Active Directory al Descubierto Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 [email protected] Eduardo Munizaga Senior TAM MCSE Windows

Active Directory al DescubiertoActive Directory al Descubierto

Rodrigo GómezConsultor de InfraestructuraMCSE Windows [email protected]

• Eduardo Munizaga• Senior TAM• MCSE Windows 2003• [email protected]

Agenda• 1. Objetivos

• 2. Prerrequisitos

• 3. Conceptos Active Directory– 3.1. Elementos de Diseño Lógico– 3.2. Elementos de Diseño Físico– 3.3. Elementos de Arquitectura DNS– 3.4. Administración Usuarios y Equipos

1. Objetivos

• Aprovechar al máximo las características de Active Directory 2003.

• Aprender a implementar:– Estructuras lógicas y físicas.– DNSs. – Delegación de control y políticas de grupo.– Implementación de catálogos globales.– Roles FSMO.

2. Prerrequisitos• Comprender lo que es un servicio de directorio

3. Conceptos Active Directory

• 3.1. Elementos de Diseño Lógico

• 3.2. Elementos de Diseño Físico

• 3.3. Elementos de Arquitectura DNS

• 3.4. Administración Usuarios y Equipos

3.1. Elementos de Diseño Lógico

• 3.1.1. Bosque (Forest)

• 3.1.2. Dominio (Domain)

• 3.1.3. Árboles (Domain Trees)

• 3.1.4. Unidades Organizacionales (OUs)

• 3.1.5. Relaciones de Confianza

• 3.1.6. Niveles Funcionales (Functional Levels)


3.1.1. Bosque (Forest)

• Conjunto de uno o más dominios Active Directory que comparten: – Estructura lógica común– Global Catalog – Schema Partition– Configuration Partition– Relaciones de confianza bi-direccionales automáticas entre

los dominios participantes del forest

• El forest es la frontera máxima de seguridad (security boundary)


3.1.2. Dominio (Domain)• Cada dominio es una partición de un forest Active

Directory • Las cuentas de usuarios, grupos y máquinas son

creados en el dominio• Las políticas de seguridad son definidas a nivel del

dominio, y no al nivel del Forest: – Políticas de Contraseñas– Políticas de Account Lockout – Políticas de Ticket Kerberos

• El dominio es una frontera de administración (administration boundary)


3.1.3. Domain Trees

• Conjunto de dominios dentro de un forest Active Directory agrupados en un namespace contínuo

• Cada forest puede contener múltiples Domain Trees


Forest

Bosque, Dominio, Árboles

dom1.com

dom2.dom1.com dom3.dom1.com

dom4.dom2.dom1.com

dom5.com

dom6.dom5.com

Domain Tree


3.1.4. Unidades Organizacionales• Containers de objetos en la jerarquía dentro de un

dominio Active Directory • Subdivisiones lógicas del dominio• Anidamiento • OUs no son Security Principals:

– OUs no pueden ser miembros de grupos– No se puede asignar permisos a recursos a través de OUs

• Group Policy puede ser asociado a OUs:– Permite utilizar distintas políticas de usuarios, equipos y

desktops dentro de un mismo dominio


Active Directory Users and Computers

• Dominios

• OUs

demodemo

3.1.5. Relaciones de Confianza

• Tipos de relaciones de confianza: – NTLM

• Unidireccionales• No transitivos • Explícitos

– Kerberos • Bidireccionales • Transitivos • Implícitos (entre los dominios del forest)• Explícitos


3.1.5. Relaciones de Confianza• Windows NT 3.x/4.0:

– NTLM

• Windows 2000: – NTLM:

• hacia/desde dominios NT 3.x/4.0• hacia/desde dominios Windows 2000 de otros forest

– Kerberos: • bidireccionales y transitivos entre todos los dominios del forest • hacia/desde realms MIT Kerberos V5 no AD• Shortcut Trusts

– entre dominios del mismo forest

• Windows 2003: – Idem Windows 2000 mas Interforest Trusts


dom1.com

3.1.5. Relaciones de Confianza

dom2.dom1.com

dom4.dom2.dom1.com

dom5.com

dom6.dom5.com

•Implícito•Transitivo• Bidireccional


dom3(Dominio Windows NT)

•Explícito•No transitivo •Unidireccional


dom1.com

Shortcut Trust


dom4.dom2.dom1.com

dom5.com

dom6.dom5.com



Shortcut Trust•Explícito

•Transitivo• Bidireccional


3.1.6. Functionality Levels• Windows 2000:

– Mixed Mode: • permite coexistencia con BDCs NT 4.0

– Native Mode: • Todos los DCs deben ser Windows 2000• Utilización de Universal Security Groups• Mayores opciones de nesting de grupos

• Windows 2003: – Domain Modes:

• Windows 2000 Mixed• Windows 2000 Native • Windows 2003 Interim• Windows 2003

– Forest Modes:• Windows 2000• Windows 2003 Interim• Windows 2003


Versiones de OS Soportados

• 3.1.7.1. Windows 2003 Domain Modes:

• 3.1.7.2. Windows 2003 Forest Modes:

3.1.7. Functionality Levels

Funcionalidades por Domain Mode3.1.7.1. Windows 2003 Domain Modes:

Funcionalidades por Forest Mode3.1.7.2. Windows 2003 Forest Modes:

3.2. Elementos de Diseño Físico

• 3.2.1. Particiones del Directorio

• 3.2.2. Tipos de Particiones

• 3.2.3. Replicación en Active Directory

• 3.2.4. Componentes del Diseño Físico

• 3.2.5. Tipos de Replicación


3.2.1. Particiones del Directorio • En un forest existen 3 tipos de particiones:

– Forest Wide (1 x forest, se replican a todos los DCs del forest):• Schema Partition• Configuration Partition

– Domain Wide (1 x dominio, se replica a todos los DCs del dominio)• Domain Partition

– Application Partition (N x forest)• Por default existen dos:

– ForestDNSZones: » 1 x forest; replicada a todos los DCs del forest

– DomainDNSZones: replicada a todos los DCs del dominio» 1 x dominio; replicada a todos los DCs del dominio

• Es posible crear custom Application Partitions– La replicación es definida por el administrador


Application Partition

Domain

Configuration

Schema

DC StorageRootDSE

Configuration

Forest Root Domain

Schema

Partition Hierarchy

ApplicationPartition

Directory Tree3.2.1. Particiones del Directorio

3.2.2. Tipos de Particiones

• 3.2.2.1. Schema Partition

• 3.2.2.2. Configuration Partition

• 3.2.2.3. Domain Partition

• 3.2.2.4. Global Catalog

• 3.2.2.5. Application Partitions


3.2.2.1. Schema Partition• Replicada a todos los DCs del forest

– No es posible evitar que se replique a un DC determinado

• Contiene y describe las clases correspondientes a los objetos que pueden ser creados en el directorio – Ejemplos:

• Clase User• Clase Computer • Clase Domain• Etc.


3.2.2.2. Configuration Partition

• Replicada a todos los DCs del forest – No es posible evitar que se replique a un DC

determinado

• Contiene todos los aspectos de configuración del forest: – Diseño físico– crossRef a todos los dominios del forest


3.2.2.3. Domain Partition

• Contiene a todos los objetos del dominio

• Replicada a todos los DCs del dominio – No es posible evitar que se replique a todos los DCs

del dominio


3.2.2.4. Global Catalog

• NOTA: no es estrictamente una partición • Subconjunto de todos los objetos del forest:

– No todas las clases estan en el GC – No todos los atributos de las clases están en el GC – Las clases y atributos replicadas al GC son modificables por

el administrador

• Permite que todos los objetos del forest sean visibles en todos los dominios

• El administrador define que DCs son GC


3.2.2.5. Application Partitions

• Particiones en Windows 2000: – Configuration Partition : forest wide– Schema Partition : forest wide– Domain Partition : domain wide

• Particiones en Windows 2003: – Configuration Partition : forest wide– Schema Partition : forest wide– Domain Partition : domain wide– Application Partitions:

• Tambien llamadas “non-domain naming contexts” ó NDNCs


Características• Particiones orientadas a almacenamiento de información

temporaria o de carácter volátil • Pueden ser creadas y replicadas a cualquier DC del forest

– Definidas por el administrador

• Puede contener objetos AD de cualquier tipo excepto Security Principals (users, groups and computers)

• Utilizadas en Windows 2003 para: – Zonas DNS – AD/AM– COM+ partitions– TAPI Applications

3.2.2.5. Application Partitions

3.2.3. Replicación en Active Directory

• “Multimaster loose consistency with convergence”– Multimaster– Loose consistency– Convergencia

• Pull replication

• State-based replication– Replicación a nivel Objeto y nivel Atributo


Qué se replica?

• Los replication partners se replican entre sí: – Particiones en común:

• Schema Partition • Configuration Partition • Si son DCs del mismo dominio:

– Partición dominio

• Application Partitions

– Global Catalog • Si ambos DCs estan configurados como GC

3.2.2. Replicación en Active Directory

• Particiones

• Replicación

• Dcdiag

• NETDIAG

• ADSIEDIT

demodemo

3.2.4. Componentes del Diseño Físico

• 3.2.4.1. Sites

• 3.2.4.2. Sites Links

• 3.2.4.3. Bridgehead Servers

• 3.2.4.4. Site Links Bridges

• 3.2.4.5. FSMO Roles

• 3.2.4.6. Otros


3.2.4.1. Sites• Conjuntos de DC con buena conectividad entre sí

– Agrupación a través de subnets IP con buena conectividad entre sí– Las subnets que definen a un site son definidas por el administrador

• Cada DC es asignado a una subnet • Independencia diseño lógico del físico:

– Un site puede abarcar múltiples dominios– Un dominio puede abarcar múltiples sites

• Relevantes para:– Routing Replication – Client affinity (logon)– SYSVOL replication– DFS– Service Location


Múltiples Dominios por Site

Site B

Site A

dom1.com


dom4.dom2.dom1.com

Independencia diseño lógico del físico

dom1.com

Site B

Site A

Múltiples Sites por DominioIndependencia diseño lógico del físico

3.2.4.2. Sites Links

• Nexo entre 2 sites:– Creados por el

administrador

• Cada Site Link se compone en realidad de: – Connection Objects:

• Conexión unidireccional entre 2 DCs

• Dos por Site Link

– Server Objects: • Objeto que representa a

cada DC involucrado en el CO


3.2.4.3. Bridgehead Servers

• Servidores designados para replicación en el site


3.2.4.4. Site Links Bridges• Unión de 2 ó mas Site Links• Crea COs entre todos los Sites involucrados en los Site Links• Por default, todos los Site Links pertenecen a un Site Link Bridge

– Opción Bridge All Site Links


3.2.4.5. FSMO Roles• Flexible Single Master Operations • Roles Active Directory para operaciones especiales que

requieren modelo Single Master• 2 tipos de FSMO Roles:

– Forest Wide: • Schema Master : administración de cambios en el Schema• Domain Naming Master : administración de altas/bajas de dominios en el

forest

– Domain Wide: • PDC Emulator : emulación de PDC NT 4.0 para clientes no AD• RID Master : Relative ID; generación de RIDs en el dominio• Infrastructure Master:

– Mantiene la lista de Security Principals de otros dominios que pertenecen a grupos del dominio propio


• Site and Services

• Roles FSMO

demodemo

3.3. Elementos de TCP/IP

• 3.3.1. Active Directory y DNS

• 3.3.2. Service Locator Records

• 3.3.3. DNS Application Partitions


3.3.1. Active Directory y DNS • Active Directory utiliza DNS como:

– Mecanismo resolución de nombres – Naming:

• Nombre de dominio = nombre de dominio DNS• Jerarquía de dominios

– Service Locator• Logon • Búsquedas• Búsquedas DC mas cercano:

– Cliente-DC– Entre DCs

• Determinación de site


Configuración de zonas DNS • Los zonas DNS correspondientes a dominios Windows

2000/Windows 2003 pueden ser:– Zonas DNS estándar (archivo de texto)– Active Directory integrated:

• Windows 2000: – Domain Partition

• Windows 2003: – Domain Partition ó, – Application Partitions

» Default para nuevas instalaciones

• Zonas AD Integrated pueden ser convertidas a DNS estándar y vicecersa

• DCs con zona DNS estándar pueden ser secundarios de DCs con zonas AD integrated

3.3.1. Active Directory y DNS

3.3.2. Service Locator Records

• Registros “especiales” para servicios:– Mapeo de un servicio a nombre DNS de equipo que

provee ese servicio. Ejemplos:• Domain Controllers• Global Catalogs• LDAP Servers• Kerberos Distribution Center• Otros

• Formato: – _Service._Protocol.DnsDomainName


3.3.5. DNS Application Partitions

• 3.3.5.1. Comportamiento Windows 2000

• 3.3.5.2. Comportamiento Windows 2003

• 3.3.5.3. Ventajas


3.3.5.1. Comportamiento Windows 2000

• Forest Wide Locator records– Localizados en _msdcs.<rootforestdomain>

• Dominio DNS por cada dominio• Storage en archivos DNS estándar ó AD integrated• Prácticas recomendadas:

– Delegación de zona _msdcs.<rootforestdomain>– Replicación de _msdcs.<rootforestdomain> a todos los DCs– Zonas AD Integrated


3.3.5.2. Comportamiento Windows 2003

• Información de zonas DNS en Application Partitions

• DNS Application Partitions:– ForestDnsZones:– DomainDnsZones– Visibles como cualquier otra partición en ADSIEdit,

LDP, etc.


ForestDNSZone: ejemplo

DomainDNSZone: ejemplo

demodemo• Active Directory y DNS

Windows 2000 vs. Windows 2003

A.COMA.COM

B.A.COMB.A.COM

Domain A.COM (and Windows 2000 AD Integrated Zones)Domain B.A.COM (and Windows 2000 AD Integrated Zones)

Schema & Config (combined)ForestDNSZonesDomainDNSZones (a.com)DomainDNSZones (b.a.com)

GC & DNS

Link for GC from b.a.com and DNS records

DNS

DNS

DC1-ADC1-A

DC1-BDC1-BDC2-BDC2-B

DC3-BDC3-B

DC2-ADC2-A DC3-ADC3-A

GC

3.4. Administración Usuarios y Equipos

• 3.4.1. Introducción

• 3.4.2. Group Policy Objects (GPO)

• 3.4.3. Procesamiento de GPOs

• 3.4.4. Group Policy Modeling

• 3.4.5. Security Templates


3.4.1. Introducción• IntelliMirror:

– Conjunto de tecnologías presentes en Windows® 2000, Windows® XP y Windows Server 2003 que permiten la administración de la configuración de servidores, workstations, y usuarios en forma centralizada a través de los servicios de directorios

– Componentes principales: • Active Directory• Group Policy

• Group Policy: – Mecanismo configuración y administración centralizada de servidores,

workstations y usuarios de un usuario del dominio Active Directory – Reemplaza mecanismo System Policies (Windows NT 4.0/9x)


IntelliMirror• User Data Management

– Administración centralizada de los archivos de los usuarios • User Settings Management

– Configuración del desktop del usuario (colores, fonts, restricciones, profile, aplicaciones, etc.)• Security Settings:

– Administración de todas las configuraciones de seguridad del usuario:• Security Settings:• Internet Protocol security (IPSec)• Software Restrictions Policies• Wireless Network Policies

• Group Policy–based software installation– Administración centralizada de instalación, reparación, actualización y de-instalación de software en el

desktop del usuario• Internet Explorer settings

– Connection settings, custom Universal Resource Locators (URLs), security settings, Program Associations

• Logon/Logoff Startup/Shutdown Scripts• Remote Installation Services (RIS)

– Instalación de sistema operativo y aplicaciones en forma automatizada a través del directorio

3.4.1. Introducción

3.4.2. Group Policy Objects (GPO)

• GPO: – Unidad básica de administración – Objeto que contiene las configuraciones que van a

recibir las cuentas de usuario y máquina – Cada objeto GPO contiene 2 conjuntos de

configuraciones: • Computer• User


Componentes • En los Domain Controllers:

– Objecto Active Directory que contiene las configuraciones de User y Computer• Se almacena en Group Policy container en la domain partition • Cada objeto tiene las siguientes propiedades:

– Version information– Status (Enabled/Disabled) – Lista de componentes (extensions) que tienen settings en el GPO– Configuración de cada setting– Policy settings as defined by the extension snap-ins:

– Group Policy Template• Conjunto de archivos en el file system de los Domain Controllers, en directorio System

Volume (SYSVOL) • Contiene:

– Administrative Templates (.ADM):» Archivos que contienen registry-based Group Policy settings

– Security Settings– Aplicaciones disponible para Software Installation– Logon/Logoff y Startup/Shutdown scripots


Componentes

• En las workstations:– Client-side Extensions:

• DLLs que procesan los GPOs – Lista de DLLs:

• Registry (in Administrative Templates) : Userenv.dll• Disk Quota (in Administrative Templates) : Dskquota.dll• Folder Redirection : Fdeploy.dll• Scripts : Gptext.dll• Software Installation :

Appmgmts.dll • Security : Scecli.dll• IP Security : Gptext.dll• EFS (Encrypting File System) Recovery : Scecli.dll• Internet Explorer Maintenance : Iedkcs32.dll

3.4.2. Group Policy Objects (GPO)

3.4.3. Procesamiento de GPOs• GPOs pueden ser asociados a:

– Sites Active Directory – Dominios Active Directory – Organizational Units – No pueden ser asociados a un forest

• Múltiples GPOs pueden ser aplicados a un mismo site, dominio, u OU

• Synchronous vs Asynchronous Processing:– Default: comportamiento sincrónico

• CTRL+ALT+DEL es mostrado solo cuando finalizó el procesamiento de GPO Computer settings

• Shell está activo solo cuando finalizó el procesamiento de GPO User Settings – Es posible configurar comportamiento asincrónico (no recomendado)

3.4. Administración Usuarios y Desktops

Orden de aplicación• Orden de aplicación (default):

– Local/Site/Domain/OU

– El último valor aplicado tiene precedencia

3.4.3. Procesamiento de GPOs

Orden de aplicación. Ejemplo: • Máquinas en OU=Servers

reciben GPOs: – A3, A1, A2, A4, A6

• Usuarios OU=Marketing reciben GPOs:– A3, A1, A2, A5

• Independientemente desde qué equipo hagan logon


Orden de aplicación• Orden de aplicación (default):

– Local/Site/Domain/OU– El último valor aplicado tiene precedencia

• Opción Block Policy Inheritance: – Propiedad de la OU y el dominio que permite romper la herencia default

de aplicación de GPOs de niveles superiores en la jerarquía

• Opción No Override: – Propiedad del GPO link que permite que los valores configurados en un

GPO determinado no sean sobre-escritos por GPOs de niveles inferiores en la jerarquía

• No Override tiene prioridad sobre Block Policy Inheritance en caso de conflicto


3.4.4. Group Policy Modeling • Group Policy Modeling:

– Permite simular la ejecución de GPOs previo a su implementación en producción en base a:• Lista de GPOs indicados• Configuraciones en GPOs• Cuenta de usuario • Pertenencia a grupos • Filtros WMI • ACLs en GPO • Equipo en que loguea el usuario

– Muestra un reporte con los GPO settings efectivos– Nota: no permite simular el Local GPO del equipo, por lo que los resultados pueden variar si es que

existen Local GPO configurados en el equipo• Group Policy Results:

– Permite a un administrador determinar los GPOs settings efectivos reales de una sesión activa de cualquier equipo del dominio en forma remota

– Generación reporte HTML con resultados – Requerimientos seguridad:

• Permiso Remotely access Group Policy Results data en el dominio u OU que contiene al equipo o cuenta destino ó, • Pertenencia al grupo Administrators del equipo destino


3.4.5. Security Templates

• Conjunto de configuraciones de seguridad pre-definidas

• Pueden ser aplicados a través de: – Herramienta SECEDIT

• Línea de comando • MMC “Security Configuration and Analysis”

– Group Policy Objects (GPO)


Aplicación de Security Templates a través de GPO

• Ejemplo: – 1. Crear estructura de OUs– 2. Mover servidores a OU – 3. Crear Global Groups de administración– 4. Delegar administración en la OU al grupo de

administradores– 5. Crear Security Templates– 6. Crear GPO asociados a los OUs– 7. Importar Security Template en el GPO

3.4.10. Security Templates

Active Directory: Lectura Recomendada (1/2)

• Windows 2003 Resource Kit:– Windows 2003 Deployment Planning Guide– Windows 2003 Distributed Systems Guide

• Diseño: – Design Considerations for Delegation of Administration in Active Directory– Multiple Forest Considerations– Planning and Implementing Federated Forests in Windows Server2003

• Soluciones: – Solution Accelerator for Domain Server Consolidation and Migration– MS Solution for Identity Management – Windows Server Deployment Solution Accelerator– Active Directory Branch Office Planning Guide– Solution Guide for Windows Security and Directory Services for UNIX

Active Directory: Lectura Recomendada (2/2)

• Seguridad: – Guide to Windows Server 2003 Changes in Default Behavior– Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP– Windows 2003 Security Guide– 823659: Client, service, and program incompatibilities that may occur when you modify

security settings and user rights assignments• Operaciones:

– Active Directory Operations Guide• Management:

– Active Directory Management Guide • Group Policies:

– Windows 2000 Change and Configuration Management Deployment Guide• Windows 2000:

– Best Practice Active Directory Design for Managing Windows Networks – Best Practice Active Directory Deployment for Managing Windows Networks

Visita www.microsoft.com/chile/technet

Documents

Active Directory al Descubierto Rodrigo Gómez Consultor de Infraestructura MCSE Windows 2003 [email protected] Eduardo Munizaga Senior TAM MCSE Windows