Windows 2008 Server
Active Directory
Administración SSII
Contenidos
• Introducción
• Estructura lógica
• Estructura física
• Objetos a administrar en AD
Contenidos
• Introducción
Que es Active Directory?
Autenticación
Interoperabilidad
• Estructura lógica
• Estructura física
• Objetos a administrar en AD
Introducción
• Directorio
Estructura jerárquica que almacena info. sobre objetos existentes en la red.
• Active Directory Domain Services (AD DS)
Almacena info. de los recursos disponibles en el dominio
Permite acceso controlado a usuarios
Medio centralizado
• Servidor con AD = Controlador de Dominio (DC)
Introducción
Two types of authentication • Local (interactive) Logon –
authentication for logon to the local computer
• Remote (network) logon – authentication for access to resources on another computer
Authentication is the process that verifies a user’s identity
Credentials: at least two components required • Username • Secret, for example, password
Introducción
• AD es interoperable con los servicios:
DHCP
DNS
SNTP (Simple Network Time Protocol)
LDAP
Kerberos V5 (authentication)
Certificados X.509 (transferencia segura)
Introducción
• Dominios y ordenadores que se presentan como objetos en el AD, son tambien nodos en el DNS
• AD utiliza el DNS para:
Resolución de nombres
Definicion de nombres
Busqueda de componentes fisicos en el AD
• Un dominio es un conjunto de ordenadores, o equipos, que comparten una base de datos de directorio común.
Introducción
• Active Directory is a database
Each “record” is an object
• Users, groups, computers, …
Each “field” is an attribute
• Logon name, SID, password, description, membership, …
Identities (security principals or “accounts”)
• Services: Kerberos, DNS, replication, etc.
• Accessing the database
Windows tools, user interfaces, and components
APIs (.NET, VBScript, Windows PowerShell)
Lightweight Directory Access Protocol (LDAP)
AD DS is, in the end, a database and the services that support or use that database
Install and Configure a Domain Controller
Install the Active Directory Domain Services role using the Server Manager 1
Choose the deployment configuration 3
Select the additional domain controller features 4
Run the Active Directory Domain Services Installation Wizard 2
Select the location for the database, log files, and SYSVOL folder 5
Configure the Directory Services Restore Mode Administrator Password 6
The MMC Console Show/Hide
Console Tree
Show/Hide Actions
Pane
Console Tree
Details Pane
Actions Pane
Contenidos
• Introducción
• Estructura lógica
Dominios
Múltiples Dominios
Nivel funcional
Relación de Confianza
Unidad organizativa
• Estructura física
• Estructura física
• Objetos a administrar en AD
Dominios
• Con el uso de dominios se consigue:
Delimitar la seguridad
Replicar información entre los DCs
Aplicar políticas de grupo
Delegar permisos administrativos
Múltiples dominios
• Múltiples dominios en una organización
Árbol
Bosque
Múltiples dominios
• Arbol:
Conjunto de 1 o mas dominios dentro de un bosque, que comparten un espacio de nombres contiguo (sufijo DSN)
proseware.com
treyresearch.net
antarctica.treyresearch.net
Múltiples dominios
• Arbol:
Los dominios que forman arbol se vinculan mediante relaciones de confianza bidireccionales.
IMPORTANTE: El administrador del dominio padre (upm.es) puede conceder permisos para recursos a cuentas de cualquiera de los dominios del árbol (fi.upm.es), pero por defecto no los puede administrar.
Múltiples dominios
• Bosque:
Colección de uno o mas arboles AD que no comparten espacio de nombres contiguo pero se conectan mediante relaciones de confianza.
Todos los DCs comparten la misma configuración, mismo esquema de directorio y catalogo global.
Múltiples dominios
• Bosque
No se pueden mover dominios de Active Directory entre bosques.
Sólo se puede eliminar un dominio de un bosque si este no tiene dominios hijo.
Después de haber creado el dominio raíz de un árbol, no se pueden añadir al bosque dominios con un nombre de dominio de nivel superior.
No se puede crear un dominio padre de un dominio existente.
Nivel Funcional
• Compatibilidad con otros Windows Server
Nivel funcional difiere
Si DCs con Windows Server previos, se mantiene el nivel funcional de los dominios.
Actualizar poco a poco cada DCs
• Niveles de funcionalidad en dominios Windows Server 2008 R2
Windows 2000 nativo (AD + anidar grupos + grupos universales)
Windows Server 2003 (previo + cambio nombre DC + redirección de contenedores)
Windows Server 2008 (previo + politica seguridad + nuevo sistema replicación)
Windows Server 2008 R2 (previo + gestión federada)
Nivel Funcional
• Active Directory Federation Services (AD FS)
Extends the authority of AD DS to authenticate users
Traditional “trust”
• Two Windows domains
• Numerous TCP ports open in firewalls
• “Everyone” from trusted domain is trusted
AD FS uses Web services technologies to implement trust
• One AD DS/LDS directory; other side can be Active Directory or other platforms
• Port 443: transactions are secure and encrypted
• Rules specifying which users from trusted domain are trusted
Uses
• Business-to-business: partnership
• Single sign-on
Relación de confianza
• relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio.
• Creación de relaciones automática y manual
• Relaciones unidireccionales y bidireccionales
• Relaciones transitivas y no transitivas
Relación de confianza
• Tipos de relaciones de confianza
Raiz de arbol: automática, bidir. y transitiva entre dominios raiz de un mismo bosque
Principal-Secundario: automático, bidir. y transitiva entre dominio y subdominio.
Acceso directo: manual, transitiva y unidir. Acceso a dominios distantes
Externa: manual, unidir y transitiva. Acceso a dominios de otros bosques o dominios NT4.
De Bosque: manual, unidir y transitiva. Acceso a dominios raiz de diferentes bosques (funcional W2003)
De Territorio: manual, unidir (si/no transitiva). Acceso de W2008 a terreno no Windows con Kerberos.
Unidad Organizativa
• Containers
Users
Computers
Unidad Organizativa
• Tambión llamado Organizational Unit (OU)
Es un objeto del Directorio Activo que puede contener a otros objetos del directorio
Podemos crear una jerarquía de objetos en el directorio
Cada OU es única
Funciones:
• Delegar administración
• Establecer comportamientos a usuarios y equipos
Contenidos
• Introducción
• Estructura lógica
• Estructura física
Sitios
DCs
Funciones de DC
Servidor de catálogo global
Operaciones de maestro único
• Objetos a administrar en AD
Sitios
• Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad.
• Definir sitios permite configurar la topología de replicación y el acceso a Active Directory de forma que los sistemas Windows Server 2008 utilicen los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación.
• Se crean por dos razones principalmente:
Para optimizar el tráfico de replicación.
Para permitir que los usuarios se conecten a un controlador de dominio concreto mediante una conexión confiable de alta velocidad.
Controladores de Dominio
• También llamado Domain Controller (DC)
• Es un equipo donde se ejecuta Windows Server y que almacena una replica del Directorio.
• Información almacenada
Directorio de esquema: definición de tipos de objetos y atributos a poder crearse en AD. ALL DCs de bosques.
Directorio de configuración: estructura de dominios y topología. ALL DCs de bosques.
Directorio de dominio: objetos del directorio para un dominio especifico. ALL DCs de ese dominio.
Directorio de aplicaciones: datos específicos de aplicación (NO cuentas de usuario, grupos y equipos).
Catálogo global…
Funciones de DC
• Funcionamiento de maestro único (NT4)
• Primario y secundario o backup
• Replicación multi-maestro (problema de trafico)
Servidor de catálogo global
• Catálogo global
Es una partición de sólo lectura que almacena una copia parcial (subconjunto de atributos mas consultados) de las particiones de dominio de todos los dominios del bosque.
Incorpora la información necesaria para determinar la ubicación de cualquier objeto del directorio.
Contiene información de usuarios pertenecientes a grupos universales
• Servidor de catálogo global
DC que almacena una copia del catálogo y procesa las consultas al mismo.
En cada bosque debe existir al menos un DC configurado como servidor de catálogo global
Por defecto, el primer DC que se crea en el bosque se configura automáticamente como un servidor de catálogo global.
Operaciones de maestro único
• Un maestro de operaciones es un DC al que se le ha asignado una o varias funciones de maestro único en un dominio o bosque de AD.
• Funciones de bosque:
Maestro de esquema: Controla todas las actualizaciones y modificaciones del esquema
Maestro de nombres de dominio: operaciones de agregar, quitar y renombrar dominios del bosque, asegurando que los nombres de dominio sean únicos en el bosque.
Operaciones de maestro único
• Funciones de dominio:
Maestro de identificadores relativos (RID): asigna secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. Con eso se garantiza que dos controladores de dominio no pueden asignar el mismo SID.
Emulador de controlador de dominio principal (PDC): para accesos de usuarios de Sever inferior a 2000 y para cambios de contraseña
Maestro de infraestructuras: Actualiza los identificadores de seguridad cuando objeto cambia/borra de OU.
Contenidos
• Introducción
• Estructura lógica
• Estructura física
• Objetos a administrar en AD
Usuarios globales
Equipos
Grupos
Usuarios globales
• Frente a usuarios locales por equipo
• Accesos de usuarios en distintos equipos gracias a AD
Usuarios globales
• Creación:
MMC Console
DSAdd
Usuarios globales • dsadd user "UserDN" –samid pre-Windows 2000 logon name –pwd { password | * } –mustchpwd yes
UserDN. Distinguished name of user to create
-samid. Required for new account
• Pre-Windows 2000 logon name. The “downlevel” logon name that can be used in the logon format domain\username and that becomes %username%
-pwd password. The desired initial password
• Asterisk (*) will prompt you to enter it at the command prompt, so that the plain text password is not entered with the command
-mustchpwd { yes | no }. User must change password at next logon
• Lots of optional attributes, including
-hmdir & -profile
Can use $username$ token to represent the value of –samid; for example, -profile \\server01\users\$username$\profile
Equipos
• Prestage (pre-create) a computer in the correct OU
• Right-click the OU and choose New Computer
• Computer Name and Computer Name (Pre-Windows 2000) should be the same
• User Or Group box delegates permissions to the specified account to join the computer to the domain
Equipos • From the System Properties dialog box or window
Prompted for domain credentials
Requires restart
Identity Access Management
Grupos
Resource
Grupos
Identity Group Access Management
Resource
Grupos
Identity Group Access Management Resource
Role-Based Management: Role Groups and Rule Groups
Identity Role Group Rule Group Access Management
Resource
Grupos
• Grupos locales de dominio.
Visible solo en el dominio (Locales )
Sirven para administrar recursos locales del dominio
• Grupos globales.
Visible en todos los dominios del bosque
Sirven para agrupar usuarios por roles
• Grupos universales.
Visible en todo el bosque
Suelen utilizarse para administrar recursos situados en ordenadores de varios dominios del bosque.
Grupos
• Regla general
1. Asignar usuarios a grupos globales, según las labores que desempeñen en la organización.
2. Incluir (usuarios y/o) grupos globales en grupos locales del dominio según el nivel de acceso que vayan a tener en los recursos del dominio.
3. Asignar permisos y derechos únicamente a estos grupos locales del dominio en dichos recursos.
• La utilización de grupos universales está recomendada en casos en los que un mismo conjunto de usuarios (y/o grupos) pertenecientes a varios dominios deben recibir acceso a recursos situados en dominios distintos.
Grupos
U User C Computer GG Global Group DLG Domain Local Group UG Universal Group
Group Scope Members from Same Domain
Members from Domain
in Same Forest
Members from Trusted
External Domain
Can be Assigned
Permissions to Resources
Local U, C, GG, DLG, UG and local users
U, C, GG, UG
U, C, GG
On the local computer only
Domain Local U, C, GG, DLG, UG
U, C, GG, UG
U, C, GG
Anywhere in the domain
Universal U, C, GG, UG
U, C, GG, UG
N/A Anywhere in the forest
Global U, C, GG
N/A N/A Anywhere in the domain or a trusted domain
Grupos
• Creados por defecto en AD
Admin de dominio
Usuario de dominio
Admin de empresa (admin de todo el AD del bosque)
Group Policy Creator Owners (a nivel de dominio)
Demonstration: Basic Administration with Active Directory Users and Computers
In this demonstration, you will learn:
• How to view objects in Active Directory Users and Computers
• How to refresh the view
• How to create objects
• How to configure object attributes
• How to view all object attributes
Demonstration: Basic Administration with Active Directory Users and Computers
• If not already started launch 6425B-HQDC01-A and log on to HQDC01 as Pat.Coleman_Admin with the password Pa$$w0rd.
• Open Active Directory Users and Computers from the Administrative Tools folder
• Viewing objects
Select several containers, starting with the domain, some organizational units, and the Users container. Show that the details pane displays the objects in the container.
• Refreshing the view
Emphasize that you must select a container (domain, organizational unit, or container) in the console tree and then click Refresh or press F5. If an item in the details pane is selected, the Refresh command does not refresh the view of all objects in the container.
Demonstration: Basic Administration with Active Directory Users and Computers
• Creating objects
Create a simple sample user account in the User Accounts\Employees organizational unit to demonstrate that
You right-click a container and then click New object.
The New Object—objectType Wizard steps you through creating the object.
Only a subset of available properties is presented during object creation, including, of course, those that are required.
Demonstration: Basic Administration with Active Directory Users and Computers
• Configuring object attributes
Open the Properties dialog box for the user object you just created, to demonstrate that
You right-click an object and then click Properties to configure the attributes of an object.
There are many attributes that were not presented during object creation.
Attributes are organized on tabs.
You can make changes on different tabs and those changes will persist until you click OK or Apply. You don’t have to apply changes before navigating to another tab.
Clicking OK or Apply are both valid ways of saving your changes. The only difference is that OK closes the dialog box, whereas Apply leaves the dialog box open and with focus.
Windows 2008 Server
Active Directory
Administración SSII