SOR - TEMA 3 Parte 2

Tema 3 - Parte 2: DOMINIOS, CONFIANZA Y DIRECTORIOS.

Índice

Servicio de directorio.

Servicio de directorio. Windows.

Unir clientes. Windows.

Compartir carpetas. Windows.

Perfiles de usuarios.

Relaciones entre dominios.

1. Servicio de directorio.

Antes de profundizar en el concepto de servicio de directorio, debemos conocer los siguientes conceptos básicos. 1.2 Dominio. Es un conjunto de objetos en una misma red y bajo la misma base de datos de directorio. Un directorio activo puede tener uno o más dominios, cada uno de los cuales debe tener un controlador de dominio, que es un equipo con active directory instalado. Cada domino debe tener un nombre o DNS que lo identifica, y que servirá para denominar a los equipos de la red que pertenezcan a ese dominio. El dominio raíz será el que identifique al dominio, además de ser el sufijo para todos los equipos de la red.

1. Servicio de directorio.

1.3 Árbol de dominio. Un Árbol es una colección de dominios que dependen de una raíz común y se encuentran organizados con una determinada jerarquía. Dicha jerarquía también quedará representada por un espacio de nombres DNS común.

iesdonana.es

smr.iesdonana.es

daw.iesdonana.es

fpb.iesdonana.es

1. Servicio de directorio.

1.4 Bosque de árboles de dominios. Como ya hemos dicho, los dominios pueden estar organizados jerárquicamente en un árbol que comparte un espacio de nombres DNS común. A su vez, diferentes árboles pueden estar integrados en un bosque. Al tratarse de árboles diferentes, no compartirán el mismo espacio de nombres. Además, de esta forma podremos tener una relación de confianza transitiva, es decir, si un padre tiene confianza en su hijo y este tiene confianza en el suyo, entonces el abuelo tiene confianza en el nueto y viceversa. De esta forma todos los dominios de un bosquen confían unos de otros y los diferentes árboles podrán compartir recursos.

1. Servicio de directorio.

La estructura lógica del directorio activo posee una jerarquía que está determinadad por los siguientes componentes en estricto orden: objetos, unidades organizativas, dominios, árboles y bosques.

iesalhamilla.es

iesdonana.es

smr.iesdonana.es

daw.iesdonana.es

fpb.iesdonana.es

1. Servicio de directorio.

1.5 Unidades Organizativas (UO). Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en subconjuntos, dentro del dominio, siguiendo una jerarquía. De este modo, podremos establecer una estructura lógica que represente de forma adecuada nuestra organización y simplifique la administración. Las OUs contienen objetos del dominio, como cuentas de usuario, equipo y grupos, archivos e impresoras compartidas publicados en AD y otras unidades organizativas. Las Unidades organizativas creadas por defecto en el caso de Windows, son:

• Builtin: unidad organizativa con los grupos creados por defecto en el sistema.

1. Servicio de directorio.

• Computers: aquí quedarán todas las cuentas de equipo cliente incorporados al dominio.

• DomainControllers: En esta UO están los equipos que son controladores del dominio.

• Users: Todos los usuarios del dominio que se crean, quedan por defecto en en esta UO .

• ForeignSecurityPrincipals: Contenedor para entidades principales de seguridad de dominios externos de confianza. Los administradores no deben modificar manualmente el contenido de este contenedor.

1. Servicio de directorio.

2. Servicio de directorio. Windows.

2.1 Sitio. Es un grupo de ordenadores que se encuentran relacionados, de una forma lógica, con una localización geográfica particular. En realidad, pueden encontrarse físicamente en ese lugar o, como mínimo, estar conectados, mediante un enlace permanente, con el ancho de banda adecuado. 2.2 Relaciones de confianza. En el contexto de Active Directory, las Relaciones de confianza son un método de comunicación seguro entre dominios, árboles y bosques. Las relaciones de confianza permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro dominio del directorio.

2. Servicio de directorio. Windows.

Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales. Además, las relaciones de confianza pueden ser transitivas (A confía en B y B confía en C, luego A confía en C). 2.3 Esquema. Se utiliza la palabra Esquema para referirse a la estructura de la base de datos. En este sentido, utilizaremos la palabra atributo para referirnos a cada uno de los tipos de información almacenada. También suele emplearse una terminología orientada a objetos, donde la palabra Clase se referirá a un determinado tipo de objetos (con unas propiedades determinadas), mientras que un objeto determinado recibe el nombre de instancia. Por ejemplo, podríamos pensar que la clase usuario es una plantilla que definirá a cada uno de los usuarios (que serán instancias de la clase usuario).

3. Unir clientes. Windows.

1. Configurar la red en el equipo cliente, comprueba que los dos equipos se vean en la red. En el equipo cliente modifica la red para que el DNS sea la IP del servidor.

3. Unir clientes. Windows.

2. Propiedades del equipo, cambiar el nombre del equipo y unirlo al dominio. Si la cuenta existe previamente en el dominio, al unir el cliente se establecerá un vínculo entre ambos. Si no existe, se crea una nueva cuenta de equipo en ese instante.

3. Se busca en la red el dominio especificado y si lo encuentra nos aparece la ventana para escribir el usuario y su contraseña 4. Nos indica nos hemos unido correctamente al dominio. 5. Nos pide reiniciar.

3. Unir clientes. Windows.

Servidor

Cliente

Nuestra cuenta de equipo cliente, está creada en el contenedor computers.

3. Unir clientes. Windows.

6. Iniciamos sesión en el servidor desde el cliente. 7. Si queremos volver a iniciar sesión en el PC de forma local, tendremos que poner "NOMBRE_DEL_PC\Usuario".

4. Compartir carpetas. Windows.

1. Crear carpetas personales para usuarios en Windows Server. 1- Crear en el servidor la carpeta compartida que actúe como contenedora para todas las carpetas de los usuarios. Para ello, nos dirigimos a la ubicación de interés para crear la carpeta, pulsando botón derecho del ratón y presionando sobre nuevo/carpeta y a continuación la identificamos con un nombre adecuado (ejem: Usuarios). 2- Establecer permisos para compartir. Una vez creada la carpeta, debemos cambiar los permisos para que puedan acceder los usuarios que nos interesen. Por ejemplo, utilizamos todos los usuarios del dominio, identificados como "usuarios del dominio".

4. Compartir carpetas. Windows.

Nos vamos a propiedades de la carpeta a compartir, pulsamos en la cinta de Compartir y damos a Uso compartido avanzado.

4. Compartir carpetas. Windows.

En el uso compartido avanzado le damos a permisos y dentro de Permisos de Personal seleccionamos a Todos y le damos a Quitar. Después le damos a Agregar.

4. Compartir carpetas. Windows.

Pulsamos Opciones avanzadas para buscar al grupo de usuarios que queremos compartir y para ello ponemos en la siguiente ventana "usuarios del" y le damos a Buscar ahora, donde ya podemos seleccionar el grupo deseado.

4. Compartir carpetas. Windows.

De vuelta en la ventana de permisos, nos aseguraremos de seleccionar el grupo Usuarios del dominio y haremos clic en el cuadro de selección que permite darle al grupo el control total sobre la carpeta.

4. Compartir carpetas. Windows.

3- Configurar una carpeta compartida para cada usuario Una vez creada la carpeta contenedora, tendremos que configurar las cuentas de cada usuario para que la utilicen como lugar de almacenamiento en red. Esta tarea la completaremos desde la herramienta Usuarios y equipos de Active Directory.

4. Compartir carpetas. Windows.

4- Acceder desde el equipo cliente a la carpeta compartida. Iniciamos sesión en el equippo cliente y dentro del equipo nos aparecerá la unidad creada desde el servidor como unidad Z:\.

4. Compartir carpetas. Windows.

La unidad que hemos creado y que hemos visto que está disponible en el cliente, realmente está trabajando sobre el servidor y por tanto también podremos acceder a la información desde él.

4. Compartir carpetas. Windows.

Compartir una carpeta con un grupo. En este caso, se creará una carpeta en el servidor que funcione como un almacenamiento común para diferentes usuarios. Los usuarios implicados verán el espacio de almacenamiento compartido como una unidad de red. 1. Crear la carpeta que vayamos a compartir. 2. Compartir la carpeta con el grupo, lo hacemos mediante el acceso de la imagen.

4. Compartir carpetas. Windows.

3. Escribir un script que monte la carpeta como unidad de red. Para ello, accedemos a la carpeta NetLogon (es una carpeta accesible para todos lo clientes y suele almacenar los script de inicio y perfiles de los usuarios del dominio), podemos acceder a ella: \\nombre_servidor\NetLogon. Dentro del directorio descrito, debemos crear un script con el nombre identificativo, con el siguiente patrón de contenido y guardamos: net use Unidad: \\nombre_servidor\dirección_carpeta

Archivo.bat creado

Contenido del archivo

4. Compartir carpetas. Windows.

4. Modificar el perfil de los usuarios para que ejecute el script al inicar sesión. Para ello:

• Accedemos a Usuarios y equipos de active directory.
• Seleccionamos los usuarios.
• Pulsamos botón derecho, propiedades.
• En la pestaña perfil, habilitamos el campo “Script de inicio de sesión”.
• Escribimos el nombre del script.

5. Comprobar que funciona. Nos vamos al equipo del cliente.

5. Perfiles de usuario.

El sistema operativo utiliza los perfiles de usuario para contener la configuración del entorno de trabajo de cada usuario en el equipo local. Entre otras cosas, se incluyen las preferencias en cuanto a la configuración del la pantalla, las conexiones de red, la configuración de impresoras, etc. Esta información se organiza en diferentes archivos que se crean en el momento que el usuario inicia sesión por primera vez. De esta forma, el sistema operativo consigue que varios usuarios puedan utilizar el mismo equipo, de modo que cada uno encuentre, al iniciar la sesión, el mismo entorno que dejó cuando cerró la sesión anterior. Además, los cambios efectuados por un usuario en la personalización de su entorno no afectará a ningún otro usuario del equipo.

5. Perfiles de usuario.

1. Tipos de perfiles de usuario.

• Perfil de usuario local: Se guarda en el disco duro local del equipo cliente, de modo que todas las modificaciones que se realicen serán específicas del ordenador en el que se han establecido.
• Perfil de usuario móvil: Los crea el administrador y se almacenan en una carpeta compartida por el servidor. Está asociada a la cuenta del dominio, de modo que estará disponible de forma independiente al ordenador concreto desde el que inicie sesión el usuario. Dado que el perfil se encuentra en el servidor, todos los cambios realizados en este también se guardan en el servidor.

5. Perfiles de usuario.

• Perfil de usuario obligatorio: son perfiles móviles de sólo lectura, ya que solamente los administradores del dominio pueden realizar cambios en estos perfiles. De esta forma, el administrador podrá definir configuraciones para usuarios o grupos, y estos no podrán cambiarlos.

2. Problema del perfil móvil. Cuando un usuario inicia o cierra sesión con un perfil móvil, se genera un flujo de información hacia el usuario y desde este hacia el servidor. Esta transferencia de datos continua entre el servidor y el cliente no sólo será percibida por el usuario como una pérdida de tiempo, sino que sobrecargará el tráfico de la red, lo que podrá repercutir sobre el rendimiento del resto de los usuarios.

5. Perfiles de usuario.

3. Crear un perfil móvil.Para crear un perfil móvil se deben seguir los siguientes pasos.

• Crear una carpeta en el servidor que actúe como contenedora de los perfiles.
• Cambiar los permisos para que los usuarios del grupo puedan tener todo el control sobre la carpeta anterior.
• Modificar la configuración del usuario o los usuarios afectados para que guarden su perfil en la carpeta.
• Finalmente, comprobaremos que los cambios han funcionado correctamente.

5. Perfiles de usuario.

Una vez creada la carpeta en la ubicación pertinente, debemos cambiar los permisos para que los usuarios del grupo que hayamos elegido puedan tener el control sobre ella (Lectura y escritura).

El nombre de la carpeta debe ser: Nombre_usuario.V6

5. Perfiles de usuario.

Nombres de carpetas para perfil móvil.

5. Perfiles de usuario.

Nos dirigimos a la cuenta de suario que queramos que tenga un perfil móvil, nos dirigimos al perfil y debemos dar valor al cuadro de texto Ruta de acceso al perfil.

El contenido seguirá el siguiente formato: \\servidor\carpeta_compartida\nombre_usuario

6. Relaciones entre dominios.

Una relación de confianza es una característica de Active Directory que facilita a los usuarios de un dominio tener acceso a los recursos de un dominio diferente. Dentro de este contexto, podemos decir que hay dos papeles diferenciados, el del domio "confiador" (el que confía y de donde se prestan los recursos) y el dominio de confianza ( del que se confía y donde se autentican los usuarios).

Dirección de acceso

Dirección de confianza

Dominio A Recursos

Dominio B Usuarios

6. Relaciones entre dominios.

En una relación unidireccional, si la relación se ha establecido entre el dominio A (dominio de confianza) y el dominio B (dominio que confía), los usuarios que se autentiquen en el dominio A podrán tener acceso a los recursos del dominio B, mientras que los usuarios que se autentiquen en el dominio B no podrán acceder a los recursos del dominio A. Si la relación es bidireccional, ambos dominios confían el uno en el otro. Si una relación es transitiva, podríamos tener un dominio A que confiara en un dominio B a la vez que el dominio B confiara en el dominio C. De esta forma, los usuarios del dominio C podrían tener acceso a los recursos del dominio A (siempre que tengan los permisos adecuados).

6. Relaciones entre dominios.

Relación transitiva.

Importante: La cuenta de usuario que usemos para establecer o administrar una relación de confianza, debe ser miembro del grupo "administradores del dominio".

6. Relaciones entre dominios.

Objeto del dominio de confianza. Cada relación de confianza de un dominio se representa con un Objeto de Dominio de Confianza (TDO). Cada vez que se crea una relación, se crea un nuevo TDO único con todos sus atributos y se almacena en el contenedor de System del dominio. Como mínimo, los atributos incluidos en un TDO son:

• La transitividad.
• La direccionalidad.
• El nombre de los dominios.

6. Relaciones entre dominios.

Tipos de confianza. Confianza externa: son relaciones no transitivas, que pueden ser tanto unidireccionales como bidireccionales. Confianza de bosque: comparten recursos entre diferentes bosques. Son transitivas y pueden ser tanto bidireccionales como unidireccionales. Confianza directa: mejoran el tiempo que necesitan los usuarios para iniciar sesión entre dos dominios de árboles distintos, los cuales ya tienen confianza a través de otras relaciones transitivas. Confianza kerberos: permiten establece confiaza entre dominios de Windows y un dominio no Windows (p.e. máquinas Linux).

6. Relaciones entre dominios.

6. Relaciones entre dominios.

Roles que puede desempeñar un controlador de dominio. Controlador de dominio: es un ordenador que contiene la base de datos del directorio para un dominio. Tipos de controladores de dominio con Active Directory.

• Agregar un nuevo bosque: es cuando comenzamos a instalar un dominio y este actúa como raíz del bosque.

6. Relaciones entre dominios.

Roles que puede desempeñar un controlador de dominio.

• Agregar un nuevo dominio a un bosque existente: se corresponde con la instalación de un nuevo dominio dentro de un bosque existente, básicamente es crear un subdominio dentro de un bosque.

• Agregar un controlador de dominio a un dominio existente: cuando añadimos en la gestión de un dominio un nuevo servidor con su correspondiente controlador de dominio. Ofrece a la infraestructura características de tolerancia a fallos y balanceo de carga.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

A modo de resumen y para crear una relación de confianza, debemos realizar los siguientes pasos (considernando que ya disponemos de un bosque previo): 1) Crear un nuevo bosque.

• Configurar las características de red del nuevo equipo.
• Establecer un nombre adecuado al nuevo equipo.
• Añadir el rol de servicios de dominio de Active Directory.

2) Configurar los servidores DNS de ambos árboles para que se reconozcan en la red.

• Agregar un nuevo reenviador condicional en cada bosque.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

3) Establecer la relación de confianza.

• Agregar una relación de confianza (en este caso para ambos bosques).

1) Crear un nuevo bosque. En este caso, como ya ha sido explicado anteriormente, no vamos a realizar los pasos para su desarrollo, sino que nos apoyaremos en las explicaciones previas. 2) Configurar los servidores DNS de ambos árboles para que se reconozcan en la red. Para realizar este paso, primero debemos, dentro del Administrador del servidor, le damos a herramientas y DNS.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

Desplegamos el controlador de dominio y buscamos el contenedor de Reenviadores condicionales para pulsar con botón derecho y seleccionar nuevo reenviador condicional.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

Desplegamos el controlador de dominio y buscamos el contenedor de Reenviadores condicionales para pulsar con botón derecho y seleccionar nuevo reenviador condicional.

1. En el campo de Dominio DNS, ponemos el nombre del dominio con el que establecemos la confianza.
2. Indicamos la dirección IP del servidor del dominio a confiar.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

3. Si disponemos de más de un controlador de dominio, marcar la opción de Almacenar este reenviador condicionnal en Active Directory y replicarlo como sigue. 4. En la lista inferior, podemos dejar seleccionado el valor Todos los servidores DNS de este bosque.

Repetir el proceso con el controlador del segundo dominio.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

Por último debemos hacer ping desde uno de los controladores de dominio hacia el otro haciendo uso del nombre DNS. Si todo ha ido bien, ya tendríamos listo la configuración de los servidores DNS para que se reconozcan en la red. 3) Establecer la relación de confianza. Comenzamos desde cualquier controlador de dominio. * Dentro del controlador del servidor nos dirigimos a herramientas y plsamos en Dominios y confianzas de Active Directory.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

* A continuación hacemos click derecho sobre el nombre del dominio y pulsamos en propiedades.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

* Ahora le damos a la solapa de Confianzas y pulsamos sobre Nueva confianza.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

* Dentro del asistente para nueva confianza debemos realizar los pasos que nos indica rellenando toda la información que se precisa. En la siguiente imagen y tras haber pasado algún paso inicial, debemos poner el nombre de NetBIOS o el nombre DNS.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

* A continuación debemos establecer el tipo de confianza. Como en este caso se trata de un domnio raíz de un bosque, podemos elegir entre crear una confianza externa y una de bosque, también nos podría preguntar por una de Keberos en el caso de ser un dominio con un controlador no procedente de Windows. * En el siguiente paso nos pide establecer la dirección de confianza, pudiendo decidirnos por bidireccional, unidireccional de entrada y unidireccional de salida.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

Bidireccional: ambos usuarios podrán autenticarse independientemente del bosque origen. Unidireccional de entrada: un usuario de un dominio del dominio/bosque origen puede autenticarse en el dominio con el que ha creado una confianza. Unidireccional de salida: un usuario de un dominio de donde se esté realizando la confianza podrá autenticarse en el dominio origen.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

* Una vez elegida la dirección de confianza, tenemos que establecer dónde queremos crear la relación de confianza para los dominios. Podemos elegir entre: Solo este dominio: crea la relación de confianza solo en el domino local. Ambos, este dominio y el dominio especificado: crea relaciones de confianza en el dominio local y en el dominio especificado. * A continuación ponemos las credenciales y le damos a siguiente. * En el siguiente paso nos pedirá que elijamos entre autenticación en todo el bosque o automatización selectiva. Autenticación selectiva: un usuario autenticado de otro dominio no tendrá acceso a los recursos hasta que de forma individual se creen.

6.1. Relación de confianza con dominios de otros bosques en Windows Server.

Autenticación en todo el bosque: de forma automática, un usuario añade a los usuarios del dominio anfitrión a todos los recursos del bosque. * En el siguiente paso nos mostrará un resumen de la configuración realizada hasta el momento con el objetivo de poder corregir cualquier error, en caso contrario le damos a siguiente. * Llegando al final de los pasos, nos indica que ya ha sido creada la confianza y que le demos a siguiente para configurar la confianza. * Los últimos pasos nos indica que confirmemos las confianzas elegidas (entrantes, salientes o ambas.

Muchas Gracias