------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ Module 2: Introduction to Active Directory DomainServices ------------------------------------------------------------------------------------------------------------------------------------------ ------------------------------------------------------------------------------------------------------------------------------------------ En un Grupo de trabajo, la autentificacion de los usuarios (comprobar la validez de su nombre y contraseña) se hace a nivel local en cada maquina. cada maquina guarda su propia base de datos de usuarios y contraseñas que en windows se denomina SAM (Security Account Manager). esto hace que sea complicado trabajar en red. AD DS (Active directory Domain Services) es un servicio que consta de varios componentes. estos componentes son tanto fisicos como logicos. Controladores de dominio: Son servidores que almacenan una copia de la base de datos del directorio activo (Data Store) Son las maquinas que gestionan todas las actividades en el dominio: recursos, Autenticacion, autorizacion, permisos, credenciales,... Una buena practica es contar con un minimo de 2 DC (Domain controller) en el dominio. La base de datos se replica constantemente entre ellos y si uno falla el otro mantiene el funcionamiento del dominio Base de datos del directorio activo (ntds.dit) NTDS: NT Domain Services DIT: Directory Information Tree C:\Windows\SYSVOL aquí se encuentran las directivas de grupo. RODC (Read Only Domain Controller): Es un DC que almacena una copia de solo lectura del directorio activo. Se usa en sucursales para mejorar el rendimiento, pero sin comprometer la seguridad del dominio. Además, un RODC no almacena (por defecto) credenciales en cache. Catalogo Global: Es un subconjunto del directorio activo. adatum.com: Usuarios, grupos, equipos, recursos... Cada objeto tiene un conjunto de atributos: Usuario: Nombre de usuario, password, grupos a los que pertenece, teléfono, departamento, empresa, dirección... contoso.com: Para que un usuario de adatum.com acceda a recursos de contoso.com solo algunos atributos de ese usuario (nombre de usuario, password y grupos a los que pertenece). Los DC de contoso.com almacenan ese subconjunto de atributos de objetos de adatum.com El catalogo global es un subconjunto de atributos que se almacena en todos los DCs de todos los dominios de un mismo bosque. Componentes logicos de AD DS:
Pariciones: el archivo ntds.dit esta dividido a nivel logico en varios trozos que se denominan "particiones" tenemos varias particiones(contextos de nombres o naming contex) : -esquema(schema):almacena las plantillas de todos los objetos del directorio activo. -catalogo global (Global Catalogue) -Configuracion(configuration): almacena la estructura del directorio activo como sitios, dominios, subdominios,... Cada particion esta gestionada por una funciona que se ejecuta en una maquina concreta. la maquina que lleva a cabo esa operacion se llama maestro de operaciones en ingles FSMO (Flexible single master operation). inicialmente todos los FSMO estan en el primer DC que creamos en el bosque. hay 5 maestros de operaciones. comando para consultas al dominio netdom query para saber donde estan los maestros de operaciones o fmso netdom query fsmo
schema master:almacena las plantillas de todos los objetos del directorio activo. SID: Security identifier (S-1-0-5-1234-12312312...-354) parte fija identificando si es usuario equipo dominio etc parte variable RID: Relative indentifier parte variable del SID domain naming master: indica si esta o no dispoble un nombre de dominio almacena la lista de dominios creados y la relacion entre ellos Infraestructure master: conoce donde estan los equipos y los controladores de dominios para mandar a las maquinas conectarse al DC mas cercano PDC emulator: primary domain controller. Permite mantener la compatibilidad con funciones antiguas que ejecutaban en un directorio activo como windows NT para cambiar la ubicacion de los operation masters comando cmd: ntdsutil aqui ROL es igual a FSMO sirve para hacer copias de seguridad del DC transferir fsmo etc ntdsutil roles cuando esta activo el origen TRANSFER cuando esta caido el origen SEIZE para preguntar donde estan los FSMO con ntdsutil ntdsutil > roles > connections: connect to server lon-dc1 quit para volver de instancia
desde FSMO maintenance: Select operation target list roles for connectecd server nomenglaturas LDAP CN=LON-DC1,DC=adatum,DC=com el directorio activo sigue el estandar LDAP (lightweight directory acces protocol). otros servicios de directorio que siguen el estandar y con los que podemos interactuar son: -openldap linux -oracle directory Services. incluido con oracle identity and acces manager (OIAM) consultar maestros de operaciones desde GUI tools> active directory users and computers
solo aparecen 3 por que son uno para cada dominio dentro del bosque desde powershell get-adforest saca roles a nivel de arbol schema master y naming master get-addomain saca roles a nivel controlador de dominio infraestructure master, RID master, PDC emulator
con estos comando consultas al dominio con el que hayas iniciado sesion schema master y domaing naming master fucionan a nivel de todo el bosque solo hay uno en todo el bosque para ver donde esta el schema master en modo grafico mmc > add snap-in> no aparece ninguna consola que lo muestre esto se hace por que el schema no se debe tocar nunca es una dll sin registrar para que se muestre en mmc registrarla la DLL regsvr32 schmmgmt.dll despues de registrar la dll aparecera como active directory schema otro metodo es en Server manager Tools ADSI EDIT
solo se utilizara cuando no se pueda hacer desde otro sitio DOMINIO: un dominio es un contenedor de objetos: Usuarios, grupos, equipos,... la nueva version del RID Master permite tener en un dominio hasta 2.000.000.000 de objetos no tiene limites fisicos ni esta asociado a una red o subred concreta. En el dominio la base de datos del ad se replica completa y de forma constante. Arbol: conjunto de dominios que comparten una parte de su esquema de nombres (contexto de nombres) ejemplo: arbol 1: adatum.com, madrid.adatum.com, sistemas.adatum.com, segovia.adatum.com arbol 2: contoso.com, madrid.contoso.com, sistemas.contoso.com, logistica.valencia.contoso.com Bosque: es un conjunto de arboles bajo una administracion comun el primer dominio que creamos en un bosque se denomina dominio raiz (Root Domain). para nosotros adatum.com tipo de replicacion en dominio : replicacion multimaster ahora todos los controladores de dominio son root domain en el dominio raiz tenemos objetos que no exiten en los otros dominios. - Enterprise administrator: grupo con privilegios administrativos sobre TODOS los dominios del bosque - Schema Admins: Grupo con privilegios para la administracion del esquema.
a nivel de cada dominio particular tenemos otros objetos: -Domain admins: tienen privilegios administrativos SOLO en su dominio active directory users and computers dsa.msc Replicacion Multimaster: Cualquier DC de un dominio puede ser el origen de cambios y se replicaran a todos los demas DCs de ese dominio. El metodo de replicacion utilizado por el directorio activo es: -FSR (File System Replication) windows server 2012 o anteriores -DFS (Distributed File System) windows server 2012 R2 En windows server 2012 o anteriores teniamos la posibilidad de usar FSR o DFS. apartir de windows 2012 server R2 solo podemos usar DFS. Los DCs son los encargados de: -autenticacion: Validar credenciales. comprobar que tenemos un usuario y contraseña validos -autorizacion: Determinar el nivel de permisis que tiene un usuario sobre los recursos. Decidir que privilegios se le asignan. permisos: lectura escritura modificacion ejecucion... sobre archivos y carpetas Privilegios: iniciar sesion local, iniciar sesion remota, apagar un equipo, modificar el fondo de pantalla, hacer copias de seguridad,... Todos los dominios en un bosque mantienen las relaciones de confianza con el resto de los dominios de ese mismo bosque. un usuario de cualquier dominio puede iniciar sesion en otro dominio del mismo bosque y se puede dar permisos a un usuario de cualquier dominio sobre recursos de un mismo bosque. Unidades organizativas (OU): son contenedores a los que podemos aplicar GPOs Se utilizan para reflejar la estructura jerarquica de la empresa. por ejemplo, podemos tener un dominio madrid.adatum.com con las siquientes OUs: -sistemas - portatiles <-- GPO (Firewall) - sobremesa - servidores <-- GPO (password 14 caracteres) -logistica <-- administracion delegada - paqueteria
- contabilidad -administracion ademas, podemos delegar la administracion de una OU para diferenciar UO de un container es si se puede o no delegar el control En un dominio, cualquier objeto esta identificado por su SID (Security indentifier). Si una maquina virtual esta unida a un dominio, tambien esta identificada por su SID, y podemos clonar o copiar maquinas virtuales. desde windows server 2012 podemos clonar maquinas virtuales, incluso controladores de dominio. Para disinguir entre la maquina original y la clonada, windows server 2012 introduce el VM-generation ID. una maquina virtual y su con tendran el mismo SID, pero diferente VM-Genetarion ID Necesitamos un Hypervisor que soporte VM-Generaction ID: -hyper-v (microsoft) -VMware -Citrix ademas de clonar VMs nos permite trabajar con snapshots el directorio activo utiliza para su base de datos numeros de secuencia para saber que controlador de dominio tiene los ultimos cambios cuando haces una snapshot el vm generation ID se actualiza para que cuando se haga un rollback sepa que viene de una snapshot y se sincronice con el controlador de dominio mas actualizado. ANTES Para actualizar un directorio activo a la nueva version (antes de windows server 2012), era necesario preparar el esquema para acoger las nuevas carasteristicas. por ejemplo: para actualizar de 2003 a 2008, era necesario preparar el esquema para caracteristicas como la papelera de recliclaje de AD. la preparacion implicaba 2 comando: adprep /forestprep adprep /domainprep estan en el CDwindows:\support\adprep para actualizar versiones de windows server si tienes una maquina dc en 2008 hay que meter el dvd de 2012 y ejecutar adprep /forestprep adprep /domainprep y despues actualizar si tienes una maquina dc en 2008 y consigues otra maquina con 2012 unes la 2012 al dominio promocionas a dc esperas que replique con el 2008 y ya podrias quitar el 2008 Control de acceso:
Permite controlar el acceso a los recursos de una forma mas detallada y flexible usando DAC (Dynamic Access Control). es una evolucion de NTFS AD recycle bin: En windows server 2008 R2, para activar y gestionar la papelera de reciclaje de AD solo podiamos usar powershell En windows server 2012 se activa y gestiona desde el AD administrative Center una vez activada ya no se puede desactivar se activa en todo el bosque
MUY IMPORTANTE PARA EL EXAMEN Workplace Join: es una solucion de BYOD (Bring Your Own Device): Dispositivos (smartphones tablets, portatiles personales,...) que no pertenencen al dominio, reciben temporalmente acceso a recursos del dominio Un sistema completo de MDM (Mobile Device Management) es Microsoft Intune
Authentication: TGT: Ticket Granting Ticket es de kerberos v5 dura 8 horas el dominio le da un ticket al usuario con los accesos disponibles y el usuario usa ese ticket para entrar al equipo y a los recursos IFM (Installation From Media): para evita la replicacion de toda la base de datos del AD atraves de la red, podemos hacer una copia de ella en un pendrive, un dvd,... Promocionamos el nuevo DC desde el pendrive no podemos hace la copia de la base de datos en funcionamiento opciones:- parar el dominio. - hacer una snapshot de la base datos. (ntdsutil) EJERCICIO promocionar LON-CORE a DC en ADATUM de forma remota usando Powershell desde LON-DC1 LON-CORE LON-DC1 para promocionar de forma segura almacenamos en una variable el usuario y constraseña del admin $_credencial=(get-credential) sin variable install-addsdomaincontroller -domainname adatum.com -credential (Get-Credential) con variable
install-addsdomaincontroller -domainname adatum.com -credential $_credencial ahora promocionar LON-SRV1 a DC de adatum con IFM haciendo instantanea del AD en LON-DC1 tomamos LON-DC1 como origen y vamos a copiar la base de datos del AD para promocionar LON-srv1 a DC mediante IFM 1.copiar la base de datos: -ntdsutil -activate instance ntds -ifm -Create sysvol Full C:\IFM 2.llevamos el contedio de c:\ifm a la maquina que vamos a promocionar (LON-SRV1) 3.instalamos rol de ad ds en LON-SRV1 y promocionamos con IFM
Cloud Computing IaaS (Infrastructure as a service): contratamos espacio de almacenamiento, memoria RAM y capacidad de procesamiento (CPU). azure (nube publica de microsoft) amazon elastic cloud computing (EC2), google compute engine (GCE). PaaS (Platform as a service): gestionamos un servicio como una base de datos sin tener que preocuparnos del sistema operativo en el que esta instalada. azure amazon db. por ejemplo una maquina para montar un directorio activo SaaS (Software as a service): Tienda virtual, correo electronico, alamcenamiento, gestion de fotos etc. google apps, google docs, dropbox, gmail en resumen ofrecen una aplicacion sin saber sobre que sistema esta funcionando ni cuantos recursos utiliza. Clonado de controladores de dominio virtuales DHCP es incompatible con el clonado En windows server 2012 R2 podemos clonar cualquier maquina virtual ya que soporta VM-Generation ID Requisitos para clonar una maquina virtual - Sistema operativo e Hypervisor que soporten VM-generation ID. - El inconveniente es que tenemos que parar la maquina origen Requisitos para clonar un DC virtual - Lista de roles compatibles para clonar: tenemos que obtener esta lista desde powershell - Obtener un archivo de configuracion para la maquina clonada: nombre de la maquina, direccion IP, mascara, sitio... - La maquina original de estar en el grupo "Cloneable Domain Controllers" una vez hecho el clonado, sacamos las maquinas de este grupo para evitar clonado no autorizados. - El inconveniente es que tenemos que parar la maquina origen Vamos a clonar LON-DC1 -> LON-DC2
Despues de clonar siempre eliminar del grupo por seguridad ahora desde powershell comando para consultar aplicaciones incompatibles con el clonado y que va a excluir del clonado get-addccloningexcludedapplicationlist -GenerateXml
APRENDERSE CustomDCCloneAllowList.xml New-ADDCCloneConfigFile: para saber -sitename
contenido del archivo DCCloneconfig.xml <?xml version="1.0"?> <d3c:dccloneconfig xmlns:d3c="uri:microsoft.com:schemas:dccloneconfig"> <ComputerName>LON-DC2</ComputerName> <SiteName>default-first-site-name</SiteName> <IPSettings> <IPv4Settings> <StaticSettings> <Address>192.168.10.11</Address> <SubnetMask>255.255.255.0</SubnetMask> <DefaultGateway>192.168.10.2</DefaultGateway> <DNSResolver>192.168.10.10</DNSResolver> </StaticSettings> </IPv4Settings> </IPSettings> </d3c:dccloneconfig> se apaga LON-DC1 ahora se copia la mv se inicia LON-DC1 por que el PDC master tiene que entar en funcionamiento y esta en el LON-DC1 y ahora se inicia LON-DC2
despues de esto ya estaria 100% operativa despromocionar un DC para crear un DC hijo manage > remove roles and features primero despromocionar despues eliminar rol para crear un dominio Powershell install-addsdomaincontroller: añadir un DC a un dominio ya existente. como hicimos con LON-CORE, que lo añadimos como un DC adicional a adatum.com install-addsdomain: añadir un dominio nuevo al bosque. puede ser un dominio hijo de otro ya existente (extendemos el arbol) o un arbol nuevo dentro del bosque (contoso.com cuando ya tenemos adatum.com) install-addsforest: crear un dominio y arbol nuevo desde 0