Windows 2008 Server Active Directory Administración SSII
Contenidos Introducción Estructura lógica Estructura física Objetos a administrar en AD
Contenidos Introducción Que es Active Directory? Autenticación Interoperabilidad Estructura lógica Estructura física Objetos a administrar en AD
Introducción Directorio Estructura jerárquica que almacena info. sobre objetos existentes en la red. Active Directory Domain Services (AD DS) Almacena info. de los recursos disponibles en el dominio Permite acceso controlado a usuarios Medio centralizado Servidor con AD = Controlador de Dominio (DC)
Introducción Authentication is the process that verifies a user s identity Credentials: at least two components required Username Secret, for example, password Two types of authentication Local (interactive) Logon authentication for logon to the local computer Remote (network) logon authentication for access to resources on another computer
Introducción AD es interoperable con los servicios: DHCP DNS SNTP (Simple Network Time Protocol) LDAP Kerberos V5 (authentication) Certificados X.509 (transferencia segura)
Introducción Dominios y ordenadores que se presentan como objetos en el AD, son tambien nodos en el DNS AD utiliza el DNS para: Resolución de nombres Definicion de nombres Busqueda de componentes fisicos en el AD Un dominio es un conjunto de ordenadores, o equipos, que comparten una base de datos de directorio común.
Introducción Active Directory is a database Each record is an object Users, groups, computers, Each field is an attribute Logon name, SID, password, description, membership, Identities (security principals or accounts ) Services: Kerberos, DNS, replication, etc. AD DS is, in the end, a database and the services that support or use that database Accessing the database Windows tools, user interfaces, and components APIs (.NET, VBScript, Windows PowerShell) Lightweight Directory Access Protocol (LDAP)
Install and Configure a Domain Controller 1 2 3 4 5 6 Install the Active Directory Domain Services role using the Server Manager Run the Active Directory Domain Services Installation Wizard Choose the deployment configuration Select the additional domain controller features Select the location for the database, log files, and SYSVOL folder Configure the Directory Services Restore Mode Administrator Password
The MMC Console Show/Hide Console Tree Show/Hide Actions Pane Console Tree Details Pane Actions Pane
Contenidos Introducción Estructura lógica Dominios Múltiples Dominios Nivel funcional Relación de Confianza Unidad organizativa Estructura física Estructura física Objetos a administrar en AD
Dominios Con el uso de dominios se consigue: Delimitar la seguridad Replicar información entre los DCs Aplicar políticas de grupo Delegar permisos administrativos
Múltiples dominios Múltiples dominios en una organización Árbol Bosque
Múltiples dominios Arbol: Conjunto de 1 o mas dominios dentro de un bosque, que comparten un espacio de nombres contiguo (sufijo DSN) treyresearch.net proseware.com antarctica.treyresearch.net
Múltiples dominios Arbol: Los dominios que forman arbol se vinculan mediante relaciones de confianza bidireccionales. IMPORTANTE: El administrador del dominio padre (upm.es) puede conceder permisos para recursos a cuentas de cualquiera de los dominios del árbol (fi.upm.es), pero por defecto no los puede administrar.
Múltiples dominios Bosque: Colección de uno o mas arboles AD que no comparten espacio de nombres contiguo pero se conectan mediante relaciones de confianza. Todos los DCs comparten la misma configuración, mismo esquema de directorio y catalogo global.
Múltiples dominios Bosque No se pueden mover dominios de Active Directory entre bosques. Sólo se puede eliminar un dominio de un bosque si este no tiene dominios hijo. Después de haber creado el dominio raíz de un árbol, no se pueden añadir al bosque dominios con un nombre de dominio de nivel superior. No se puede crear un dominio padre de un dominio existente.
Nivel Funcional Compatibilidad con otros Windows Server Nivel funcional difiere Si DCs con Windows Server previos, se mantiene el nivel funcional de los dominios. Actualizar poco a poco cada DCs Niveles de funcionalidad en dominios Windows Server 2008 R2 Windows 2000 nativo (AD + anidar grupos + grupos universales) Windows Server 2003 (previo + cambio nombre DC + redirección de contenedores) Windows Server 2008 (previo + politica seguridad + nuevo sistema replicación) Windows Server 2008 R2 (previo + gestión federada)
Nivel Funcional Active Directory Federation Services (AD FS) Extends the authority of AD DS to authenticate users Traditional trust Two Windows domains Numerous TCP ports open in firewalls Everyone from trusted domain is trusted AD FS uses Web services technologies to implement trust Uses One AD DS/LDS directory; other side can be Active Directory or other platforms Port 443: transactions are secure and encrypted Rules specifying which users from trusted domain are trusted Business-to-business: partnership Single sign-on
Relación de confianza relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio. Creación de relaciones automática y manual Relaciones unidireccionales y bidireccionales Relaciones transitivas y no transitivas
Relación de confianza Tipos de relaciones de confianza Raiz de arbol: automática, bidir. y transitiva entre dominios raiz de un mismo bosque Principal-Secundario: automático, bidir. y transitiva entre dominio y subdominio. Acceso directo: manual, transitiva y unidir. Acceso a dominios distantes Externa: manual, unidir y transitiva. Acceso a dominios de otros bosques o dominios NT4. De Bosque: manual, unidir y transitiva. Acceso a dominios raiz de diferentes bosques (funcional W2003) De Territorio: manual, unidir (si/no transitiva). Acceso de W2008 a terreno no Windows con Kerberos.
Unidad Organizativa Containers Users Computers
Unidad Organizativa Tambión llamado Organizational Unit (OU) Es un objeto del Directorio Activo que puede contener a otros objetos del directorio Podemos crear una jerarquía de objetos en el directorio Cada OU es única Funciones: Delegar administración Establecer comportamientos a usuarios y equipos
Contenidos Introducción Estructura lógica Estructura física Sitios DCs Funciones de DC Servidor de catálogo global Operaciones de maestro único Objetos a administrar en AD
Sitios Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad. Definir sitios permite configurar la topología de replicación y el acceso a Active Directory de forma que los sistemas Windows Server 2008 utilicen los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación. Se crean por dos razones principalmente: Para optimizar el tráfico de replicación. Para permitir que los usuarios se conecten a un controlador de dominio concreto mediante una conexión confiable de alta velocidad.
Controladores de Dominio También llamado Domain Controller (DC) Es un equipo donde se ejecuta Windows Server y que almacena una replica del Directorio. Información almacenada Directorio de esquema: definición de tipos de objetos y atributos a poder crearse en AD. ALL DCs de bosques. Directorio de configuración: estructura de dominios y topología. ALL DCs de bosques. Directorio de dominio: objetos del directorio para un dominio especifico. ALL DCs de ese dominio. Directorio de aplicaciones: datos específicos de aplicación (NO cuentas de usuario, grupos y equipos). Catálogo global
Funciones de DC Funcionamiento de maestro único (NT4) Primario y secundario o backup Replicación multi-maestro (problema de trafico)
Servidor de catálogo global Catálogo global Es una partición de sólo lectura que almacena una copia parcial (subconjunto de atributos mas consultados) de las particiones de dominio de todos los dominios del bosque. Incorpora la información necesaria para determinar la ubicación de cualquier objeto del directorio. Contiene información de usuarios pertenecientes a grupos universales Servidor de catálogo global DC que almacena una copia del catálogo y procesa las consultas al mismo. En cada bosque debe existir al menos un DC configurado como servidor de catálogo global Por defecto, el primer DC que se crea en el bosque se configura automáticamente como un servidor de catálogo global.
Operaciones de maestro único Un maestro de operaciones es un DC al que se le ha asignado una o varias funciones de maestro único en un dominio o bosque de AD. Funciones de bosque: Maestro de esquema: Controla todas las actualizaciones y modificaciones del esquema Maestro de nombres de dominio: operaciones de agregar, quitar y renombrar dominios del bosque, asegurando que los nombres de dominio sean únicos en el bosque.
Operaciones de maestro único Funciones de dominio: Maestro de identificadores relativos (RID): asigna secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. Con eso se garantiza que dos controladores de dominio no pueden asignar el mismo SID. Emulador de controlador de dominio principal (PDC): para accesos de usuarios de Sever inferior a 2000 y para cambios de contraseña Maestro de infraestructuras: Actualiza los identificadores de seguridad cuando objeto cambia/borra de OU.
Contenidos Introducción Estructura lógica Estructura física Objetos a administrar en AD Usuarios globales Equipos Grupos
Usuarios globales Frente a usuarios locales por equipo Accesos de usuarios en distintos equipos gracias a AD
Usuarios globales Creación: MMC Console DSAdd
Usuarios globales dsadd user "UserDN" samid pre-windows 2000 logon name pwd { password * } mustchpwd yes UserDN. Distinguished name of user to create -samid. Required for new account Pre-Windows 2000 logon name. The downlevel logon name that can be used in the logon format domain\username and that becomes %username% -pwd password. The desired initial password Asterisk (*) will prompt you to enter it at the command prompt, so that the plain text password is not entered with the command -mustchpwd { yes no }. User must change password at next logon Lots of optional attributes, including -email -hmdir & -profile Can use $username$ token to represent the value of samid; for example, -profile \\server01\users\$username$\profile
Equipos Prestage (pre-create) a computer in the correct OU Right-click the OU and choose New Computer Computer Name and Computer Name (Pre-Windows 2000) should be the same User Or Group box delegates permissions to the specified account to join the computer to the domain
Equipos From the System Properties dialog box or window Prompted for domain credentials Requires restart
Grupos Identity Access Management Resource
Grupos Identity Group Access Management Resource
Grupos Identity Group Access Management Resource
Role-Based Management: Role Groups and Rule Groups Identity Role Group Rule Group Access Management Resource
Grupos Grupos locales de dominio. Visible solo en el dominio (Locales ) Sirven para administrar recursos locales del dominio Grupos globales. Visible en todos los dominios del bosque Sirven para agrupar usuarios por roles Grupos universales. Visible en todo el bosque Suelen utilizarse para administrar recursos situados en ordenadores de varios dominios del bosque.
Grupos Regla general 1. Asignar usuarios a grupos globales, según las labores que desempeñen en la organización. 2. Incluir (usuarios y/o) grupos globales en grupos locales del dominio según el nivel de acceso que vayan a tener en los recursos del dominio. 3. Asignar permisos y derechos únicamente a estos grupos locales del dominio en dichos recursos. La utilización de grupos universales está recomendada en casos en los que un mismo conjunto de usuarios (y/o grupos) pertenecientes a varios dominios deben recibir acceso a recursos situados en dominios distintos.
Grupos Group Scope Members from Same Domain Members from Domain in Same Forest Members from Trusted External Domain Can be Assigned Permissions to Resources Local U, C, GG, DLG, UG and local users U, C, GG, UG U, C, GG On the local computer only Domain Local U, C, GG, DLG, UG U, C, GG, UG U, C, GG Anywhere in the domain Universal U, C, GG, UG Global U, C, GG U, C, GG, UG N/A Anywhere in the forest N/A N/A Anywhere in the domain or a trusted domain U C GG DLG UG User Computer Global Group Domain Local Group Universal Group
Grupos Creados por defecto en AD Admin de dominio Usuario de dominio Admin de empresa (admin de todo el AD del bosque) Group Policy Creator Owners (a nivel de dominio)
Demonstration: Basic Administration with Active Directory Users and Computers In this demonstration, you will learn: How to view objects in Active Directory Users and Computers How to refresh the view How to create objects How to configure object attributes How to view all object attributes
Demonstration: Basic Administration with Active Directory Users and Computers If not already started launch 6425B-HQDC01-A and log on to HQDC01 as Pat.Coleman_Admin with the password Pa$$w0rd. Open Active Directory Users and Computers from the Administrative Tools folder Viewing objects Select several containers, starting with the domain, some organizational units, and the Users container. Show that the details pane displays the objects in the container. Refreshing the view Emphasize that you must select a container (domain, organizational unit, or container) in the console tree and then click Refresh or press F5. If an item in the details pane is selected, the Refresh command does not refresh the view of all objects in the container.
Demonstration: Basic Administration with Active Directory Users and Computers Creating objects Create a simple sample user account in the User Accounts\Employees organizational unit to demonstrate that You right-click a container and then click New object. The New Object objecttype Wizard steps you through creating the object. Only a subset of available properties is presented during object creation, including, of course, those that are required.
Demonstration: Basic Administration with Active Directory Users and Computers Configuring object attributes Open the Properties dialog box for the user object you just created, to demonstrate that You right-click an object and then click Properties to configure the attributes of an object. There are many attributes that were not presented during object creation. Attributes are organized on tabs. You can make changes on different tabs and those changes will persist until you click OK or Apply. You don t have to apply changes before navigating to another tab. Clicking OK or Apply are both valid ways of saving your changes. The only difference is that OK closes the dialog box, whereas Apply leaves the dialog box open and with focus.
Windows 2008 Server Active Directory Administración SSII