Your SlideShare is downloading. ×
13 active directoryasoitson
13 active directoryasoitson
13 active directoryasoitson
13 active directoryasoitson
13 active directoryasoitson
13 active directoryasoitson
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

13 active directoryasoitson

646

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
646
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Instituto Tecnológico de Sonora Administración de Sistemas Operativos (LSIA) Active Directory Introducción a Active Directory Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red. Un servicio de directorio, como Active Directory®, proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red. Por ejemplo, Active Directory almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información. El servicio de directorio de Active Directory® se puede instalar en servidores que ejecuten Microsoft® Windows Server® 2003, Standard Edition, Windows Server 2003, Enterprise Edition y Windows Server 2003, Datacenter Edition. Active Directory almacena información sobre los objetos de la red y facilita la búsqueda y utilización de esta información para los usuarios y administradores. Active Directory utiliza un almacén de datos estructurado como base para una organización lógica y jerárquica de la información del directorio. Active Directory almacena información acerca de los usuarios, equipos y recursos de red y permite el acceso a los recursos por parte de usuarios y aplicaciones. Asimismo, proporciona una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos. Active Directory proporciona las siguientes funciones: Centralizar el control de los recursos de red. Al centralizar el control de recursos como servidores, archivos compartidos e impresoras, sólo los usuarios autorizados pueden obtener acceso a los recursos de Active Directory. Centralizar y descentralizar la administración de recursos. Los administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicación central mediante una interfaz de administración coherente o pueden distribuir tareas administrativas mediante la delegación del control de los recursos a otros administradores. Almacenar objetos de forma segura en una estructura lógica. Active Directory almacena todos los recursos como objetos en una estructura lógica, jerárquica y segura. Optimizar el tráfico de red. La estructura física de Active Directory permite utilizar el ancho de banda de red de forma más efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de autenticación más cercana a él lo autentique, reduciendo así la cantidad de tráfico de red.
  • 2. Instituto Tecnológico de Sonora Administración de Sistemas Operativos (LSIA) Estructura Lógica de Active Directory Active Directory proporciona un almacenamiento seguro de información acerca de los objetos en su estructura lógica jerárquica. Los objetos de Active Directory representan a los usuarios y los recursos, como equipos e impresoras. Algunos objetos son contenedores de otros objetos. Una vez que se ha comprendido el propósito y la función de estos objetos, se pueden realizar diversas tareas, entre las que se incluyen la instalación, configuración, administración y solución de problemas de Active Directory. La estructura lógica de Active Directory comprende los siguientes componentes: Objetos. Son los componentes más básicos de la estructura lógica. Las clases de objetos son plantillas o planos técnicos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objetos se define mediante un grupo de atributos, que definen los posibles valores que se pueden asociar a un objeto. Cada objeto posee una única combinación de valores de atributos. Unidades organizativas. Se pueden utilizar estos objetos contenedores para estructurar otros objetos de modo que admitan los propósitos administrativos. Mediante la estructuración de los objetos por unidades organizativas, se facilita su localización y administración. También se puede delegar la autoridad para administrar una unidad organizativa. Las unidades organizativas pueden estar anidadas en otras unidades organizativas, lo que simplifica la administración de objetos. Dominios. Se trata de las unidades funcionales centrales en la estructura lógica de Active Directory que son un conjunto de objetos definidos de forma administrativa y que comparten una base de datos, directivas de seguridad y relaciones de confianza comunes con otros dominios. Los dominios proporcionan las siguientes tres funciones: • Un límite administrativo para objetos • Un medio de administración de la seguridad para recursos compartidos • Una unidad de replicación para objetos Árboles de dominios. Los dominios que están agrupados en estructuras jerárquicas se denominan árboles de dominios. Al agregar un segundo dominio a un árbol, se convierte en secundario del dominio raíz del árbol. El dominio al que está adjunto un dominio secundario se denomina dominio primario. Un dominio secundario puede tener a su vez su propio dominio secundario. El nombre de un dominio secundario se combina con el nombre de su dominio primario para formar su propio nombre único de Sistema de nombres de dominio (DNS, Domain Name System), como corp.nwtraders.msft. De esta forma, el árbol dispone de un a espacio de nombres contiguo. Bosques. Un bosque es una instancia completa de Active Directory. Consta de uno o varios árboles. En un árbol de sólo dos niveles, que se recomienda para la mayoría de las organizaciones, todos los dominios secundarios se convierten en secundarios del dominio raíz de bosque para formar un árbol contiguo. El primer dominio del bosque se denomina dominio raíz de bosque. El nombre de ese dominio se refiere al bosque, como por ejemplo nwtraders.msft. De forma predeterminada, la información de Active Directory se comparte sólo dentro del bosque. De este modo, el bosque es un límite de seguridad para la información contenida en la instancia de Active Directory.
  • 3. Instituto Tecnológico de Sonora Administración de Sistemas Operativos (LSIA) Estructura Física de Active Directory A diferencia de la estructura lógica, que se basa en requisitos administrativos, la estructura física de Active Directory optimiza el tráfico de red mediante la determinación del lugar y el momento en que se produce la replicación y el tráfico de conexión. Para optimizar el uso del ancho de banda de red de Active Directory, se debe comprender la estructura física. Los elementos de la estructura física de Active Directory son los siguientes: Controladores de dominio. En estos equipos se ejecuta Microsoft Windows® Server™ 2003 o Microsoft Windows 2000 Server y Active Directory. Cada controlador de dominio realiza funciones de almacenamiento y replicación. Un controlador de dominio sólo puede admitir un dominio. Para asegurarse de la disponibilidad continua de Active Directory, cada dominio debe disponer de más de un controlador de dominio. Sitios de Active Directory. Estos sitios son grupos de equipos conectados correctamente. Al establecer sitios, los controladores de dominio de un único sitio se comunican con frecuencia. Esta comunicación minimiza la latencia dentro del sitio, es decir, el tiempo necesario para que un cambio realizado en un controlador de dominio pueda replicarse en otros controladores de dominio. Se pueden crear sitios para optimizar el uso del ancho de banda entre los controladores de dominio que están en ubicaciones diferentes. Particiones de Active Directory. Cada controlador de dominio contiene las siguientes particiones de Active Directory: • La partición del dominio contiene replicados de todos los objetos de ese dominio. La partición del dominio sólo puede replicarse en otro controlador de dominio del mismo dominio. • La partición de configuración contiene la topología del bosque. La topología es un registro de todos los controladores de dominio y las conexiones entre ellos en un bosque. • La partición del esquema contiene el esquema de todo el bosque. Cada bosque tiene un esquema para que la definición de las clases de objetos sea coherente. Las particiones de configuración y del esquema pueden replicarse en los controladores de dominio del bosque. • Las particiones de aplicaciones opcionales contienen objetos no relacionados con la seguridad y utilizados por una o varias aplicaciones. Las particiones de aplicaciones pueden replicarse en controladores de dominio especificados del bosque. Cómo Funciona Active Directory Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y aplicaciones obtener acceso a estos recursos y a la información acerca de ellos, necesita una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos. Un servicio de directorio realiza esta función. Active Directory dispone de las siguientes capacidades: Permite a usuarios y aplicaciones obtener acceso a información sobre objetos. Esta información se almacena en forma de valores de atributos. Se pueden buscar objetos basándose en su clase, atributos, valores de atributos, ubicación dentro de la estructura de Active Directory o cualquier combinación de estos valores.
  • 4. Instituto Tecnológico de Sonora Administración de Sistemas Operativos (LSIA) Clarifica la topología de red física y los protocolos. De este modo, un usuario de una red puede obtener acceso a cualquier recurso, como una impresora, sin saber el lugar donde se encuentra o el modo en que está conectado físicamente a la red. Permite el almacenamiento de un gran número de objetos. Puesto que se organiza en particiones, Active Directory se puede ampliar a medida que la organización crece. Por ejemplo, un directorio se puede ampliar de un solo servidor con varios cientos de objetos a miles de servidores y millones de objetos. Se puede ejecutar como un servicio del sistema no operativo. Active Directory en modo de aplicación (AD/AM) es una nueva capacidad de Microsoft Active Directory que trata determinadas situaciones de implementación relacionadas con aplicaciones habilitadas para directorios. AD/AM se ejecuta como un servicio del sistema no operativo y, como tal, no requiere implementación en un controlador de dominio. La ejecución como servicio del sistema no operativo significa que se pueden ejecutar varias instancias de AD/AM a la vez en un único servidor y cada una de ellas se puede configurar por separado. Esquema de Active Directory El esquema de Active Directory define las clases de objetos, los tipos de información sobre dichos objetos y la configuración de seguridad predeterminada para ellos que se puede almacenar en Active Directory. El esquema de Active Directory contiene las definiciones de todos los objetos, como usuarios, equipos e impresoras, almacenadas en Active Directory. En los controladores de dominio con Windows Server 2003, sólo existe un esquema para un bosque completo. De este modo, todos los objetos creados en Active Directory ajustan a las mismas reglas. El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las clases de objetos, como usuario, equipo e impresora, describen los objetos de directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos. Los atributos se definen independientemente de las clases de objetos. Cada atributo se define sólo una vez y se puede utilizar en varias clases de objetos. Por ejemplo, el atributo Descripción se utiliza en muchas clases de objetos, pero se define sólo una vez en el esquema para garantizar la coherencia. Catalogo Global Los recursos de Active Directory se pueden compartir en dominios y bosques. La característica de catálogo global en Active Directory facilita al usuario la búsqueda de recursos en dominios y bosques. Por ejemplo, si busca todas las impresoras de un bosque, un servidor de catálogo global procesa la consulta en el catálogo global y, a continuación, devuelve los resultados. Sin un servidor de catálogo global, esta consulta requeriría una búsqueda en cada dominio del bosque. El catálogo global es un repositorio de información que contiene un subconjunto de los atributos de todos los objetos de Active Directory. Los miembros del grupo Administradores de esquema pueden cambiar los atributos almacenados en el catálogo global, en función de los requisitos de la organización. El catálogo global contiene los siguientes elementos: 1- Los atributos utilizados con más frecuencia en consultas, como el nombre, apellido y nombre de inicio de sesión de un usuario. 2- La información necesaria para determinar la ubicación de cualquier objeto en el directorio. 3- Un subconjunto predeterminado de atributos para cada tipo de objeto. 4- Los permisos de acceso para cada objeto y atributo almacenado en el catálogo global. Si busca un objeto para el que no dispone de los permisos adecuados para verlo, el objeto no aparecerá en los resultados de la
  • 5. Instituto Tecnológico de Sonora Administración de Sistemas Operativos (LSIA) búsqueda. Los permisos de acceso aseguran que los usuarios sólo puedan encontrar los objetos para los que se les ha asignado acceso. Un servidor de catálogo global es un controlador de dominio que procesa de forma efectiva consultas dentro de un mismo bosque del catálogo global. El primer controlador de dominio que se crea en Active Directory se convierte automáticamente en un servidor de catálogo global. Se pueden configurar servidores de catálogo global adicionales para equilibrar el tráfico de la autenticación de inicio de sesión y consultas. El catálogo global permite a los usuarios realizar dos importantes funciones: „ Buscar la información de Active Directory en cualquier lugar del bosque, independientemente de la ubicación de los datos. „ Utilizar la información de pertenencia al grupo universal para iniciar la sesión en la red. Nombres Completos y Relativos Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) para buscar y modificar objetos en una base de datos de Active Directory. LDAP es un subconjunto de X.500, un estándar del sector que define cómo estructurar directorios. LDAP utiliza la información acerca de la estructura de un directorio para buscar objetos individuales, cada uno de los cuales tiene un nombre único. LDAP utiliza un nombre que representa un objeto de Active Directory mediante una serie de componentes que se relacionan con la estructura lógica. Esta representación, denominada el nombre completo del objeto, identifica el dominio en el que el objeto está ubicado y la ruta completa para llegar a él. Los nombres completos deben ser únicos en un bosque de Active Directory. El nombre completo relativo de un objeto únicamente identifica el objeto en su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo nombre. El nombre completo relativo es siempre el primer componente del nombre completo, pero puede que no siempre sea un nombre común. Para un usuario llamado Cristina Martínez de la unidad organizativa Sales en el dominio Contoso.msft, cada elemento de la estructura lógica se representa con el nombre completo siguiente: CN=Cristina Martínez,OU=Sales,DC=contoso,DC=msft CN es el nombre común del objeto en su contenedor. OU es la unidad organizativa que contiene el objeto. Puede haber más de un valor de OU si el objeto reside en una unidad organizativa anidada. DC es un componente de dominio, como “com” o “msft”. Siempre hay por lo menos dos componentes de dominio, pero es posible que existan más si el dominio es secundario. Los componentes de dominio del nombre completo se basan en el Sistema de nombres de dominio (DNS, Domain Name System). Administración de Active Directory Mediante Active Directory, se puede administrar un gran número de usuarios, equipos, impresoras y recursos de red desde una ubicación central, con herramientas y complementos administrativos en Windows Server 2003. Active Directory también admite la administración descentralizada. Un administrador con la autoridad adecuada puede delegar un conjunto de privilegios administrativos seleccionado a otros usuarios o grupos de una organización.
  • 6. Instituto Tecnológico de Sonora Administración de Sistemas Operativos (LSIA) Active Directory incluye varias características que admiten la administración centralizada: „ Contiene información acerca de todos los objetos y sus atributos. Los atributos contienen datos que describen el recurso que el objeto identifica. Puesto que la información acerca de todos los recursos de red se almacena en Active Directory, un administrador puede administrar los recursos de forma centralizada. „ Se puede consultar Active Directory mediante protocolos como LDAP. Se puede localizar fácilmente la información acerca de objetos mediante la búsqueda de atributos seleccionados del objeto, utilizando herramientas que admitan el protocolo LDAP. „ Se pueden organizar en unidades organizativas objetos que posean requisitos administrativos y de seguridad similares. Las unidades organizativas proporcionan varios niveles de autoridad administrativa, de modo que se puede aplicar la configuración de directivas de grupo y delegar el control administrativo. Esta delegación simplifica la tarea de administración de estos objetos y permite estructurar Active Directory para que se ajuste a los requisitos de la organización. „ Se puede especificar la configuración de directivas de grupo para un sitio, un dominio o una unidad organizativa. Active Directory impone esta configuración de directivas de grupo a todos los usuarios y equipos del contenedor. Active Directory también admite la administración descentralizada. Se pueden asignar permisos y conceder derechos de usuario de formas muy específicas. Por ejemplo, se pueden delegar privilegios administrativos para determinados objetos a los equipos de ventas y mercadotecnia de una organización. Se puede delegar la asignación de permisos en los siguientes casos: „ Para unidades organizativas específicas a distintos grupos locales de dominio. Por ejemplo, se puede delegar el permiso Control total para la unidad organizativa Sales. „ Para modificar los atributos específicos de un objeto en una unidad organizativa. Por ejemplo, se puede asignar el permiso para cambiar el nombre, la dirección y el número de teléfono y para restablecer contraseñas de un objeto de cuenta de usuario. „ Para realizar la misma tarea, como restablecer contraseñas, en todas las unidades organizativas de un dominio. Fuente Original: http://technet.microsoft.com/es-es/library/cc782657%28WS.10%29.aspx http://technet.microsoft.com/es-es/library/cc780336%28WS.10%29.aspx Todo el contenido de este documento es propiedad de las fuentes originales bajo su respectivo licenciamiento, la institución educativa que lo emite no se atribuye ningún derecho sobre la información contenida en este, solo se hace referencia y mención de la misma con fines totalmente informativos.

×