Administración de dominios.

Administración de dominios.

Estructura del trabajo en grupo:

La administración de los recursos se hace de manera centralizada. Cada usuario controla qué recursos comparte de su ordenador.

Algunos problemas que podemos sacar de esta manera de administrar los recursos, en grandes organizaciones, pueden ser la dificultad para encontrar la ubicación de los recursos, así como también, la limitación de los colaboradores.

Estructura cliente servidor:

Anteriormente hablábamos del término compartición donde todos eran clientes y todos eran servidores.

Ahora, se usan pocos servidores que compartan sus recursos:

• Servidores de archivos.
• Servidor de impresión.
• Servidor de comunicaciones.
• Servidor web.
• Servidor de correo electrónico.
• Servidor ftp.
• Servisor proxy.

Protocolo LDAP

Las siglas LDAP (lightweight directory access protocol), en español protocolo ligero de acceso a directorios, hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servidor de directorio ordenador y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos en la que pueden realizarse consultas.

Define directorio como un conjunto de objetos con atributos organizados de manera lógica y jerárquica.

Define servicio de directorio como los métodos para almacenar datos del directorio y ponerlos a disposición de administradores y usuarios.

Dominios:

• Divide redes extensas en redes parciales.
• Existe una unión entre equipos, usuarios y recursos.
• Se pueden administrar de manera centralizada.
• Fácil planificación.
• Los recursos siguen conectados a los equipos, pero se centraliza su administración.
• Mayor seguridad.
• Para varios dominios, existen las relaciones de confianza que permiten una cuenta para varios dominios.
• Todo está supervisado por el controlador de dominio, también conocido como controlador de respaldo.

Directorio activo (Active Directory).

• Es el servicio de directorio de Windows.
• Incorpora un directorio (almacén de objetos).
• Incluye los siguientes conceptos:

• Dominio: Es la estructura fundamental.
• Unidad organizativa: es la unión de grupo de objetos y unidades.
• Objetos: recursos concretos.
• Grupos: conjunto de objetos del mismo tipo.

Árbol de dominios y bosque:

Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Árboles de dominios: El primer dominio de un árbol se denomina dominio de raíz. Los dominios adicionales del mismo árbol de dominios de denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo.

Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del bosque o del árbol de dominios. Esto no quiere decir que el usuario tenga permisos y derechos en todos los dominios del árbol puesto que un dominio es un límite de seguridad y por tanto habría que conceder derechos o permisos para cada dominio.

Bosque: Un bosque está formado por uno  o varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo, pero podría ocurrir que hubiese dos árboles en un bosque con nombres de subdominio iguales.

Los bosques no tienen ningún dominio raíz propiamente dicho. El dominio raíz de un bosque por convenio es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características: 

• Relaciones de confianza transitivas entre los dominios.
• Relaciones de confianza transitivas entre los árboles de dominio.
• Un esquema, un catálogo global e información de configuración común.

El uso de bosques y árboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Papeles de los servidores:

• Controlador de dominio.
• Servidores miembros.
• Servidores independientes.
• Servidor de replicación (backup).
• Cada bosque necesita un servidor DNS para:
• Resolver los nombres de equipos.
• Asignar nombre a los dominios.

Usuarios:

• Son objetos del directorio con identificador de seguridad para acceder a la red y a los recursos.
• La identidad del usuario se autentica.
• Se le autoriza el uso de recursos.
• Se le puede auditar.
• Dos tipos:

• Usuarios globales o del dominio: para trabajar en el dominio.
• Usuarios locales: para los equipos. Fuera del dominio.

• Dos cuentas:

• Administrador de dominio.
• Invitado.

Los usuarios se pueden:

• Crear.
• Modificar.
• Cambiar nombre.
• Modificar contraseña,
• Limitar horas de conexión.
• Limitar estaciones de trabajo en la que se conectan.
• Copiar --> Plantillas.
• Realizar operaciones conjuntas --> varias cuentas juntas.

Perfiles móviles:

• Asignado a cada usuario.
• El usuario puede cambiarlo y los cambios permanecen después de cerrar sesión.
• Los datos se guardan en /usuarios/nombre_del_usuario/ntuser.dat
• Al conectarse el archivo de copia en HKEY_CURRENT_USER.
• Si hace cambios se guardan temporalmente en ntuser.dat.LOG1 y ntuser.dat.LOG2.
• Al terminar sesión se copia en ntuser.dat.

Perfiles obligatorios:

• Misma estructura que los perfiles móviles pero aseguran que los usuarios trabajen en un entorno común.
• Los usuarios pueden modificar los perfiles, pero los cambios se pierden al cerrar sesión.
• Los administradores pueden cambiarlos y guardar los cambios.
• Se guardan en el archivo /usuarios/nombre/ntuser.man.

Perfiles superobligatorios:

• Misma filosofía que los perfiles obligatorios.
• Si no se pueden cargar, no se puede iniciar sesión.

Otras utilidades:

• Scripts al inicio de sesión.
• Ruta de acceso local.
• Unidades de red.

Grupos:

• Existen dos tipos de grupos:

• Grupos de seguridad.
• Grupos de distribución.

• Según el ámbito:

• Grupos universales: permisos en cualquier dominio.

• Universales + globales + cuentas de cualquier dominio.
• Necesitan Directorio Activo + modo nativo.

• Grupos globales: permisos en cualquier dominio.

• Globales + cuentas del dominio en el que se ha definido el grupo.

• Grupos de dominio local: permisos en el dominio.

• Universales + globales + locales del dominio y cuentas de cualquier dominio.

• Grupos locales: sin Directorio Activo. Permisos para el equipo.

Cambiar ámbito:

• Por defecto grupo de seguridad de ámbito global.
• Global a universal --> solo si el grupo global no es miembro de orto grupo global.
• Dominio local a universal --> solo si el grupo de dominio local no tiene como miembro otro grupo de dominio local.
• Universal a global --> solo si el grupo universal no tiene como miembro otro grupo universal.

Grupos creados en la instalación:

• Carpeta Builtin

• Tipo integrado local.

• Carpeta users

• Dominio local

Los equipos:

• Respetan los equipos.
• Permite iniciar sesiones en un dominio con autenticación.
• Permite el acceso a recursos.
• Cada equipo que accede a la red tiene su propia cuenta:

• Autenticar la identidad del equipo.
• Autorizar o denegar el acceso a los recursos.
• Administrar recursos, usuarios...
• Auditar acciones.

• Dos carpetas

• Domain Controllers.
• Computers.

• Se crea al añadir un equipo al dominio.