Instalacin

Active Directory, identidad y acceso

Los Servicios de Dominio de Active Directory proporcionan la funcionalidad de una solucin de
identidad y acceso (IDA) para redes de empresa, ejecutndose bajo Windows.

IDA es necesaria para mantener la seguridad a los recursos de la empresa tales como archivos,
correo electrnico, aplicaciones y bases de datos.
Una infraestructura IDA debe contemplar lo siguiente:

Almacenar informacin sobre usuarios, grupos, ordenadores y otras entidades. Dicha funcin
de almacenamiento la realiza el controlador de dominio, el cual tendr instalado los servicios de
AD DS.
Autenticar una entidad. En AD el protocolo que se utiliza para autenticar se llama Kerberos.
La autenticacin es el proceso en el cual el usuario transmite al servidor una serie de secretos
que solo dicho usuario y la infraestructura IDA conocen.
Control de acceso. La infraestructura IDA es responsable de proteger la informacin
confidencial tal como la informacin almacenada en un documento.

Proporcionar un rastreo de auditoria. La infraestructura debe proporcionar mecanismos para

monitorizar el acceso a la red y sus recursos.

AD DS no es el nico componente de IDA soportado por Windows Server 2008. Microsoft ha

consolidado un nmero de componentes, anteriormente separados, en una plataforma intregrada
IDA. Active Directory o Directorio Activo, incluye ahora cinco tecnologas, que se pueden identificar
con una palabra clave.

 AD DS (Identidad): Los servicios de domino del directorio activo, estn diseados para la
administracin de la entidad dentro de una organizacin. AD DS proporcionar servicios de
autorizacin y autenticacin y soporta la administracin de objetos a travs de las Directivas de
Grupo o Group Policy. Captulo 1 a 13.
AD LDS (Aplicaciones): Los servicios del directorio ligero de Active Directory, son una
versin independiente y reducida de los servicios de Active Directory. De esta forma
conseguimos que las aplicaciones accedan de una forma independiente a elementos como
pueden ser su propio directorio, esquema, LDAP, puertos SSL, etc Captulo 14.
AD CS (Confianza): Las organizaciones pueden utilizar los Servicios de Certificado de Active
Directory para establecer un certificado de autoridad que emite certificados digitales como parte
de una infraestructura de clave pblica (PKI) que enlaza la entidad de una persona, dispositivo o
servicio a una correspondiente clave privada. Las posibilidades de una entidad certificadora son
amplios y extensos como veremos en el Captulo 15.
AD RMS (Integridad): Active Directory Right Management Services es una tecnologa de
proteccin de informacin que permite implementar el uso de modelos de directivas que
definen el permiso y uso no autorizado, en lnea, fuera de lnea, dentro o fuera de un firewall,
etc.. Captulo 16.
AD FS (Participacin): El Servicio de Federacin de Active Directory le permite a una
organizacin extender el IDA a travs de mltiples plataformas, incluyendo entornos Windows y
no Windows, y proyectar los derechos de entidad y acceso a travs de los lmites de seguridad a
socios cofiables. Captulo 17.

Ms all de la identificacin y el acceso

Active Directory no solo desarrolla una solucin IDA, sino que va mucho ms all. Proporciona un
mecanismo para dar soporte, administrar y configurar recursos en redes distribuidas.
AD es entre otras cosas, una base de datos jerarquica, definida por clases de objetos y atributos, lo cual
conforman el esquema de AD.

Componentes de una infraestructura AD

Almacn de datos. AD DS almacena sus identidades en el directorio, un almacn de datos que se
aloja en el archivo ndts.dit, y que se ubican en el %systemroot%\Ntds dentro de un controlador de
dominio.
Controladores de dominio. Lo DC son servidores que realizan la funcin de AD DS, adems de la
de centro de distribucin de la clave Kerberos (KDC) que lleva a cabo la autenticacin.
Dominio. Se requieren uno o ms DC para formar un dominio. Un domino es una unidad
administrativa que comparten ciertas capacidades y caractersticas. Todos los controladores de
dominio replican la particin del domino de almacn de datos.
Bosque. Un bosque es una coleccin de uno o ms dominios de Active Directory. Los datos no se
replican por el Active Directory fuera de los lmites del bosque.
rbol. Los nombres de espacio DNS de los dominios en un bosque crean arboles dentro de este.
Si un dominio es un subdominio de otro, los dos dominios se consideran un rbol.

 Nivel Funcional. El nivel de funcionalidad es una configuracin que permite caracterstica

avanzadas AD DS de dominios y bosques amplios. Hay tres niveles funcionales de dominio, Windows
2000 Nativo, Windows Server 2003 y Windows Server 2008, y dos niveles funcionales de bosques,
Windows Server 2003 y Windows Server 2008. Lo importante a saber de los niveles funcionales es
que determinan las versiones permitidas de Windows en los controladores de dominio.

Unidades Organizativas. Active Directory es una base de datos jerrquica. Los objetos en el
almacn de datos se pueden coleccionar en contenedores. Un tipo de contenedor es la clase de objeto
llamada container. Otro tipo de contenedor es la unidad organizativa (OU). Las OU no son solamente
un contenedor para objetos, sino tambin un mbito para administrar los objetos. Esto es debido a
que las OU pueden tener objetos de Directiva de Grupo (GPO) vinculados a ellos.

Sitios. Los sitios en Active Directory tienen un significado especfico ya que existe una clase de
objeto llamada Site. Un sitio en Active Directory es un objeto que representa un fragmento de la
empresa dentro del que la conectividad de la red es buena. Un sitio crea un lmite de duplicacin y el
uso del servicio. Como ejemplo de funcionalidad de sitio, cuando un usuario inicia sesin en un
dominio, el cliente Windows intentar siempre autenticarse en un controlador de dominio en el sitio,
solo si este no est disponible, intentar la autenticacin en otro sitio.

Preparacin para crear un nuevo bosque en

Windows Server 2008
Antes de instalar la funcin de Active Directory Domain Services y promover su actuacin como un
controlador de dominio, es necesario planificar la infraestructura de Active Directory.
El nombre del dominio y el nombre DNS. Un dominio debe tener un nombre DNS nico y
un nombre NetBIOS.
Si el dominio necesita dar soporte a controladores de dominio de versiones anteriores de
Windows, tendr que tener en cuenta los niveles funcionales.
Implementar DNS para dar soporte a Active Directory. Se puede hacer con servicios DNS de
terceros, pero es mucho ms recomendable utilizar el servicio DNS de Window Server 2008.
La configuracin IP para el controlador de dominio. Los controladores de dominio requieren
direcciones IP estticas y valores de mascara de subred. Adicionalmente el DC se debe
configurar con una direccin de servidor DNS para realizar la resolucion de nombres.
El nombre de usuario y contrasea de una cuenta en el grupo de Administradores del
servidor. La contrasea no puede estar en blanco.
Deberan estar instalados la ubicacin en que se encuentra el almacn o directorio de datos y
el volumen del sistema.

Agregar la funcin AD DS utilizando

la interfaz de Windows

Agregar la funcin AD DS aade los binarios necesarios para el correcto funcionamiento

del servicio, pero no activa el servicio en s, para ello tenemos que acudir a la funcin
dcpromo.

Prcticas.
Crear un bosque en Windows Server 2008