Infraestructuras de Active Directory

Presentación multimedia: Estructura lógica de Active Directory

DominioDominio

Dominio

Dominio

Dominio

DominioUO

UO UO

Árbol de dominios

Dominio

Bosque

Unidad organizativa

Objetos

Presentación multimedia: Estructura física de Active Directory

Sitios

Controladores de dominio

Vínculos WANSitio

Controladores de dominio

Vínculo WAN

Sitio

Dominio

UO1

Equipos

Equipo1

Usuarios

Usuario1

Usuarios

Usuario2

UO2

Impresoras

Impresora1

Qué es un servicio de directorio

Un repositorio de información estructurado sobre personas y recursos de una organización

JesúsHernández

Atributos Valores

Nombre

Edificio

Planta

Jesús Hernández

117

1

Qué es un esquema

Una definición para todo el bosque de clases de objetos y atributos que se puede extenderLos cambios en el esquema se pueden volver a definir o desactivar

Ejemplos de clases de objetos

Usuario

Equipo

Impresora

Ejemplos de atributos

accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName

Qué son los nombres completos y los nombres completos relativos

Los nombres completos identifican el dominio de un objeto y la ruta para llegar a él

Contoso.msft

Finance

Sales

Cristina Martínez

CN=Cristina Martínez,OU=Sales,OU=Finance,DC=contoso,DC=msft

Nombre completo relativo

Administración centralizada

Permite que un único administrador administre los recursos de forma centralizada

Permite a los administradores localizar información y objetos de grupo

Utiliza directivas de grupo para especificar la configuración y controlar el entorno de usuario

Dominio

OU1

Equipos

Equipo1

Usuarios

Usuario1

Usuarios

Usuario2

OU2

ImpresorasImpresora1

OU2OU1

Equipo1 Usuario1 Usuario2Impresora2

Administración descentralizada

Permite la delegación de responsabilidades administrativas de red para unidades organizativas específicas a otros administradores

Permite la delegación de tareas específicas en unidades organizativas

Dominio

Admin1

Admin2

Admin3

OU1

OU2

OU3

Administración centralizada

Permite que un único administrador administre los recursos de forma centralizadaPermite a los administradores localizar información y objetos de grupoUtiliza directivas de grupo para especificar la configuración y controlar el entorno de usuario

Administración descentralizada

Permite la delegación de responsabilidades administrativas de red para unidades organizativas específicas a otros administradoresPermite la delegación de tareas específicas en unidades organizativas

Administración de Active Directory

Herramientas y complementos administrativos de Active Directory

Complementos MMC administrativos� Usuarios y equipos de Active Directory� Dominios y confianzas de Active Directory� Sitios y servicios de Active Directory� Esquema de Active Directory

Herramientas administrativas de línea de comandos� Dsadd� Dsmod� Dsquery� Dsmove

Microsoft Windows Script Host

� Dsrm� Dsget� CSVDE� LDIFDE

Información general del diseño, planeamiento e implementación de Active Directory

Basado en los requisitos empresariales de la organización

Diseño de Active Directory

Basado en los aspectos técnicos del diseño

Se traduce en directrices de implementación

Plan de implementación

de Active Directory

Crea una estructura de dominios y bosquesImplementación de Active Directory

Proceso de diseño de Active Directory

Las tareas de diseño incluyen:

Recopilación de información organizativa

Análisis de información organizativa

Análisis de las opciones de diseño

Selección de un diseño

Perfeccionamiento del diseño

La salida del proceso de diseño incluye:

Diseño de bosques y dominios

Diseño de unidades organizativas

Diseño de sitios

Proceso de planeamiento de Active Directory

Estrategia de cuentas

Estrategia de auditoría

Plan de implementaciónde unidades organizativas

Plan de implementación

de sitios

Plan de implementacióndel software

Plan de ubicación de servidores

Plan de directivas de

grupo

Plande

implementaciónde Active Directory

Proceso de implementación de Active Directory

Para implementar el plan de Active Directory:

Implemente la estructura de bosques, dominios y DNSCree:� Unidades organizativas y grupos de seguridad� Cuentas de usuario y equipo� Directivas de grupo

Implemente sitios

Implementación de una estructura de dominios y

bosques de Active Directory

Proceso de instalación

Inicia el protocolo de seguridad y establece la directiva de seguridad

Crea:Las particiones, la base de datos y los archivos de registro de Active DirectoryEl dominio raíz de bosqueLa carpeta SYSVOL

Configura la pertenencia del controlador de dominio a un sitioHabilita la seguridad en el servicio de directorio y en las carpetas de replicación de archivosAplica la contraseña del modo de restauración

Proceso de instalación de Active Directory

Cómo solucionar problemas de instalación de Active Directory

Síntoma Causas posibles

Se ha denegado el acceso al crear o agregar controladores de dominio

No ha iniciado sesión con una cuenta del grupo de administradores localesLas credenciales no pertenecen a una cuenta de usuario que forme parte del grupo Admins. del dominio o Administradores de organización

Los nombres de dominio DNS o NetBIOS no son exclusivos

Otro dominio tiene el mismo nombre DNS o NetBIOS

No se puede entrar en contacto con el dominio

Error de redError de DNS

No hay suficiente espacio en disco

El espacio en disco disponible es inferior al espacio mínimo necesario para instalar Active Directory

Espacios de nombres de Active Directory y DNS

training

microsoft

= nodo DNS (dominio o equipo) = dominio de Active Directory

sales

computer1

Dominio raíz DNS“.”

com.

Espacio de nombres DNS

Espacio de nombres de Active Directory

microsoft.msft

sales. microsoft.msft training. microsoft.msft

Qué son los registros de recursos SRV

Los registros de recursos SRV son registros DNS que asignan un servicio al equipo que lo proporciona

Formato de registros SRV

Ejemplo

_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft

_Servicio_.Protocolo.Nombre Ttl Clase SRV Prioridad Carga Puerto Destino

Registros SRV registrados por controladores de dominio

Los controladores de dominio con Windows Server 2003 registran registros SRV en el subdominio _msdcs con el siguiente formato:

Ejemplos_ldap._tcp.NombreDeDominioDns

_ldap._tcp.NombreDeSitio._sites.dc

_msdcs.NombreDeDominioDns

_gc._tcp.NombreDeBosqueDns

_gc._tcp.NombreDeSitio._sites.NombreDeBosqueDns

_kerberos._tcp.NombreDeDominioDns

_kerberos._tcp.NombreDeSitio

_sites.NombreDeDominioDns

_Servicio._Protocolo.TipoDeCd._msdcs.NombreDeDominioDns

Cómo funcionan las confianzas entre bosques

nwtraders.msft contoso.msft

Confianza de bosque

Catálogo global

Catálogo global

Seattle

vancouver.nwtraders.msft seattle.contoso.msft

Vancouver

2 44

66

1

355

7

8

99

Implementación de la estructura de una unidad organizativa

Introducción a la administración de unidades organizativas

Eliminación

Dominio

UO1

UO2A

Mantenimiento

Dominio

UO1

UO2A

UO3

Implementación

Dominio

UO1

UO2

UO3

Planeamiento

Plan de unidad organizativa

Métodos para crear y administrar unidades organizativas

Usuarios y equipos de Active Directory

Herramientas del servicio de directorio

DSadd

DSmod

DSrm

Herramienta de línea de comandos Ldifde

Microsoft Windows Script Host

Qué es la delegación de privilegios administrativos

Es el proceso de descentralización de la administración de unidades organizativas

La delegación proporciona:

�Autonomía administrativa

�Aislamiento de servicios o datos

Dominio

Admin1

Admin2

Admin3

UO1

UO2

UO3

Tareas administrativas para unidades organizativas

En una unidad organizativa puede:

Cambiar las propiedades de un contenedor

Crear y eliminar objetos de un tipo específico

Actualizar propiedades específicas en objetos de un tipo específico

Proceso de planeamiento de unidades organizativas

Documentar la estructura existente de la organización

Identificar áreas que mejorar

Determinar el nivel de administración

Identificar cada cuenta de administrador y usuario en la organización y los recursos que administran

Factores organizativos que afectan a la estructura de unidades organizativas

Tipo de modelo administrativo de IT

IT centralizado

IT centralizado con administración descentralizada

IT descentralizado

IT subcontratado

Estructura de modelo administrativo de IT

Administración basada en la situación geográfica

Administración basada en la organización

Administración basada en la función empresarial

Administración híbrida

Directrices para el planeamiento de una estructura de unidad organizativa

Modelo administrativo Diseñar estructura de UO basada en:

Basado en la situación geográfica

Ubicación

Basado en la organización

Estructura de la organización

Basado en la función empresarial

Funciones de la organización

Híbrido

� Ubicación para las unidades organizativas o dominios superiores

� Estructura de la organización para unidades organizativas o dominios inferiores

Accounting

ResearchSales

Directrices para la delegación del control administrativo

Asignar control en el nivel de unidad organizativa y obtener ventajas con la herencia

Reducir los permisos en el nivel de propiedad o tarea

Reducir el número de administradores de dominio

Asignar permisos de acceso a grupos en lugar de a individuos

Implementación de cuentas de usuario,

grupo y equipo

Tipos de cuentas

Cuentas de usuario

Permiten a los usuarios iniciar sesión una única vezProporcionan acceso a recursos

Cuentas de equipo

Permiten la autenticación y auditoría del acceso de los equipos a recursos

Cuentas de grupo

Ayudan a simplificar la administración

Tipos de grupos

Grupos de distribución

Se utilizan sólo con aplicaciones de correo electrónico

No están habilitados para seguridad

Grupos de seguridad

Se utilizan para asignar derechos y permisos a los grupos de usuarios y equipos

Se utilizan de forma más eficaz cuando están anidados

El nivel funcional determina el tipo de grupos que puede crear

Qué son los grupos locales de dominio

Grupo de seguridad o distribución que puedecontener lo siguiente:

Grupos universales, grupos globales y otros grupos locales de su propio dominio

Cuentas de cualquier dominio del bosque

Qué son los grupos globales

Grupo de seguridad o distribución que puede contener usuarios, grupos y equipos como miembros de su propio dominio

Herramientas para crear y administrar varias cuentas

Usuarios y equipos de Active Directory

Herramientas del servicio de directorio

Dsadd

Dsmod

Dsrm

Herramientas Csvde y Ldifde Windows Script Host

Qué es un nombre principal de usuario

Nombre de inicio de sesión que sólo se utiliza para conectarse a una red de Windows Server 2003

Ventajas

�Único en Active Directory

�Puede coincidir con una dirección de correo electrónico del usuario

cristinam@contoso.msft

Directrices para nombrar cuentas

Defina convenciones de nomenclatura para:

Nombres de cuenta de usuario que identifiquen al usuario

Equipos que identifiquen al propietario, ubicación y tipo de equipo

Grupos que identifiquen el tipo de grupo, su ubicación y el propósito del grupo

Directrices para configurar una directiva de contraseñas

Configure Forzar el historial de contraseñas para recordar al menos 24 contraseñas anteriores

Configure Duración máxima de la contraseña para que no supere los 42 días

Configure Duración mínima de la contraseña en al menos dos días

Configure Longitud de la contraseña en 8 caracteres como mínimo

Habilite el parámetro Las contraseñas deben cumplir los requerimientos de complejidad

Directrices para autenticar, autorizar y administrar cuentas

Establezca el parámetro de directivas Umbral de bloqueos de la cuenta en un valor alto

Proteja las cuentas administrativas

Utilice la autenticación con varios factores

Implemente un modelo de seguridad basado en funciones para conceder permisos

Deshabilite la cuenta Administrador y aplique una directiva de privilegios mínimos a las cuentas

Directrices para planear una estrategia de grupo

Asigne usuarios con responsabilidades comunes a grupos globales

Cree un grupo local de dominio para compartir recursos

Agregue a los grupos locales de dominio grupos globales que necesiten acceso a los recursos

Utilice grupos universales para conceder acceso a los recursos en varios dominios

Utilice grupos universales cuando la pertenencia al grupo sea estática

Directrices para supervisar cambios en Active Directory

Habilite:

Auditoría de sucesos de administración de cuentas

Auditoría de acciones correctas de los cambios de directivas

Auditoría de errores de sucesos del sistema

Auditoría de errores de los sucesos de cambio de directiva y los sucesos de administración de cuentas sólo cuando sea necesario

Implementación de directivas de grupo

Introducción

Creación y configuración de GPO

Configuración de la frecuencia de actualización y valores de directivas de grupo

Administración de GPO

Comprobación y solución de problemas de directivas de grupo

Delegación del control administrativo de directivas de grupo

Planeamiento de una estrategia empresarial de directivas de grupo

Lección: Creación y configuración de GPO

Presentación multimedia: Introducción a la directiva de grupoComponentes de GPOPor qué especificar un controlador de dominio para la administración de GPOCómo especificar un controlador de dominio para la administración de GPOQué son los filtros WMI Cómo filtrar la configuración de directivas de grupo con filtros WMIQué es el procesamiento de bucle invertidoCómo configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario

Presentación multimedia: Introducción a la directiva de grupo

Sitio

Dominio

UOUO

UO

GPO1

GPO2

GPO3

GPO4

Componentes de GPO

Contiene los valores de directivas de grupoAlmacena el contenido en dos ubicaciones

Objeto de directiva de grupo

Almacenado en la carpeta compartida SYSVOLProporciona la configuración de directivas de grupo

Plantilla de directiva de grupo

Almacenada en Active DirectoryProporciona información de la versión

Contenedor de directivas de grupo

Qué son los filtros WMI

¿Tiene 500 MB de espacio libre en disco?

Filtro WMI

Administrador

¿InstalarOffice XP?

10 GB 400 MB 35 GB 750 MB

GPO

Utilización de directivas de grupo para implementar y administrar software

2

Implementación

1.0

4

Eliminación

3

Mantenimiento

2.0

Proceso de instalación y mantenimiento de software

Preparación

1

Qué es Windows Installer

Windows Installer

Servicio Windows Installer

Automatiza completamente el proceso de instalación y configuración de software

Modifica o repara la instalación de una aplicación existente

El paquete de Windows Installer contiene

Información acerca de la instalación o desinstalación de una aplicación

Un archivo .msi y archivos de fuente externa

Información de resumen acerca de la aplicación

Una referencia a un punto de instalación

Ventajas del uso de Windows Installer

Instalaciones personalizadas Aplicaciones resistentes Eliminación limpia

Información general del proceso de implementación de software

Cambie las propiedades de implementación de software

3

Utilice un GPO para implementar software

2

Cree un punto de distribución de software

1Publicación

Asignación

Propiedad 1 Propiedad 2 Propiedad 3

Comparación entre la asignación y la publicación de software

Punto de distribución de software

Publicar software mediante la activación

del documento

?

Publicar software mediante Agregar o quitar programas

Asignar softwaredurante la configu-ración del equipo

Asignar softwaredurante la configu-ración del equipo

Opciones predeterminadas para la instalación de software

Especifique si desea utilizar valores predeterminados o definidos por el usuario

los archivos de paquete

Especifique la ubicación del punto de distribución de software que contiene los archivos de paquete con extensión .msi Especifique cómo Especifique cómo

implementar el software

Qué es la asociación de software

Sales

Word 2000

Accounting

Word 2002

Administre las asociaciones de aplicaciones en función del GPO

GPO Accounting

Word 2002

GPO Sales

Word 2000

NombreArchivo.doc

NombreArchivo.doc

Qué es la modificación de software

Instancia únicaen el servidor

Sólo puede agregar y quitar modificaciones

durante la implementación un paquete de software

GPO3

Accounting

GPO2

Marketing

GPO1

Sales

Tipos de actualizaciones de software

Actualizaciones obligatorias

Los usuarios sólo pueden utilizar la versión actualizada

Actualizaciones opcionales

Los usuarios pueden decidir cuándo realizar la actualización

Actualizaciones selectivas

Puede seleccionar usuarios específicos para una actualización

2.0

1.02.0

2.0

1.0

Implementación de la siguiente versión de la aplicación

2.0

Cómo funciona la reimplementación de software

2

Vuelva a implementar el paquete

Directiva Directiva de grupo

Introduzca la actualización de software en el servidor

1

3

El usuario inicia sesión y activa el software

4

El usuario inicia sesión e invoca el software

ActualizaciónActualización

ActualizaciónActualización

Métodos para quitar software implementado

Eliminación forzada

El software se elimina automáticamente de un equipo sin que se anuncie

Eliminación opcional

El software no se quita de un equipo y no se puede instalar ninguna actualización del mismo