluyendo bosques, dominios y unidades organizacionales. También cubre temas como diseño de estructuras lógicas, requisitos, modelos de dominio, grupos y políticas de cuentas. El objetivo final es ayudar a identificar los requisitos de diseño y desarrollo de
Comprendiendo AD/DS Las organizaciones utilizan AD/DS, para: - Simplificar la administracin de usuarios y recursos, mientras se crean infraestructuras escalables, seguras y administrables. - Administrar la infraestructura de la red, oficinas remotas, servicios de correo y mltiples entornos de bosques (forests) Incluye tres fases:
- Diseo: Estructura lgica - Desarrollo: Implementacin a nivel de laboratorio, pruebas e implantacin en produccin - Operacin: Mantenimiento del Servicio Modelo Lgico del AD Bosque del Directorio Activo Un Bosque es una coleccion de uno o mas dominios de directorio activo, que comparten una estructura logica comun, esquemas de directorio (definicion de clases y atributos), configuracion de directorios (informacion del sitio y replicaciones) y un catalogo global (capacidades de busqueda en los bosques). Los dominios en el mismo bosque, automaticamente se enlazan en ambos sentidos, en relaciones de confianza transitiva. Dominio del Directorio Activo Un dominio es una particion en un bosque del Directorio activo. El pariticionamiento de datos, habilita a las organizaciones para poder replicar datos solo donde se necesitan. Dominios de Directorio Activo Identidad de los usuarios en la red. Los controladores de dominio que habilitan el dominio son utilizados para almacenar las cuentas de usuarios y sus credenciales (tales como contraseas o certificados) de forma segura. Autenticacion. Los controladores de dominio proveen los servicios de autenticacion de usuarios y proveen autorizaciones de datos adicionales, tales como membresia de grupos que son utilizados para controlar el acceso a los recursos en la red. Relaciones de confianza. Los dominios pueden extender los servicios de autenticacion a usuarios en dominios que no pertenezcan a su bosque, a traves de confianza. Replicacion. Los dominios definen una particion del directorio que contiene datos suficientes para proveer servicios de dominio, que puede ser replicado entre los diferentes controladores..
Unidades organizacionales del Directorio Activo Las UO son utilizadas para agrupar objetos con propositos administrativos, tales como aplicacion de politicas de grupo, delegacion de autoridad. El control es determinado por las listas de control de acceso en la unidad organizacional y por los objetos. Identificacin de Requerimientos de Diseo y Desarrollo Diseo de la estructura lgica del Directorio Activo - Determina como estarn organizados los objetos del directorio y provee un mecanismo efectivo para administrar las cuentas de red y recursos compartidos. - Cuando se disea el AD/DS, se define una parte significativa de la infraestructura de red de la organizacin. - Se determina el numero de bosques que requiere la organizacin y se crean los diseos para los dominios, infraestructura DNS y Unidades organizacionales.
Proceso de Diseo
Beneficios de un buen diseo de la estructura lgica
Administracin simplificada de las redes basadas en Microsoft Windows que contienen un gran numero de objetos
Consolidacin de la estructura de Dominio
Habilidad para delegar el control administrativos sobre los recursos
Reduccin del impacto del trafico de la Red
Proceso simplificado para compartir recursos Rendimiento Optimo
Modelo de bosque organizacional En el modelo de bosque, las cuentas de usuarios y los recursos son contenidos en el bosque y administrados de forma independiente. El bosque organizacional puede ser utilizado para proveer servicios autonomos, servicios aislados o datos aislados, si es configurado para prevenir accesos de cualquier fuera del bosque. Si los usuarios en el bosque necesitan acceso a los recursos de otro bosque, se pueden establecer relaciones de confianza entre bosques organizacionales
todo diseo de AD,incluye al menos un bosque oganizacional. Modelo de bosque de recursos En el modelo de bosque de recursos, se utiliza un bosque separado para administrar los recursos. Los bosques de recursos no contienen cuentas de usuario, a no ser aquellas que son requeridas para administracion de servicios y aquellas requeridas para proveer acceso alterno a los recursos en un bosque. Si las cuentas de usuario en el bosque organizacional no estan disponibles, se establece confianza entre bosques, de forma tal que los usuarios en el bosque puedan accesar a los recursos contenidos en el bosque de recursos Modelos de Dominio Los siguientes factores impactan en el modelo de dominio seleccionado: Capacidad disponible en la red dispuesta para ubicar los servicios de dominio de directorio activo. La meta es seleccionar un modelo que facilite una replicacion eficiente de la informacion con un minimo impacto en la disponibilidad del ancho de banda de la red. El numero de usuarios en la organizacion. Si la organizacion incluye un gran numero de usuarios, habilitar mas de un dominio permite particionar los datos y dar un mayor control sobre la cantidad de trafico de replicacion que pasa a traves de las conexiones de red. Esto permite controlar donde se replicaran los datos y reduce la carga creada por el trafico de replicacion en los enlaces mas lentos de la red.
Modelo de dominio simple El modelo simple, es el mas facil de administrar y el menos costoso de mantener. Consiste en un bosque que contiene un unico dominio. Este dominio es el dominio principal del bosque (root) y contiene todas la cuentas de usuarios y grupos. Reduce la complejidad administrativa y provee las siguientes ventajas: Cualquier controlador de dominio puede autenticar a cualquier usuario en el bosque Todos los controladores de dominio pueden ser catalogos globales, de forma tal que no es necesaria la planificacion del posicionamiento del servidor de catalogo.
Todos los usuarios y grupos Globales pertenecen al Dominio. No son necesarias relaciones de confianza El Modelo de Dominio nico
Administracin y Seguridad BDC BDC PDC Directory Database Copia de Directory Database Copia de Directory Database Nmero de Cuentas (Objetos) 1 n Las Cuentas incluyen: l Cuentas de Usuario l Cuentas de Computadores l Cuentas de Grupos n Los dominios soportan hasta 40,000 cuentas Cuentas Usuario Cuentas Computadoras Cuentas Grupos Modelo de dominio regional Todos los objetos de datos en los dominios son replicados a todos los controladores de dominio, por esta razon, si el bosque incluye un gran numero de usuarios que estan distribuidos en diferentes zonas geograficas conectados por enlaces WAN, se necesitan implementar dominios regionales para reducir el trafico de replicacion en los enlaces WAN Los dominios regionales basados en aspectos geograficos pueden ser organizados de acuerdo a la conectividad de la red WAN El modelo de dominio regional consiste en un bosque de dominio principal y uno o mas dominios regionales.. Dnde se crean las Cuentas En la Base de Datos del Servicio de Directorio del PDC del Dominio Empleando Administrador de Usuarios La copia del directorio de almacena en todos los BDCs del Dominio En la Base de Datos del Servicio de Directorio local de la computadora Empleando administrador de usuarios Planificacin de Nuevas Cuentas Determinar localizacin de Informacin de Usuario Determinar Horas de Trabajo del Usuario Determinar requerimiento de las passwords Determinar una convencin de Nombres Determinar Computadoras de Trabajo del Usuario Polticas de Cuentas La Poltica de Cuentas determina cmo se usarn las passwords por parte de los usuarios Establece requerimientos de: Vencimiento de la Password, longitud, y unicidad Bloqueo de la cuenta El cambio de polticas toma efecto cuando: El usuario vuelve a loguearse La prxima vez que el usuario realiza un cambio cubierto por la poltica
Planificacin de una Poltica de Cuentas Exigir que los usuarios con tiempo restringido se desconecten Automticamente Exigir que slo un Administrador la desbloquee. Bloquear cuentas luego de varios intentos fallidos Exigir que los usuarios usen Passwords diferentes Exigir que los usuarios cambien las Passwords con frecuencia Exigir una longitud mnima para el Password No permitir Passwords en Blanco Mejores Prcticas Renombrar la Cuenta de Administrador e Incluirle Password Habilitar la Cuenta Invitado y asignarle Password Usar Roaming Profiles Crear password iniciales aleatoria(Seguridad Medium/Maximum) Exigir a los nuevos Usuarios que cambien su Password Grupos Introduccin a los Grupos Planificacin de una Estrategia de Grupo Creacin de Grupos Locales y Globales Implementacin de Grupos Built-In Mejores Prcticas Introduccin a los Grupos Los Grupos son Agrupaciones de Cuentas de usuario Los Miembros del Grupo toman todos sus Derechos y Permisos Los Grupos Globales permiten el acceso a los Recursos y dan derechos a realizar tareas del sistema Los Grupos Globales Organizan a los Usuarios Recursoss Grupo Global Ventas Permisos Grupo Local Recursos
Resumen de Grupos Locales y Globales Grupos Locales Permite ofrecer derechos y permisos a los usuarios Can include (from any domain): Cuentas de Usuario Grupos Globales
No puede incluir otros grupos locales
Se le asignan derechos y permisos en el dominio local
En una computadora con NT Wstation o Server Independiente slo se le pueden asignar recursos locales En un PDC se le pueden asignar recursos de cualquier controlador de dominio en el dominio Grupos Globales Slo puede incluir cuentas de usuario del dominio en que reside
No puede contener grupos locales o globales
Se aaden a grupos locales para darles sus derechos
No se le asignan recursos locales
Tienen que ser creados en el PDC del dominio donde residen
Organizan Usuarios del Dominio Planificacin de una Estrategia de Grupo Organizar lgicamente a los usuarios basndose en necesidades comunes Crear Grupos Globales, y entonces aadirles cuentas de usuario Crear grupos locales basndose en necesidad de acceder a recursos locales Asignar Permisos a Grupos Locales Aadir grupos Locales a los Grupos Globales
Mejores Prcticas Aada usuarios a Grupos Built-in que sean ms restrictivos Aada Domain Admins de otros Dominios a Local Administrators Asigne Derechos a usuarios slo si el Grupo Built-in no es suficiente Use Domain Users en lugar de Everyone (Media y Alta Seguridad)