Active Directory

Active Directory

Es el nombre del servicio de directorio de Microsoft Server 2003, provee funcionalidades basicas y beneficios por ejemplo:

1.Integra el DNS:se usa para crear una estructura jerarquicamente de vista de conexiones de red sencilla,ordenada y escalable.

2.Escalabilidad:se organiza en secciones que permiten almacenar un mayor numero de objetos;osea que el directorio activo se amplia a medida que crece la empresa.

3.Administracion centralizada:Permite que los administradores gestionen desde una ubicacion central escritorios distribuidos,servicios de red y aplicaciones.

4.Administracion Delegada:Permite tener un control administrativo limitado sobre la configuracion de la estacion de trabajo.



NOTA: Active Directory no controla ordenadores,controla dominios y administra los recursos y clientes de esos dominios.
Utiliza DNS como sistema de resolucion de nombres (debe haber obligatoriamente uno).Active Directory es accesible dado cualquier servicio de dominio.


Active Directory provee servicios tales como:


LDAP:(Light weight Directory Acces Protocol),es un protocolo a nivel de aplicacion,permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa informacion en un entorno de red.Habitualmente almacena la informacion de login(usuario y contraseña).

DNS:(Domain name server),es una base de datos distribuiday jerarquica que almacena informacion asociada a nombres de dominio.

KERBEROS:Es un protocolo de autentificacion que permite que dos o mas computadores en una red insegura demuetren su identidad mutuamente
segura.


Infraestructura:


*BOSQUE: Es la infraestructura completa de Active Directory; conjunto de arboles.

*ARBOL: Son conjuntos de dominios con relaciones de confianza entre si.

*DOMINIOS: Son unidades Organizacionales (básica) de la estructura lógica de AD.

*UNIDADES ORGANIZATIVAS:Permiten organizar objetos en un dominio, permitiendo asi delegar control administrativo, simplificando la administración de los recurso agrupados.

*OBJETOS: Es cualquier cosa que tenga entidad en el directorio.Puede ser un programa,un usuario,un ordenador entre otros.


NOTA:Guarda informacion,permite localizar a los usuarios y sus recursos en donde se encuentra los dominios del bosque.Mantiene un control de los recursos entre los dominios.



Herramientas Administrativas de Active Directory:


Usuarios y Equipos:Crea,gestiona y configura los objetos de Active Directory.
sirve para administrar destinatarios como usuarios,grupos,equipos y unidades de organizacion.

Sitios y Servicios:Crea y configura sitios dominio y gestiona el proceso de replica de controlador de dominio.

Dominios y Confianzas:Cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario.



Roles de los Maestros de Active Directory:


Emulador de Pdc:Es el encargado de sincronizar las propiedades de las cuentas de usuario y grupos con controladores de dominio.

Maestro de Rid:Asigna secuencias de Id.Relativos (RID) a cada uno de los distintos controladores del dominio.Para cada usuario o Grupo o un objeto asigna un Id de seguridad (SID) unico al objeto creado.

Maestro de Infraestructura:Es responsable de la comprobacion de pertenencia a grupos universales en entornos multidominio,responsable de la actualizacion de referencias de objetos de su dominio a otros dominios.

Maestro de Esquema:Es el encargado de modificar el esquema del AD,este esta replicado en todos los controladores de dominio,solo el controlador de dominio con el rol del maestro de esquema podra modificarlo.

Maestro de Nombres de Dominio:Es el encargado de mantener el esquema de nombres de dominio dentro del bosque y es el encargado de subir y bajar dominios.



Unidades Organizativas:

Son contenedores de objetos .Las OUs son utiles por que pueden usarse agrupar y organizar objetos en el directorio dentro de las unidades administrables con propositos administrativos, como delegar derechos y asignar politicas.

*Permiten organizar objetos en un dominio.
*Nos permiten delegar control administrativo.
*Simplifican la administracion de los recursos comunmente agrupados.



Contenedores de Active Directory:


*Builtin:Contenedor para cuentas de usuario integradas.

*Computers:Contenedor predeterminado para objetos de Equipo.

*Domain Controllers:Contenedor predeterminado para controladores de dominio.

*Foreign Security Principals:Contenedor para entidades principales de seguridad de dominios externos de confianza.Los administradores no deben modificar manualmente el contenido de este contenedor.


Grupos: Conjunto de cuentas de usuario para equipo.

*Tipos de Grupo

Seguridad: Asignan directivas y Permisos

Distribuccion: Asignan aplicaciones,de correo electronico como; Microsoft(R) Exchange.No conceden permisos.

En un dominio hay unos niveles funcionales para trabajar con los grupos:

Windows 2000 Mixto:NT.4.0, 2000, 2003.

Windows 2000 Nativo: . 2000, 2003

Windows 2000 *Server 2003: Global, de Dominio Local y Universal.


*Grupos Globales:Es un grupo de seguridad y distribuccion contiene usuarios grupos y equipos sirve para anidar usuarios a otros grupos en el dominio donde fue creado.

Alcance:Opciones de Confianza


*Grupos Universales:Promiscuos,no son aplicables en nivel funcional Mixto;solo funciona modo 2003 Nativo.

Miembros:Cuentas de usuario,grupo y otro grupo global de cualquier dominio.
Alcance:En todos los dominios en el bosque y de otro grupo universal de cualquier dominio.


Grupo de Dominio Local:son grupos en los que pertenecen usuarios del dominio local de un mismo dominio.
Nativo:Cuentas de usuario,grupos globales de cualquier dominio,grupos universales de cualquier dominio.

Alcance:Propio dominio osea, que cuando asigno permisos estos los asigno a los recursoso del mismo dominio.

Miembros:Grupos locales del mismo dominio.




Estrategias de grupo de AD:



AGP:Se colocan las cuentas de usuario en grupos globales y se conceden permisos a los grupos globales.se utiliza parabosques con un dominio a los que no agregara nunca otros dominios y con muy pocos usuarios.Los grupos no se anidan,las cuentas de usuario pertenecen a un unico ambito de grupo.Tiene una desventaja y es que cada vez que un usuario se autentica con un recurso,el servidor comprueba la pertenencia del grupo global para determinar si el usuario es miembro del grupo.


ADLP:se colocan cuentas de usuario en gruposmlocales de dominio y se coceden permisos a los grupos locales de dominio.Se utiliza para un bosque con los sgts caraterisiticas:
*Un solo dominio con pocos usuarios.
*No se agregan mas dominios.

No se anidan los grupos y las cuentas pertenecen a un unico ambito de grupo.


AGDLP: Se colocan cuentas de usuario en grupos globales se colocan los grupos globales en grupos locales de dominio y,se conceden permisos a los grupos locales de dominio.Se utiliza para un bosque formado por uno o varios dominios.Los dominios son flexibles.


AGUDLP:Se colocan cuentas de usuarios en grupos globales ,se colocan los grupos globales en grupos universales y estos grupos universales en grupos locales de dominio y a continuacion se conceden a los grupos locales de dominio.Se utiliza para un bosque con mas de un dominio.


AGLP:Se asignan recursos en un equipo especifico.