Gua de Diseo de AD/DS

M.Sc. Ing. Reynaldo Antonio Castao Umaa

Comprendiendo AD/DS
Las organizaciones utilizan AD/DS, para:
- Simplificar la administracin de usuarios y recursos, mientras se crean
infraestructuras escalables, seguras y administrables.
- Administrar la infraestructura de la red, oficinas remotas, servicios de correo y
mltiples entornos de bosques (forests)
Incluye tres fases:

- Diseo: Estructura lgica
- Desarrollo: Implementacin a nivel de laboratorio, pruebas e implantacin en
produccin
- Operacin: Mantenimiento del Servicio
Modelo Lgico del AD
Bosque del Directorio Activo
Un Bosque es una coleccion de uno o mas dominios de directorio activo, que
comparten una estructura logica comun, esquemas de directorio (definicion de
clases y atributos), configuracion de directorios (informacion del sitio y
replicaciones) y un catalogo global (capacidades de busqueda en los
bosques).
Los dominios en el mismo bosque, automaticamente se enlazan en ambos
sentidos, en relaciones de confianza transitiva.
Dominio del Directorio Activo
Un dominio es una particion en un bosque del Directorio activo. El
pariticionamiento de datos, habilita a las organizaciones para poder replicar
datos solo donde se necesitan.
Dominios de Directorio Activo
Identidad de los usuarios en la red. Los controladores de dominio que
habilitan el dominio son utilizados para almacenar las cuentas de usuarios y
sus credenciales (tales como contraseas o certificados) de forma segura.
Autenticacion. Los controladores de dominio proveen los servicios de
autenticacion de usuarios y proveen autorizaciones de datos adicionales,
tales como membresia de grupos que son utilizados para controlar el acceso
a los recursos en la red.
Relaciones de confianza. Los dominios pueden extender los servicios de
autenticacion a usuarios en dominios que no pertenezcan a su bosque, a
traves de confianza.
Replicacion. Los dominios definen una particion del directorio que contiene
datos suficientes para proveer servicios de dominio, que puede ser replicado
entre los diferentes controladores..

Unidades organizacionales del Directorio Activo
Las UO son utilizadas para agrupar objetos con propositos administrativos,
tales como aplicacion de politicas de grupo, delegacion de autoridad.
El control es determinado por las listas de control de acceso en la unidad
organizacional y por los objetos.
Identificacin de Requerimientos de Diseo y Desarrollo
Diseo de la estructura lgica del Directorio Activo
- Determina como estarn organizados los objetos del directorio y provee un
mecanismo efectivo para administrar las cuentas de red y recursos
compartidos.
- Cuando se disea el AD/DS, se define una parte significativa de la
infraestructura de red de la organizacin.
- Se determina el numero de bosques que requiere la organizacin y se crean
los diseos para los dominios, infraestructura DNS y Unidades
organizacionales.

Proceso de Diseo

Beneficios de un buen diseo de la estructura lgica

Administracin simplificada de las redes basadas en Microsoft Windows que
contienen un gran numero de objetos


Consolidacin de la estructura de Dominio


Habilidad para delegar el control administrativos sobre los recursos


Reduccin del impacto del trafico de la Red

Proceso simplificado para compartir recursos
Rendimiento Optimo

Modelo de bosque organizacional
En el modelo de bosque, las cuentas de usuarios y los recursos son
contenidos en el bosque y administrados de forma independiente. El bosque
organizacional puede ser utilizado para proveer servicios autonomos,
servicios aislados o datos aislados, si es configurado para prevenir accesos
de cualquier fuera del bosque.
Si los usuarios en el bosque necesitan acceso a los recursos de otro bosque,
se pueden establecer relaciones de confianza entre bosques organizacionales



todo diseo de AD,incluye al menos un
bosque oganizacional.
Modelo de bosque de recursos
En el modelo de bosque de recursos, se utiliza un bosque separado para
administrar los recursos.
Los bosques de recursos no contienen cuentas de usuario, a no ser aquellas
que son requeridas para administracion de servicios y aquellas requeridas
para proveer acceso alterno a los recursos en un bosque. Si las cuentas de
usuario en el bosque organizacional no estan disponibles, se establece
confianza entre bosques, de forma tal que los usuarios en el bosque puedan
accesar a los recursos contenidos en el bosque de recursos
Modelos de Dominio
Los siguientes factores impactan en el modelo de dominio seleccionado:
Capacidad disponible en la red dispuesta para ubicar los servicios de dominio
de directorio activo. La meta es seleccionar un modelo que facilite una
replicacion eficiente de la informacion con un minimo impacto en la
disponibilidad del ancho de banda de la red.
El numero de usuarios en la organizacion. Si la organizacion incluye un gran
numero de usuarios, habilitar mas de un dominio permite particionar los datos
y dar un mayor control sobre la cantidad de trafico de replicacion que pasa a
traves de las conexiones de red. Esto permite controlar donde se replicaran
los datos y reduce la carga creada por el trafico de replicacion en los enlaces
mas lentos de la red.

Modelo de dominio simple
El modelo simple, es el mas facil de administrar y el menos costoso de
mantener. Consiste en un bosque que contiene un unico dominio. Este
dominio es el dominio principal del bosque (root) y contiene todas la cuentas
de usuarios y grupos.
Reduce la complejidad administrativa y provee las siguientes ventajas:
Cualquier controlador de dominio puede autenticar a cualquier usuario en el
bosque
Todos los controladores de dominio pueden ser catalogos globales, de forma
tal que no es necesaria la planificacion del posicionamiento del servidor de
catalogo.

Todos los usuarios y grupos Globales pertenecen al Dominio.
No son necesarias relaciones de
confianza
El Modelo de Dominio nico

Administracin
y Seguridad
BDC
BDC
PDC
Directory
Database
Copia de
Directory
Database
Copia de
Directory
Database
Nmero de Cuentas (Objetos)
1
n Las Cuentas incluyen:
l Cuentas de Usuario
l Cuentas de Computadores
l Cuentas de Grupos
n Los dominios soportan hasta 40,000 cuentas
Cuentas Usuario
Cuentas Computadoras
Cuentas Grupos
Modelo de dominio regional
Todos los objetos de datos en los dominios son replicados a todos los
controladores de dominio, por esta razon, si el bosque incluye un gran numero
de usuarios que estan distribuidos en diferentes zonas geograficas
conectados por enlaces WAN, se necesitan implementar dominios regionales
para reducir el trafico de replicacion en los enlaces WAN
Los dominios regionales basados en aspectos geograficos pueden ser
organizados de acuerdo a la conectividad de la red WAN
El modelo de dominio regional consiste en un bosque de dominio principal y
uno o mas dominios regionales..
Dnde se crean las Cuentas
En la Base de Datos del Servicio de Directorio del PDC del Dominio
Empleando Administrador de Usuarios
La copia del directorio de almacena en todos los BDCs del Dominio
En la Base de Datos del Servicio de Directorio local de la computadora
Empleando administrador de usuarios
Planificacin de Nuevas Cuentas
Determinar localizacin de Informacin de Usuario
Determinar Horas de Trabajo del Usuario
Determinar requerimiento de las passwords
Determinar una convencin de Nombres
Determinar Computadoras de Trabajo del Usuario
Polticas de Cuentas
La Poltica de Cuentas determina cmo se usarn las passwords por
parte de los usuarios
Establece requerimientos de:
Vencimiento de la Password, longitud, y unicidad
Bloqueo de la cuenta
El cambio de polticas toma efecto cuando:
El usuario vuelve a loguearse
La prxima vez que el usuario realiza un cambio cubierto por la poltica

Planificacin de una Poltica de Cuentas
Exigir que los usuarios con tiempo restringido se desconecten
Automticamente
Exigir que slo un Administrador la desbloquee.
Bloquear cuentas luego de varios intentos fallidos
Exigir que los usuarios usen Passwords diferentes
Exigir que los usuarios cambien las Passwords con frecuencia
Exigir una longitud mnima para el Password
No permitir Passwords en Blanco
Mejores Prcticas
Renombrar la Cuenta de Administrador e Incluirle Password
Habilitar la Cuenta Invitado y asignarle Password
Usar Roaming Profiles
Crear password iniciales aleatoria(Seguridad Medium/Maximum)
Exigir a los nuevos Usuarios que cambien su Password
Grupos
Introduccin a los Grupos
Planificacin de una Estrategia de Grupo
Creacin de Grupos Locales y Globales
Implementacin de Grupos Built-In
Mejores Prcticas
Introduccin a los Grupos
Los Grupos son Agrupaciones de Cuentas de usuario
Los Miembros del Grupo toman todos sus Derechos y
Permisos
Los Grupos Globales permiten el acceso a los Recursos y
dan derechos a realizar tareas del sistema
Los Grupos Globales Organizan a los Usuarios
Recursoss
Grupo Global
Ventas
Permisos
Grupo Local
Recursos

Resumen de Grupos Locales y Globales
Grupos Locales
Permite ofrecer derechos y permisos a
los usuarios
Can include (from any domain):
Cuentas de Usuario
Grupos Globales

No puede incluir otros grupos locales

Se le asignan derechos y permisos en
el dominio local

En una computadora con NT Wstation
o Server Independiente slo se le
pueden asignar recursos locales
En un PDC se le pueden asignar
recursos de cualquier controlador de
dominio en el dominio
Grupos Globales
Slo puede incluir cuentas de usuario
del dominio en que reside

No puede contener grupos locales o
globales

Se aaden a grupos locales para
darles sus derechos

No se le asignan recursos locales

Tienen que ser creados en el PDC del
dominio donde residen

Organizan Usuarios del Dominio
Planificacin de una Estrategia de Grupo
Organizar lgicamente a los usuarios basndose en necesidades comunes
Crear Grupos Globales, y entonces aadirles cuentas de usuario
Crear grupos locales basndose en necesidad de acceder a recursos
locales
Asignar Permisos a Grupos Locales
Aadir grupos Locales a los Grupos Globales

Mejores Prcticas
Aada usuarios a Grupos Built-in que sean ms restrictivos
Aada Domain Admins de otros Dominios a Local Administrators
Asigne Derechos a usuarios slo si el Grupo Built-in no es suficiente
Use Domain Users en lugar de Everyone (Media y Alta Seguridad)