Embed Size (px)
Citation preview
Republica Bolivariana de Venezuela
Ministerio del Poder Popular para la Defensa
Universidad Nacional Experimental de la Fuerza Armada
UNEFA
Puerto Cabello – Edo. Carabobo
Puerto Cabello, Junio del 2012
Prof:
Ing. Yelmi Pérez Bachilleres:
Graterol Wilmary C.I: 20.145.638
Mota Diana C.I: 19.196.488
Quintana Ronal C.I: 18.345.286
7mo Semestre de Ing “Sistemas”
Es el término que usa Microsoft para referirse a su implementación de
servicio de directorio en una red distribuida de computadores. Utiliza distintos
protocolos (principalmente LDAP, DNS, DHCP, Kerberos).
Su estructura jerárquica permite mantener una serie de objetos
relacionados con componentes de una red, como usuarios, grupos de usuarios,
permisos y asignación de recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel
de empresa, desplegar programas en muchos ordenadores y aplicar
actualizaciones críticas a una organización entera.
Un Active Directory almacena información de una organización en una
base de datos central, organizada y accesible. Pueden encontrarse desde
directorios con cientos de objetos para una red pequeña hasta directorios con
millones de objetos.
Active Directory está basado en una serie de estándares llamados
X.500, aquí se encuentra una definición lógica a modo jerárquico.
Dominios y subdominios se identifican utilizando la misma notación de
las zonas DNS, razón por la cual Active Directory requiere uno o más
servidores DNS que permitan el direccionamiento de los elementos
pertenecientes a la red, como por ejemplo el listado de equipos conectados; y
los componentes lógicos de la red, como el listado de usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un
usuario pertenece a un dominio, será reconocido en todo el árbol generado a
partir de ese dominio, sin necesidad de pertenecer a cada uno de los
subdominios.
A su vez, los árboles pueden integrarse en un espacio común
denominado bosque (que por lo tanto no comparten el mismo nombre de zona
DNS entre ellos) y establecer una relación de «trust» o confianza entre ellos.
De este modo los usuarios y recursos de los distintos árboles serán visibles
entre ellos, manteniendo cada estructura de árbol el propio Active Directory.
Active Directory se basa en una estructura jerárquica de objetos. Los
objetos se enmarcan en tres grandes categorías, recursos (p.ej. impresoras),
servicios (p.ej. correo electrónico), y usuarios (cuentas, o usuarios y grupos). El
AD proporciona información sobre los objetos, los organiza, controla el acceso
y establece la seguridad.
Cada objeto representa una entidad individual, ya sea un usuario, un
equipo, una impresora, una aplicación o una fuente compartida de datos y sus
atributos. Los objetos pueden contener otros objetos. Un objeto está
unívocamente identificado por su nombre y tiene un conjunto de atributos.
Las características de información que el objeto puede contener
definidos por y dependientes del tipo. Los atributos, la estructura básica del
objeto, se definen por un esquema, que también determina la clase de objetos
que se pueden almacenar en el AD.
Cada atributo se puede utilizar en diferentes "schema class objects".
Estos objetos se conocen como objetos esquema, o metadata, y existen para
poder extender el esquema o modificarlo cuando sea necesario. Sin embargo,
como cada objeto del esquema se integra con la definición de los objetos del
anuncio, desactivar o cambiar estos objetos puede tener consecuencias serias
porque cambiará la estructura fundamental del ANUNCIO en sí mismo.
Un objeto del esquema, cuando es alterado, se propagará
automáticamente a través de Active Directory y una vez que se cree puede ser
desactivado-no solamente suprimido. Cambiar el esquema no es algo que se
hace generalmente sin un cierto planeamiento.
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight
Directory Access Protocol), ya que este protocolo viene implementado de forma
similar a una base de datos, la cual almacena en forma centralizada toda la
información relativa a un dominio de autenticación. La ventaja que presenta
esto es la sincronización presente entre los distintos servidores de
autenticación de todo el dominio.
A su vez, cada uno de estos objetos tendrá atributos que permiten
identificarlos en modo unívoco (por ejemplo, los usuarios tendrán campo
«nombre», campo «email», etcétera, las impresoras de red tendrán campo
«nombre», campo «fabricante», campo «modelo», campo "usuarios que
pueden acceder", etc).
Toda esta información queda almacenada en Active Directory
replicándose de forma automática entre todos los servidores que controlan el
acceso al dominio.
De esta forma, es posible crear recursos (como carpetas compartidas,
impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la
ventaja que estando todos estos objetos memorizados en Active Directory, y
siendo esta lista de objetos replicada a todo el dominio de administración, los
eventuales cambios serán visibles en todo el ámbito.
Para decirlo en otras palabras, Active Directory es una implementación
de servicio de directorio centralizado en una red distribuida que facilita el
control, la administración y la consulta de todos los elementos lógicos de una
red (como pueden ser usuarios, equipos y recursos).
Para permitir que los usuarios de un dominio accedan a recursos de otro
dominio, Active Directory usa una relación de confianza. La relación de
confianza es creada automáticamente cuando se crean nuevos dominios. Los
límites de la relación de confianza no son marcados por dominio, sino por el
bosque al cual pertenece. Existen relaciones de confianza transitivas, donde
las relaciones de confianza de Active Directory pueden ser un acceso directo
(une dos dominios en árboles diferentes, transitivo, una o dos vías), bosque
(transitivo, una o dos vías), reino (transitivo o no transitivo, una o dos vías), o
externo (no transitivo, una o dos vías), para conectarse a otros bosques o
dominios que no son de Active Directory. Active Directory usa el protocolo V5
de Kerberos, aunque también soporta NTLM y usuarios webs mediante
autenticación SSL / TLS.
Confianza transitiva
Las Confianzas transitivas son confianzas automáticas de dos vías que
existen entre dominios en Active Directory.
Confianza Transitiva de una dirección y de dos direcciones.
Confianza explícita
Las Confianzas explícitas son aquellas que establecen las relaciones de
forma manual para entregar una ruta de acceso para la autenticación. Este tipo
de relación puede ser de una o dos vías, dependiendo de la aplicación.
Las Confianzas explícitas se utilizan con frecuencia para acceder a
dominios compuestos por ordenadores con Windows NT 4.0.
Confianza de Acceso Directo
La Confianza de acceso directo es, esencialmente, una confianza explícita
que crea accesos directos entre dos dominios en la estructura de dominios.
Este tipo de relaciones permite incrementar la conectividad entre dos
dominios, reduciendo las consultas y los tiempos de espera para la
autenticación.
Confianza entre bosques
La Confianza entre bosques permite la interconexión entre bosques de
dominios, creando relaciones transitivas de doble vía. En Windows 2000, las
confianzas entre bosques son de tipo explícito, al contrario de Windows Server
2003.
Direccionamientos a recursos
Los direccionamientos a recursos de Active Directory son estándares con la
Convención Universal de Nombrado (UNC), Localizador Uniforme de Recursos
(URL) y nombrado de LDAP.
Cada objeto de la red posee un nombre de distinción (en inglés,
Distinguished name (DN)), así una impresora llamada Imprime en una Unidad
Organizativa (en inglés, Organizational Units, OU) llamada Ventas y un dominio
foo.org, puede escribirse de las siguientes formas para ser direccionado:
en DN sería CN=Imprime,OU=Ventas,DC=foo,DC=org, donde
o CN es el nombre común (en inglés, Common Name)
o DC es clase de objeto de dominio (en inglés, Domain object
Class).
En forma canónica sería foo.org/Ventas/Imprime
Los otros métodos de direccionamiento constituyen una forma local de localizar
un recurso
Distinción de Nombre Relativo (en inglés, Relative Distinguised Name
(RDN)), que busca un recurso sólo con el Nombre Común (CN).
Globally Unique Identifier (GUID), que genera una cadena de 128 bits
que es usado por Active Directory para buscar y replicar información.
Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en inglés,
User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o
un directorio de la red. Su forma es objetodered@dominio
Complemento Dominios y confianzas de Active Directory
A diferencia del anterior sistema de administración de dominios de
Windows NT Server, que preveía únicamente el dominio de administración,
Active Directory permite también crear estructuras jerárquicas de dominios y
subdominios, facilitando la estructuración de los recursos según su localización
o función dentro de la organización a la que sirven. Otra diferencia importante
es el uso de estándares como X.500 y LDAP para el acceso a la información.
Las interfaces de servicio de Active Directory (ADSI) entregan al
programador una interfaz orientada a objetos, facilitando la creación de
programas de directorios mediante algunas herramientas compatibles con
lenguajes de alto nivel, como Visual Basic, sin tener que lidiar con los distintos
espacios de nombres.
Mediante las ADSI se permite crear programas que realizan un único
acceso a varios recursos del entorno de red, sin importar si están basados en
LDAP u otro protocolo. Además, permite generar secuencias de comandos
para los administradores.
Interfaces del Servicio Active Directory (ADSI)
También se puede desarrollar la Interfaz de mensajería (MAPI), que
permite generar programas MAPI.
Para crear un dominio hay que cumplir, por lo menos, con los siguientes
requisitos recomendados:
Tener cualquier versión Server de Windows 2000, 2003 (Server,
Advanced Server o Datacenter Server) o Windows 2008, en el caso de
2003 server, tener instalado el service pack 1 en la máquina.
Protocolo TCP/IP instalado y configurado manualmente, es decir, sin
contar con una dirección asignada por DHCP,
Tener un servidor de nombre de DNS, para resolver la dirección de los
distintos recursos físicos presentes en la red
Poseer más de 250 MB en una unidad de disco formateada en NTFS.DE
WINDOWS.
Samba es un programa de código libre, que tiene disponible un
controlador de dominios compatible con Windows NT 4.
El programa de código libre Mandriva Directory Server ofrece una
interfaz web para manejar el controlador de dominios de Samba y el servicio de
directorios de LDAP.
Otra alternativa es Novell eDirectory, que es Multiplataforma: se puede
correr sobre cualquier sistema operativo: Linux, AIX, Solaris, Novell Netware,
UNIX e integra LDAP v.3 Nativo. Es el precursor en materia de estructuras de
Directorio, ya que fue introducido en 1990 con la versión de Novell Netware 4.0.
Aunque AD de Microsoft alcanzó mayor popularidad, todavía no puede igualar
la fiabilidad y calidad de eDirectory y su capacidad Multiplataforma.
Sun Java ES Directory Server y OpenDS son otras alternativas, el
primero basado en java y el segundo basado y desarrollado en C. El primero es
un producto de Sun Microsystems y el segundo una alternativa de código
abierto.
Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba y
además certificación digital y Bind9 (modificado para usar LDAP como
backend) es WBSAgnitio.
Las herramientas administrativas de Active Directory simplifican la
administración del servicio de directorios. Puede usar las herramientas
estándar o crear, mediante Microsoft Management Console (MMC),
herramientas personalizadas que se centren en tareas de administración
específicas. Puede combinar varias herramientas en una única consola.
También puede asignar herramientas personalizadas a varios administradores,
dando así a cada uno de ellos una responsabilidad específica. Para obtener
más información acerca de MMC, vea Trabajar con archivos de consola de
MMC.
Las herramientas administrativas de Active Directory sólo se pueden utilizar
desde un equipo que tenga acceso a un dominio. Las siguientes herramientas
administrativas de Active Directory están disponibles en el menú Herramientas
administrativas:
Usuarios y equipos de Active Directory
Dominios y confianzas de Active Directory
Sitios y servicios de Active Directory
También puede administrar Active Directory de forma remota desde un
equipo que no sea un controlador de dominio, como puede ser un equipo que
ejecute Windows XP Professional. Para ello, debe instalar el Paquete de
herramientas de administración de Windows Server 2003.
Para obtener más información, vea Introducción al paquete de herramientas
de administración de Windows Server 2003.
El complemento Esquema de Active Directory es una herramienta
administrativa de Active Directory para administrar el esquema.
No aparece de forma predeterminada en el menú Herramientas
administrativas, y debe agregarse de forma manual. Para obtener más
información, vea Instalar el complemento Esquema de Active Directory.
Para los administradores avanzados y los especialistas en redes hay
muchas más herramientas de línea de comandos que pueden usar para
configurar, administrar y solucionar problemas de Active Directory. Para
obtener más información, vea Herramientas de soporte de Active Directory.
También puede crear secuencias de comandos que usen las Interfaces de
servicio de Active Directory (ADSI, <i>Active Directory Service Interfaces</i>).
Se suministran varios ejemplos de secuencias de comandos en los medios de
instalación del sistema operativo. Para obtener más información acerca de las
secuencias de comandos, vea Utilizar los Kits de recursos e implementación de
Microsoft Windows. Para obtener más información acerca de cómo usar ADSI,
vea Interfaces de programación.
Las herramientas administrativas de Active Directory, como Usuarios y
equipos de Active Directory, y las extensiones de shell de Windows utilizan
especificadores de pantalla para crear de manera dinámica elementos de menú
contextual y páginas de propiedades. Los especificadores de presentación
permiten la ubicación de nombres y clases de atributos, menús contextuales,
páginas de propiedad y también admiten nuevas clases y atributos.
Se pueden agregar y modificar clases y atributos en el esquema, y
ampliar las herramientas administrativas y el shell de Windows de varias
formas, modificando los atributos de los especificadores de presentación. Para
obtener más información acerca del esquema de Active Directory y los
especificadores de pantalla, vea el Manual del programador de Active Directory
en el sitio Web de Microsoft.
Puede cambiar la forma en que se muestran los objetos de Usuarios y
equipos de Active Directory mediante los comandos del menú Ver de la
consola. Los comandos de menú incluyen la capacidad de activar o desactivar
características tales como el árbol de la consola, la barra de descripción, la
barra de estado, los iconos grandes y los iconos pequeños, entre otras.
Cuando se inicia Usuarios y equipos de Active Directory y se expande el
nodo de dominio, aparecen varios contenedores en el árbol de la consola. Si
acaba de crear un controlador de dominio, los contenedores que aparecen de
forma predeterminada son:
Builtin: Contiene objetos que definen los grupos integrados
predeterminados, como los Administradores y Operadores de cuentas.
Equipos: Contiene objetos de equipos de Windows 2000, Windows XP
y Windows Server 2003, incluidas cuentas de equipos que se crearon
inicialmente con interfaces de programación de aplicaciones (API) que
no utilizan Active Directory. Los objetos de equipo se mueven al
contenedor Equipos al actualizar los dominios de Windows NT a
Windows 2000 o a un sistema operativo Windows Server 2003.
Controladores de dominio: Contiene objetos de equipo para
controladores de dominio que ejecuten Windows 2000 o Windows
Server 2003.
Usuarios: Contiene cuentas de usuario y grupos que se crearon
inicialmente mediante API que no podían utilizar Active Directory. Las
cuentas de usuario y grupos se mueven al contenedor Usuarios al
actualizar los dominios de Windows NT a Windows 2000 o a un sistema
operativo de Windows Server 2003. Se puede utilizar la herramienta
Administrador de usuarios de Windows NT 4.0 para modificar los
usuarios y grupos creados con API que no podían utilizar Active
Directory.
Cuando en el menú Ver se selecciona Características avanzadas, en la
consola se muestran dos carpetas adicionales:
LostAndFound: Contiene objetos cuyos contenedores se eliminaron al
tiempo de crear el objeto. Si un objeto se creó o se movió a una
ubicación que ya no existe después de la replicación, el objeto perdido
se agrega al contenedor Lost AndFound.
El contenedor LostAndFoundConfig de la partición del directorio
de configuración sirve del mismo propósito para objetos de todo el
bosque.
Sistema: Contiene configuraciones de sistema integradas para los
distintos objetos y contenedores de servicio del sistema. Para obtener
más información acerca del contenedor del sistema, vea Utilizar los Kits
de recursos e implementación de Microsoft Windows.
Al seleccionar Opciones de filtro en el menú Ver, puede mostrar todos los
objetos, mostrar solamente los objetos seleccionados, configurar el número de
elementos que pueden aparecer en cada carpeta o crear filtros personalizados
mediante los atributos de objeto y consultas LDAP.
Las consolas MMC de Active Directory, incluidas las de Usuarios y
equipos de Active Directory (dsa.msc), Dominios y confianzas de Active
Directory (domain.msc) y Sitios y servicios de Active Directory (dssite.msc),
proporcionan opciones de línea de comandos que permiten iniciar una consola
centrada en un determinado dominio o controlador de dominio. Las opciones de
línea de comandos admiten nombres de dominio completos y nombres
NetBIOS.
Las opciones de línea de comandos son:
/domain= FullyQualifiedDomainName
/domain= NetBIOSDomainName
/server= FullyQualifiedDomainControllerName
/server= NetBIOSDomainControllerName
Estas opciones de línea de comandos se pueden utilizar para ejecutar las
consolas MMC de Active Directory directamente desde la línea de comandos, o
se puede crear un acceso directo para iniciar la consola y agregar las opciones
de línea de comandos al acceso directo. También se pueden utilizar las
opciones de la línea de comandos con todas las consolas personalizadas que
se hayan creado. Para obtener más información acerca de cómo crear y
guardar archivos de consola, vea Referencia de herramientas administrativas
de la interfaz de Windows de la A a la Z: Microsoft Management Console.
Ejemplos de línea de comandos:
Para iniciar Usuarios y equipos de Active Directory en dominio1, escriba:
dsa.msc /domain=dominio1
Para iniciar Usuarios y equipos de Active Directory en server1, escriba:
dsa.msc /server=servidor1.dominio1
Para iniciar Servicios y sitios de Active Directory en server1, escriba:
dssite.msc /server=servidor1.dominio1
Para iniciar Dominios y confianzas de Active Directory en server1,
escriba:
domain.msc /server=servidor1.dominio1
Notas
No se deben utilizar las opciones de comando /domain y /server al
mismo tiempo.
Las opciones de /domain sólo pueden utilizarse con Usuarios y equipos
de Active Directory.
