lunes, 10 de octubre de 2011

Administración de dominios de windows 2003

En el siguiente artículo se explicará los conceptos fundamentales que soprta Active Directory, su administración, la compartición de objetos y la delegación de tareas administrativas.

Directorio activo

El directorio activo de una red de windows 2003 almacena información acerca de los recursos de la red y permite que los usuarios y las distintas aplicaciones puedan acceder a esos recursos. De esta forma toda la administración, organización y control se lleva a cabo de forma centralizada.

Cuando instalamos windows 2003 en un sistema, este pasa a conventirse en un controlador de dominio "DCs". Una de las ventajas que podemos encontrar en Active Directory es que separa la extructura lógica (dominios) de la estructura física (topología en red).
Active directory soporta una serie de estándares existentes a diferencia de windows NT 4.0:
  • DHCP
  • DNS
  • SNTP
  • LDAP
  • Kerberos V5
  • Certificados X.509.
 Debemos de resaltar que el administrador debe de conocer en detalle la relación entre DNS y Active Directory.
Active directory  y DNS son espacios de nombre. DNS (servicio de nombres de dominio) es el mecanismo que asigna ip a nombres de dominio y almacena zonas y registros de recursos , mientras que Active directory guarda dominios y objetos de dominio.
Activie directory DNS para tres funciones principalmente:
  • Resolución de nombres.
  • Defenición del espacio de nombres.
  • Búsqueda de los componentes de AD.
Estructura lógica

La estructura lógica se centra en la administración de los recursos y es independiente de la ubicación de los recursos y de la topología de las redes. Seguún la estructura lógica Active directory se basa en el concepto de dominio que contiene información de los recursos que forman parte del dominio. Dentro del dominio es posible subdividir el directorio mediante el empleo de las unidades oganizativas, estas unidades permiten una administración sin la necesidad de crear varios dominios aunque si nuestro deseo es emplear varios dominios AD utiliza los conceptos de árbol y bosque que son jerarquías de dominios a distintos niveles.
A continuación se detallan todos los conceptos que utiliza Active directory:

Dominios 
Es la unidad central de la estructura lógica de Active directory y es un conjunto de equipos que comparten una base de datos de directorio en común, cada dominio se identifica por un nombre único de DNS, este nombre debe de ser común  tanto a los controladores de dominio como a los clientes (ej: gcap.net) gracias al uso de dominos coseguimos los siguiente objetivos:
  • Delimitar la seguridad: ya que la administración, las directivas de seguridad y las listas de control de acceso no se comparten entre dominios.
  • Replicar información:
  • Aplicar Políticas (directivas) de grupo: al aplicar un objeto de política de grupo esta se aplica dentro del dominio y no a través del dominio.
  • Delegar permisos administrativos: con esto se reduce el número de usuarios administrativos con amplios permisos ya que el dominio representa un límite de seguridad porque los permisos se límitan al dominio.
 Múltiples dominios en la misma organización

 Según los estándares de nombres DNS , los dominios de AD se crean dentro de una estructura de árbol invertida, con la raíz en la parte superior, esta jerarquía se basa en relaciones de confianza, es decir los dominios se vinculan por relaciones de confianza entre dominios.


Árbol: conjunto de uno o más dominios que comparten un espacio de nombres contiguo. En el caso en el que exista más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol exixtente este pasa a ser un dominio secundario.
Los dominios que forman un árbol se enlazan mediante relaciones de confianza bidireccionales y transitivas.

Bosque: grupo de árboles que no comparten un espacio de nombre contiguo, estos se conectan a través de relaciones de confianza bidireccionales y transitivas. 
Los árboles de un bosque aunque no forman un espacio de nombres común, es decir, se basan en diferentes nombres de dominio raíz de DNS, comparten una configuración, un esquema de directorio común y el denominado catálogo global.

*Nota: es importante destacar que, aunque los diferentes árboles de un bosque no comparten un espacio de nombres contiguo, el bosque tiene siempre un único dominio raíz, llamado precisamente dominio raíz del bosque.
Las limitaciones a la hora de  añadir nuevos registros a un bosque son las siguientes:
  • No se pueden mover dominios de AD entre bosques.
  • Si un dominio de un bosque tiene algun hijo no se podrá eliminar. 
  • Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
  • No se puede crear un dominio padre de un dominio exixtente.
 Dcpromo nos permite crear dominios, este asistente nos permite elegir entre las siguientes opciones:
  • DC adicional de un dominio exixtente o DC para un dominio nuevo.
  • El dominio puede ser un dominio secundario de otro dominio o el dominio principal de un nuevo árbol de dominios.
  • El dominio raiz puede ser un bosque existente o un  nuevo bosque.
Niveles funcionales 
 Windows 2000 mixto: nivel funcional por defecto cuando se crea un  nuevo dominio, los DC de Windows 2003 son compatibles con Windows NT 4 y Windows 2000, pero hay varias opciones de configuración no estarán disponibles.

Windows 2000 nativo: los  DC de windows 2003 son compatibles con los de Windows 200 pero no con los de NT 4, en este caso se tiene una funcionalidad completa de AD pero se excluyen las nuevas opciones de Ad de windows 2003.

Windows Server 2003 provisional: este nivel está dedicado exclusivamente a la migración directa de NT4 y windows 2003 y por lo tanto es transitorio, los DCs de windows 2003 son compatibles con los de Windows NT 4 pero no con de Windows 2000.

 Windows Server 2003: en este nivel los DCs de windows 2003 son compatibles solamente  entre sí, la ventaja de este nivel es que ofrece la funcionalidad completa de dominios.


Un bosque de dominios de  windows 2003 puede estar en 3 niveles distintos:
  • Windows 2000.
  • Windows Server 2003 provisional.
  • Windows Server 2003.
Debemos de resaltar que la transición entre niveles funcionales tan sólo es posible elevando el nivel actual (a excepción de los niveles provisionales) por lo que esto es irreversible y ha de hacerse cuando el administrador está completamente seguro de la compatibilidad con otros DCs.


Relaciones de confianza.
 Es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio.
Los diferentes tipos de relaciones se diferencian mediante los tre rasgos siguientes:
  • Método de creación: hay relaciones que se crean de forma automática y otros de forma manual.
  • Dirección: algunas relaciones pueden ser unidireccionales ( en una sola dirección) o dibireccionales ( en ambas direcciones).
  • Transitividad:  quiere decir que si un dominio A confia de B y B confia de C , A automáticamente confiará de C. Si esta relación no fuese transitiva se debería de añadir manualmente.
 Tipos de relaciones de confianza 
  • Confianza raiz de árbol: Esta relación se  establece automáticamente entre los dominios del mismo bosque , es bidireccional y transitiva.
  • Confianza principal-secundario: Se establece de forma automática, es bidireccional y transitiva.
  • Confianza de acceso directo: se establece de forma manual y su objetivo es la mejora de la eficiencia en los incios de sesión remotos. Es unidireccional y transitiva.
  • Confianza externa: se crea manualmente , permite a usuarios de un dominio de Windows 2003 acceder a recursos de otro bosque o de Windows NT4 , es unidireccional e intransitiva.
  • Confianza bosque: se crea de manual entre los dominios raíz de dos bosques distintos, es unidireccional y transitiva (entre dos bosques). Requisito --> Nivel funcional de Windows Server 2003.
  • Confianza de territorio: se crea de forma manual entre un dominio Windows 2003 y un territorio(no Windows), es unidireccional y puede ser transitiva o no.
Unidades organizativas.
 Es un contenedor de otros objetos, en ellas pueden crearse usuarios, grupos, impresoras compartidas,etc.. e incluso otras unidades organizativas,su objetivo es organizar. Los objetos pueden moverse de una OU a otra pero no puede copiarse ya que cada objeto es único y su existencia es independiente de la OU a la que pertenezca.
 Las unidades organizativas permiten:
  • Delegar la administración.
  • Establecer de forma centralizada comportamientos distintos a usuarios y equipos.

Estructura física

Sitios

Sitio: combinación de una o varias subredes IP conectadas por algún vínculo. Las dos razones por la que se crean principalmente son, la optimización de el tráfico de replicación y para permitir que los usuarios se conecten mediante una conexión confiable de alta velocidad.
Controladores de dominio.
La información almacenada en cada controlador de dominio se divide en :
  • Partición del directorio de esquema: contiene los tipos de objetos y atributos que pueden se creados en AD.
  • Partición de directorio de configuración: contiene la estructura de los dominios y su topología de replicación.
  • Partición de directorio de dominio: contiene los objetos del directorio para este dominio.
  • Partición de directorio de aplicaciones: contiene datos de aplicaciones, estos datos pueden ser de cualquier tipo excepto principales de seguridad (usuarios, grupos y equipos).
  • Catálogo global: almacena las paticiones de directorio de escritura, así como copias parciales de sólo lectura de todas las demás particiones de directorio de dominio del bosque.
Funciones de los controladores de dominio.

Gracias al esquema de Windows 2003 los controladores de dominio admiten cambios y estos cambios se replican a todos los controladores, pero debido a los posibles conflictos se asigna sólo a determinados controladores de dominio.

Servidor de catálogo global
 Es un depósito de información que contiene un subconjunto de atributos para todo los objetos de AD, estos atributos son los que se consultan con mas frecuencia.
El catálogo global cumple dos funciones:
  • Permite que un usuario inicie una sesión en la red mediante el suministro de la
    información de pertenencia a grupos universales a un controlador de dominio
    cuando inicia un proceso de sesión.
  • Permite que un usuario busque información de directorio en todo el bosque, independiente
    de la ubicación de los datos.
Operaciones de maestro único.
Es un controlador de dominio al que se le ha asignado una o varias funciones de mastro único en un dominio o bosque de AD. No pueden realizar operaciones simultáneamente. Los bosques de AD deben de cumpir con 2 de las 5 funciones de operaciones de maestro único que son:
  • Maestro de esquema.
  • Maestro de nombes de dominio.
Todos los dominios de AD deben de cumplir 3 de las 5 funciones de operaciones de maestro único:
  • Maestro de identificadores relativos (RID).
  • Emulador de controlador de dominio principal (PDC).
  • Maestro de infraestructuras.
 Objetos que administra un dominio.

Los principales objetos que pueden crearse en AD son:

Usuarios Globales
Que sirven para identificar  y autenticar a los usuarios que pueden acceder al sistema y administrar los permisos y derechos.


Grupos.
Se pueden crear dos tipos de grupos, los grupos de distribuición ( para crear listas de distribuición de correo) y y grupos de seguridad ( con fines administrativos).
En Windows 2003 se pueden distuinguir tres clases de grupos de seguridad:
  • Grupos locales del dominio (solo son visibles en el dominio en el que se crean).
  • Grupos globales.
  • Grupos universales: disponibles tan solo en el nivel funcional Windows 200 nativo o Windows Server 2003 nativo)
La recomendación de Windows 2003 es la siguiente:
  • Asignar usuarios globales a grupos globales.
  • Incluir usuarios y/o grupos globales en grupos locales
  • Asignar permisos y derechos a los grupos locales del equipo o dominio.

Equipos
Cuenta de equipo: guarda información de cada un de los ordenadores miembro de un dominio, en ella se alamcena un identificador único y privado, es independiente de los SID de usuario y sólo es conocido por los DCs y el propio ordenador.



 Compartición de recursos.
Al participar en una red se pueden compartir recursos(carpetas o directorios) con el resto de ordenadores descartando los recursos de impresora compartida.




Compartición dentro de un dominio.
A la hora de compartir recursos entre equipos de un dominio Windows 2003 se debe de conocer:
  • Una vez compartido físicamente una carpeta , el administrador puede publicar este recurso en el directorio.
  • Cuando un sistema Windows 2003 se agraga a un dominio de forma automática se comparten los siguientes recursos:
    • Letra de unidad.
    • ADMIN.
    • IPC$.
    • NETLOGON.
    • SYSVOL.
Mandatos Windows 2003 para compartir recursos
Puede realizarse mediante comandos utilizando los mandatos net share y net use.

Delegación de la administración

Para delegar , total o parcialmente la administración de zona de una unidad organizativa existe un asistente para llevar a cabo esta operación. Básicamente pregunta los dos aspectos de la delegación "a quién se delega" y " qué se delega".
Esta puede hacerse de forma completa (ofreciendo control total) o de forma parcial ( permitiendo lectura, modificación o borrado).

Bibliografía


Para aprender más

    Publicado por en
    Etiquetas:

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)