




















Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
FUNDAMENTOS PARA LA GESTIÓN DE SISTEMAS INFORMÁTICOS ASOCIADOS A LA SERIE DE GUÍAS CCN-STIC-500
Tipo: Apuntes
1 / 28
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!





















TEMA 5 Directorio Activo
Centro Criptológico Nacional
TEMA 5 Directorio Activo
Centro Criptológico Nacional 1
Edita:
Centro Criptológico Nacional, 2015
Fecha de Edición: junio de 2015
Sidertia Solutions S.L ha participado en la elaboración del presente documento y sus anexos.
LIMITACIÓN DE RESPONSABILIDAD El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.
AVISO LEGAL Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento, comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler o préstamo públicos.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 3
Un directorio es una base de datos basada en una estructura de herencia que almacena información sobre los objetos que pertenecen a una red.
Un servicio de directorio proporciona a los técnicos y administradores de TI métodos para almacenar los datos de un directorio y permite disponer de dicha información.
Los Servicios de Dominio de Directorio Activo ( AD DS ) son el servicio de directorio que proporciona Microsoft en su sistema operativo servidor MS WindowsServer 2008 R2. Tal y como pudimos ver en apartados anteriores, AD DS es un rol de servicio que no aparece instalado por defecto en el sistema y se podrá instalar, en el servidor, en caso de ser éste el encargado o uno de los encargados de proporcionar el servicio.
AD DS almacena información sobre cuentas como, por ejemplo, nombre, contraseña de inicio de sesión, número de teléfono, etc. AD DS permite a los usuarios de la red acceder a diferentes recursos, entre ellos a la información del Directorio Activo, según su nivel de autorización.
Existen una serie de cambios y novedades importantes en el rol AD DS , para Windows Server 2008 R2, en comparación con las versiones anteriores:
Papelera de reciclaje de Active Directory. Los profesionales de TI pueden hacer uso de esta nueva característica para evitar borrados accidentales. Nuevo módulo de PowerShell****. Nuevos CMDlets que amplían las posibilidades de administración de AD DS a través de la consola de comandos. Centro Administrativo de Directorio Activo. Modelo de administración orientado a la ejecución de tareas. Aumenta la productividad, reduce el tiempo de administración y proporciona escalabilidad. Analizador de buenas prácticas ( BPA )****. Mediante consola gráfica o de comandos, esta herramienta analiza las configuraciones efectuadas y tras contrastar con la base de datos de Microsoft , muestra las modificaciones recomendadas. Servicios Web de Directorio Activo ( AD WS ). Proporciona una interfaz web para dominios de Directorio Activo. Comprobación del mecanismo de autenticación. Proporciona a las aplicaciones el control de acceso a los recursos permitiendo a los administradores de TI especificar propiedades sobre el tipo y la seguridad de la autenticación y asignarle una identidad concreta a la aplicación. Unirse a un dominio sin conexión. Se puede establecer la unión a un dominio a pesar de no haber conectividad, de modo que los equipos pueden ser implementados de manera automática en cuanto hay conectividad. Esto es ventajoso para la preparación de imágenes del sistema operativo y su implementación masiva. Cuentas de servicio administradas. Gracias a ellas, se reducen los costes de administración, ya que no es necesaria la intervención humana en la administración de contraseñas. Active Directory Management Pack. Incluye herramientas de supervisión de disponibilidad y rendimiento de AD DS.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 4
La estructura lógica de una red administrada a través de un entorno de dominio de Directorio Activo se compone de una serie de elementos que en una primera categorización se dividen en objetos, dominios, árboles y bosques.
Un objeto es el elemento básico sobre el que se construye el Directorio Activo. Podemos definir un objeto de Directorio Activo como un conjunto de atributos identificado y diferenciado que representa un recurso de la red. Estos objetos se agrupan en clases de objeto como, por ejemplo, usuarios, grupos o equipos.
Objetos individuales. En el nivel más bajo del Directorio Activo, ciertos objetos representan una entidad individual de la red como, por ejemplo, un usuario o un equipo y, por tanto, no podrán contener otros objetos que dependan de ellos. Para facilitar la administración existen los objetos contenedores. Objetos contenedores. Con el fin de facilitar la administración de los diferentes objetos que componen el Directorio Activo, existe un tipo de objeto que puede contener objetos individuales e, incluso, otros objetos contenedores que se organizan de forma anidada o jerárquica. El tipo más común de objeto contenedor es la Unidad Organizativa ( OU ), este tipo de objeto tiene como cometido la organización de los objetos del dominio en una agrupación lógica administrativa.
Img0001 – Objetos del Directorio Activo
TEMA 5 Directorio Activo
Centro Criptológico Nacional 6
Img0003 – Si A confía en B y B confía en C, entonces A confiará en C.
Dentro de un mismo árbol, todos los dominios que lo componen comparten el esquema y el catálogo global.
Esquema : El esquema comparte entre todos los dominios una definición formal de todos los tipos de objetos contenidos en el bosque. Catálogo global : El catálogo global es un repositorio centralizado que almacena los diferentes objetos del árbol.
Cada árbol es representado por un espacio de nombres contiguo. Si un dominio raíz es “ejemplo.com” y se crean dos dominios secundarios para los departamentos de compras y soporte, los dominios resultantes podrían ser “compras.ejemplo.com” y “soporte.ejemplo.com”. La confianza entre los dominios secundarios y su dominio raíz se establece de forma automática.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 7
Img0004–Árbol de dominio, dominio raíz y dominios secundarios
Es posible agrupar diferentes árboles de dominio para formar un bosque. El bosque de dominio posibilita la combinación de, por ejemplo, combinar divisiones diferentes en una organización o incluso agrupar distintas organizaciones. Los árboles miembros del bosque de dominios no tienen por qué compartir el mismo esquema de nombres y aunque establecen comunicación con los otros árboles pueden operar de forma independiente.
Todos los árboles que pertenecen a un bosque de dominio comparten esquema, catálogo global y un contenedor con la configuración. Del mismo modo que entre dominios, las relaciones de confianza entre diferentes árboles operan dentro de un sistema de seguridad basado en Kerberos.
Es posible establecer confianzas entre diferentes bosques o entre dominios de diferentes bosques. Esta relación no necesariamente tiene que ser bidireccional. En un servidor Controlador del dominio que asuma el rol de maestro de operaciones y mediante la herramienta “Dominios y confianzas de Active Directory”, como veremos en los puntos siguientes, se puede establecer el tipo de confianza entre las siguientes:
Bidireccional : El dominio del bosque A confía en el dominio del bosque B, el dominio del bosque B confía en el dominio del bosque A. Por lo tanto los usuarios podrán autenticarse en los dos dominios.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 9
Las organizaciones hacen uso del rol de Servicios de Dominio de Directorio Activo con el objeto de simplificar la administración tanto de los usuarios como de los recursos y a través de infraestructuras escalables, seguras y de fácil administración. AD DS administra la estructura de la red de la organización y de las sucursales relacionadas, así como los servicios de Microsoft Exchange Server y la gestión, como hemos visto en el punto anterior, de varios bosques.
La implementación de AD DS debe componerse de tres fases :
La fase de diseño. Se realiza el diseño de la estructura lógica de AD DS con el fin de adaptar el servicio a las necesidades de cada una de las divisiones de la organización. La fase de implementación. En esta fase, se realizan pruebas del diseño en un entorno de laboratorio para posteriormente pasar a un entorno de producción. Las pruebas realizadas en el laboratorio podrían afectar a la fase de diseño, por tanto, no se puede dar por finalizada la fase de diseño hasta que no se realiza el paso a producción y se podría decir que la fase de pruebas en laboratorio se da en un punto intermedio entre las dos fases mencionadas. La fase de operaciones. Una vez completada la implementación comienza la fase de operaciones que es la encargada de mantener operativo el servicio de directorio.
Previo a la implementación de AD DS , es necesario plantear el diseño de la estructura lógica que determinará la forma en la que se organizan los diferentes objetos que compondrán el servicio de directorio. Cuando se realiza el diseño de la estructura lógica de AD DS , se define una de las partes esenciales de la infraestructura de red de la organización.
Se deberá, por tanto, determinar el número de bosques que requiere la organización para posteriormente diseñar dominios, infraestructura del sistema de nombres de dominio ( DNS ) y las unidades organizativas ( OU ). Las diferentes fases de diseño de la estructura lógica serían:
Identificación de los participantes en el proyecto de implementación. Diseño de Bosques. Diseño de dominios para cada bosque. Diseño de la infraestructura DNS. Diseño de las unidades organizativas que permitirán delegar la administración de cada bosque.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 10
La siguiente fase debe incluir el diseño de la topología del sitio para la red de la organización. La topología del sitio es una representación lógica de la red física y deberá contener información relacionada con la ubicación de los sitios AD DS , los controladores de dominio de cada sitio, enlaces a sitios y los sitios de replicación de información de AD DS. Las diferentes fases de diseño de la topología del sitio para la red serían las siguientes:
Recopilación de la configuración de la red. Planificación de ubicación de los controladores de dominio. Diseño de sitio. Diseño de enlaces a sitios.
Con el fin de garantizar el rendimiento óptimo del servicio de AD DS , será necesaria la determinación de un número adecuado de controladores de dominio que se ubicarán en cada sitio, así como comprobar que el servidor que asumirá ese rol cumple con los requisitos de hardware exigidos por MS Windows Server 2008 R2.
Esta fase de diseño de AD DS es crítica para evitar problemas futuros de rendimiento y tiempos de respuesta lentos. La planificación de uso de controladores de dominio , a su vez, presenta las siguientes fases :
Recopilación de información del diseño de topología de sitio. Determinación del número de controladores de dominio. Diseño de sitio. Evaluación de requisitos de hardware en los servidores controladores de dominio. Supervisión de rendimiento de cada controlador de dominio.
Img0006 – Ejemplo de diseño básico de estructura de directorios de una organización.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 12
Como ya hemos comentado, es recomendable , no solo de cara a la funcionalidad y aprovechamiento de las características, sino también de cara a la seguridad, actualizar los dominios y bosques al nivel funcional de Windows Server 2008 R2. Para ello, todos los controladores de dominio que pertenezcan a dicho bosque o dominio deberán tener instalado, al menos, Windows Server 2008 R2. En caso contrario se producirán problemas de compatibilidad con las nuevas características e inestabilidad de la estructura del servicio de directorio.
Existe también la posibilidad de reestructurar los dominios dentro de bosques e incluso entre bosques. El objeto de esta labor de migración es el de simplificar la estructura, reducir el número de dominios y, por tanto, las cargas administrativas. Durante esta reestructuración, el entorno de origen y el de destino se mantienen en funcionamiento para permitir revertir el proceso si fuera necesario.
El rol de Servicios de Dominio de Directorio Activo implementa una serie de novedades de instalación con respecto a la versión que incluía Windows Server 2003 , además de un nuevo nivel funcional seleccionable.
Nuevas opciones en el asistente de instalación. El asistente de instalación almacenará en el disco duro los archivos necesarios para la configuración de los Servicios de Dominio del Directorio Activo, pero el servidor no comenzará a funcionar como Controlador de Dominio hasta que no ejecutemos la posterior promoción. En el punto siguiente se analizará la configuración de un controlador de dominio. Nuevas opciones de instalación de AD DS****. o Opción de Controlador de Dominio de solo lectura ( RODC ). El RODC replica la información desde un controlador de dominio de escritura (instalación normal) y la muestra únicamente para su consulta. Teniendo esto en cuenta, el primer controlador de dominio del bosque o del dominio, de ningún modo podrá ser instalado como RODC. o Opción de servicio DNS****. En Windows Server 2008 R2, DNS se instala y configura automáticamente durante el asistente de instalación del rol AD DS y en caso de instalarse en el primer controlador de dominio de un dominio secundario, creará automáticamente la delegación DNS necesaria. Es posible, en caso de no necesitar servicio DNS , evitar la instalación del mismo. o Opción de servidor de catálogo global. Windows Server 2008 R2 permite instalar el rol de Servidor de Catálogo Global desde el propio asistente de instalación. Nuevas opciones para la instalación desatendida e Instalación en modo Core****. Será posible utilizar una nueva serie de comandos que permiten la instalación desatendida, mediante la consola, de las nuevas opciones de instalación presentes en los Servicios de Dominio de Directorio Activo de Windows Server 2008 R2. Así mismo, se puede instalar el rol de AD DS en un sistema Windows Server Core 2008 R2.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 13
Img0007 – Captura del asistente para agregar roles en Windows Server 2008 R
Existen una serie de requisitos tanto de software como de hardware que hay que tener en cuenta a la hora de instalar el rol de AD DS :
Este rol de servicio se instala sobre el sistema operativo servidor Windows Server 2008 R2. Por tanto, previo a la instalación de dicho sistema operativo, se debe consultar el apartado correspondiente a la implementación de Windows Server 2008 R2, de la presente formación, para consultar los requisitos de hardware que deberá cumplir el servidor que asumirá el rol. AD DS necesita que exista una infraestructura de Sistema de nombres de dominio ( DNS ) implementada en el entorno, es posible instalarla durante la ejecución del asistente para crear el controlador de dominio. Este rol recomienda, para un funcionamiento correcto del servicio, que la configuración TCP/IP sea implementada manualmente y no a través de servicios DHCP. La carpeta de sistema SYSVOL deberá encontrarse en un volumen de almacenamiento local, fijo y con formato NTFS. La característica del servidor “. NET Framework 3.5.1 ” es necesaria para la instalación del rol de AD DS , el propio asistente lo indicará en el caso de no detectarlo instalado en el sistema.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 15
El rol de controlador de dominio ( DC ) otorga a un servidor las tareas de administración de los servicios de directorio del Directorio Activo. La función principal de los controladores de dominio es la de mantener la base de datos de autenticación de los usuarios.
Mediante la autenticación, se permite o deniega a un usuario el acceso a los recursos compartidos y otras máquinas pertenecientes a la red corporativa. El método de autenticación es, normalmente, mediante el uso de contraseñas.
Cada uno de los controladores de dominio que pertenecen a la organización usan el fichero SAM ( Administrador de cuentas de seguridad ) para mantener la lista de hashes derivados de las contraseñas. El servicio de directorio también almacena los diferentes permisos y privilegios que recaen sobre un usuario para definir niveles de acceso a diferentes recursos y servicios. En un dominio Windows , en el momento en que un cliente no autorizado solicita acceso a un servidor o recurso compartido, dicho servidor consulta al controlador de dominio la credencial de dicho usuario y si éste está autenticado. En caso de respuesta afirmativa, el servidor establece una conexión de sesión con los privilegios de acceso que correspondan a dicho usuario para ese servicio.
Img0009 – Funcionamiento de solicitud de acceso a un servidor en un entorno de dominio.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 16
Una vez que un usuario se ha autenticado contra el controlador de dominio recibe un token de autenticación que le permite no tener que autenticarse cada vez que solicite un servicio o recurso diferente que pertenezca al dominio
Los diferentes controladores de un dominio tienen como cometido la replicación y propagación de la estructura del servicio de directorio. En el caso de estructuras complejas en las que intervienen numerosos árboles y bosques de dominio, cobran especial importancia los roles FSMO o Maestros de operaciones.
Los roles FSMO son una serie de roles especiales que desempeñan algunos controladores de dominio para que no existan duplicidades ni discrepancias.
Maestro de operaciones de un bosque : solo hay un controlador de dominio con cada tipo de rol en todo el bosque: o Maestro de esquema. Es el único encargado de la modificación del esquema del Directorio Activo. Aunque el esquema está replicado en todos los controladores de dominio, solo este maestro de operaciones podrá escribir modificaciones. o Maestro de nombres de dominios. Es el único encargado de mantener el esquema de nombres de dominios dentro de un bosque. Así mismo, es el encargado de añadir o eliminar dominios. Maestro de operaciones de dominio : Hay un controlador de dominio por cada función (en caso de existir) en cada uno de los dominios. o Emulador de PDC : Se encarga de la sincronización de la hora en los distintos controladores de dominio que pertenecen al dominio. También es el encargado de compatibilizar el comportamiento de los controladores de dominio de dominios anteriores a Windows Server 2008. o Maestro de RID : Este rol lo suele asumir también el Emulador de PDC , aunque esto no es necesario. El maestro de RID asigna secuencias de Id. Relativas a los controladores de dominio que los identifica, sobre todo, de cara a migraciones. o Maestro de infraestructuras : En entornos de múltiples dominios, el Maestro de infraestructuras comprueba la pertenencia a grupos universales y actualiza referencias de objetos de su dominio relacionadas con relaciones hacia otros dominios.
Como ya habíamos introducido en puntos anteriores, el catálogo global es el conjunto de todos los objetos que pertenecen a un bosque de AD DS. El servidor de catálogo global es, por tanto, un controlador de dominio que mantiene la copia completa de todos los objetos del directorio de su dominio y una copia parcial de solo lectura de los objetos del resto de dominios que pertenecen al bosque.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 18
Pulsando el botón “Siguiente” en dos ocasiones, aparecerá la pantalla que nos permite seleccionar si nuestro controlador de dominio será el controlador raíz del bosque o , en caso contrario, pertenecerá a un árbol o bosque existente.
Cuando el asistente solicite el FQDN deberemos indicar el nombre DNS completo del dominio del cual nuestro servidor será controlador. El asistente tendrá diferentes comportamientos si el controlador de dominio pertenecerá a un nuevo bosque o se creará un dominio secundario de un dominio existente. Una vez facilitado el nombre de dominio, el sistema generará el nombre NetBIOS de manera automática.
Img0012 – Proceso de instalación de un controlador de dominio
Los dos pasos siguientes permiten establecer (en caso de creación de nuevo dominio) el nivel funcional de bosque y el nivel funcional de dominio. Si especificamos nivel funcional del bosque como Windows Server 2008 R2, el segundo paso saltará, debido a que solo podrán existir dominios con nivel funcional 2008 R2 en dicho bosque. Una vez especificado, el asistente dará la posibilidad de instalar el Servidor DNS.
Img0013 – Proceso de instalación de un controlador de dominio.
TEMA 5 Directorio Activo
Centro Criptológico Nacional 19
Si no hubiera un servidor DNS previo a la instalación, no se podrá crear una delegación DNS , tal y como indica el mensaje de advertencia que podría aparecer y que habrá que aceptar mediante el botón correspondiente.
Las prácticas recomendadas indican que, en la medida de lo posible, la base de datos del directorio, los archivos de registro y SYSVOL se deben almacenar en unidades diferentes :
Img0014 – Proceso de instalación de un controlador de dominio.
El sistema solicitará, en este momento, la generación de una contraseña que únicamente será requerida para restaurar o reparar el controlador de dominio. Las prácticas recomendadas solicitan que dicha contraseña sea segura (mínimo 8 caracteres, no contiene referencias a datos del usuario, no es una palabra y contiene mayúsculas, minúsculas, números y símbolos) y no debe coincidir con la contraseña de Administrador.
Tras aceptar el resumen de configuración que especifica las elecciones que hemos ido tomando, se habrá configurado el controlador de dominio y al salir del asistente podremos comprobar que los servicios de directorio del Directorio Activo están operativos y en ejecución, una vez se haya reiniciado el servidor.
En el propio administrador del servidor podremos observar que el rol de AD DS está instalado en el apartado “Roles”, Así mismo, En el apartado características se habrá instalado la consola de “Administración de directivas de grupo” de la cual hablaremos en profundidad en apartados posteriores de la presente formación.