Active directory: como funciona, características, procesos
ACTIVE DIRECTORY
– Es un servicio extensible y escalable que permite administrar eficientemente los recursos de red y ayuda a monitorizar y localizar estos servicios.
COMO FUNCIONA- Mediante la distribución de unidades organizativas, se pueden organizar los recursos. Simplifica la administración de los objetos. Un dominio es una sistema que comparte una base de datos común, y también directivas de seguridad y relaciones de confianza con otros dominios. Ayudan a administrar los recursos compartidos, y las estructuras que se dividen en estructuras jerárquicas se llaman arboles de dominio.La estructura física de active Directory, es el que se encarga de controlar el tráfico para optimizar el ancho de banda de la red.
FUNCIONES DEL AD-
1. Informacion sobre objetos y atributos
2. Los administradores pueden administrar equipos cliente, servicios de red y aplicaciones que están distribuidos desde una ubicación central.
3. La estructura física de Active Directory permite utilizar el ancho de banda de la red de forma más eficiente. Cuando un usuario inicie sesión en la red, la autoridad de autentificación más cercana irá a que le confirme y así reducimos la cantidad de tráfico
Características de AD-
Escalabilidad: Puede crecer y soportar un número elevado de objetos.
Integración con el DNS: AD utiliza el servicio de nombres de dominio y de localización
Extensible: Permite personalizar las clases y objetos que están definidas dentro de un AD según las necesidades.
Seguridad: Incorpora características de seguridad W2008 Server.
Multimaestro: No distingue entre controladores primarios y secundarios.
Flexible: Permite que varios dominios se conecten en una estructura de árbol de dominio.
Organización de Active Directory
OBJETOS- Almacena información sobre los recursos de red y proporciona servicios que permite que la información se encuentre disponible y sea útil.
Organización de Active Directory
OBJETOS- Almacena información sobre los recursos de red y proporciona servicios que permite que la información se encuentre disponible y sea útil.
ESTRUCTURA LOGICA– Active Directory organiza los recursos de forma que se puedan encontrar a través de su nombre.
DOMINIO: – Colección de equipos que comparten la base de datos de Active Directory.
DOMINIO: – Colección de equipos que comparten la base de datos de Active Directory.
– Los controladores de dominio permiten almacenar una copia de la base de datos y permiten gestionarla y administrarla.
– Se crea al generar el primer controlador de dominio.
– El nombre de dominio debe ser único y ha de estar registrado en el DNS.
Unidades Organizativas:
– A nivel administrativo: Agrupar los objetos con los mismos requerimientosDelegación de tareas de una unidad organizativa.
– A nivel de políticas de grupo, permiten: Establecer detalles de seguridad distintos a una unidad organizativa. Arboles de dominio: –Es una agrupación de uno o más dominios que comparten un espacio de nombres continuo.Los dominios dentro del árbol comparten el esquema común, el catálogo global y los datos e configuración.
Bosques de dominio Un bosque de dominio está compuesto por uno o más arboles de dominio distintos e independientes entre sí. Todos los arboles de un bosque comparten el esquema común, el catálogo global y los datos de configuración.El bosque tiene un único dominio raíz, llamado dominio raíz del bosque
Controlador de dominio: –Administran todas las facetas de las interacciones de los usuarios en un dominio, Una de las funciones que tiene, es la autentificación de usuarios. Cuando un usuario quiere acceder al dominio, el controlador mira si esta en el registro y si está deja acceder a los recursos y servicios, sino, la entrada será denegada.
Catálogo Global Es un almacén central de información de todos los objetos del directorio de los dominios del bosque. Tiene una copia completa de todos los directorios de su dominio y una copia parcial de todos los objetos de los otros dominios del bosque. De manera predeterminada, el primer controlador de dominio creado al instalar AD se convierte en un catálogo global y es conocido como servidor de catálogo global.Se pueden poner varios Catálogos globales, pero esto aumentaría el tráfico de red para hacer las réplicas.
Funciones para todo el bosque
Controlador de dominio: –Administran todas las facetas de las interacciones de los usuarios en un dominio, Una de las funciones que tiene, es la autentificación de usuarios. Cuando un usuario quiere acceder al dominio, el controlador mira si esta en el registro y si está deja acceder a los recursos y servicios, sino, la entrada será denegada.
Catálogo Global Es un almacén central de información de todos los objetos del directorio de los dominios del bosque. Tiene una copia completa de todos los directorios de su dominio y una copia parcial de todos los objetos de los otros dominios del bosque. De manera predeterminada, el primer controlador de dominio creado al instalar AD se convierte en un catálogo global y es conocido como servidor de catálogo global.Se pueden poner varios Catálogos globales, pero esto aumentaría el tráfico de red para hacer las réplicas.
Funciones para todo el bosque
Schema Master: El DC que realiza esta función es el encargado de realizar las modificaciones en el esquema del bosque. Todos los otros DCs del bosque mantienen copias de sólo lectura del esquema. Controla las actualizaciones.
Domain Naiming Master: Cuando queremos eliminar o añadir un dominio, es el encargado de comprobar que el nombre es válido y que se puede agregar.
Funciones para el dominio:
Funciones para el dominio:
RID Master: Para evitar la duplicidad de SID’s. Así no existe la posibilidad de colisiones entre “principios de seguridad” entre diferentes DCs.
PDC Emulator: La tarea principal es sincronizar la hora en una empresa. A partir del Windows 2000 incluye un servicio de hora W32 Time, requerido por el protocolo de autentificación Kerberos.
La función del servicio de hora es permitir que el servicio de hora de Windows utilice una relación jerárquica que controle las relaciones de autoridad, que garantice el uso de una hora común.
Ubicación de los maestros de operaciones Schema Mater y Domain Naming Master: En el bosque, las funciones de maestro de esquema y maestro de nombres de dominio se deben ubicar en el mismo controlador de dominio ya que se utilizan en muy pocas ocasiones y se deben controlar muy de cerca. RID Master y PDC Emulator:Es aconsejable que estén en el mismo equipo, pero si no es posible entonces deben estar muy bien comunicados y en un mismo site.
Que es un Catálogo Global (GC)?Un repositorio que contiene un subconjunto de los atributos de todos los objetos de Active Directory.
Administración centralizada: Permite que un único administrador administre los recursos de forma centralizada.
Permite a los administradores localizar información y objetos de grupo. Utiliza las directivas de grupo para especificar la configuración y controlar el entorno de usuario.Administración descentralizada:Permite la delegación de responsabilidad administrativas de red para unidades organizativas específicas a otros administradores. Permite la delegación de tareas específicas en unidades organizativas.
Proceso de autenticación
La función del servicio de hora es permitir que el servicio de hora de Windows utilice una relación jerárquica que controle las relaciones de autoridad, que garantice el uso de una hora común.
Ubicación de los maestros de operaciones Schema Mater y Domain Naming Master: En el bosque, las funciones de maestro de esquema y maestro de nombres de dominio se deben ubicar en el mismo controlador de dominio ya que se utilizan en muy pocas ocasiones y se deben controlar muy de cerca. RID Master y PDC Emulator:Es aconsejable que estén en el mismo equipo, pero si no es posible entonces deben estar muy bien comunicados y en un mismo site.
Que es un Catálogo Global (GC)?Un repositorio que contiene un subconjunto de los atributos de todos los objetos de Active Directory.
Administración centralizada: Permite que un único administrador administre los recursos de forma centralizada.
Permite a los administradores localizar información y objetos de grupo. Utiliza las directivas de grupo para especificar la configuración y controlar el entorno de usuario.Administración descentralizada:Permite la delegación de responsabilidad administrativas de red para unidades organizativas específicas a otros administradores. Permite la delegación de tareas específicas en unidades organizativas.
Proceso de autenticación
1. El usuario especifica las credenciales en una estación de trabajo para iniciar sesión
2. El cliente cifra las credenciales y las envía a un controlador de dominio correspondiente al dominio del cliente.
3. El centro de distribución de claves (KDC) compara las credenciales con las que tiene almacenadas. El KDC determina si las credenciales coinciden.
4. Creación de los grupos a los cuales está unido y va al catálogo global y lo mira.
5. El KDC concede un vale, donde está el identificador ID de seguridad (SID) y que contiene los grupos de los usuarios al cual es miembro.
TGT Emisor de vales.
Proceso de autorización
TGT Emisor de vales.
Proceso de autorización
1. Solicita acceso el cliente
2. El TGS emite un vale de sesión al cliente para el servidor donde reside el recurso.
3. El cliente presenta el vale al servidor
4. Creación de un testigo de acceso de LSA
5. Comparación de los registros ID a los grupos al cual tendrá acceso
6. LSA mira que concuerden las credenciales.
7. Se concede al usuario acceso al recurso.