Definición de Servicio de Directorio y Dominio
Dominio de Sistema
Información administrativa (cantidad de usuarios, impresoras, directorios, etc.)
Seguridad centralizada en un servidor o varios.
Windows Server utiliza el concepto de directorio.
El Directorio Activo o Active Directory (AD) es un servicio de directorio de la red de Windows.
El AD determina la utilización de los recursos de una red centralizada.
El AD es un servicio de red que:
- Guarda información de los recursos de la red.
- Permite el acceso a los usuarios.
- Permite el acceso a las aplicaciones.
Organiza, controla y administra los recursos de la red.
Al instalar el AD, convertimos los equipos en controladores de dominio o servidores de dominio.
Una ventaja del AD es separar la estructura lógica (dominio) de la física (topología de red).
El AD permite a los administradores:
- Crear a nivel de empresa.
- Aplicar actualizaciones a una organización completa.
- Desplegar programas en múltiples ordenadores.
- Almacenar información sobre una organización en una base de datos central.
Conceptos de AD
- Dominio: Estructura fundamental. Permite agrupar todos los objetos.
- Unidad Organizativa (UO): Unidad jerárquica de menor grado. Permite agrupar diferentes tipos de objetos.
- Grupos: Conjunto de objetos del mismo tipo.
- Objetos: Forman una representación de un recurso de red (usuario, impresora, ordenador).
Creación de Unidades Organizativas (UO)
(Información sobre la creación de UO no proporcionada en el texto original)
Creación de Grupos
- Desplegar la UO que contiene los grupos.
- Botón derecho → Nuevo → Grupo.
Nombre: (Ha de ser único en todo el dominio).
Ámbito de grupo: Dominio local, global o universal.
Tipo de grupo: Seguridad o distribución.
El sistema operativo asignará un SID (Security Identifiers).
Este identificador será manipulado internamente para realizar cualquier operación.
Al eliminar el grupo se elimina el SID (no vuelve a utilizarse para el sistema).
Al dar de alta el mismo grupo, se asigna un nuevo SID.
Eliminar un grupo:
- Seleccionarlo de la UO correspondiente.
- Botón derecho → Eliminar.
La eliminación del grupo no elimina los usuarios u objetos que contenga.
Se eliminan los permisos que este grupo tiene asociados.
Implementación de Grupos Integrados en AD
- Los grupos incorporados son grupos predefinidos.
- Tienen un conjunto predeterminado de derechos de usuario.
- Los derechos de usuario determinan las tareas del sistema que puede realizar el usuario.
- DNSAdmins: Solo tienen acceso administrativo al servidor DNS (no tiene miembros asegurados).
- Administradores de dominio: Realizan tareas administrativas en cualquier equipo del dominio (Administrador).
- Equipo de dominio: Las estaciones de trabajo y los controladores.
- Controlador de dominio: Controlador de dominio.
- Invitado de dominio: Tiene una cuenta predeterminada.
- Usuarios de dominio: Todos los usuarios y el administrador.
- Administrativos: Pueden modificar el AD.
Usuarios del AD
Las cuentas de usuarios se crean en la ventana principal del AD.
Se crean en la carpeta Users y en la UO creada.
Cada cuenta tiene un nombre principal, compuesto de dos partes:
- Nombre principal de seguridad.
- Sufijo de nombre principal.
Las cuentas de usuario tendrán catalogadas las cuentas DNS.
Ejemplo: antonio@principal.es (usuario AD)
Creación de Cuentas de Usuario
- La instalación de Windows genera dos usuarios: Administrador e Invitado.
- Una vez instalado el AD, podemos crear usuarios para el dominio. Los usuarios se podrían validar en el equipo local o en otros.
Añadir Usuarios al Sistema Windows Server
- Herramientas: Usuarios y equipos de AD.
- Nos situamos en la UO deseada.
- En la parte derecha → Botón derecho → Nuevo → Usuario.
- Nombre.
- Nombre de inicio de sesión de usuario (login).
- Siguiente.
- Opciones de contraseña: El usuario cambia la contraseña en el siguiente inicio / El usuario no puede cambiar la contraseña / La contraseña nunca caduca / Cuenta deshabilitada.
Añadir Usuarios a Grupos en Windows Server
- Seleccionar los usuarios dentro de la UO correspondiente (Ctrl + Shift).
- Botón derecho en cuenta de usuario → Agregar a un grupo.
Propiedades de las Cuentas de Usuario
- Seleccionar usuario → Botón derecho → Propiedades.
- General: Datos identificativos de usuario.
- Cuenta: Nombre de inicio de sesión, restricciones de inicio de sesión, opciones de contraseña, caducidad de cuenta, horas de sesión.
- Control remoto: Grado con el que el administrador puede ver o controlar las sesiones del usuario.
- Miembro de: Pertenencia a grupos locales, globales o universales.
- Sesiones: Desconexión y reconexión del servicio de Terminal Server.
Opciones sobre Cuentas de Usuario
- Botón derecho → Propiedades.
- Cambio de contraseña → Restablecer contraseña.
- Configuración de contraseña → Propiedades → Cuenta.
- Configuración de las opciones de estaciones de trabajo → Propiedades → Cuenta.
- Configuración de horas de inicio de sesión → Propiedades → Cuenta.
Menú Contextual
- Copiar usuario.
- Agregar a un grupo.
- Deshabilitar y habilitar cuentas de usuario.
- Mover: Mover de usuario de una UO a otra.
- Eliminar: Se elimina definitivamente la cuenta de usuario.
- Cambiar el nombre: No se modifica el login.
- Ayuda: Mostrar información adicional.
Administración de Cuentas de Usuario: Creación de Plantillas
- Crear una cuenta.
- Dar nombre plantilla_usuario.
- Copiar en UO.
- Definir características propias de la cuenta.
Administración Avanzada en Dominios Windows Server
Configuración del Servicio DNS
- Ejecutar la herramienta Administrativa → DNS.
- Seleccionar el nombre del equipo.
- Seleccionar «Reenviadores».
- Agregar la lista de direcciones IP de otros controladores de dominio.
Completa el servicio DNS:
C:> ping 192.168.20.50
C:> ping SERVER2008
C:> ping antonio.principal.es
Relaciones de Confianza
Relación establecida entre dominios que:
- Permite a los usuarios acceder a los recursos del otro dominio.
- Permite a los administradores definir permisos y derechos a los usuarios del otro dominio.
Características de las Relaciones de Confianza
- Método de creación: Implícita (automática) o explícita (de forma manual).
- Dirección: Unidireccionales o bidireccionales.
- Transitividad: Son transitivas o no.
Se pueden establecer confianzas entre dominios.
- Un usuario puede tener una cuenta separada para cada dominio.
- Relaciones de confianza unidireccionales.
- Relaciones de confianza bidireccionales: Hacen la administración más fácil.
Crear Relaciones de Confianza
- Tener dos dominios.
- Seleccionar el dominio 1 → Herramientas Administrativas → Dominios y confianza de AD.
- Botón derecho → Propiedades → Pestaña «Confianza» → Nueva confianza → NetBIOS – Nombre de la máquina / IP – Dominio Kerberos.
- Tipo de relación: Bidireccional o unidireccional (de entrada / de salida).
Delegación de Controles en Dominio
Indica qué usuarios de un dominio pueden administrar el otro dominio.
La delegación consiste en:
- Configurar el DNS.
- Crear las relaciones de confianza.
- Saber cómo cambiar de dominio.
Pasos para realizar la delegación:
- Ir al dominio 2 → Ejecutar herramienta → «Usuarios y equipos de AD».
- Seleccionar el nombre DNS del equipo → Botón derecho → Delegar control.
- Botón Agregar → Ubicaciones → Seleccionar el dominio 1 → Aceptar → Avanzadas.
- Seleccionar de la lista los usuarios o grupos a delegar control.
- Seleccionar las tareas que se delegarán.