¿qué es active directory?
Es un sistema parejo al arbol de netware que sirve para compartir recursos en un conjunto de dominios. Para ello utiliza un sistema común de resolución de nombres (dns) y un catálogo común que contiene una réplica completa de todos los objetos de directorio del dominio en que se aloja además de una replica parcial de todos los objetos de directorio de cada dominio del bosque
El objetivo de un catálogo global es proporcionar autentificación a los inicios de sesión.
Además contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios.
Una única consulta al catálogo produce la información sobre donde se puede encontrar el objeto.
En definitiva Active Directory es el servicio de directorio incluído con Windows 2000/2003
¿Qué es un servicio de directorio?
Un servicio de directorio es uno de los componentes más importantes de una red. Los usuarios y administradores con frecuencia no saben el nombre exacto de los objetos en que están interesados. Quizá conozcan uno o más atributos de los objetos y puedan consultar el directorio para obtener una lista de objetos que concuerden cono los atributos: por ejemplo, "Encontar todas las impresoras duplex en Edificio B". Un servicio de directorio permite que un usuario encuentre cualquier objeto con sólo uno de sus atributos.
¿Qué es un objeto?
Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un usuario, un ordenador, un router, una impresora, un proxy, ...
¿Qué es un dominio?
Es un conjunto de normas que especifican que administran los recursos y los clientes en una red local.
En un dominio hay lo que se llama un servidor principal llamado pdc (primary domain controller) que es quien asigna derechos controla usuarios y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los clientes, es posible instalar un servidor de réplica llamado bdc (backup domain controller) que contiene siempre una réplica de la base de datos del pdc y actúa como pdc en cuanto a peticiones de clientes.
Además en caso de fallo del pdc, él se sitúa en el dominio como pdc.
En caso de haber varios bdc, uno de ellos se coloca como pdc y los demás se dedican a respaldar a ese.
¿Que es un arbol?
Es un conjunto de dominios con relaciones de confianza entre sí que comparten recursos, clientes y un sistema de resolución de nombres.
¿Qué es un bosque?
Es un conjunto de árboles de dominio con relaciones de confianza entre sí
Anteriormente hemos trabajado con Directivas GPO dentro de una misma maquina, Active Directory es basicamente la implementacion de estas directivas pero a nivel de servidor dentro de una red administrando no solo la maquina loca sino tambn los todos los equipos pertenecientes a un domino
Instalacion
lo primero que haremos sera instalar el software Active Directory mediante la plataforma de descargas Microsoft Platform Installer de Windows Server o directamente desde la la red
Para esta entrada utilizare el siguiente planteamiento:
La empresa ABCx requiere el diseño e implementación de un servicio para mantener
información centralizada de los recursos de la red. Se requiere entonces que la información
de los objetos de la red sea almacenada en un servicio de Directorio Ligero (Active
Directory) en Windows Server 2008.
Este es la esctrutura jerarquica del la empresa ABCx
Crearemos esta esctrutura en nuestro Active Directory mediante la creacion de Unidades organizaticas (UO) en las cuales alvergaremos usuarios que a su vez perteneceran a grupos de la siguiente manera
Como podemos ver esta creada toda la esctructura de la Figura 1, con un contenedor por cada dependencia, cada una de las dependencias tiene los subcontenedores
Usuarios y grupos: Incluiremos los usuarios (yo use 4 por departamento) que seran miembros de un grupo con el mismo nombre de la UO
Equipos: Este contenedor es opcional, desde alli prodemos agregar una directiva para que solo usuarios especificos puedan logiarse en una maquina del domino
Impresoras: Compartiremos una impresoraPDF en el dominio, aqui estara albergada
Carpetas compartidas: Dentro de la red abran una serie de carpetas que compartiremos para todo el dominio la UO Carpetas compartidas sera la que las contendra.
Como implementar las directivas en Active Directory
Luego de que nuestro Active Directory este instalado iremos a Inicio>Herramientas Administrativas>Administracion de directivas de grupo
Estando alli abriremos la cascada de nuestro dominio ABCx.com y podran ver los diferentes departamentos que esta empresa tiene ademas de las GPO que he implementado previamente. Para crear una nueva GPO daremos click derecho sobre la UO a la que deseamos aplicarle la directiva y clickeamos en Crear un GPO en este dominio y vincular aqui.
Editar una GPO:
Luego de creada nuestra GPO ahora hara parte del arbol del dominio lista para editarle y agregarle las directivas para editarla simplemente haremos click de izquierdo sobre ella y daremos click en editar
Ahora con las UO creadas con sus respectivos subcontenedores y sabiendo como aplicarlas en Active Directory podemos aplicar un sinfin de directivas a continuacion veran el link de una entrada anterior sobre Directivas de grupos locales GPO en la que veran algunas de las muchas directivas que se pueden aplicar, es basicamente el mismo proceso pero ahora desde un servidor implementandolas a un dominio
Directivas de grupos locales GPO
Algunas directivas que no se encuentras en la entrada de directivas de grupo GPO
Ocultar unidad C:
Quita los iconos que representan los discos duros seleccionados de Mi PC y Explorador de Windows. Además, las letras de unidad que representan las unidades seleccionadas no aparecerán en el cuadro de diálogo Abrir estándar.
Para usar esta opción, seleccione una unidad o una combinación de unidades de la lista desplegable. Para mostrar todas las unidades, deshabilite esta opción o seleccione la opción "No restringir unidades" de la lista desplegable.
Para aplicar esta directiva seguiremos la ruta Configuracion de usuario>Directivas>Plantillas administrativas>Componentes de Windows>Explorador de Windows>Ocultar estas unidades especificas en Mi Pc
Se quita el comando Ejecutar del menú Inicio.
El comando Nueva tarea (ejecutar) se quita del Administrador de tareas.
Se impedirá al usuario lo siguiente en la barra de direcciones de Internet Explorer:
Algunas directivas que no se encuentras en la entrada de directivas de grupo GPO
Ocultar unidad C:
Quita los iconos que representan los discos duros seleccionados de Mi PC y Explorador de Windows. Además, las letras de unidad que representan las unidades seleccionadas no aparecerán en el cuadro de diálogo Abrir estándar.
Para usar esta opción, seleccione una unidad o una combinación de unidades de la lista desplegable. Para mostrar todas las unidades, deshabilite esta opción o seleccione la opción "No restringir unidades" de la lista desplegable.
Para aplicar esta directiva seguiremos la ruta Configuracion de usuario>Directivas>Plantillas administrativas>Componentes de Windows>Explorador de Windows>Ocultar estas unidades especificas en Mi Pc
Quitar el menu ejecutar
Le permite quitar el comando Ejecutar del menú Inicio, Internet Explorer y el Administrador de tareas.Si habilita esta opción, se producirán los siguientes cambios:
Se quita el comando Ejecutar del menú Inicio.
El comando Nueva tarea (ejecutar) se quita del Administrador de tareas.
Se impedirá al usuario lo siguiente en la barra de direcciones de Internet Explorer:
Para aplicar esta directiva seguiremos la ruta Configuracion de usuario>Directivas>Plantillas administrativas>Menu inicio y barra de tareas>Quitar el menu ejecutar del menu de inicio
Prohibir acceso al panel de control
Deshabilita todos los programas del Panel de control.Esta opción impide que Control.exe, el archivo de programa del Panel de control, se inicie. En consecuencia, los usuarios no pueden iniciar el Panel de control ni ejecutar los elementos de éste.
Además, esta opción quita el Panel de control del menú Inicio. Esta opción también quita la carpeta Panel de control del Explorador de Windows.
Para aplicar esta directiva seguiremos la ruta Configuracion de usuario>Directivas>Plantillas administrativas>Panel de control >Prohibir el acceso al panel de control
Esta ha sido la implementacion de Active Directory en un servidor Windows Server 2008 R2, vimos como instalar el Active Directory, crear unidades organizativas (UO) contenedores y subcontenedores y a estos aplicarles directivas de acuerdo a los requeriminetos.
FIN
No hay comentarios:
Publicar un comentario