INF 109

Instalacin y Configuracin de Servidores

Unidad 4 Active Directory

Agenda

Definicin de Active Directory.

Componentes y Estructura de Active Directory.

Creacin de un Dominio Simple de Active Directory

Definicin de Active Directory

Aplicacin desarrollada por Microsoft que provee servicios de directorio.

Creado para Windows Server 2000 extendindose para Windows Server 2003, 2008 y 2012.

La palabra Active significa que tiene un comportamiento dinmico y la palabra Directory que provee
servicios de almacenamiento y de bsqueda de componentes, tareas y directorios.
El objetivo principal es un sitio centralizado donde se almacene y se administren todos los usuarios y
dispositivos informticos de la red acordes a reglas de infraestructura determinados.
Otras funciones:

o
o
o

Solucin centralizada de acceso e identidad.

Estndar abierto y compatible con mltiples versiones.
Simplificacin de Administracin.

Componentes de Active Directory

Active Directory Domain Services (AD DS)

Es el servicio de Active Directory que est integrado en Windows Server pero que no est instalado por
defecto. Provee todos los componentes y bases de datos para que el servicio funcione correctamente.

Se debe crear un AD DS para promover un Windows Server como un domain controller ya sea para un
dominio nuevo o existente.

AD DS corre como un proceso escondido en el sistema operativo por lo que puede ser detenido o
restaurado en cualquier momento.

Cada domain controller tiene su propia copia de base de datos de AD que puede ser actualizada
dinmicamente por cualquier otro domain controller.

Se recomienda tener almenos dos domain controllers con AD DS para redundancia.

Componentes de Active Directory

Workgroup

o Coleccin de una o mas computadoras en una

red LAN que no estn registradas en un
dominio.

o Cada computadora es independiente y toda la

administracin reside en si misma.

o Cada usuario singular debe de administrar

passwords, polticas, aplicaciones.

o No existe forma centralizada de administrar

dicha computadora.

Componentes de Active Directory

Dominio

o
o
o
o

Es la estructura base de Active Directory.

Usando el Workgroup como ejemplo se crea un usuario X en la

base de datos de AD y solo se conectan las computadoras al
dominio. Al realizar cualquier cambio al usuario X se refleja
automticamente en todas las computadoras.

Se implementa fsicamente con Domain Controller (DC).

Todos los objetos se manejan centralmente desde el dominio.

No hay necesidad de hacer cambios en las computadoras
localmente.

ITSC.domain

Componentes de Active Directory

Site
o Es un conjunto de subredes conectadas que
determinan la estructura fsica y topolgica del
dominio.

o La estructura fsica es totalmente independiente de la

estructura lgica.

o El uso ms comn es para separar los dominios de

localidades en diferentes sitios geogrficos.

ITSC.domain
Rep Dom
rd.itsc.domain

Puerto Rico
pr.itsc.domain

Componentes de Active Directory

Bosque / Forest

Se puede considerar un bosque como una instancia singular de

Active Directory.

Se forman a travs de multiples rboles. Cada rbol debe de estar

unido a la raz para poder formar el bosque.

Dentro de un bosque se puede tener mltiples dominios (con

nombres disjuntivos) que comparten el mismo esquema de objetos.

Un dominio con un nico domain controller es el bosque mas

pequeo posible de crear. Es conocido como single-domain forest.

El bosque tambin hace referencia como un lmite de seguridad en

donde los usuarios, computadoras y otros objetos son accesibles.

Se crean las relaciones de confianzas transitivas automticamente.

Componentes de Active Directory

rbol / Tree.

Los rboles son creados al momento de construir uno o

ms dominios dentro del mismo bosque y que
contengan el mismo espacio de nombre o que
compartan un mismo esquema de objetos.

Un espacio de nombre (namespace) es un dominio que

comparte el mismo nombre del dominio principal
(raz).

Itsc.domain -> estudiantes.itsc.domain

Un rbol de Active Directory puede ser considerado

como una coleccin de dominios que son construidos
con jerarqua de confianza transitiva.

Componentes de Active Directory

Objeto

o
o

Cada componente singular de AD se considera un objeto.

Los objetos tiene propiedades especficas conocidas

como atributos:

Se consideran objetos: usuarios, cuentas, computadoras,

grupos, unidades organizacionales, sites, dominios,
contenedores, etc.

o
o

Usuarios -> nombre, apellido, localidad.

Computadoras -> Mac, IP, dominio.

Componentes de Active Directory

Esquema

o
o

Un esquema comprende las clases de objetos que se crean.

Esquema de usuario: nombre, apellido, sitio, telfono,

correo, dominio, trabajo, etc.

Solamente se permite un esquema por tipo de clase por

cada bosque.

Se extienden hacia otros dominios.

Conjunto de plantillas, atributos y tipos de datos

predefinidos para crear un objeto.

Componentes de Active Directory

Rplicas

o
o

AD es diseado como un sistema de replicacin multimaestro.

Se crea usuario X en el domain controller A y se replica

automticamente al domain controller B.

La sincronizacin es aproximadamente de 15 segundos en

domain controllers en el mismo site y entre 15 minutos para
domain controllers en diferentes sites.

El servicio de rplicas no se configura para un tiempo en

especfico sino ante eventos especficos.

En el caso de rplicas entre sites el trfico es enviado de modo

comprimido. Se debe considerar el ancho de banda.

Mltiples domain controllers pueden crear, modificar, y borrar

cualquier objeto del dominio.

Componentes de Active Directory

Unidades Organizaciones / Organizational Units (OU)

Utilizadas para organizar objetos (principalmente usuarios

y computadoras) en AD.

Se implementa una estructura organizacional dentro del

dominio.

Se puede considerar como un contenedor compuesto por

objetos similares.

Objetivos de crear OUs en AD:

o
o

Enlazar GPOs a un grupo de objetos especficos.

Delegacin de control.

Componentes de Active Directory

Polticas de Grupo / Group Policies (GPO)

Son las polticas de configuraciones necesarias para

configurar usuarios y computadoras.

Se crean mltiples configuraciones en una poltica de grupo

que pueden ser aplicados a diferentes grupos de usuarios o
Unidades Organizaciones (OU).

o
o

Se pueden aplicar GPOs a dominios, sites y OUs.

Cada vez que se promueve un servidor como domain

controller se crean dos GPOs por defecto.

o
o

Default Domain Policy.

Default Domain Controllers Policy.

Componentes de Active Directory

Default Domain Policy

Default Domain Controllers Policy

Son creadas inmediatamente se crea el dominio

principal.

Son creadas inmediatamente se crea un

domain controller en AD.

Contiene las polticas y configuraciones de

usuarios y computadoras que se aplicarn al
dominio completo.

Contiene las polticas y configuraciones

aplicarn a los domain controllers del dominio
completo.

Est poltica es nica y esencial para el

funcionamiento de AD y no debe ser nunca
eliminada o cambiada.

Est poltica es nica y esencial para el

funcionamiento de AD y no debe ser nunca
eliminada o cambiada.

En caso de que se quiera realizar un cambio lo

recomendable es crear una nueva poltica de
nivel de dominio y realizar los cambios
correspondientes en esa poltica.

Componentes de Active Directory

Usuarios, Grupos y Computadoras

Los usuarios es el objeto ms comn de AD. Se definen los atributos de

usuarios de acuerdo a las necesidades.

Los usuarios se asignan a diferentes tipos de grupos con atributos

especiales comunes. A estos grupos se le aplican polticas de seguridad y
GPOs.

Las computadoras son todos los dispositivos que estn adentro del
dominio de la red. A las computadoras se le asignan cuales grupos de
usuarios pueden accederlas y los tipos de permisos.

Los grupos se pueden dividir en tres clases:

Grupos universales: son miembros de cualquier dominio en el bosque y

tienen accesos a los recursos de cualquier dominio.

Grupos globales: son miembros solamente de un dominio especfico

pero tienen accesos a los recursos de cualquier dominio.

Grupos locales: son miembros solamente de un dominio especfico y

solamente pueden acceder a los recursos de ese dominio.

Estructura de Active Directory

La estructura de AD es totalmente
jerrquica y en forma de rbol.

El componente base es el Objeto.

Necesita de un root-domain (raz) para
poder funcionar correctamente.

Conlleva el uso de un Esquema de

objetos nico.

Active Directory y DNS

AD utiliza DNS como su servicio de localizacin.

Es uno de los puntos ms comunes para la resolucin de problemas de AD.

DNS es uno de los componentes vitales de AD. AD no funciona correctamente si DNS no es

configurado.

La mayor parte de los problemas de AD (80%) vienen por mala configuracin de DNS.

AD registra todos los records de servicios (SRV) en el DNS para localizar cuales servicios necesita
para que una aplicacin funcione correctamente.
Puede ser usado con un DNS que no sea de Windows (Por ejemplo UNIX/Linux).

o
o
o

BIND DNS.
No es uso comn. Si se tiene AD el DNS por lo regular es de Windows.

En caso de tener ambiente mixto Windows/Unix se recomienda crear dos Zonas de DNS y as tener separacin
para evitar problemas.

Single-Domain Forest

Topologa mas simple de AD. Se recomienda crear un dominio de AD a partir de 10 o ms usuarios.

Ventajas

o
o
o

Manejar usuarios y permisos de manera centralizada.

Administracin y seguridad centralizada a travis de GPOs.
Proveer servicios dependientes de AD: correo, login, seguridad.

Uno o ms dominios?

o
o
o
o
o

Mantener un single-domain forest mientras sea posible ya que es ms fcil de instalar y administrar.
Crear mltiples dominios en caso de tener enlaces WAN de bajo ancho de banda.
Problemas de consumo de ancho de banda por rplicas si se realizan muchos cambios en los objetos y atributos.
Existe un dominio antiguo (sin soporte y fuera del mercado) que debe permanecer en la red intacto.
Crear mltiples dominios en caso de que sean altamente dinmicos con ms de 100,000 objetos.

Single-Domain Forest

Beneficios de tener un solo dominio.

Costo

o
o
o
o

Es la solucin menos costosa.

Se debe considerar tener dos domain cotrollers para redundancia.

A medida que aumenta los bosques y dominios aumentan los costos de licencias, hardware, software, administracin, etc.

Se puede considerar virtualizar pero requiere costo de almacenamiento y administracin.

Administracin

o
o

Cada dominio que se agrega tendr objetos que deben de ser controlados.
Complejidad de configuracin de permisos y recursos entre dominios y bosques.

Recuperacin ante desastre

o
o

AD contiene bastantes funcionalidades de recuperacin antes desastres.

Es ms fcil recuperar un solo dominio que varios dominios distribuidos.

Single-Domain Forest
La razn principal para crear varios dominios no tiene que ver con limitantes
tcnicas de AD, sino con los servicios de replicacin que pueden causar
problemas de infraestructura y de ancho de banda.

Se pueden crear mltiples bosques por ciertas razones aunque la complejidad de

instalacin, configuracin y mantenimiento aumentan considerablemente.

o Necesidad de separar las autonomas administrativas. Algunos departamentos no se confan

entre ellos. Seguridad para separar infraestructuras o departamentos.

o Necesidad de separar servicios de y aplicaciones entre infraestructuras. DHCP, DNS, AD

entre diferentes infraestructuras separadas geogrficamente.