11 octubre 2011

WINDOWS SERVER 2003

ADMINISTRACIÓN DE DOMINIOS WINDOWS 2003

1.- DIRECTORIO ACTIVO

1.1.-Dominios Windows 2003 y el Directorio Activo

La mejor forma de organizar la información y asegurarla es creando un dominio.
El dominio contiene un directorio que almacena datos, estructurado jerárquicamente.
Active Directory: servicio de directorio de una red windows 2003. Almacena información sobre los recursos que organiza, controla y administra.
Cuando instalamos Active Directory convertimos el ordenador en un servidor de dominio (Domain Controllers), y el resto de los equipos se convierten en nuestros clientes.
El Directorio Activo separa la estructura lógica (dominios) de la física (topología de la red).

1.2.- Estándares relacionados

Windows 2003 proporciona compatibilidad con un buen número de protocolos y estádares, destacando así:

  • DHCP (Dynamic Host Configuration Protocol): protocolo de configuración dinámica de ordenadores, que permite la administración desatendidas de direcciones de red.
  • DNS (Domain Name System): servicio de nombres de dominio, que perminte la administración de nombres de ordenadores. Asignación y resolución de nombres en internet (traducción de IP's).
  • SNTP (Simple Network Time Protocol): protocolo simple de tiempo de red, perminte disponer de un servicio de tiempo distribuido.
  • LDAP (Lightweight Directory Access Protocol): protocolo de acceso a directorio, mediante el cual las aplicaciones acceden y modifican la información existente en el directorio.
  • Kerberos V5: protocolo utilizado para la autenticación de usuarios y máquinas.
  • Certificados X.509: estándar que permite distribuir información a través de la red de forma segura.
1.3.- Directorio Activo y DNS.

Ambos son espacios de nombres. Comparten idénticos nombres de domino, pero se diferencian en que almacenan distinta información:

  • DNS: zonas y registros de recursos.
  • Active Directory: dominios y objetos de dominios.

DNS es el sistema de nombres para redes TCP/IP que usa nombes para localizar equipos y controladores de dominio en internet, ya sea estación de trabajo o servidor.
Cada dominio se identifíca unívocamente mediante un nombre DNS, también cada equipo tiene su porpio nombre DNS, cuyo sufijo será el nombre DNS del domio al que pertenece.
Ejemplo:
dominio = miempresa.com
equipo = pc10.miempresa.com

Active Directory utiliza DNS para:

  • Resolución de nombre.
  • Definición del espacio de nombres (nomenclaturas).
  • Búsqueda de los componentes físicos de AD (equipos que llevan a cabo la autenticación de otros equipos).
1.4.- Estructura Lógica

El dominio es la unidad mínima de directorio, que contiene información sobre recursos (usuarios, grupos, directivas...). Dividido en unidades organizativas que permiten una administración independiente. Pero si se desean varios dominios para ello existen los bosques.

1.4.1.- Dominios

Conjunto de equipos que comparten una base de datos. Los dominios tienen los siguiente objetivos:
Delimitar la seguridad.

  • Replicar información
  • Aplicar políticas o directivas de grupo.
  • Delegar permisos administrativos.
1.4.2.- Múltiples dominios en la misma organización

Cuando se instala el primer controlador de dominio se crea el dominio raíz del bosque, este contiene la configuración y el esquema del bosque.

  • Arbol: conjunto de uno o más dominios que comparten un espacio de nombres contiguo, y está jerarquizado.
  • Bosque: grupo de árboles que no comparten un espacio de nombres contiguo.
1.4.3.- Niveles funcionales

Windows server 2003 soporta cuatro niveles funcionales de dominio y tres niveles funcionales de bosque:
  1. Windows 2000 mixto.
  2. Windows 2000 nativo.
  3. Windows server 2003 provisional.
  4. Windows server 2003.
  1. Windows 2000.
  2. Windows server 2003 provisional.
  3. Windows server 2003.
1.4.4.-  Relaciones de confianza

Relación establecida entre dos dominios de forma que permite a los usuarios de un domino ser reconocidos por los DC's de otro dominio, pudiendo así acceder a los recursos de otro dominio, así como a los administradores hacer cambios también. Tipos de relaciones:
  • Confianza raíz de árbol.
  • Confianza principal-secundario.
  • Confianza de acceso directo.
  • Confianza externa.
  • Confianza de bosque.
  • Confianza de territorio.
1.4.5.- Unidades Organizativas

Es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Su objetivo es estructurar y organizar este conjunto de objetos, y permiten:
  • Delegar la administración.
  • Establecer de forma centralizada comportamientos distintos a usuarios y equipos.
1.5.- Estructura Física

1.5.1.- Sitios

Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad. Definir sitios permite configurar la topología de replicación y acceso a Active Directory de forma que Windows 2003 utilice los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación. Normalmente los sitios se crean por dos razones principalmente:
  • Para optimizar el tráfico de replicación.
  • Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad.
1.5.2.- Controladores de domino

Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesión de usuario. La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración. Estas particiones del directorio son las unidades de replicación:
  1. Participación del directorio de esquemas.
  2. Participación del directorio de configuración.
  3. Participación del directorio de dominio.
  4. Participación del directorio de aplicaciones.
1.5.3.- Funciones de los controladores de dominio

Funciones especiales, como la de servidor de catálogo global y operaciones de maestro único, se asignan sólo a determinados controladores de dominio. A continuación veremos estas funciones.

1.5.4.- Servidor de catálogo global

El catálogo global es un depósito de información que contiene un subconjunto de atributos para todos los objetos de Active Directory (partición de directorio de dominio). Los atributos que se almacenan en el catálogo global son los que se utilizan con más frecuencia en las consultas. El catálogo global contiene la información necesaria para determinar la ubicación de cualquier objeto del directorio.

1.5.5.- Operaciones de maestro único

Un maestro de operaciones es un controlador de dominio al que se le ha asignado una o varias funciones de maestro único en un dominio o bosque de Active Directory. Todos los bosques de Active Directory deben tener controladores de dominio que cumplan dos de las cinco funciones de operaciones de maestro único. Las funciones para todo el bosque son:
  • Maestro de esquema.
  • Maestro de nombres de dominio.
Todos los dominios de Active Directory deben tener controladores de dominio que cumplan tres de las cinco funciones de operaciones de maestro único:
  • Maestro de identificadores relativos.
  • Emulador de controlador de dominio principal.
  • Maestro de infraestructuras.


2.- OBJETOS QUE ADMINISTRA UN DOMINIO

2.1.- Usuarios globales

Los datos de una cuenta de usuario global se almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores del dominio (en realidad, por todos los ordenadores de bosque).

2.2.- Grupos

De forma análoga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, también de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución de correo electrónico, mientras que los segundos son los que se utilizan con fines administrativos. Se distinguen tres clases:
  • Grupos locales del dominio.
  • Grupos globales.
  • Grupos universales.

2.3.- Equipos

En el Directorio Activo de un dominio se conserva toda la información relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directorio recoge también una cuenta de equipo por cada uno de los ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, así como un identificador único y privado que lo identifica unívocamente. Este identificador es análogo al SID de cada cuenta de usuario o grupo, y sólo lo conocen los DCs y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede cambiarlo.

2.4.- Unidades Organizativas

Son objetos del directorio que a su vez, pueden contener otros objetos. El uso fundamental de las OUs es delegar la administración de sus objetos a otros usuarios distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs) específicas a la unidad.


3.- COMPARTICIÓN DE RECURSOS

Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores.

3.1.- Permisos y derechos

Cualquier sistema Windows 2003 puede compartir carpetas, tanto si es un servidor como si es una estación de trabajo. Para poder compartir una carpeta basta con desplegar su menú contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opción se determina el nombre que tendrá el recurso (que no tiene por qué coincidir con el nombre de la propia carpeta), así como qué usuarios van a poder acceder al mismo.

3.2.- Compartición dentro de un dominio

Primero, una vez se ha compartido físicamente una carpeta en la red, el administrador del dominio puede además publicar este recurso en el directorio.
Y segundo, cuando un sistema Windows 2003 se agrega a un dominio, los siguientes recursos se comparten de forma automática y por defecto

3.3.- Mandatos windows 2003 para compartir recursos

Puede realizarse en líneas de órdenes utilizando los mandatos net share (crea, elimina o muestra recursos compartidos) y net use (conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo).


4.- DELEGACIÓN DE LA ADMINISTRACIÓN

Para delegar total o parcialmente la administración de una unidad organizativa existe un asistente que aparece cuando se selecciona la acción  Delegar el Control... en el menú contextual de la unidad organizativa.

Publicado por Charo y Débora en 0:44

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
 
;