Академический Документы
Профессиональный Документы
Культура Документы
Eduardo Munizaga
Senior TAM MCSE Windows 2003 eduardmu@microsoft.com
Rodrigo Gmez
Consultor de Infraestructura MCSE Windows 2003 rodgomez@microsoft.com
Agenda
1. Objetivos 2. Prerrequisitos 3. Conceptos Active Directory
3.1. Elementos de Diseo Lgico 3.2. Elementos de Diseo Fsico 3.3. Elementos de Arquitectura DNS 3.4. Administracin Usuarios y Equipos
1. Objetivos
Aprovechar al mximo las caractersticas de Active Directory 2003. Aprender a implementar:
Estructuras lgicas y fsicas. DNSs. Delegacin de control y polticas de grupo. Implementacin de catlogos globales. Roles FSMO.
2. Prerrequisitos
Comprender lo que es un servicio de directorio
dom1.com
dom5.com
dom2.dom1.com dom3.dom1.com
dom6.dom5.com
dom4.dom2.dom1.com
demo
Active Directory Users and Computers Dominios OUs
Kerberos
Bidireccionales Transitivos Implcitos (entre los dominios del forest) Explcitos
Windows 2000:
NTLM:
hacia/desde dominios NT 3.x/4.0 hacia/desde dominios Windows 2000 de otros forest
Kerberos:
bidireccionales y transitivos entre todos los dominios del forest hacia/desde realms MIT Kerberos V5 no AD Shortcut Trusts
entre dominios del mismo forest
Windows 2003:
Idem Windows 2000 mas Interforest Trusts
dom1.com
dom5.com
dom2.dom1.com
dom6.dom5.com
dom4.dom2.dom1.com
Shortcut Trust
Implcito Transitivo Bidireccional
dom1.com
dom5.com
dom2.dom1.com
dom3.dom1.com
dom6.dom5.com
Shortcut Trust
Explcito Transitivo Bidireccional
dom4.dom2.dom1.com
Native Mode:
Todos los DCs deben ser Windows 2000 Utilizacin de Universal Security Groups Mayores opciones de nesting de grupos
Windows 2003:
Domain Modes:
Windows 2000 Mixed Windows 2000 Native Windows 2003 Interim Windows 2003
Forest Modes:
Windows 2000 Windows 2003 Interim Windows 2003
Versiones de OS Soportados
3.1.7.1. Windows 2003 Domain Modes:
Directory Tree
DC Storage
Schema Configuration Domain Application Partition Forest Root Domain
Partition Hierarchy
RootDSE
Application Partition
Configuration
Schema
Contiene y describe las clases correspondientes a los objetos que pueden ser creados en el directorio
Ejemplos:
Clase User Clase Computer Clase Domain Etc.
Permite que todos los objetos del forest sean visibles en todos los dominios El administrador define que DCs son GC
Caractersticas
Particiones orientadas a almacenamiento de informacin temporaria o de carcter voltil Pueden ser creadas y replicadas a cualquier DC del forest
Definidas por el administrador
Puede contener objetos AD de cualquier tipo excepto Security Principals (users, groups and computers) Utilizadas en Windows 2003 para:
Zonas DNS AD/AM COM+ partitions TAPI Applications
Qu se replica?
Los replication partners se replican entre s:
Particiones en comn:
Schema Partition Configuration Partition Si son DCs del mismo dominio:
Particin dominio
Application Partitions
Global Catalog
Si ambos DCs estan configurados como GC
demo
Particiones Replicacin Dcdiag NETDIAG ADSIEDIT
3.2.4.1. Sites
Conjuntos de DC con buena conectividad entre s
Agrupacin a travs de subnets IP con buena conectividad entre s Las subnets que definen a un site son definidas por el administrador
Relevantes para:
Routing Replication Client affinity (logon) SYSVOL replication DFS Service Location
Site A
dom1.com
dom2.dom1.com
dom3.dom1.com
Site B
dom4.dom2.dom1.com
Site A
Site B
dom1.com
Server Objects:
Objeto que representa a cada DC involucrado en el CO
Flexible Single Master Operations Roles Active Directory para operaciones especiales que requieren modelo Single Master 2 tipos de FSMO Roles:
Forest Wide:
Schema Master : administracin de cambios en el Schema Domain Naming Master : administracin de altas/bajas de dominios en el forest
Domain Wide:
PDC Emulator : emulacin de PDC NT 4.0 para clientes no AD RID Master : Relative ID; generacin de RIDs en el dominio Infrastructure Master:
Mantiene la lista de Security Principals de otros dominios que pertenecen a grupos del dominio propio
demo
Site and Services Roles FSMO
Service Locator
Logon Bsquedas Bsquedas DC mas cercano:
Cliente-DC Entre DCs
Determinacin de site
Windows 2003:
Domain Partition , Application Partitions Default para nuevas instalaciones
Zonas AD Integrated pueden ser convertidas a DNS estndar y vicecersa DCs con zona DNS estndar pueden ser secundarios de DCs con zonas AD integrated
Formato:
_Service._Protocol.DnsDomainName
Dominio DNS por cada dominio Storage en archivos DNS estndar AD integrated Prcticas recomendadas:
Delegacin de zona _msdcs.<rootforestdomain> Replicacin de _msdcs.<rootforestdomain> a todos los DCs Zonas AD Integrated
ForestDNSZone: ejemplo
DomainDNSZone: ejemplo
demo
Active Directory y DNS
GC & DNS
DNS
B.A.COM
DNS
DC1DC1-B DC2DC2-B
DC3DC3-B
GC Domain A.COM (and Windows 2000 AD Integrated Zones) Domain B.A.COM (and Windows 2000 AD Integrated Zones)
3.4.1. Introduccin
IntelliMirror:
Conjunto de tecnologas presentes en Windows 2000, Windows XP y Windows Server 2003 que permiten la administracin de la configuracin de servidores, workstations, y usuarios en forma centralizada a travs de los servicios de directorios Componentes principales:
Active Directory Group Policy
Group Policy:
Mecanismo configuracin y administracin centralizada de servidores, workstations y usuarios de un usuario del dominio Active Directory Reemplaza mecanismo System Policies (Windows NT 4.0/9x)
3.4.1. Introduccin
IntelliMirror
User Data Management
Administracin centralizada de los archivos de los usuarios Configuracin del desktop del usuario (colores, fonts, restricciones, profile, aplicaciones, etc.) Administracin de todas las configuraciones de seguridad del usuario:
Security Settings: Internet Protocol security (IPSec) Software Restrictions Policies Wireless Network Policies
Internet Explorer settings Logon/Logoff Startup/Shutdown Scripts Remote Installation Services (RIS)
Instalacin de sistema operativo y aplicaciones en forma automatizada a travs del directorio
Componentes
En los Domain Controllers:
Objecto Active Directory que contiene las configuraciones de User y Computer
Se almacena en Group Policy container en la domain partition Cada objeto tiene las siguientes propiedades:
Version information Status (Enabled/Disabled) Lista de componentes (extensions) que tienen settings en el GPO Configuracin de cada setting Policy settings as defined by the extension snap-ins:
Componentes
En las workstations:
Client-side Extensions:
DLLs que procesan los GPOs
Lista de DLLs:
Registry (in Administrative Templates) Disk Quota (in Administrative Templates) Folder Redirection Scripts Software Installation Security IP Security EFS (Encrypting File System) Recovery Internet Explorer Maintenance : Userenv.dll : Dskquota.dll : Fdeploy.dll : Gptext.dll : Appmgmts.dll : Scecli.dll : Gptext.dll : Scecli.dll : Iedkcs32.dll
Mltiples GPOs pueden ser aplicados a un mismo site, dominio, u OU Synchronous vs Asynchronous Processing:
Default: comportamiento sincrnico
CTRL+ALT+DEL es mostrado solo cuando finaliz el procesamiento de GPO Computer settings Shell est activo solo cuando finaliz el procesamiento de GPO User Settings
Orden de aplicacin
Orden de aplicacin (default):
Local/Site/Domain/OU El ltimo valor aplicado tiene precedencia
Orden de aplicacin
Orden de aplicacin (default):
Local/Site/Domain/OU El ltimo valor aplicado tiene precedencia
Opcin No Override:
Propiedad del GPO link que permite que los valores configurados en un GPO determinado no sean sobre-escritos por GPOs de niveles inferiores en la jerarqua
Muestra un reporte con los GPO settings efectivos Nota: no permite simular el Local GPO del equipo, por lo que los resultados pueden variar si es que existen Local GPO configurados en el equipo Permite a un administrador determinar los GPOs settings efectivos reales de una sesin activa de cualquier equipo del dominio en forma remota Generacin reporte HTML con resultados Requerimientos seguridad:
Permiso Remotely access Group Policy Results data en el dominio u OU que contiene al equipo o cuenta destino , Pertenencia al grupo Administrators del equipo destino
Ejemplo:
1. Crear estructura de OUs 2. Mover servidores a OU 3. Crear Global Groups de administracin 4. Delegar administracin en la OU al grupo de administradores 5. Crear Security Templates 6. Crear GPO asociados a los OUs 7. Importar Security Template en el GPO
Diseo:
Design Considerations for Delegation of Administration in Active Directory Multiple Forest Considerations Planning and Implementing Federated Forests in Windows Server2003
Soluciones:
Solution Accelerator for Domain Server Consolidation and Migration MS Solution for Identity Management Windows Server Deployment Solution Accelerator Active Directory Branch Office Planning Guide Solution Guide for Windows Security and Directory Services for UNIX
Operaciones:
Active Directory Operations Guide
Management:
Active Directory Management Guide
Group Policies:
Windows 2000 Change and Configuration Management Deployment Guide
Windows 2000:
Best Practice Active Directory Design for Managing Windows Networks Best Practice Active Directory Deployment for Managing Windows Networks
Visita www.microsoft.com/chile/technet