unidad 6: administración de dominios de active directory
TRANSCRIPT
u n i d a d 6
© MACMILLAN Profesional
Administración de dominios Administración de dominios de Active Directoryde Active Directory
u n i d a d
6
u n i d a d 6
© MACMILLAN Profesional
Servicios de directorio
Un servicio de directorio es una base de datos con una estructura jerárquica y distribuida que se utiliza para administrar de forma centralizada una red. Se caracteriza por:
• Es un almacén de datos.• Está distribuido de manera jerárquica.• Permite la administración centralizada de una red.• Permite el acceso a los recursos de la red.
Los servicios de directorio aportan algunas ventajas significativas, entre las que destacan:
• Seguridad de la información.• Replicación de la información.• Administración basada en directivas (básicas para
administrar la seguridad de una empresa).• Capacidad de ampliación.• Escalabilidad.
u n i d a d 6
© MACMILLAN Profesional
Active Directory
Active Directory es el servicio de directorio de los servidores Windows. Almacena la información de los recursos de la red y permite el acceso a los usuarios y las aplicaciones a dichos recursos.
Soporta los estándares y protocolos más importantes como DNS, SNTP, Kerberos v5 y Certificados X.509.
Sistema de nombres
Cada objeto necesita un nombre distinto para que todo elemento de Active Directory pueda identificarse de manera única.
Nombre completo
Define la ruta del objeto sin mencionar su dominio ni la unidad organizativa contenedora.
Nombre completo relativo
u n i d a d 6
© MACMILLAN Profesional
Active Directory
Sistema de nombres
Se suele tratar del nombre con el que se registra el usuario en la red.
Nombre principal del usuario
Se utilizan para identificar el objeto de manera única en toda la estructura del directorio.
GUID y SID
Estructura lógica
La separación de las estructuras física y lógica de Active Directory es una de sus principales ventajas, ya que permite diseñar las partes de manera independiente.
u n i d a d 6
© MACMILLAN Profesional
Estructura lógica
Dominio
Un dominio es un conjunto de ordenadores que comparten un nombre, un conjunto de directivas y unas bases de datos. Son las estructuras principales de Active Directory. Todos los objetos forman parte de un dominio y la política de seguridad es uniforme en él.
Cada dominio se identifica unívocamente con un nombre de dominio DNS, que debe ser el sufijo DNS principal de todos sus miembros.
Árbol
Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo, es decir, que derivan del mismo nombre de dominio raíz y por tanto tienen un sufijo DNS común.
Bosque
Un bosque es un conjunto de uno o más árboles, conectados entre los dominios raíz de dichos árboles a través de relaciones de confianza bidireccionales y transitivas.
u n i d a d 6
© MACMILLAN Profesional
Estructura física
Controlador de dominio
Es un servidor donde se almacena una réplica del directorio que se encarga de ejecutar el servicio responsable de autenticar inicios de sesión de usuario. Almacena la siguiente información:
• Partición de directorio de dominio.• Partición del directorio de esquema.• Partición del directorio de configuración.• Particiones de directorio de aplicaciones.
Los controladores de dominio RODC (Read Only Domain Controller) son un tipo de controladores de dominio que contienen una copia de solo lectura del directorio activo. Por tanto, desde ellos no se puede administrar el dominio.
Los servidores de catálogo global almacenan una copia de los objetos del directorio activo de un bosque, una copia completa de los objetos de su dominio y una copia parcial de los objetos de otros dominios.
u n i d a d 6
© MACMILLAN Profesional
Relaciones de confianza
Son relaciones establecidas entre dos dominios que permiten a los usuarios de un dominio ser reconocidos por los controladores de dominio de otro dominio. Además, permite a los dominios compartir usuarios y grupos y, por tanto, asignar permisos a usuarios o grupos de otro dominio. Los tipos de relaciones de confianza en función de su operatividad son:
Son las relaciones de dominios por pertenecer al mismo árbol o bosque. Cuando se crea un dominio hijo, este confía en el padre y viceversa.
Bidireccionales y transitivas
Son relaciones de confianza creadas manualmente que mejoran la eficacia de los inicios de sesión remotos acortando la ruta de confianza.
De acceso directo o atajo
Los usuarios del dominio A (de confianza) pueden utilizar los recursos del dominio B (que confía), pero no al revés.
Unidireccionales no transitivas
u n i d a d 6
© MACMILLAN Profesional
Relaciones de confianza
Se crean de forma manual entre los dominios raíz de dos bosques distintos. Permite a los usuarios de cualquier dominio de uno de los bosques acceder a los recursos de cualquier dominio del otro bosque.
Confianza de bosque
Permite la interoperabilidad entre Windows y Kerberos. Es unidireccional y puede ser transitiva o no.
Confianza de territorio
u n i d a d 6
© MACMILLAN Profesional
Niveles funcionales
El nivel funcional de un dominio o de un bosque establece las características y funcionalidades que este puede. Sería como la versión de Active Directory que utiliza el dominio o bosque.
Elevar el nivel funcional de un dominio o bosque tiene como ventaja que ampliamos su funcionalidad, pero esto impide tener controladores de dominio de versiones previas de Windows no compatibles con dicho nivel funcional.
Configuración de un dominio
Las operaciones que se pueden realizar en Active Directory respecto a los dominios son las siguientes:
• Crear un controlador de dominio.• Crear dominios dependientes.• Crear un nuevo dominio en el bosque.• Añadir controladores de dominio adicionales.• Eliminar un controlador de dominio.