ADMINISTRACION

Servicios de Directorios
 DA
El Directorio Activo (DA) es la
implementación del servicio de directorio de
Microsoft.
El Directorio Activo es un Servicio de
Directorio distribuido multi-maestro.
 DA
Elementos DA :
• Estructura lógica, se utiliza para
ORGANIZAR los recursos de la red
• Estructura física, se utiliza para
ADMINISTRAR y CONFIGURAR el tráfco
de la red
 DA
Elementos estructura lógica
• Objetos y clases de objetos
• Unidades Organizativas
• Dominio
• Arbol y Arbol de dominios
• Bosque
 DA
Elementos estructura lógica
 DA
La estructura lógica de Active Directory se
compone de elementos intangibles como:
• objetos, son los componentes básicos de
la estructura lógica. No pueden contener
otros objetos. Ejemplo: un usuario.
• clases de objetos, son las plantillas o los
modelos para los tipos de objetos que se
pueden crear en Active Directory.
 DA

La estructura lógica de Active Directory se

compone de elementos intangibles como (2):
• unidades organizativas, son objetos
contenedores y se utilizan para organizar
otros objetos.
 DA
La estructura lógica de Active Directory se
compone de elementos intangibles como (3):
• dominios, son las unidades funcionales
clave de la estructura lógica que almacenan
información acerca de las colecciones de
objetos que contiene. Proporcionan tres
funciones:
– Un límite administrativo para los objetos.
– Medios de administrar la seguridad para los
recursos compartidos.
– Una unidad de réplica para los objetos.
 DA

La estructura lógica de Active Directory se

compone de elementos intangibles como (4):
• árboles de dominios, son dominios
agrupados en estructuras jerárquicas que
permiten el uso compartido de recursos
globales.
 DA
La estructura lógica de Active Directory se compone de
elementos intangibles como (5):
• bosques, es una instancia completa del DA y
consta en uno o más árboles. Permite combinar
divisiones diferentes en una organización o, incluso,
pueden agruparse organizaciones distintas.
Todos los árboles de un bosque comparten el
mismo esquema, catálogo global y contenedor de
confguración.
 DA

Elementos estructura física

• Sitios del Directorio Activo
• Controlador de dominio
• Catalogo Global
 DA
Elementos estructura física

Sitio

Enlace WAN

Sitio Controlador de dominio

 DA
Sitios del Directorio Activo

En la estructura física se incluye el concepto de

Sitio (Site) para agrupar recursos dentro de un
bosque de acuerdo a su ubicación física o subred.
• Un sitio representa la topología física de la
red en el directorio.
• Un sitio podría ser defnido como un
conjunto de subredes bien conectadas.
 DA
Controlador de dominio (DC)

• Un controlador de dominio (DC) es una entidad

administrativa, esto es, no es un ordenador en
concreto ya que puede estar distribuida en un
conjunto de ordenadores agrupados que se
ciñen a unas reglas de seguridad y autenticación
comunes.
 DA
Controlador de dominio (DC)

• Almacena una copia del directorio del dominio

(base de datos local del dominio).
→ Es un servidor ejecutando un sistema
operativo Windows Server 2016, 2012, 2008,
2003 o Windows 2000 Server y el Directorio
Activo.
 DA
Controlador de dominio

• Puede haber varios controladores de dominio,

cada uno de ellos tendrá una copia completa del
directorio.
• Cada controlador permite realizar cambios en el
directorio, administrando los cambios y
replicándolos a los otros controladores de
dominio del mismo dominio.
 DA
DA usa un modelo replicación multimaestro:
• Ningun controlador del dominio es el maestro
• Todos los controladores son “iguales” y contienen
una copia de la BD del directorio.
• Los controladores replican los cambios entre ellos
• Cualquier controlador de dominio puede procesar
los cambios del directorio y replicarlos
 DA
El esquema de DA defne todos los objetos y
tipos de datos que se pueden almacenar en
Active Directory.
• Se almacena como un objeto del DA.
• Proporciona unas clases y atributos por defecto.
Pero es un elemento ampliable: se pueden defnir
nuevos objetos o atributos a un objeto que ya
existe.
 DA
El esquema de DA defne los objetos a través
de clases, las propiedades de las clases y los
atributos
• Hay dos tipos de defniciones en el esquema:
– Clases (o clases de objetos): describen las
características de los objetos de DA. Es una
colección de atributos.
– Atributos
 DA
El catálogo global (CG) es un almacén
central de información de sólo lectura

Solo Lectura

Global Catalog
 DA
El catálogo global (CG) es un almacén
central de información de todos los objetos del
directorio de los dominios del bosque.
Tiene una copia completa todos los objetos
(todos sus atributos) del almacén de su dominio
y una copia parcial de todos los objetos de los
directorios de los otros dominios del bosque.
 DA
• De manera predeterminada, el primer
controlador de dominio creado al instalar DA se
convierte en catalogo global y es conocido como
servidor de catalogo global
• La información que almacena es generada
automáticamente en cada dominio mediante el
proceso de replica.
• Se pueden defnir varios CG’s en un dominio,
pero esto incrementará el trafco de red.
 DA
La función de catalogo global es
importante en:
• los procesos de busqueda
• inicios de sesión
• interacción con aplicaciones que tienen íntima
relación con nuestro servicio de directorio.
 DA
Si nos enfocamos a nivel de los archivos que constituyen
un Dominio, tenemos dos partes fundamentales:
• el archivo NTDS.DIT la base propiamente dicha
donde se guarda gran parte de la información.
• la carpeta SYSVOL.
 DA
SYSVOL:
• Contiene una porción
de las Directivas de
Grupo (GPO's).
• Script de inicios de
sesión.
 DA
El almacén se implementa en un fchero llamado
ntds.dit que tiene que estar localizado en una
partición de tipo NTFS.
– Por defecto %SystemRoot%\ntds\ (%SystemRoot%=c:\windows\)
Es básicamente una base con el motor de
Exchange, y aunque es un unico archivo en
realidad tiene tres o más particiones internas.
 DA
ntds.dit aunque es un unico archivo en
realidad contiene varias particiones, teniendo
cada una su propio ámbito de replicación.
• A cada una de estas particiones se le denomina
“Naming Context” o “NC”. Las podemos ver
fácilmente con Editor ADSI.
• Cada Controlador de Dominio contiene
particiones que defnen el que, el cómo y que se
puede hacer dentro de un dominio.
 DA
En el DA podemos encontrar las siguientes
particiones o NC:
• Dominio, contiene la réplica de todos los
objetos en ese dominio.
• Confguración, contiene la topología del
bosque (=esquema de conexión de los sitios)
• Esquema, contiene el esquema del bosque.
Cada bosque tiene un esquema para que la
defnición de cada clase del objeto sea unica.
 DA
En el DA, si el asistente de promoción instaló y
confguró el servicio DNS, además podemos
encontrar las siguientes particiones o NC:
• ForestDNSZones: contiene los registros
DNS que se replicarán a todos los
Controladores de Dominio con servicio DNS en
el Bosque.
• DomainDNSZones: contiene los registros
DNS que se replicarán a todos los
Controladores de Dominio con servicio DNS en
el Dominio.
 DA
• La información contenida en estos dos
componentes será replicada, de acuerdo a
necesidad, a todos los Controladores de
Dominio del Dominio, o aun a todos los
Controladores de Dominio del Bosque.
• Los controladores de dominio replican los
cambios del almacén de datos de forma
multimaestro: todos los controladores de
dominio tienen la misma base de datos.
 DA
• El directorio activo es básicamente un
sistema multi-maestro es decir que todos
los controladores de dominio pueden escribir
los cambios realizados y en caso de que se
hayan realizado modifcaciones distintas sobre
un mismo objeto en dos o mas controladores
la que permanece es la ultima que se haya
realizado.
 DA
Si bien el DA utiliza un modelo multimaestro de
replicación, existen operaciones particulares que
dependen de un controlador de dominio con un rol
específco roles FSMO.
 DA
• Determinados cambios no pueden ser
gestionados de forma multimaestro.
• Hay cambios que se asignan a Controladores
de Dominio en exclusividad.
• Se establecen 5 roles que recogen estas
operaciones y que pueden ser asignados a
Controladores de Dominio
 DA
Los roles reciben el nombre de roles FSMO
(Flexible Single Master Operations / funciones
Flexibles de Operaciones de un Sólo Maestro)
ó Maestros de Operaciones.
Hay roles FMSO:
– de bosque
– de dominio.
DA
 DA
Los roles FSMO de bosque:
• Maestro de Esquema / Schema Master
• Maestro de nombres de dominio / Domain
Naming Master

son unicos en todo el bosque.

 DA
• Maestro de Esquema / Schema
Master
– controla todas las actualizaciones y los
cambios que tienen lugar en el esquema
(defnición de los objetos que almacena el
Directorio Activo)
 DA
• Maestro de nombres de dominio /
Domain Naming Master
– controla la adición o eliminación de los
dominios del bosque
 DA
Los roles FSMO de dominio:
• Maestro RID / Relative IDentifer (RID) Master
• Maestro Emulador de PDC / Primary Domain
Controller (PDC) Emulator
• Maestro de Infraestructura / Infrastructure
Master
son unicos por dominio. Sólo un Controlador de
Dominio podrá realizar las acciones específcas a cada rol
asignado.
 DA
• Siempre que un controlador de dominio crea un
usuario, un grupo o un objeto de equipo, asigna
un Id. de seguridad (SID) unico al objeto creado.
• Este SID se compone de:
– un SID de dominio, que es el mismo para todos
los SID creados en el dominio
– un RID (Relative IDentifer), que es unico para
cada uno de los SID creados en el dominio.
 DA
• Maestro RID / Relative IDentifer
(RID) Master
– asigna secuencias de Id. relativos (RID) a
cada uno de los distintos controladores del
dominio
 DA
• Maestro de Infraestructura /
Infrastructure Master
– Actualiza las referencias a objetos
comparando sus datos de directorio con el
catálogo global, replicando los cambios si es
necesario.
– Es preferible que no coincida con el
Controlador de Dominio que hace de
catálogo global.
 DA
• Maestro Emulador de PDC / Primary
Domain Controller (PDC) Emulator
– Recibe una replicación preferencial de los
cambios realizados en las contraseñas por
otros controladores del dominio
– Sincronización horaria en todo el bosque
 DA
Traspaso de roles FSMO
• Debemos tener claro que el traspaso no consiste en
“empujar”, sino en “tirar”. No puedo desde A pasar
el rol a B, sino que desde B debo transferir el rol que
tiene A.
 DA
Consideraciones:
• Si el Maestro de Esquema no está activo no nos
daríamos cuenta excepto que tuviésemos que
modifcar el Esquema, operación que no es habitual y
no forma parte de la administración diaria.
• Si el Maestro de Nombres de Dominios no estuviera
activo nos daríamos cuenta unicamente al agregar o
sacar dominios de nuestro bosque, operación como
en el caso anterior poco frecuente.
 DA
Consideraciones:
• Si el Maestro RID no estuviera activo, como los
rangos son de 500 identifcadores es difícil que el DC
supere los 450 principales (cuentas de usuario, grupo
y equipo) por tanto tampoco lo notaríamos.
• Si el Maestro de Infraestructura no está presente no
se actualizarán las referencias en los Grupos entre
dominios. Esto puede provocar problemas puntuales
de acceso a los recursos por falta de los permisos
correspondientes.
 DA
Consideraciones:
• Si el Maestro Emulador PDC falla o no está presente
podríamos tener problemas con máquinas con
sistemas anteriores a 2003 Server en cuestiones
relacionadas con cambios de contraseña, directivas, o
sincronización de hora.
Herramientas
 DA
Las herramientas de incluyen:
• Sitios y servicios de Active Directory
• Editor ADSI
• Administrador de esquema y otros complementos
• Herramientas de línea de comandos para la
administración de AD LDS
• ...
 DA

El Editor ADSI es un complemento de Microsoft

Management Console (MMC) que se utiliza para la
administración general de los Servicios de directorio
ligero de Active Directory (AD LDS). Se instala como
parte del rol de servidor de AD LDS.
 DA
Editor ADSI:
●
Para poder usarIo, para administrar una instancia de
AD LDS, lo primero tienes que crear una conexión con
el DA y enlazarte a la instancia.
●
Debes pertenecer como mínimo al grupo
Administradores de la instancia de AD LDS. De forma
predeterminada, la entidad de seguridad que especifque
como administrador de AD LDS durante su instalación
se convertirá en miembro del grupo Administradores de
la partición de confguración.