Introduccion_a_los_Servicios_de_Directorio_Activo_en_Windows_Server_2008
Páginas: 8 (1882 palabras)
Publicado: 23 de noviembre de 2015
Introducción a los
Servicios de Directorio
Activo en Windows Server
2008
David Cervigón Luna
IT Pro Evangelist
david.cervigon@microsoft.com
http://blogs.technet.com/davidcerv
igon
Agenda
Delegaciones Remotas:
Read-Only Domain Controller
Administración:
Auditoría, Backup/Recovery
Seguridad:
Políticas de contraseñas
granulares
Terminología
Active Directory Domain Services
Reemplaza a “ActiveDirectory”
Active Directory Lightweight Directory Services
Reemplaza a “Active Directory Application Mode” o ADAM
Roles de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS
Se administran centralmente a través del Server Manager
Server Core
Opción de instalación mínima del Servidor
Menor superficie de ataque debido a los pocos componentes
instalados
Delegaciones RemotasDelegaciones
Seguridad
Administración
Read-Only Domain
Controller
Los administradores
se enfrentan a losremotas
siguientes
Desafíos
de las delegaciones
desafíos a la hora de desplegar Controladores de
Dominio en una delegación remota
El DC se coloca en una localización física insegura
El DC tiene una conexión de red poco fiable con el HUB
El personal de la delegación tiene pocos conocimientos opermisos para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o
Los Domain Admins delegan privilegios al personal de la
delegación
Para consolodar la infraestructura de Directorio
Activo, los administradores quisieran eliminar los
DCs de las delegaciones remotas, pero
Los usuarios no podrían iniciar sesion o acceder a
recursos de red si la WAN falla
Read-Only DomainController
Solución segura de Delegación remota
REMEDIOS DEL
RODC
Read-Only Domain Controller
Menor superficie de ataque para los DCs de delegaciones
remotas
Por defecto, no hay contraseñas de usuarios o equipos
almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que
las credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicaciónunidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptográficas propias y distintas
La delegación del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte vía TS al RODC
Los DCs de escritura registran el registro SRV en lugar de los
RODCs para evitar el registro ilegal de nombres enSecure
DNS Appliance D
Los RODCs tienen cuentas deestación de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC
Derechos muy limitados para escribir en el Directorio
Los RODC son totalmente compatibles con Server Core
Read-Only Domain Controller
Modelos de Despliegue
Cuando usarlos
• Precupaciones
en torno a la
seguridad y al
coste de gestión
de los DCs de
las
delegaciones
remotas
• Necesidades
locales de
acceso a
recursos sifalla
la WAN
Cuando no:
• Como
reemplazo de
un DC
tradicional con
Read-Only Domain
Controller
Cuentas de
no cacheadas
(por defecto)
Modelos
Administración
A Favor: Mas seguro, permitiendo además la autenticación
rápida y la aplicación de políticas
recomendados
En Contra: No hay acceso offline para nadie. Se requiere de la
WAN para el inicio de sesión
La mayor parte de las cuentas cacheadas
AFavor: facilidad en la gestión de contraseñas. Para entornos
en los que es más importante la administrabilidad que la
seguridad.
En contra: Más contraseñas expuestas potencialmente por el
RODC
Solo una pocas contraseñas cacheadas
A Favor: Permite el acceso offline de quien lo necesite
realmente, maximizando la seguridad de los demás
En Contra: Requiere una administración granular más fina
Mapearequipos por delegación
Read-Only Domain
Controller Como
Cacheo Funciona
de secretos en el primer inicio de
sesión
1. AS_Req enviado al RODC
(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenvía la petición al DC del Hub
4. El DC del Hub autentica la petición
5. Devuelve la petición de
autenticación y el TGT al RODC
6. El RODC da el TGT al usuario y
encola una peticion de...
Servicios de Directorio
Activo en Windows Server
2008
David Cervigón Luna
IT Pro Evangelist
david.cervigon@microsoft.com
http://blogs.technet.com/davidcerv
igon
Agenda
Delegaciones Remotas:
Read-Only Domain Controller
Administración:
Auditoría, Backup/Recovery
Seguridad:
Políticas de contraseñas
granulares
Terminología
Active Directory Domain Services
Reemplaza a “ActiveDirectory”
Active Directory Lightweight Directory Services
Reemplaza a “Active Directory Application Mode” o ADAM
Roles de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS
Se administran centralmente a través del Server Manager
Server Core
Opción de instalación mínima del Servidor
Menor superficie de ataque debido a los pocos componentes
instalados
Delegaciones RemotasDelegaciones
Seguridad
Administración
Read-Only Domain
Controller
Los administradores
se enfrentan a losremotas
siguientes
Desafíos
de las delegaciones
desafíos a la hora de desplegar Controladores de
Dominio en una delegación remota
El DC se coloca en una localización física insegura
El DC tiene una conexión de red poco fiable con el HUB
El personal de la delegación tiene pocos conocimientos opermisos para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o
Los Domain Admins delegan privilegios al personal de la
delegación
Para consolodar la infraestructura de Directorio
Activo, los administradores quisieran eliminar los
DCs de las delegaciones remotas, pero
Los usuarios no podrían iniciar sesion o acceder a
recursos de red si la WAN falla
Read-Only DomainController
Solución segura de Delegación remota
REMEDIOS DEL
RODC
Read-Only Domain Controller
Menor superficie de ataque para los DCs de delegaciones
remotas
Por defecto, no hay contraseñas de usuarios o equipos
almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que
las credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicaciónunidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptográficas propias y distintas
La delegación del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte vía TS al RODC
Los DCs de escritura registran el registro SRV en lugar de los
RODCs para evitar el registro ilegal de nombres enSecure
DNS Appliance D
Los RODCs tienen cuentas deestación de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC
Derechos muy limitados para escribir en el Directorio
Los RODC son totalmente compatibles con Server Core
Read-Only Domain Controller
Modelos de Despliegue
Cuando usarlos
• Precupaciones
en torno a la
seguridad y al
coste de gestión
de los DCs de
las
delegaciones
remotas
• Necesidades
locales de
acceso a
recursos sifalla
la WAN
Cuando no:
• Como
reemplazo de
un DC
tradicional con
Read-Only Domain
Controller
Cuentas de
no cacheadas
(por defecto)
Modelos
Administración
A Favor: Mas seguro, permitiendo además la autenticación
rápida y la aplicación de políticas
recomendados
En Contra: No hay acceso offline para nadie. Se requiere de la
WAN para el inicio de sesión
La mayor parte de las cuentas cacheadas
AFavor: facilidad en la gestión de contraseñas. Para entornos
en los que es más importante la administrabilidad que la
seguridad.
En contra: Más contraseñas expuestas potencialmente por el
RODC
Solo una pocas contraseñas cacheadas
A Favor: Permite el acceso offline de quien lo necesite
realmente, maximizando la seguridad de los demás
En Contra: Requiere una administración granular más fina
Mapearequipos por delegación
Read-Only Domain
Controller Como
Cacheo Funciona
de secretos en el primer inicio de
sesión
1. AS_Req enviado al RODC
(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenvía la petición al DC del Hub
4. El DC del Hub autentica la petición
5. Devuelve la petición de
autenticación y el TGT al RODC
6. El RODC da el TGT al usuario y
encola una peticion de...
Leer documento completo
Regístrate para leer el documento completo.