Dominio - formandome

Anuncio
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.
DOMINIOS EN REDES WINDOWS
INTRODUCCIÓN
En este capítulo vamos a crear un dominio gestionado por nuestro servidor Windows 2008. Para ello debemos ejecutar un
asistente que permite realizar la promoción y conseguir que todo lo que tuviéramos anteriormente definido en nuestro
equipo local pase a formar parte del dominio. Antes de comenzar la operación debemos tener claro algunos conceptos
básicos y la terminología que vamos a utilizar.
CONCEPTOS BÁSICOS
OBJETO
Un objeto representa una entidad del dominio. Los objetos se clasifican en tres grandes grupos: usuarios, recursos
(impresoras, discos duros…), y servicios (correo electrónico…), etc.
Cada tipo de objeto tiene sus propios atributos característicos. Por ejemplo, un usuario es un objeto que posee una serie de
atributos como pueden ser el nombre de usuario y su contraseña. Por su parte el objeto Sistema tendrá diferentes
atributos: la dirección IP, el nombre del ordenador, etc.
DIRECTORIO ACTIVO
Es la base de datos donde se albergan los objetos que forman parte del dominio junto con sus atributos y los valores
correspondientes.
El directorio activo permite conocer y organizar los recursos de la red de una manera lógica, lo que simplifica la búsqueda
de un recurso por su nombre. El usuario no conoce ni necesita conocer la estructura física del directorio activo.
Cada objeto en el Directorio Activo tiene una identidad única. Los objetos se pueden mover y renombrar, pero su identidad
nunca cambia.
DOMINIO
Es un conjunto de objetos que se administran de forma centralizada. Por ejemplo, un usuario es un objeto que tiene
autorización para trabajar con una serie de recursos del sistema, como pueden ser impresoras, discos duros o los propios
ordenadores.
El administrador podrá gestionar a todos los usuarios y equipos que integremos en el dominio desde el propio servidor.
Dichos usuarios, si lo deseamos, podrán iniciar sesión desde cualquier equipo del dominio, recibiendo los permisos y
derechos del propio servidor.
Un dominio es un nombre base que permite proporcionar nombres de equipo más fácilmente recordables en lugar de una
dirección IP numérica. Los dominios son unidades de replicación y constituyen un límite de seguridad.
CONTROLADOR DE DOMINIO
Es el ordenador que realiza las tareas administrativas del dominio y que posee, por lo tanto, la estructura de Active
Directory, es la máquina a la que llamamos servidor. Cada dominio debe tener al menos un controlador de dominio En
realidad en un dominio puede haber más de un controlador de dominio (DC), pero ese segundo controlador simplemente
[1]
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.
posee una réplica del Active Directory, utilizándose como sistema de seguridad por si falla el controlador de dominio
principal (PDC) o para repartir las tareas administrativas cuando el sistema informático crece y un único servidor no es
suficiente. El primer controlador de dominio incluye:


Esquema: Contiene los tipos de objetos que puede contener el Active Directory y sus
atributos.
Catálogo global: Contiene los objetos y el valor de sus atributos.
Para crear un dominio, se debe promover uno o más equipos que ejecuten Windows Server a controladores de dominio.
Un controlador de dominio proporciona servicios de directorio de Directorio Activo a usuarios y equipos de la red,
almacena datos del directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio de
sesión, la autenticación y las búsquedas en el directorio…
DNS
Los dominios en Windows 2008 siguen la nomenclatura DNS. Recordemos que un servidor DNS alberga la
correspondencia entre los nombres de dominio y las direcciones IP, permitiendo la localización de una máquina en
Internet. Por lo tanto Windows 2008 utiliza DNS para la localización de equipos en la red. Al crear el dominio es cuando
asignamos su nombre y el propio controlador de dicho dominio será el servidor
DNS que resuelve los nombres de ese dominio. Si nuestra organización es grande podemos crear una estructura de árbol
similar al siguiente gráfico:
Cada dominio representado posee su propio controlador de dominio, pero al ser una estructura arborescente, el
controlador del dominio raíz posee la base de datos Active Directory de todo el árbol y, por lo tanto, el catálogo global,
siendo también el servidor DNS para todo el árbol.
Cada nodo también dispone de su propio controlador de dominio incluyendo sus objetos y siendo el servidor DNS para las
consultas dentro de ese propio nodo, pero incluye también una copia del esquema del controlador del dominio raíz.
Se pueden establecer relaciones de confianza entre los nodos del árbol que permiten a los usuarios de un dominio utilizar
los recursos de otro dominio, estableciendo un canal de comunicación entre ellos.
ESTRUCTURA DE UN DIRECTORIO ACTIVO
Un Directorio Activo forma es una estructura arbolada jerárquica que agrupa, de menor a mayor, los siguientes
componentes:




Objetos.
Unidades Organizativas.
Dominios.
Árboles.
[2]
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.

Bosques.
UNIDADES ORGANIZATIVAS
Un tipo de objeto de directorio especialmente útil, contenido en los dominios, es la unidad organizativa. Las unidades
organizativas son contenedores del Directorio Activo en los que puede colocar usuarios, grupos, equipos y otras unidades
organizativas. Una unidad organizativa no puede contener objetos de otros dominios.
Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de
grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores
dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto
permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.
Como se muestra en la figura, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de
contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un
dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.
Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un
usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una
sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra
unidad.
DOMINIOS
ÁRBOLES
Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo llamado árbol. El primer
dominio de un árbol de dominio se denomina dominio raíz.
Los dominios adicionales del mismo árbol de dominio son dominios
secundarios. Un dominio que se encuentra inmediatamente
encima de otro dominio del mismo árbol se denomina dominio
principal del dominio secundario. Esto significa que el nombre de
un dominio secundario consta del nombre de ese dominio
secundario más el nombre del dominio principal.
[3]
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.
En la figura, secundario.microsoft.com es un dominio secundario de microsoft.com y es el dominio principal de
secundario2.secundario.microsoft.com. El dominio microsoft.com es el dominio principal de secundario.microsoft.com.
Además, es el dominio raíz de este árbol.
Los dominios de Windows Server que forman parte de un árbol, están unidos entre sí mediante relaciones de confianza
transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio de
Directorio Activo recién creado en un bosque o árbol de dominio, tiene establecidas inmediatamente relaciones de
confianza con todos los demás dominios en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que un
único proceso de inicio de sesión, sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de
dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los
dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse
para cada dominio.
BOSQUE
Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de
nombres contiguo. Por ejemplo, aunque dos árboles de dominio (microsoft.com y microsoftasia.com) pueden tener ambos
un dominio secundario denominado "soporte", los nombres DNS de esos dominios secundarios serán
soporte.microsoft.com y soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres
contiguo.
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio
que se creó en el bosque.
Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio
raíz del bosque. En la figura anterior, microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles de
dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de confianza transitivas con
microsoft.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio
del bosque.
Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres
contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones independientes
que necesitan conservar sus propios nombres DNS.
INSTALACIÓN DE ACTIVE DIRECTORY
A la hora de crear un dominio y, por lo tanto, al instalar Active Directory en nuestro servidor disponemos de tres enfoques
distintos:

Crear dominio, árbol y bosque nuevo: En el ejemplo de la página anterior, correspondería
con el nodo microsoft.com. Sería el primer controlador del dominio, realizaría las funciones
[4]
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.


de servidor DNS del dominio y de catálogo global. Este es el tipo de servidor que vamos a
administrar.
Dominio dentro de un árbol existente: Correspondería con cualquiera de los otros nodos.
Cada uno posee su propio controlador de dominio, pero el controlador de la raíz del árbol es
el que posee el catálogo global del árbol.
Dominio en un nuevo árbol, pero uniéndole a un bosque existente: Sería crear un nuevo
nodo independiente, semejante a informatica.com, estableciendo relaciones de confianza
entre ambos, uniendo, de esta forma, ambos árboles. El servidor de catálogo global estaría
ubicado en el primer controlador instalado en el bosque.
Antes de comenzar el proceso de instalación es indispensable:
1. Haber definido una dirección IP estática bajo el protocolo IPv4 y desactivar el protocolo IPv6.
2. Determinar correctamente el nombre netbios.
Comencemos con el proceso:
Lo primero de todo debemos instalar la función Servicios de dominio de Active Directory (AD DS). Este servicio es la base
para poder efectuar la instalación del controlador de dominio, ya que ofrece el soporte para poder acceder a su contenido:





Ejecutamos Herramientas administrativas-Administrador del servidor.
Abrimos la sección Funciones y pulsamos sobre Agregar funciones.
Seleccionamos de la lista Servicios de dominio de Active Directory y pulsamos en Siguiente.
Es interesante detenernos a leer la ventana de recomendaciones.
Por último nos indica, que una vez finalizada la instalación, deberemos ejecutar el asistente
para convertir el servidor en un controlador de dominio. Pulsamos en Instalar.
A continuación convertiremos nuestro servidor en controlador de dominio. De nuevo, en Herramientas administrativasAdministrador del servidor, desplegamos Funciones, seleccionamos Servicios del dominio de Active Directory y pulsamos
sobre el asistente dcpromo.exe.



En la primera ventana no es necesario activar la instalación en modo avanzado.
Una pantalla de advertencia indica que se ha aumentado la seguridad en Windows Server
2008 lo que puede dificultar la integración de equipos con versiones antiguas de Windows.
Como hemos explicado utilizamos la opción Crear un dominio nuevo en un bosque nuevo.
[5]
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.
Debemos introducir el nombre de nuestro dominio. Yo voy a utilizar el dominio profesor.com.
El nivel funcional permite integrar nuestro servidor 2008 en redes que posean servidores con versiones más antiguas. En
nuestro caso seleccionamos Windows Server 2008.
Es necesario realizar la instalación del servidor DNS para poder resolver los nombres de dominio.
Un mensaje nos advierte que no encuentra la zona primaria para el servidor DNS. Efectivamente, ya que no disponemos de
ningún otro servidor DNS, por lo que podemos continuar.
Nos informa de la ubicación de la base de datos del Active Directory, de los archivos de registro y de la carpeta SYSVOL,
utilizada para compartir información entre todos los controladores de dominio dentro del dominio que estamos
construyendo.
[6]
SISTEMAS OPERATIVOS EN RED. SMR 2º
UT. 02 : DOMINIOS EN REDES WINDOWS.
Solicita una nueva contraseña de seguridad para el administrador que debe ser diferente a la que se había asignado. Sólo
es utilizada al acceder en el modo restauración.
Un resumen nos indica todas las opciones que hemos elegido en las pantallas anteriores.
Una vez finalizado el proceso es necesario reiniciar el sistema.
Una vez reiniciado el sistema deberemos comprobar que se ha instalado el DNS, para lo que procederemos de la siguiente
forma: Inicio →Herramientas administrativas→ DNS, comprobaremos que en la zona de búsqueda directa aparece al
menos una zona con el nombre de nuestro dominio.
Comprobaremos así mismo, que el dominio ha sido creado, Inicio →Herramientas administrativas→ Dominios y
confianzas de Active Directory, veremos que el dominio consta en el panel izquierdo de la ventana abierta.
DESINSTALACIÓN DE ACTIVE DIRECTORY
Si se desea la total desinstalación de Active Directory, hay que proceder con la herramienta dcpromo /forceremoval, que
eliminará toda la BDD de active directory, y con ella todos los objetos creados dominios, árboles, usuarios, grupos, etc.
Además habrá que eliminar la función de Servicios de Dominio de Active Directory.
[7]
Descargar