Directorio activo
David Cervigón Luna
Microsoft IT Pro Evangelist
davidce@microsoft.com http://blogs.technet.com/davidcervigon
Jose Parada Gimeno
Microsoft IT Pro Evangelist
jparada@microsoft.com http://blogs.technet.com/padreparada
Webcasts grabados sobre Directorio Activo
Ø Conceptos Básicos de Directorio Activo
§ http://msevents-eu.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=11876 6352&EventCategory=3&culture=es-ES&CountryCode=ES
AGENDA
Ø Tipos de Cuentas Ø Tipos y ámbitos de Grupos Ø Tipos de Confianzas Ø Niveles funcionales Ø Aprovisionamiento de usuarios Ø Sintaxis LDAP y búsquedas en el Directorio Ø Mecanismos de Autenticación y Tokens de seguridad Ø Kerberos
Tipos de Cuentas de Directorio Activo
Ø Cuentas de usuario: Esun objeto almacenado en
el Directorio Activo que permite su inicio de sesión único en la red
§ Cuentas locales § Cuentas de dominio § Cuentas Integradas (Built-in)
Ø Cuentas de Equipos. Ofrecen una forma de
autenticar y auditar a los equipos que acceden a la red y a recursos del dominio. Ø Cuentas de grupos: Colección de usuarios, equipos y otros grupos. Su principal objetivo essimplificar la administración
User Principal Name
Ø En Active Directory, cada cuenta de usuario tiene
Un nombre de inicio de sesión de usuario.
n
Un nombre de inicio de sesión de usuario anterior a Windows 2000
n
Un sufijo UPN (User Principal Name, segun RFC 822)
n
UPN = nombre_de_inicio_de_sesión@Sufijo_UPN
Cómo agregar Sufijos UPN
Ø En la consola de Dominios y confianzas delDirectorio
Activo
n
juanp@empresa.es ó juanp@grupoempresas
n
Service Principal Names
Ø Cada cuenta de equipo creada en Directorio Activo tiene:
§ Un nombre completo
relativo.
§ Un nombre de equipo de
versiones anteriores a Windows 2000.
§ §
Un nombre de host DNS. Un sufijo DNS principal (FQDN) JuanXP@empresa.com
Service Principal Names (cont.)
Ø Atributo de valoresmúltiples que identifican los servicios
ofrecidos por el equipo, de cara a una autenticación mutua por parte de otro equipo:
Nombrado de Objetos
Ø Se puede hacer referencia a cada objeto de Directorio
Activo con varios nombres diferentes. Directorio Activo crea a partir de los datos durante la creación del objeto:
§ El nombre completo relativo LDAP: identifica unívocamente alobjeto dentro su contenedor principal.
CN=JuanP
§ El nombre completo LDAP: es globalmente único.
CN=JuanP, OU=Users, DC=empresa, DC=es
§ El nombre canónico: se crea de la misma manera que el nombre
completo, pero se representa con una notación diferente.
Empresa.com/Users/JuanP
Ø Objetos principales de Seguridad (Security Principals):
Son objetos del directorio que tienen asignados unIdentificados único de seguridad (SID)
Tipos de Grupos
Ø Grupos de Distribución:
§ Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)
§ No pueden ser usados para especificar controles de acceso a
recursos.
Ø Grupos de Seguridad:
§ Asignación de derechos (funciones que se pueden desempeñar) § Asignación de permisos de acceso a recursos § Permitenanidación, es decir, meter unos grupos dentro de otros.
Ø Ambos tipos de grupo pueden ser de tres ámbitos
distintos:
§ Locales de Dominio § Global § Universal
Grupos Locales de Dominio
Ø Pueden contener:
§ Grupos Universales, Globales, Locales de su dominio § Usuarios de cualquier dominio del bosque
Ø Pueden pertenecer a otro grupo Local de
Dominio Ø Solo son visibles en su propiodominio Ø Sólo pueden asignarse a permisos de recursos del dominio en el que existe Ø Se utilizan para asignar permisos a recursos existentes en el dominio en donde se esta creando el grupo
Grupos Globales
Ø Pueden contener:
§ Usuarios, Grupos y equipos de su propio dominio § Otros grupos globales
Ø Pueden pertenecer a Grupos Locales, Universales o
Globales del mismo dominio Ø Son...
Regístrate para leer el documento completo.