Active Directory al Descubierto
Rodrigo de los Santos MCSA Messaging [Link]@[Link] Guillermo Delprato MVP MCSE MCT [Link]@[Link]
� Qu es Active Directory? Estructura Lgica Estructura Fsica
Group Policies
Mayor Flexibilidad
Agenda
Servicio de Directorio Qu es un Dominio Controladores de Dominio
Agenda: Qu es Active Directory
�Funcionalidad del Servicio de Directorio
Administracin Centralizada
Organizar Administrar Controlar
Recursos
Administracin desde un punto Acceso total de usuarios con un nico inicio de sesin
Servicio de Directorio
Lmite de Administracin
Lmite de Seguridad
Lmite de Replicacin
Actualmente es ms impreciso
Qu es un Dominio?
Validan cuentas
Participan en la replicacin de Active Directory Cumplen algunas funciones individualmente
Replicacin
Controlador de Dominio Controlador de Dominio
Dominio = Copia editable de la base de Active Directory
Controladores de Dominio
Dominios Unidades Organizativas Arbol Bosque Catlogo Global Relaciones de Confianza Dominio Raz Requerimientos Recomendaciones Niveles Funcionales de Dominio y Bosque La Importancia de DNS
Agenda: Estructura Lgica
� Coleccin de Recursos
Usuarios, Computadoras y Recursos definidos por un administrador que comparten la misma base de datos del directorio, y bajo una administracin comn
Lmite de Seguridad
Un administrador puede administrar SOLO dentro de su dominio, salvo que se le den en forma explcita privilegios sobre otros dominios; con excepcin de Enterprise Admins
Unidad de Replicacin
Los controladores de dominio de un determinado dominio participan en la replicacin y contienen una copia completa de la informacin de su dominio; y pueden tener copia de slo lectura de otros dominios
Dominio
�Unidades Organizativas (OUs)
Todos los dominios de Bosque comparten:
La Configuracin El Esquema La informacin del Catlogo Global
Bosque rbol
[Link]
rbol
[Link]
baires. [Link]
europe. [Link]
usa. [Link]
Bosque (Forest)
Funcin adicional de los Controladores de Dominio La cumple uno, o recomendablemente varios Contiene una rplica PARCIAL de TODOS los objetos de Active Directory Usado durante:
Inicio de sesin Bsquedas
Catlogo Global
Padre-Hijo / Arboles del Bosque
Requerida Automticas, bidireccionales y transitivas
Forest Trust
Uni/Bi-direccionales Total o parcialmente transitivas
Shortcut Trust
Unidireccionales Parcialmente transitivas
External Trust
Unidireccionales No transitivas
Relaciones de Confianza
�Enterprise Admins
El Dominio Raz del Bosque es el primer dominio creado Raz del Bosque
Schema Admins
Catlogo Global Configuracin y Esquema
Raz del rbol
[Link]
[Link] [Link]
Dominio Raz del Bosque
�Requerimientos para instalar Active Directory
Sistema Operativo Windows Server 2000/3/8
(No puede ser Windows Web Edition)
Espacio libre mnimo en disco 250 MB Por lo menos una particin NTFS Protocolo TCP/IP instalado y configurado Privilegios administrativos en el servidor y/o
apropiados para crear subdominios o crear controladores de dominio en un dominio
DNS instalado o a instalar
Requerimientos
Diseo
Objetivos Cuntos Bosques/Arboles/Dominios Sitios y enlaces Crecimiento a futuro Requerimientos de seguridad
Planificacin
Implementacin
Estructura de unidades organizativas Delegacin Group Policies Mtodos de implementacin Procedimientos de instalacin
Recomendaciones Importantes
�Dominio
Bosque
Nativo Windows 2000 Nativo Windows 2003
Linked Value Replication Algoritmo KCC Forest Trusts
Mixto (2000 / 2003)
Nativo Windows 2000
Group Nesting SID History Universal Groups
Compatibilidad NT 4.0 No disponible en 2008
Nativo Windows 2003
Nativo Windows 2008
Asegura que los nuevos dominios sean Windows 2008
Nativo Windows 2008
Last Logon Timestamp Redirect Users/Computers DFSR en Sysvol AES for Kerberos Fine-grained Passwords
Importante: Sistema Operativo de los Controladores de Dominio
Niveles Funcionales
Active Directory utiliza DNS para resolver nombres y encontrar servicios de red La inadecuada configuracin es una de las causas ms comunes de problemas Parte importante del proceso de planificacin Integracin en Active Directory
Seguridad Replicacin Tolerancia a fallas
Importancia de DNS
Sitios Subredes Enlaces Protocolos de Replicacin Particiones del Directorio Replicacin In-site Replicacin Off-Site
Agenda: Estructura Fsica
Respuestas tcnicamente correctas:
Un grupo de subredes bien conectadas Con conectividad permanente, confiable y con suficiente ancho de banda Con ancho de banda suficiente para replicar los cambios en Active Directory
Dentro de un sitio, el objetivo es que los cambios se propaguen rpidamente
Sitios
Subredes IP Los Controladores de Dominio utilizan la direccin IP del cliente para informarle el sitio donde estn Un sitio puede tener varias subredes Una subred no puede estar en varios sitios
Subredes
Conectan los sitios No identifican el medio fsico Slo muestran cmo un sitio est conectado a otro/s sitio/s Pueden definir:
Das y horarios de utilizacin Frecuencia de replicacin Preferencia de utilizacin
Enlaces
�RPC o SMTP
Controlador de Dominio A Protocolos de Replicacin
Controlador de Dominio B
RPC para Replicacin DENTRO y ENTRE Sitios SMTP para Replicacin ENTRE Sitios y
diferentes dominios del mismo rbol/Bosque
Protocolos de Replicacin
�Particiones del Directorio
Active Directory Database
Bosque
Esquema Configuracin
Definiciones y reglas para crear y manipular objetos y atributos Informacin sobre configuracin de Active Directory Informacin sobre todos los objetos especficos del dominio DNS Partitions o definidas por el administrador
Dominio
Dominio Application Partitions
Definible
Particiones del Directorio
�A1
A2
B2
B1
A3
A4
B3
Topologa Dominio A Topologa Dominio B Topologa de Esquema/Configuracin
Topologa de Replicacin
�ISTG
Ocurre de acuerdo a programacin Diseado para optimizar la utilizacin del ancho de banda Uno o ms Controladores de Dominio por Sitio actan como Bridgehead Servers
IP Subnet IP Subnet
Bridgehead Server Replicacin
Site
IP Subnet
Replicacin
Replicacin
Site
IP Subnet
Bridgehead Server, ISTG
Replicacin Entre Sitios
Qu son Cmo se aplican Nueva Password Policy Group Policy Preferences Starter Group Policies
Agenda: Group Policies
Windows Vista prepar el escenario
Ms de 700 configuraciones nuevas, habilidad para controlar cosas que nunca antes pudimos de forma centralizada (ej. power save settings, restricciones para instalacin de dispositivos) Group Policy ya no es solamente un thread en Winlogon, sino que es un servicio separado Logging paso a paso y meticuloso hace que el soporte tcnico de GP sea muchsimo ms fcil Mapeo Impresoras va GPO (bye bye Logon Scripts) Nuevo poderoso formato de plantilla ADMX GPMC es parte del sistema operativo, no ms un addon
Group Policy Overview
�Hasta hoy Polticas de Password son basadas en dominios Fine Grained Password policy habilita polticas de password basadas en grupos Crea un nuevo objeto PSO object en el schema que puede ser asociado con cualquier Security Principal Reglas de Precedencia aseguran un correcto resultado de la poltica Aplica tanto password settings como account lockout settings
Fine Grained Password Policy
Requiere Windows Server 2008 Domain Functional Level
Crear grupos espejos para diferentes sets de usuarios Crear Objetos PSOs para diferentes Password Policies Aplicar esas PSOs a los usuarios o grupos Delegar la administracin de de esos grupos espejo
Fine Grained Password Policy
Permiten definir opciones No Obligatorias Ideales para customizar opciones de Deployment
Nuevas Extensiones para Group Policies
Solo mediante GPMC (No local policy)
Componentes
Snap-in Extensions Client Side Extensions (CSE)
Plataformas Soportadas Windows Windows Server 2008 Vista Windows XP Windows Server 2003
Snap-in CSEs
Included Included
RSAT SP1
N/A Download
N/A Download
Group Policy Preferences
Permite armar una plantilla de configuraciones de GPO
Basadas unicamente en Administrative Templates (ADM/ADMX) Se pueden crear varias configuraciones que definan un standard al crear nuevas GPO Se pueden crear nuevas GPO basadas en esas Starter GPO Se pueden exportar e importar entre Dominios y o Forests
Starter GPOs
Read-Only Domain Controllers (RODC)
Por problemas de seguridad fsica
Active Directory Snapshots
Cmo estaba antes?
Active Directory
Quin lo hizo? Cul era el anterior?
Agenda: Mayor Flexibilidad
�Main Office
RODC
Features Base de Datos Active Directory Read Only Solo passwords habilitados por el administrador son replicados en un RODC Replicacin Unidreccional Separacin de Roles Beneficios Aumenta la seguridad en ubicaciones donde la seguridad fsica no se puede garantizar Soporta ADFS,DNS, DHCP, DFSR (FRS V1 y 2), GPO , IAS/VPN, ADSI queries, GC
Read Only Domain Controller
Remote Site
�6 5 4 3 2 1
Enva la peticin aTGT al y trata de RODC Y devuelve inicia 2008 DC autentica la Un usuario la respuesta de autenticacin Windows Server un RODC entrega el sesin usuario y RODC: Mira en su DB: No tengo la Pass" Windows de vuelta al (Segn poltica) y el TGT Server 2008RODC el Hub autenticarse peticin cachea credenciales DC en
Windows Server 2008 DC
4
Read Only DC
2
Hub
Branch
1 6
RODC
Cmo funciona un RODC
Permite al administrador elegir el mejor backup
[Link] Toma el Snapshot mediante VSS del Servicio de Directorio [Link] Levanta el snapshot como un LDAP server [Link] o Active Directory Users & Computers Browsea la Agendar batch para que Rencomendable: informacin montada [Link] tome snapshots regulares de AD DS
No sirve para recuperar objetos!
Active Directory Snapshots
Event logs informan:
Quien realiz el cambio Cuando se realiz el cambio Que objecto/atributo fue cambiado Informa Valores Iniciales Informa Valores Finales
Event type Modify Create Undelete Move Event description Este evento es generado cuando una modificacin exitosa es realizada a un atributo en el directorio. Este evento es generado cuando un nuevo objeto es creado en el directorio. Este evento es generado cuando se realiza un undeleted en el directorio. Este evento es generado cuando un objeto es movido dentro del dominio.
Event ID 5136 5137 5138 5139
Active Directory Auditora
� Qu es Active Directory?
Los conceptos fundamentales Estructura Lgica Dominios, Arboles y Bosques, adems de OUs
Estructura Fsica
Sitios, enalces y redes Group Policies Ms configuraciones, Starter GPOs y Preferences Mayor Flexibilidad RODC, Snapshots, Auditora detallada
Revisin
Nerd Support !!
[Link]
Notas sobre Windows Server!!
[Link]
Windows Server 2008 Product Home Page
[Link] [Link]
Windows Server 2008 Trial Download Windows Server 2008 en Technet
[Link]
Windows Server 2008 Step by Step Guides
[Link]
Windows Server 2008 Virtual Labs
[Link]
Windows Server 2008 Learning Options
[Link]
Dnde continuar
�Gracias por su atencin
Preguntas y Comentarios
