SOR - TEMA 3 Parte 1

Tema 3 - Parte 1: DOMINIOS, CONFIANZA Y DIRECTORIOS.

Índice

Servicio de directorio.

Servicio de directorio. Windows.

1. Servicio de directorio.

Active Directory es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, ...). Consiste en una base de datos que contiene la información de todos los objetos (usuarios, equipos y otros dispositivos y servicios de la red de la empresa) existente en una red u organización estructurada de manera jerárquica. Al tener la información centralizada, se permite una mejor gestión de los recursos y un mayor control de acceso sobre los usuarios por parte del administrador.

1. Servicio de directorio.

Antes de profundizar en el concepto de servicio de directorio, debemos conocer los siguientes conceptos básicos. 1.1 Objeto. Se utiliza como nombre genérico para referirnos a cualquiera de los componentes que forman parte del directorio, como una impresora o una carpeta compartida, pero también un usuario, un grupo, etc. Los objetos se organizan en tres categorías:

• Usuarios: identificados a través de un nombre (y, casi siempre, una contraseña), que pueden organizarse en grupos, para simplificar la administración.

1. Servicio de directorio.

• Recursos: que son los diferentes elementos a los que pueden acceder, o no, los usuarios según sus privilegios. Por ejemplo, carpetas compartidas, impresoras, etc.
• Servicios: que son las diferentes funciones a las que los usuarios pueden tener acceso. Por ejemplo, el correo electrónico.

Nota: Definición de usuario. Un usuario, desde un punto de vista informático, es un conjunto de permisos y de privilegios sobre determinados recursos. Por tanto, un usuario no tiene que ser, necesariamente, una persona.

1. Servicio de directorio.

Antes de profundizar en el concepto de servicio de directorio, debemos conocer los siguientes conceptos básicos. 1.2 Dominio. Es un conjunto de objetos en una misma red y bajo la misma base de datos de directorio. Un directorio activo puede tener uno o más dominios, cada uno de los cuales debe tener un controlador de dominio, que es un equipo con active directory instalado. Cada domino debe tener un nombre o DNS que lo identifica, y que servirá para denominar a los equipos de la red que pertenezcan a ese dominio. El dominio raíz será el que identifique al dominio, además de ser el sufijo para todos los equipos de la red.

1. Servicio de directorio.

1.3 Árbol de dominio. Un Árbol es una colección de dominios que dependen de una raíz común y se encuentra organizados con una determinada jerarquía. Dicha jerarquía también quedará representada por un espacio de nombres DNS común.

iesdonana.es

smr.iesdonana.es

daw.iesdonana.es

fpb.iesdonana.es

1. Servicio de directorio.

1.4 Bosque de árboles de dominios. Como ya hemos dicho, los dominios pueden estar organizados jerárquicamente en un árbol que comparte un espacio de nombres DNS común. A su vez, diferentes árboles pueden estar integrados en un bosque. Al tratarse de árboles diferentes, no compartirán el mismo espacio de nombres. Además, de esta forma podremos tener una relación de confianza transitiva, es decir, si un padre tiene confianza en su hijo y este tiene confianza en el suyo, entonces el abuelo tiene confianza en el nueto y viceversa. De esta forma todos los dominios de un bosquen confían unos de otros y los diferentes árboles podrán compartir recursos.

1. Servicio de directorio.

La estructura lógica del directorio activo posee una jerarquía que está determinadad por los siguientes componentes en estricto orden: objetos, unidades organizativas, dominios, árboles y bosques.

iesalhamilla.es

iesdonana.es

smr.iesdonana.es

daw.iesdonana.es

fpb.iesdonana.es

1. Servicio de directorio.

1.5 Unidades Organizativas (UO). Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en subconjuntos, dentro del dominio, siguiendo una jerarquía. De este modo, podremos establecer una estructura lógica que represente de forma adecuada nuestra organización y simplifique la administración. Las OUs contienen objetos del dominio, como cuentas de usuario, equipo y grupos, archivos e impresoras compartidas publicados en AD y otras unidades organizativas.

1. Servicio de directorio.

2. Servicio de directorio. Windows.

2.1 Sitio. Es un grupo de ordenadores que se encuentran relacionados, de una forma lógica, con una localización geográfica particular. En realidad, pueden encontrarse físicamente en ese lugar o, como mínimo, estar conectados, mediante un enlace permanente, con el ancho de banda adecuado. 2.2 Relaciones de confianza. En el contexto de Active Directory, las Relaciones de confianza son un método de comunicación seguro entre dominios, árboles y bosques. Las relaciones de confianza permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro dominio del directorio.

2. Servicio de directorio. Windows.

Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales. Además, las relaciones de confianza pueden ser transitivas (A confía en B y B confía en C, luego A confía en C). 2.3 Esquema. Se utiliza la palabra Esquema para referirse a la estructura de la base de datos. En este sentido, utilizaremos la palabra atributo para referirnos a cada uno de los tipos de información almacenada. También suele emplearse una terminología orientada a objetos, donde la palabra Clase se referirá a un determinado tipo de objetos (con unas propiedades determinadas), mientras que un objeto determinado recibe el nombre de instancia. Por ejemplo, podríamos pensar que la clase usuario es una plantilla que definirá a cada uno de los usuarios (que serán instancias de la clase usuario).

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. Vamos al administrador del servidor y en el panel seleccionamos agregar roles y características.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. En tipo de instalación selecciona instalación basada en características o en roles. Selecciona el servidor de destino.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. En roles de servidor seleccionamos Servicios de dominio de Active directory. En características ya vienen marcadas las que son necesario instalar.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. Le damos a siguiente y a continuación a instalar. Responde afirmativamente cuando te pregunte si aceptas que se reinicia automáticamente, y comenza la instalación. Una vez instalado indica que hay que promover el servidor a controlador de dominio.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. A continuación haz clic en agregar un nuevo bosque, ya que vas a instalar un dominio totalmente independiente. Asigna el nombre que le quieras dar al dominio. Por ejemplo: miservidor.net.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. Elige el nivel funcional del bosque y del dominio. Además indica que instale el servidor DNS.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. Cuando te indique que no puedes crear una delegación de DNS, pulsa siguiente y ve a elegir el nombre de dominio NetBIOS y especificar las rutas de acceso a la base de datos de active directory, a los archivos de registro y a la carpeta SYSVOL.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. Si el servidor tiene una dirección IP dinámica, el sistema te avisará de ello y será conveniente configurar una dirección IP fija. Para ello ir a panel de control, centro de redes y recursos compartidos. Cuando finalices, se reiniciará el sistema y al entrar te mostrará el nombre del equipo del dominio raíz.

2. Servicio de directorio. Windows.

2.4 Intalación de Active Directory. Una vez que el equipo sea controlador de domino, los usuarios estándar que no pertenezcan al grupo de administradores no podrán iniciar sesión local en el servidor. Cuando el servidor sea controlador de dominio, las cuentas locales hay que gestionarlas también en usuarios y equipos de Active Directory.

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Es posible, que de forma extraordinaria, necesitemos desinstalar Active Directory, por ejemplo si queremos modificar las características hardware servidor, cuando modificamos los servicios que ofrece o porque vamos a ceder los servicios a otro equipo. Los pasos a seguir para realizar una desinstalación, en líneas generales son dos:

1. Degradar el controlador de dominios.
2. Desinstalar el servicio de Active Directory junto con los servicios que no vayamos a usar, como podría ser el caso del servicio DNS.

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory.

1. Degradar el controlador de dominios.

En este paso vamos a desactivar el controlador de dominios.Primero desplegamos el menú Administrar en el Administrador del servidor, abriendose la ventana del asistente para quitar roles y características.

Paso 1

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Dentro del Asistente para quitar roles y características, teniendo en cuenta lo que nos indica, en este caso le damos a siguiente.

Paso 2

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. A continuación seleccionamos el servidor sobre el que deseamos actuar y le damos a siguiente.

Paso 3

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. En la ventana de roles del servidor desmarcamos Servicios de dominio de Active Directory y sobre la ventana emergente le damos a Quitar características.

Paso 4

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. A continuación le damos a Disminuir el nivel de este controlador de dominio.

Paso 5

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Después seleccionamos en la ventana emergente Forzar la eliminación de este controlador de dominio y le damos a siguiente.

Paso 6

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Después seleccionamos en la ventana emergente Forzar la eliminación de este controlador de dominio y le damos a siguiente.

Paso 7

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Después seleccionamos en la ventana emergente Forzar la eliminación de este controlador de dominio y le damos a siguiente.

Paso 8

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. En este paso le damos directamente a Disminuir nivel para ralizar la acción. Mencionar que tenemos la opción de descargar el script para futuras acciones y agilizar el proceso.

Paso 9

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Se nos reinicia la máquina y observamos que ha desaparecido el dominio del sistema. Ya que antes nos aparecía como usuario: MISERVIDOR/Administrador

Paso 10

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. 2. Desinstalar el servicio de Active Directory junto con los servicios que no vayamos a usar, como podría ser el caso del servicio DNS. Realizamos los pasos de igual forma que para la degradar el contolador de dominios y en este caso desmarcamos, en dos pasos, primero el Sevicio de dominio de Active Directory y el Servicio DNS.

Paso 4

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. En la siguiente ventana no cambiamos nada y le damos a siguiente.

Paso 5

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Seleccionamos que Reinicie automáticamente y le damos a Quitar.

Paso 6

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Seleccionamos que Reinicie automáticamente y le damos a Quitar. Esperamos a que se reinicie e iniciamos sesión.

Paso 7

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Cuando iniciemos sesión, iniciamos el Administrador del servidor y le damos a Quitar roles y características. Veremos que el proceso continúa y nosotros le podremos dar a cerrar, tras el proceso, habrá desaparecido el rol de AD y el DNS.

Paso 8

2. Servicio de directorio. Windows.

2.6 Gestión de Unidades Organizativas (UO). Crear una unidad organizativa: para ello accede a herramientas administrativas y selecciona Usuarios y Equipos de Active Directory. A continuación haz clic derecho sobre el nombre del dominio en el que vas a crear la UO y selecciona nuevo->UO y ponle un nombre adecuado.

2. Servicio de directorio. Windows.

Mover objetos de una ubicación a otra: se pueden arrastrar los objetos de una unidad a otra o se puede utilizar la acción Mover (Ejemplo el grupo Alumnado_ASO, lo voy a mover a la unidad organizativa Grado_Superior).

2. Servicio de directorio. Windows.

Eliminar una unidad organizativa: No es frecuente eliminar la unidad organizativa, pero si se elimina también se eliminan todos los objetos que contiene. Para esta acción hay que acceder a herramientas administrativas -> Usuarios y Equipos de AD. A continuación accede a ver->Características Avanzadas.

2. Servicio de directorio. Windows.

Pulsa con el botón secundario del botón sobre la UO que vas a eliminar y después, en propiedades, en la pestaña objeto, desmarcas la casilla Proteger contra eliminación accidental y pulsa en aceptar. Por último, sutuate sobre la UO y elige eliminar (no olvides desmarcar de nuevo Características Avanzadas).

2. Servicio de directorio. Windows.

2.7 Administrar cuentas de usuario. Los usuarios de AD no serán usuarios locales, sino globales al dominio. Crear un usuario: situarse sobre la UO Users pulsar con el botón derecho->nuevo ->usuario. Rellena los datos y a continuación asignalé una contraseña.

2. Servicio de directorio. Windows.

Modificar los valores de las cuentas: una vez creada la cuenta podemos modificar los valores, situándonos sobre el usuario y pulsando en propiedades.

Existen varias pestañas donde podemos modificar:

- Modificar valores generales de las cuentas.- Establecer horas de inicio de sesión.- Limitar los equipos desde los que un usuario puede iniciar sesión.- Averiguar de qué grupos es miembro un usuario.- Etc.

2. Servicio de directorio. Windows.

Otras operaciones que se pueden realizar y que son útiles son:

- Recuperar contraseñas. - Deshabilitar una cuenta de usuario. - Hacer que un usuario sea miembro de un grupo. - Copiar cuentas de usuario. - Eliminar una cuenta de usuario.

2. Servicio de directorio. Windows.

2.8 Gestión de cuentas de equipo.

Los equipos son cuentas utilizadas para poder acceder a los servicios del directorio, de tal forma que las cuentas de usuario, para que puedan tener acceso, deben estar corriendo sobre un ordenador que tenga cuenta de equipo en AD. Crear cuentas de equipo: los ordenadores que pertenezcan al directorio activo deben tener su propia cuenta de equipo.Seleccionamos la UO, Computers y hacemos clic con el botón derecho, le damos a nuevo y por último a equipo.

2. Servicio de directorio. Windows.

Modificar cuentas de equipo: Al igual que con los usuarios, se pueden modificar los valores de las cuentas de equipo.Seleccionamos la UO de Computers y hacemos clic con el botón derecho sobre el equipo que queremos modificar, le damos a propiedades.

A veces, es necesario restablecer las cuentas de equipo porque existe una desincronización con lacontraseña y el equipo cliente no puede conectar.

2. Servicio de directorio. Windows.

2.9 Administrar cuentas de grupo.Los grupos permiten administrar objetos del dominio de forma conjunta. Un grupo puede estar formado por cuentas de usuario, de equipo, contactos o, incluso, otros grupos.Los permisos se asignan a un grupo y los miembros del grupo obtienen dichos permisos. Los grupos de AD, según su ámbito, pueden ser:

• Grupos locales al dominio: afectan a todo el dominio, pero no es posible darles permisos para otros dominios del mismo bosque.
• Grupos globales: se definen en un dominio, no se replican a otros controladores de dominio, pero sí es posible otorgarles permisos para recursos de otros dominios.

2. Servicio de directorio. Windows.

• Grupos universales: se definen en un dominio, pero se replican a los dominos del bosque, es decir, vemos esos grupos desde cualquier dominio del bosque.

Crear cuentas de grupo: Users-> Nuevo -> Grupo. Rellenamos los datos y ponemosel ámbito de grupo, global para que sea compatible con otros dominios. En tipo de grupo se indica seguridad para asignar privilegios/restricciones a los recursos. Si seleccionáramos Distribución servirán para la gestión de correo electrónico.

2. Servicio de directorio. Windows.

Modificar los valores en las cuentas de grupo: sobre el grupo, botón derecho -> propiedades. En la ventana que se nos abre podremos, por ejemplo, elegir los usuarios, equipos o grupos que son miembros del grupo que estamos editando o delegar la administración de este grupo en otro usuario diferente. Añadir miembros a un grupo: Para añadir un nuevo miembro a un grupo, hay que abrir la ventana Propiedades de dicho grupo y elegir la solapa Miembros. Se pulsa en agregar, para poder seleccionar los usuarios, contactos, equipos, etc. Para buscar los elementos a seleccionar, pulsamos en opciones avanzadas y en la venta emergente hacemos clic en buscar ahora. Eliminar grupos: Sobre el grupo -> botón derecho -> eliminar.

Muchas Gracias