Upload
ivan-gonzalez
View
12
Download
1
Embed Size (px)
Citation preview
Infraestructuras de Active Directory
Presentación multimedia: Estructura lógica de Active Directory
DominioDominio
Dominio
Dominio
Dominio
DominioUO
UO UO
Árbol de dominios
Dominio
Bosque
Unidad organizativa
Objetos
Presentación multimedia: Estructura física de Active Directory
Sitios
Controladores de dominio
Vínculos WANSitio
Controladores de dominio
Vínculo WAN
Sitio
Dominio
UO1
Equipos
Equipo1
Usuarios
Usuario1
Usuarios
Usuario2
UO2
Impresoras
Impresora1
Qué es un servicio de directorio
Un repositorio de información estructurado sobre personas y recursos de una organización
JesúsHernández
Atributos Valores
Nombre
Edificio
Planta
Jesús Hernández
117
1
Qué es un esquema
Una definición para todo el bosque de clases de objetos y atributos que se puede extenderLos cambios en el esquema se pueden volver a definir o desactivar
Ejemplos de clases de objetos
Usuario
Equipo
Impresora
Ejemplos de atributos
accountExpiresdepartmentdistinguishedNamedirectReportsdNSHostNameoperatingSystemrepsFromrepsTofirstNamelastName
Qué son los nombres completos y los nombres completos relativos
Los nombres completos identifican el dominio de un objeto y la ruta para llegar a él
Contoso.msft
Finance
Sales
Cristina Martínez
CN=Cristina Martínez,OU=Sales,OU=Finance,DC=contoso,DC=msft
Nombre completo relativo
Administración centralizada
Permite que un único administrador administre los recursos de forma centralizada
Permite a los administradores localizar información y objetos de grupo
Utiliza directivas de grupo para especificar la configuración y controlar el entorno de usuario
Dominio
OU1
Equipos
Equipo1
Usuarios
Usuario1
Usuarios
Usuario2
OU2
ImpresorasImpresora1
OU2OU1
Equipo1 Usuario1 Usuario2Impresora2
Administración descentralizada
Permite la delegación de responsabilidades administrativas de red para unidades organizativas específicas a otros administradores
Permite la delegación de tareas específicas en unidades organizativas
Dominio
Admin1
Admin2
Admin3
OU1
OU2
OU3
Administración centralizada
Permite que un único administrador administre los recursos de forma centralizadaPermite a los administradores localizar información y objetos de grupoUtiliza directivas de grupo para especificar la configuración y controlar el entorno de usuario
Administración descentralizada
Permite la delegación de responsabilidades administrativas de red para unidades organizativas específicas a otros administradoresPermite la delegación de tareas específicas en unidades organizativas
Administración de Active Directory
Herramientas y complementos administrativos de Active Directory
Complementos MMC administrativos� Usuarios y equipos de Active Directory� Dominios y confianzas de Active Directory� Sitios y servicios de Active Directory� Esquema de Active Directory
Herramientas administrativas de línea de comandos� Dsadd� Dsmod� Dsquery� Dsmove
Microsoft Windows Script Host
� Dsrm� Dsget� CSVDE� LDIFDE
Información general del diseño, planeamiento e implementación de Active Directory
Basado en los requisitos empresariales de la organización
Diseño de Active Directory
Basado en los aspectos técnicos del diseño
Se traduce en directrices de implementación
Plan de implementación
de Active Directory
Crea una estructura de dominios y bosquesImplementación de Active Directory
Proceso de diseño de Active Directory
Las tareas de diseño incluyen:
Recopilación de información organizativa
Análisis de información organizativa
Análisis de las opciones de diseño
Selección de un diseño
Perfeccionamiento del diseño
La salida del proceso de diseño incluye:
Diseño de bosques y dominios
Diseño de unidades organizativas
Diseño de sitios
Proceso de planeamiento de Active Directory
Estrategia de cuentas
Estrategia de auditoría
Plan de implementaciónde unidades organizativas
Plan de implementación
de sitios
Plan de implementacióndel software
Plan de ubicación de servidores
Plan de directivas de
grupo
Plande
implementaciónde Active Directory
Proceso de implementación de Active Directory
Para implementar el plan de Active Directory:
Implemente la estructura de bosques, dominios y DNSCree:� Unidades organizativas y grupos de seguridad� Cuentas de usuario y equipo� Directivas de grupo
Implemente sitios
Implementación de una estructura de dominios y
bosques de Active Directory
Proceso de instalación
Inicia el protocolo de seguridad y establece la directiva de seguridad
Crea:Las particiones, la base de datos y los archivos de registro de Active DirectoryEl dominio raíz de bosqueLa carpeta SYSVOL
Configura la pertenencia del controlador de dominio a un sitioHabilita la seguridad en el servicio de directorio y en las carpetas de replicación de archivosAplica la contraseña del modo de restauración
Proceso de instalación de Active Directory
Cómo solucionar problemas de instalación de Active Directory
Síntoma Causas posibles
Se ha denegado el acceso al crear o agregar controladores de dominio
No ha iniciado sesión con una cuenta del grupo de administradores localesLas credenciales no pertenecen a una cuenta de usuario que forme parte del grupo Admins. del dominio o Administradores de organización
Los nombres de dominio DNS o NetBIOS no son exclusivos
Otro dominio tiene el mismo nombre DNS o NetBIOS
No se puede entrar en contacto con el dominio
Error de redError de DNS
No hay suficiente espacio en disco
El espacio en disco disponible es inferior al espacio mínimo necesario para instalar Active Directory
Espacios de nombres de Active Directory y DNS
training
microsoft
= nodo DNS (dominio o equipo) = dominio de Active Directory
sales
computer1
Dominio raíz DNS“.”
com.
Espacio de nombres DNS
Espacio de nombres de Active Directory
microsoft.msft
sales. microsoft.msft training. microsoft.msft
Qué son los registros de recursos SRV
Los registros de recursos SRV son registros DNS que asignan un servicio al equipo que lo proporciona
Formato de registros SRV
Ejemplo
_ldap._tcp.contoso.msft 600 IN SRV 0 100 389 london.contoso.msft
_Servicio_.Protocolo.Nombre Ttl Clase SRV Prioridad Carga Puerto Destino
Registros SRV registrados por controladores de dominio
Los controladores de dominio con Windows Server 2003 registran registros SRV en el subdominio _msdcs con el siguiente formato:
Ejemplos_ldap._tcp.NombreDeDominioDns
_ldap._tcp.NombreDeSitio._sites.dc
_msdcs.NombreDeDominioDns
_gc._tcp.NombreDeBosqueDns
_gc._tcp.NombreDeSitio._sites.NombreDeBosqueDns
_kerberos._tcp.NombreDeDominioDns
_kerberos._tcp.NombreDeSitio
_sites.NombreDeDominioDns
_Servicio._Protocolo.TipoDeCd._msdcs.NombreDeDominioDns
Cómo funcionan las confianzas entre bosques
nwtraders.msft contoso.msft
Confianza de bosque
Catálogo global
Catálogo global
Seattle
vancouver.nwtraders.msft seattle.contoso.msft
Vancouver
2 44
66
1
355
7
8
99
Implementación de la estructura de una unidad organizativa
Introducción a la administración de unidades organizativas
Eliminación
Dominio
UO1
UO2A
Mantenimiento
Dominio
UO1
UO2A
UO3
Implementación
Dominio
UO1
UO2
UO3
Planeamiento
Plan de unidad organizativa
Métodos para crear y administrar unidades organizativas
Usuarios y equipos de Active Directory
Herramientas del servicio de directorio
DSadd
DSmod
DSrm
Herramienta de línea de comandos Ldifde
Microsoft Windows Script Host
Qué es la delegación de privilegios administrativos
Es el proceso de descentralización de la administración de unidades organizativas
La delegación proporciona:
�Autonomía administrativa
�Aislamiento de servicios o datos
Dominio
Admin1
Admin2
Admin3
UO1
UO2
UO3
Tareas administrativas para unidades organizativas
En una unidad organizativa puede:
Cambiar las propiedades de un contenedor
Crear y eliminar objetos de un tipo específico
Actualizar propiedades específicas en objetos de un tipo específico
Proceso de planeamiento de unidades organizativas
Documentar la estructura existente de la organización
Identificar áreas que mejorar
Determinar el nivel de administración
Identificar cada cuenta de administrador y usuario en la organización y los recursos que administran
Factores organizativos que afectan a la estructura de unidades organizativas
Tipo de modelo administrativo de IT
IT centralizado
IT centralizado con administración descentralizada
IT descentralizado
IT subcontratado
Estructura de modelo administrativo de IT
Administración basada en la situación geográfica
Administración basada en la organización
Administración basada en la función empresarial
Administración híbrida
Directrices para el planeamiento de una estructura de unidad organizativa
Modelo administrativo Diseñar estructura de UO basada en:
Basado en la situación geográfica
Ubicación
Basado en la organización
Estructura de la organización
Basado en la función empresarial
Funciones de la organización
Híbrido
� Ubicación para las unidades organizativas o dominios superiores
� Estructura de la organización para unidades organizativas o dominios inferiores
Accounting
ResearchSales
Directrices para la delegación del control administrativo
Asignar control en el nivel de unidad organizativa y obtener ventajas con la herencia
Reducir los permisos en el nivel de propiedad o tarea
Reducir el número de administradores de dominio
Asignar permisos de acceso a grupos en lugar de a individuos
Implementación de cuentas de usuario,
grupo y equipo
Tipos de cuentas
Cuentas de usuario
Permiten a los usuarios iniciar sesión una única vezProporcionan acceso a recursos
Cuentas de equipo
Permiten la autenticación y auditoría del acceso de los equipos a recursos
Cuentas de grupo
Ayudan a simplificar la administración
Tipos de grupos
Grupos de distribución
Se utilizan sólo con aplicaciones de correo electrónico
No están habilitados para seguridad
Grupos de seguridad
Se utilizan para asignar derechos y permisos a los grupos de usuarios y equipos
Se utilizan de forma más eficaz cuando están anidados
El nivel funcional determina el tipo de grupos que puede crear
Qué son los grupos locales de dominio
Grupo de seguridad o distribución que puedecontener lo siguiente:
Grupos universales, grupos globales y otros grupos locales de su propio dominio
Cuentas de cualquier dominio del bosque
Qué son los grupos globales
Grupo de seguridad o distribución que puede contener usuarios, grupos y equipos como miembros de su propio dominio
Herramientas para crear y administrar varias cuentas
Usuarios y equipos de Active Directory
Herramientas del servicio de directorio
Dsadd
Dsmod
Dsrm
Herramientas Csvde y Ldifde Windows Script Host
Qué es un nombre principal de usuario
Nombre de inicio de sesión que sólo se utiliza para conectarse a una red de Windows Server 2003
Ventajas
�Único en Active Directory
�Puede coincidir con una dirección de correo electrónico del usuario
Directrices para nombrar cuentas
Defina convenciones de nomenclatura para:
Nombres de cuenta de usuario que identifiquen al usuario
Equipos que identifiquen al propietario, ubicación y tipo de equipo
Grupos que identifiquen el tipo de grupo, su ubicación y el propósito del grupo
Directrices para configurar una directiva de contraseñas
Configure Forzar el historial de contraseñas para recordar al menos 24 contraseñas anteriores
Configure Duración máxima de la contraseña para que no supere los 42 días
Configure Duración mínima de la contraseña en al menos dos días
Configure Longitud de la contraseña en 8 caracteres como mínimo
Habilite el parámetro Las contraseñas deben cumplir los requerimientos de complejidad
Directrices para autenticar, autorizar y administrar cuentas
Establezca el parámetro de directivas Umbral de bloqueos de la cuenta en un valor alto
Proteja las cuentas administrativas
Utilice la autenticación con varios factores
Implemente un modelo de seguridad basado en funciones para conceder permisos
Deshabilite la cuenta Administrador y aplique una directiva de privilegios mínimos a las cuentas
Directrices para planear una estrategia de grupo
Asigne usuarios con responsabilidades comunes a grupos globales
Cree un grupo local de dominio para compartir recursos
Agregue a los grupos locales de dominio grupos globales que necesiten acceso a los recursos
Utilice grupos universales para conceder acceso a los recursos en varios dominios
Utilice grupos universales cuando la pertenencia al grupo sea estática
Directrices para supervisar cambios en Active Directory
Habilite:
Auditoría de sucesos de administración de cuentas
Auditoría de acciones correctas de los cambios de directivas
Auditoría de errores de sucesos del sistema
Auditoría de errores de los sucesos de cambio de directiva y los sucesos de administración de cuentas sólo cuando sea necesario
Implementación de directivas de grupo
Introducción
Creación y configuración de GPO
Configuración de la frecuencia de actualización y valores de directivas de grupo
Administración de GPO
Comprobación y solución de problemas de directivas de grupo
Delegación del control administrativo de directivas de grupo
Planeamiento de una estrategia empresarial de directivas de grupo
Lección: Creación y configuración de GPO
Presentación multimedia: Introducción a la directiva de grupoComponentes de GPOPor qué especificar un controlador de dominio para la administración de GPOCómo especificar un controlador de dominio para la administración de GPOQué son los filtros WMI Cómo filtrar la configuración de directivas de grupo con filtros WMIQué es el procesamiento de bucle invertidoCómo configurar el modo de procesamiento de bucle invertido de la directiva de grupo de usuario
Presentación multimedia: Introducción a la directiva de grupo
Sitio
Dominio
UOUO
UO
GPO1
GPO2
GPO3
GPO4
Componentes de GPO
Contiene los valores de directivas de grupoAlmacena el contenido en dos ubicaciones
Objeto de directiva de grupo
Almacenado en la carpeta compartida SYSVOLProporciona la configuración de directivas de grupo
Plantilla de directiva de grupo
Almacenada en Active DirectoryProporciona información de la versión
Contenedor de directivas de grupo
Qué son los filtros WMI
¿Tiene 500 MB de espacio libre en disco?
Filtro WMI
Administrador
¿InstalarOffice XP?
10 GB 400 MB 35 GB 750 MB
GPO
Utilización de directivas de grupo para implementar y administrar software
2
Implementación
1.0
4
Eliminación
3
Mantenimiento
2.0
Proceso de instalación y mantenimiento de software
Preparación
1
Qué es Windows Installer
Windows Installer
Servicio Windows Installer
Automatiza completamente el proceso de instalación y configuración de software
Modifica o repara la instalación de una aplicación existente
El paquete de Windows Installer contiene
Información acerca de la instalación o desinstalación de una aplicación
Un archivo .msi y archivos de fuente externa
Información de resumen acerca de la aplicación
Una referencia a un punto de instalación
Ventajas del uso de Windows Installer
Instalaciones personalizadas Aplicaciones resistentes Eliminación limpia
Información general del proceso de implementación de software
Cambie las propiedades de implementación de software
3
Utilice un GPO para implementar software
2
Cree un punto de distribución de software
1Publicación
Asignación
Propiedad 1 Propiedad 2 Propiedad 3
Comparación entre la asignación y la publicación de software
Punto de distribución de software
Publicar software mediante la activación
del documento
?
Publicar software mediante Agregar o quitar programas
Asignar softwaredurante la configu-ración del equipo
Asignar softwaredurante la configu-ración del equipo
Opciones predeterminadas para la instalación de software
Especifique si desea utilizar valores predeterminados o definidos por el usuario
los archivos de paquete
Especifique la ubicación del punto de distribución de software que contiene los archivos de paquete con extensión .msi Especifique cómo Especifique cómo
implementar el software
Qué es la asociación de software
Sales
Word 2000
Accounting
Word 2002
Administre las asociaciones de aplicaciones en función del GPO
GPO Accounting
Word 2002
GPO Sales
Word 2000
NombreArchivo.doc
NombreArchivo.doc
Qué es la modificación de software
Instancia únicaen el servidor
Sólo puede agregar y quitar modificaciones
durante la implementación un paquete de software
GPO3
Accounting
GPO2
Marketing
GPO1
Sales
Tipos de actualizaciones de software
Actualizaciones obligatorias
Los usuarios sólo pueden utilizar la versión actualizada
Actualizaciones opcionales
Los usuarios pueden decidir cuándo realizar la actualización
Actualizaciones selectivas
Puede seleccionar usuarios específicos para una actualización
2.0
1.02.0
2.0
1.0
Implementación de la siguiente versión de la aplicación
2.0
Cómo funciona la reimplementación de software
2
Vuelva a implementar el paquete
Directiva Directiva de grupo
Introduzca la actualización de software en el servidor
1
3
El usuario inicia sesión y activa el software
4
El usuario inicia sesión e invoca el software
ActualizaciónActualización
ActualizaciónActualización
Métodos para quitar software implementado
Eliminación forzada
El software se elimina automáticamente de un equipo sin que se anuncie
Eliminación opcional
El software no se quita de un equipo y no se puede instalar ninguna actualización del mismo