Directorio activo

Solo disponible en BuenasTareas
  • Páginas : 7 (1614 palabras )
  • Descarga(s) : 0
  • Publicado : 31 de octubre de 2010
Leer documento completo
Vista previa del texto
Conceptos Avanzados del Directorio Activo
David Cervigón Luna
Microsoft IT Pro Evangelist
davidce@microsoft.com http://blogs.technet.com/davidcervigon

Jose Parada Gimeno
Microsoft IT Pro Evangelist
jparada@microsoft.com http://blogs.technet.com/padreparada

Webcasts grabados sobre Directorio Activo

Ø Conceptos Básicos de Directorio Activo
§ http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=11876 6352&EventCategory=3&culture=es-ES&CountryCode=ES

AGENDA
Ø Tipos de Cuentas Ø Tipos y ámbitos de Grupos Ø Tipos de Confianzas Ø Niveles funcionales Ø Aprovisionamiento de usuarios Ø Sintaxis LDAP y búsquedas en el Directorio Ø Mecanismos de Autenticación y Tokens de seguridad Ø Kerberos

Tipos de Cuentas de Directorio Activo
Ø Cuentas de usuario: Esun objeto almacenado en

el Directorio Activo que permite su inicio de sesión único en la red
§ Cuentas locales § Cuentas de dominio § Cuentas Integradas (Built-in)

Ø Cuentas de Equipos. Ofrecen una forma de

autenticar y auditar a los equipos que acceden a la red y a recursos del dominio. Ø Cuentas de grupos: Colección de usuarios, equipos y otros grupos. Su principal objetivo essimplificar la administración

User Principal Name
Ø En Active Directory, cada cuenta de usuario tiene

Un nombre de inicio de sesión de usuario.
n

Un nombre de inicio de sesión de usuario anterior a Windows 2000
n

Un sufijo UPN (User Principal Name, segun RFC 822)
n

UPN = nombre_de_inicio_de_sesión@Sufijo_UPN

Cómo agregar Sufijos UPN
Ø En la consola de Dominios y confianzas delDirectorio

Activo

n

juanp@empresa.es ó juanp@grupoempresas

n

Service Principal Names
Ø Cada cuenta de equipo creada en Directorio Activo tiene:

§ Un nombre completo

relativo.
§ Un nombre de equipo de

versiones anteriores a Windows 2000.
§ §

Un nombre de host DNS. Un sufijo DNS principal (FQDN) JuanXP@empresa.com

Service Principal Names (cont.)
Ø Atributo de valoresmúltiples que identifican los servicios

ofrecidos por el equipo, de cara a una autenticación mutua por parte de otro equipo:

Nombrado de Objetos
Ø Se puede hacer referencia a cada objeto de Directorio

Activo con varios nombres diferentes. Directorio Activo crea a partir de los datos durante la creación del objeto:
§ El nombre completo relativo LDAP: identifica unívocamente alobjeto dentro su contenedor principal.
CN=JuanP
§ El nombre completo LDAP: es globalmente único.

CN=JuanP, OU=Users, DC=empresa, DC=es
§ El nombre canónico: se crea de la misma manera que el nombre

completo, pero se representa con una notación diferente.
Empresa.com/Users/JuanP

Ø Objetos principales de Seguridad (Security Principals):

Son objetos del directorio que tienen asignados unIdentificados único de seguridad (SID)

Tipos de Grupos
Ø Grupos de Distribución:
§ Utilizados por aplicaciones de correo (p.e Microsoft Exchange

Server 2000/2003)
§ No pueden ser usados para especificar controles de acceso a

recursos.

Ø Grupos de Seguridad:
§ Asignación de derechos (funciones que se pueden desempeñar) § Asignación de permisos de acceso a recursos § Permitenanidación, es decir, meter unos grupos dentro de otros.

Ø Ambos tipos de grupo pueden ser de tres ámbitos

distintos:
§ Locales de Dominio § Global § Universal

Grupos Locales de Dominio
Ø Pueden contener:
§ Grupos Universales, Globales, Locales de su dominio § Usuarios de cualquier dominio del bosque

Ø Pueden pertenecer a otro grupo Local de

Dominio Ø Solo son visibles en su propiodominio Ø Sólo pueden asignarse a permisos de recursos del dominio en el que existe Ø Se utilizan para asignar permisos a recursos existentes en el dominio en donde se esta creando el grupo

Grupos Globales
Ø Pueden contener:
§ Usuarios, Grupos y equipos de su propio dominio § Otros grupos globales

Ø Pueden pertenecer a Grupos Locales, Universales o

Globales del mismo dominio Ø Son...
tracking img