UT.2
Gestión de dominios y directorios
01
Directorio y dominio
Una guía de teléfonos es un tipo de directorio que guarda información sobre personas, empresas y otras entidades. De cada uno de los elementos representados, se almacena su nombre, dirección y número de teléfono. Active Directory Domain Services (AD DS) es muy parecido a una guía telefónica.Se basa en el concepto de dominio que introdujo Windows NT con el fin de facilitar la administración.
El objetivo es crear una estructura dinámica y fácilmente accesible, a través de la que se puede almacenar la información de toda la organización, tanto relativa a la estructura del propio directorio como de su administración, y acceder a ella de forma centralizada. AD DS puede almacenar información sobre la organización, sitios, ordenadores, usuarios, objetos compartidos y cualquier otra cosa que pueda formar parte de la infraestructura de red.
Toda esta información se guarda en una base de datos jerárquica. Esta base de datos permite la replicación de controladores de dominio. Es decir, se puede enviar la información contenida en la base de datos a diferentes controladores de dominio a través de la red. De esta forma, un usuario creado en un determinado controlador de dominio podría iniciar sesión en cualquier cliente unido a otro controlador de dominio diferente sin ninguna complicación.
Active Directory permite realizar operaciones como la instalación de programas, de forma simultánea y centralizada, en multitud de clientes o aplicar actualizaciones críticas en toda la organización.
Active Directory, también tiene herramientas de administración para establecer políticas de grupo, para incluir unos grupos dentro de otros en diferentes niveles, un acceso sencillo al árbol de usuarios, ordenadores, impresoras y contactos, etc.
Active Directory resulta útil tanto en redes pequeñas como en instalaciones con millones de elementos relacionados.
Podemos utilizar Windows Server sin usar Active Directory, pero estaremos prescindiendo de un amplio conjunto de capacidades.
Existen dos tipos de componentes en Active Directory: los componentes físicos (Controladores de dominio, Sitios y Subredes) y los componentes lógicos (Dominios, Bosques, Árboles, Unidades Organizativas).
02
Conceptos básicos en una estructura de Directorio Activo
2.1. Directorio.
Un Directorio es un repositorio único para la información relativa a los usuarios y recursos de una organización. Active Directory es un tipo de directorio y contiene información sobre las propiedades y la ubicación de los diferentes tipos de recursos dentro de la red. Una de las ventajas que ofrece Active Directory es que puede utilizar LDAP (Lightweight Directory Access Protocol, en español, Protocolo Ligero de Acceso a Directorios), un protocolo de acceso estándar que permitirá la consulta de información contenida en el directorio.
Sin embargo, también puede utilizar ADSI (Active Directory Services Interface, en español, Interfaces de Servicio de Active Directory), un conjunto de herramientas ofrecidas por Microsoft, que tienen una interfaz orientada a objetos y que permiten el acceso a características de Active Directory Domain Services que no están soportadas por LDAP.
2.2. Dominio.
Un Dominio es una colección de objetos dentro del directorio que forman un subconjunto administrativo. Pueden existir diferentes dominios dentro de un bosque, cada uno de ellos con su propia colección de objetos y unidades organizativas.Para poner nombre a los dominios se utiliza el protocolo DNS. Por este motivo, Active Directory necesita al menos un servidor DNS instalado en la red.
2.3. Objeto.
Un Objeto se utiliza como nombre genérico para referirnos a cualquiera de los componentes que forman parte del directorio, como una impresora o una carpeta compartida, pero también un usuario, un grupo, etc. Incluso podemos utilizar la palabra objeto para referirnos a una unidad organizativa.Cada objeto dispondrá de una serie de características específicas (según la clase a la que pertenezca) y un nombre que permitirá identificarlo de forma precisa. Las características específicas de cada tipo de objeto quedarán definidas en el Esquema de la base de datos. En general, los objetos se organizan en tres categorías: Usuarios: Identificados a través de un nombre (y, casi siempre, una contraseña), que pueden organizarse en grupos, para simplificar la administración. Recursos: Elementos a los que pueden acceder, o no, los usuarios según sus privilegios. Por ejemplo, carpetas compartidas, impresoras, etc. Servicios: Funciones a las que los usuarios pueden tener acceso. Por ejemplo, el correo electrónico. Existen objetos que pueden contener a su vez otros objetos, como es el caso de los grupos de usuarios y de las unidades organizativas.
2.4. Controlador de dominio.
Un Controlador de dominio (domain controller) contiene la base de datos de objetos del directorio para un determinado dominio, incluida la información relativa a la seguridad. Además, será responsable de la autenticación de objetos dentro de su ámbito de control (facilitarán la apertura y el cierre de sesión, las búsquedas en el directorio, etc.).En un dominio dado, puede haber varios controladores de dominio asociados, de modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo dominio, tendrán la misma importancia.
2.5. Árboles.
Un Árbol es simplemente una colección de dominios que dependen de una raíz común y se encuentra organizados como una determinada jerarquía. Dicha jerarquía también quedará representada por un espacio de nombres DNS común.El objetivo de crear este tipo de estructura es fragmentar los datos del Directorio Activo, replicando sólo las partes necesarias y ahorrando ancho de banda en la red. Si un determinado usuario es creado dentro de un dominio, este será reconocido automáticamente en todos los dominios que dependan jerárquicamente del dominio al que pertenece.
2.6. Bosque.
El Bosque es el mayor contenedor lógico dentro de Active Directory, abarcando a todos los dominios dentro de su ámbito. Los dominios están interconectados por Relaciones de confianza transitivas que se construyen automáticamente. De esta forma, todos los dominios de un bosque confían automáticamente unos en otros y los diferentes árboles podrán compartir sus recursos.
Los dominios pueden estar organizados jerárquicamente en un árbol que comparte un espacio de nombres DNS común. A su vez, diferentes árboles pueden estar integrados en un bosque. Al tratarse de árboles diferentes, no compartirán el mismo espacio de nombres.
De forma predeterminada, un bosque contiene al menos un dominio, que será el dominio raíz del bosque. En otras palabras: cuando instalamos el primer dominio en un ordenador de nuestra red que previamente dispone de Windows Server, además del propio dominio, estamos creando la raíz de un nuevo árbol y también la raíz de un nuevo bosque.
El dominio raíz del bosque contiene el Esquema del bosque, que se compartirá con el resto de los dominios que formen parte de dicho bosque.
2.7. Unidad Organizativa.
Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en subconjuntos, dentro del dominio, siguiendo una jerarquía. De este modo, podremos establecer una estructura lógica que represente de forma adecuada nuestra organización y simplifique la administración.
Otra gran ventaja de las unidades organizativas es que simplifican la delegación de autoridad (completa o parcial) sobre los objetos que contienen, a otros usuarios o grupos. Esta es otra forma de facilitar la administración en redes de grandes dimensiones.
2.8. Esquema.
En Active Directory Domain Services se utiliza la palabra Esquema para referirse a la estructura de la base de datos. En este sentido, utilizaremos la palabra atributo para referirnos a cada uno de los tipos de información almacenada.
2.9. Sitio.
Un Sitio es un grupo de ordenadores que se encuentran relacionados, de una forma lógica, con una localización geográfica particular.
En realidad, pueden encontrarse físicamente en ese lugar o, como mínimo, estar conectados, mediante un enlace permanente, con el ancho de banda adecuado.
En otras palabras, un controlador de dominio puede estar en la misma zona geográfica de los clientes a los que ofrece sus servicios o puede encontrarse en el otro extremo del planeta (siempre que estén unidos por una conexión adecuada), todos junto formando siempre el mismo sitio.
2.10. Relaciones de confianza.
En el contexto de Active Directory, las Relaciones de confianza son un método de comunicación seguro entre dominios, árboles y bosques. Las relaciones de confianza facilita a los usuarios de un dominio tener acceso a los recursos de un dominio diferente. Es decir, permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro dominio del directorio. Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales. Además, las relaciones de confianza pueden ser transitivas (A confía en B y B confía en C, luego A confía en C).
Cada relación de confianza de un dominio se representa con un Objeto de Dominio de Confianza (TDO, Trusted Domain Object). Por lo tanto, cada vez que se crea una nueva relación, se crea un nuevo TDO único con todos sus atributos y se almacena en el contenedor System del dominio. Como mínimo, los atributos incluidos en un TDO son:
- La transitividad
- La direccionalidad de la confianza
- El nombre de los dominios recíprocos.
2.10. Relaciones de confianza.
Tipos de confianza
En Windows Server, podemos crear cuatro tipos de relaciones de confianza diferentes utilizando el Asistente para nueva confianza o la orden Netdom. Los tipos de relaciones de confianza disponibles son estos:
- Confianza externa: Facilita el acceso a recursos pertenecientes a un dominio Windows NT 4.0 o a dominios de bosques diferentes que no estén unidos por una confianza de bosque (ver más abajo). Se trata de relaciones no transitivas que pueden ser tanto unidireccionales como bidireccionales.
- Confianza de bosque: Permiten compartir recursos entre diferentes bosques. Siempre son transitivas y pueden ser tanto unidireccionales como bidireccionales. En el caso de ser bidireccionales, las solicitudes de autenticación pueden llegar desde un
bosque a otro.
- Confianza directa: Mejoran el tiempo que necesitan los usuarios para iniciar sesión entre dos dominios de árboles distintos en un bosque de Windows Server 2012 R2. Siempre son transitivas y pueden ser tanto unidireccionales como bidireccionales.
2.11. Maestro de Operaciones.
Cuando de varios controladores de dominio en un mismo dominio, se puede replicar la información contenida en la base de datos a los diferentes controladores a través de la red con el objetivo de descentralizar diferentes operaciones (por ejemplo, la autenticación de usuarios) y agilizar su funcionamiento.
Sin embargo, existe un conjunto especializado de tareas que deben estar centralizadas en un controlador de dominio específico para evitar inconsistencias. Este controlador de dominio «especial» recibe el nombre de Maestro de Operaciones o FSMO (Flexible Single Master Operations).
Para entender la situación, vamos a poner un ejemplo: Supongamos que el administrador de un controlador de dominio realiza una modificación en el esquema del dominio al mismo tiempo que, un segundo administrador, desde un controlador distinto, realiza una modificación que resulta incompatible con la primera. Como podrás imaginar, cuando se produzca la replicación de la base de datos, estaremos en un aprieto.
Pues bien, para evitar este tipo de situaciones, sólo uno de los controladores del dominio podrá realizar este tipo de cambios.
Anexo Instalación de un dominio en Windows Server 2019
3.3
3.4
3.1
3.2
Degradar un controlador de dominio
Herramientas relacionadas con la administración del Directorio Activo
Instalar el rol Servicios de dominio de Active Directory
Promocionar el servidor como controlador de dominio
3.4.1. Añadir un nuevo árbol al bosque. 3.4.2. Establecer una relación de confianza entre dominios de otros bosques.
Anexo Instalación y configuración de OpenLDAP en Ubuntu Server
4.3
4.1
4.2
Crear la estructura del directorio
¿Qué es y cómo funcionan LDAP y OpenLDAP?
Instalar OpenLDAP en el servidor Ubuntu
¡Liga Kahoot!
SMR - SOR - UT.2 - Gestión de dominios y servicios de directorio
Santiago González Martín
Created on August 31, 2023
Start designing with a free template
Discover more than 1500 professional designs like these:
View
Modern Presentation
View
Terrazzo Presentation
View
Colorful Presentation
View
Modular Structure Presentation
View
Chromatic Presentation
View
City Presentation
View
News Presentation
Explore all templates
Transcript
UT.2
Gestión de dominios y directorios
01
Directorio y dominio
Una guía de teléfonos es un tipo de directorio que guarda información sobre personas, empresas y otras entidades. De cada uno de los elementos representados, se almacena su nombre, dirección y número de teléfono. Active Directory Domain Services (AD DS) es muy parecido a una guía telefónica.Se basa en el concepto de dominio que introdujo Windows NT con el fin de facilitar la administración. El objetivo es crear una estructura dinámica y fácilmente accesible, a través de la que se puede almacenar la información de toda la organización, tanto relativa a la estructura del propio directorio como de su administración, y acceder a ella de forma centralizada. AD DS puede almacenar información sobre la organización, sitios, ordenadores, usuarios, objetos compartidos y cualquier otra cosa que pueda formar parte de la infraestructura de red. Toda esta información se guarda en una base de datos jerárquica. Esta base de datos permite la replicación de controladores de dominio. Es decir, se puede enviar la información contenida en la base de datos a diferentes controladores de dominio a través de la red. De esta forma, un usuario creado en un determinado controlador de dominio podría iniciar sesión en cualquier cliente unido a otro controlador de dominio diferente sin ninguna complicación.
Active Directory permite realizar operaciones como la instalación de programas, de forma simultánea y centralizada, en multitud de clientes o aplicar actualizaciones críticas en toda la organización. Active Directory, también tiene herramientas de administración para establecer políticas de grupo, para incluir unos grupos dentro de otros en diferentes niveles, un acceso sencillo al árbol de usuarios, ordenadores, impresoras y contactos, etc. Active Directory resulta útil tanto en redes pequeñas como en instalaciones con millones de elementos relacionados. Podemos utilizar Windows Server sin usar Active Directory, pero estaremos prescindiendo de un amplio conjunto de capacidades. Existen dos tipos de componentes en Active Directory: los componentes físicos (Controladores de dominio, Sitios y Subredes) y los componentes lógicos (Dominios, Bosques, Árboles, Unidades Organizativas).
02
Conceptos básicos en una estructura de Directorio Activo
2.1. Directorio.
Un Directorio es un repositorio único para la información relativa a los usuarios y recursos de una organización. Active Directory es un tipo de directorio y contiene información sobre las propiedades y la ubicación de los diferentes tipos de recursos dentro de la red. Una de las ventajas que ofrece Active Directory es que puede utilizar LDAP (Lightweight Directory Access Protocol, en español, Protocolo Ligero de Acceso a Directorios), un protocolo de acceso estándar que permitirá la consulta de información contenida en el directorio. Sin embargo, también puede utilizar ADSI (Active Directory Services Interface, en español, Interfaces de Servicio de Active Directory), un conjunto de herramientas ofrecidas por Microsoft, que tienen una interfaz orientada a objetos y que permiten el acceso a características de Active Directory Domain Services que no están soportadas por LDAP.
2.2. Dominio.
Un Dominio es una colección de objetos dentro del directorio que forman un subconjunto administrativo. Pueden existir diferentes dominios dentro de un bosque, cada uno de ellos con su propia colección de objetos y unidades organizativas.Para poner nombre a los dominios se utiliza el protocolo DNS. Por este motivo, Active Directory necesita al menos un servidor DNS instalado en la red.
2.3. Objeto.
Un Objeto se utiliza como nombre genérico para referirnos a cualquiera de los componentes que forman parte del directorio, como una impresora o una carpeta compartida, pero también un usuario, un grupo, etc. Incluso podemos utilizar la palabra objeto para referirnos a una unidad organizativa.Cada objeto dispondrá de una serie de características específicas (según la clase a la que pertenezca) y un nombre que permitirá identificarlo de forma precisa. Las características específicas de cada tipo de objeto quedarán definidas en el Esquema de la base de datos. En general, los objetos se organizan en tres categorías: Usuarios: Identificados a través de un nombre (y, casi siempre, una contraseña), que pueden organizarse en grupos, para simplificar la administración. Recursos: Elementos a los que pueden acceder, o no, los usuarios según sus privilegios. Por ejemplo, carpetas compartidas, impresoras, etc. Servicios: Funciones a las que los usuarios pueden tener acceso. Por ejemplo, el correo electrónico. Existen objetos que pueden contener a su vez otros objetos, como es el caso de los grupos de usuarios y de las unidades organizativas.
2.4. Controlador de dominio.
Un Controlador de dominio (domain controller) contiene la base de datos de objetos del directorio para un determinado dominio, incluida la información relativa a la seguridad. Además, será responsable de la autenticación de objetos dentro de su ámbito de control (facilitarán la apertura y el cierre de sesión, las búsquedas en el directorio, etc.).En un dominio dado, puede haber varios controladores de dominio asociados, de modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo dominio, tendrán la misma importancia.
2.5. Árboles.
Un Árbol es simplemente una colección de dominios que dependen de una raíz común y se encuentra organizados como una determinada jerarquía. Dicha jerarquía también quedará representada por un espacio de nombres DNS común.El objetivo de crear este tipo de estructura es fragmentar los datos del Directorio Activo, replicando sólo las partes necesarias y ahorrando ancho de banda en la red. Si un determinado usuario es creado dentro de un dominio, este será reconocido automáticamente en todos los dominios que dependan jerárquicamente del dominio al que pertenece.
2.6. Bosque.
El Bosque es el mayor contenedor lógico dentro de Active Directory, abarcando a todos los dominios dentro de su ámbito. Los dominios están interconectados por Relaciones de confianza transitivas que se construyen automáticamente. De esta forma, todos los dominios de un bosque confían automáticamente unos en otros y los diferentes árboles podrán compartir sus recursos. Los dominios pueden estar organizados jerárquicamente en un árbol que comparte un espacio de nombres DNS común. A su vez, diferentes árboles pueden estar integrados en un bosque. Al tratarse de árboles diferentes, no compartirán el mismo espacio de nombres. De forma predeterminada, un bosque contiene al menos un dominio, que será el dominio raíz del bosque. En otras palabras: cuando instalamos el primer dominio en un ordenador de nuestra red que previamente dispone de Windows Server, además del propio dominio, estamos creando la raíz de un nuevo árbol y también la raíz de un nuevo bosque. El dominio raíz del bosque contiene el Esquema del bosque, que se compartirá con el resto de los dominios que formen parte de dicho bosque.
2.7. Unidad Organizativa.
Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en subconjuntos, dentro del dominio, siguiendo una jerarquía. De este modo, podremos establecer una estructura lógica que represente de forma adecuada nuestra organización y simplifique la administración. Otra gran ventaja de las unidades organizativas es que simplifican la delegación de autoridad (completa o parcial) sobre los objetos que contienen, a otros usuarios o grupos. Esta es otra forma de facilitar la administración en redes de grandes dimensiones.
2.8. Esquema.
En Active Directory Domain Services se utiliza la palabra Esquema para referirse a la estructura de la base de datos. En este sentido, utilizaremos la palabra atributo para referirnos a cada uno de los tipos de información almacenada.
2.9. Sitio.
Un Sitio es un grupo de ordenadores que se encuentran relacionados, de una forma lógica, con una localización geográfica particular. En realidad, pueden encontrarse físicamente en ese lugar o, como mínimo, estar conectados, mediante un enlace permanente, con el ancho de banda adecuado. En otras palabras, un controlador de dominio puede estar en la misma zona geográfica de los clientes a los que ofrece sus servicios o puede encontrarse en el otro extremo del planeta (siempre que estén unidos por una conexión adecuada), todos junto formando siempre el mismo sitio.
2.10. Relaciones de confianza.
En el contexto de Active Directory, las Relaciones de confianza son un método de comunicación seguro entre dominios, árboles y bosques. Las relaciones de confianza facilita a los usuarios de un dominio tener acceso a los recursos de un dominio diferente. Es decir, permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro dominio del directorio. Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales. Además, las relaciones de confianza pueden ser transitivas (A confía en B y B confía en C, luego A confía en C). Cada relación de confianza de un dominio se representa con un Objeto de Dominio de Confianza (TDO, Trusted Domain Object). Por lo tanto, cada vez que se crea una nueva relación, se crea un nuevo TDO único con todos sus atributos y se almacena en el contenedor System del dominio. Como mínimo, los atributos incluidos en un TDO son:
2.10. Relaciones de confianza.
Tipos de confianza En Windows Server, podemos crear cuatro tipos de relaciones de confianza diferentes utilizando el Asistente para nueva confianza o la orden Netdom. Los tipos de relaciones de confianza disponibles son estos:
- Confianza externa: Facilita el acceso a recursos pertenecientes a un dominio Windows NT 4.0 o a dominios de bosques diferentes que no estén unidos por una confianza de bosque (ver más abajo). Se trata de relaciones no transitivas que pueden ser tanto unidireccionales como bidireccionales.
- Confianza de bosque: Permiten compartir recursos entre diferentes bosques. Siempre son transitivas y pueden ser tanto unidireccionales como bidireccionales. En el caso de ser bidireccionales, las solicitudes de autenticación pueden llegar desde un
bosque a otro.2.11. Maestro de Operaciones.
Cuando de varios controladores de dominio en un mismo dominio, se puede replicar la información contenida en la base de datos a los diferentes controladores a través de la red con el objetivo de descentralizar diferentes operaciones (por ejemplo, la autenticación de usuarios) y agilizar su funcionamiento. Sin embargo, existe un conjunto especializado de tareas que deben estar centralizadas en un controlador de dominio específico para evitar inconsistencias. Este controlador de dominio «especial» recibe el nombre de Maestro de Operaciones o FSMO (Flexible Single Master Operations). Para entender la situación, vamos a poner un ejemplo: Supongamos que el administrador de un controlador de dominio realiza una modificación en el esquema del dominio al mismo tiempo que, un segundo administrador, desde un controlador distinto, realiza una modificación que resulta incompatible con la primera. Como podrás imaginar, cuando se produzca la replicación de la base de datos, estaremos en un aprieto. Pues bien, para evitar este tipo de situaciones, sólo uno de los controladores del dominio podrá realizar este tipo de cambios.
Anexo Instalación de un dominio en Windows Server 2019
3.3
3.4
3.1
3.2
Degradar un controlador de dominio
Herramientas relacionadas con la administración del Directorio Activo
Instalar el rol Servicios de dominio de Active Directory
Promocionar el servidor como controlador de dominio
3.4.1. Añadir un nuevo árbol al bosque. 3.4.2. Establecer una relación de confianza entre dominios de otros bosques.
Anexo Instalación y configuración de OpenLDAP en Ubuntu Server
4.3
4.1
4.2
Crear la estructura del directorio
¿Qué es y cómo funcionan LDAP y OpenLDAP?
Instalar OpenLDAP en el servidor Ubuntu
¡Liga Kahoot!