Fundamentos de LDAP

LDAP (Lightweight Directory Access Protocol) es un protocolo del nivel de aplicación OSI, que implementa una base de datos distribuida con información los objetos de una red (personas, grupos de personas, máquinas, organizaciones, impresoras, documentos, correos electrónicos, recursos compartidos, etc.). Su estructura es jerárquica, como puede verse en la siguiente imagen:

LDAP trabaja conjuntamente con el protocolo DNS para asignar un direccionamiento de red a aquellos elementos de la base de datos que tienen asociada una IP.

Estructura de directorio

En terminología LDAP, la estructura del arbol de directorio se define utilizando el termino DIT (Directory Information Tree) o Árbol de Información del Directorio. La información del DIT se almacena mediante entradas, que son objejos abstractos o reales (personas, objetos materiales, parámetros, etc).

Una entrada está formada por un conjunto de pares clave/valor llamados atributos. Los atributos típicos son:

DCdomainComponent
CNcommonName
OUorganizationalUnitName
OorganizationName
STREETstreetAddress
LlocalityName
STstateOrProvinceName
CcountryName
UIDuserid

El siguiente, es un ejemplo de DIT:

# domain component level dn: dc=mementodb,dc=com objectclass: organization objectclass: dcObject # organization unit level dn: ou=IT, dc=mementodb,dc=com objectclass: organizationalUnit ou: IT dn: ou=SALES, dc=mementodb,dc=com objectclass: organizationalUnit ou: SALES # person level dn: cn=Bob Jones, ou=IT, dc=mementodb,dc=com objectclass: person cn: Bob Jones dn: cn=Paul Hunt, ou=IT, dc=mementodb,dc=com objectclass: person cn: Paul Hunt

Para identificar de manera única una entrada en LDAP, se utiliza su nombre distintivo (DN, Distinguished Name), que se obtiene mediante la ruta completa a través del árbol hasta la entrada. Por ejemplo, el DN del usuario "Paul Hunt" en el contenedor "IT", en el dominio "mementodb.com" es:

cn=Paul Hunt, ou=IT, dc=mementodb,dc=com

Además de los atributos típicos, LDAP usa también el concepto de "objectclass". Un "Object Class" especifica qué atributos (tanto opcionales como obligatorios) se pueden usar para describir una entrada. en https://msdn.microsoft.com/en-us/library/ms680938(v=vs.85).aspx, podemos encontrar los "objectclass" predefinidos en el esquema de Active Directory (el esquema de Active Directory es un conjunto de reglas sobre las clases de objetos).

Cómo se utiliza LDAP

Sobre LDAP se pueden hacer las siguientes operaciones:

  • Crear una nueva entrada.
  • Realizar una consulta.
  • Borrar una entrada existente.
  • Modificar una entrada existente.
  • Hacer operaciones de búsqueda.

La implementación de LDAP de Microsoft

Existen varias implementaciones de LDAP. Una de ellas es la implementación de Microsoft, llamada Active Directory. Mediante Active Directory, un Controlador de Dominio Windows, almacena en una base de datos LDAP información relativa a los objetos que forman parte los sistemas informáticos de una organización, en cuanto a usuarios, grupos de usuarios, ordenadores, recursos compartidos, impresoras, unidades organizativas (como departamentos, por ejemplo), etc.

Active Directory

Active Directory es la implementación de Microsoft del servicio de directorio a partir de Windows 2000 (ya que antes estaban los dominios NT). La función principal que ofrece Active Directory es la de Controlador de Dominio.

Dominios y Controladores de Dominio (DC)

Un Dominio es una colección de objetos relacionados dentro del directorio LDAP que forman un subconjunto administrativo. Normalmente un dominio hace referencia a los objetos que pertenecen a una misma organización, o a una parte de ella.

Para poner nombre a los dominios se utiliza el protocolo DNS. Por este motivo, Active Directory necesita al menos un servidor DNS instalado en la red.

Un Controlador de dominio (domain controller) contiene la base de datos de objetos del directorio para un determinado dominio, incluida la información relativa a la seguridad. Además, será responsable de la autenticación de objetos dentro de su ámbito de control.

Autenticación en un Grupo de trabajo

Cuando trabajamos con máquinas en un grupo de trabajo (no pertenecen a un dominio), la autenticación se realiza mediante el protocolo NTLM, que queda descrito en la siguiente imagen:

La SAM consultada por el servidor, es la SAM local, de modo que la autenticación queda entre el cliente y el servidor.

En una red donde no hay un controlador de dominio, los equipos clientes utilizan este esquema para poder acceder a los recursos de los equipos servidor. Si en la SAM del cliente y el servidor las credenciales del usuario coinciden, el usuario podrá acceder sin tener que volver a identificarse.

Autenticación en Active Directory

En Active Directory se utiliza otro procedimiento, basado en el protocolo Kerberos. El controlador de dominio implementa un servicio llamado KDC (Kerberos Domain Controller), que se encarga de gestionar la autenticación. Cuando se une una máquina a un dominio, se entrega a la máquina una clave exclusiva, llamada Clave Maestra, que se almacena también en el controlador de dominio. Esta clave se utiliza para crear comunicaciones seguras entre el KDC y la máquina. Una vez que se dispone de la clave maestra, el procedimiento de autenticación, queda descrito en las siguientes imágenes.

En Kerberos las comunicaciones entre un cliente y un servidor son siempre cifradas con una clave de sesión. Existe un concepto en Kerberos llamado Ticket. Un ticket es una clave de sesión (que compartirán el cliente y el servidor), cifrada con la clave maestra del servidor. Cuando un usuario trata de acceder a un servidor, el KDC entrega simpre al usuario cliente la clave de sesión, junto con el ticket. De este modo, el servidor, al recibir el ticket, extraerá la clave de sesión, y dará por autenticado al usuario. Además empleará esta clave de sesión para comunicarse de manera segura con el usuario.

Distribución del TGT (Ticket Granting Ticket)

Autenticación al acceder a un servidor del dominio

¿Necesitamos Active Directory?

¿Necesitamos Active Directory? Para saberlo podemos hacernos las siguientes preguntas:

  • ¿Necesito centralizar la administración de los recursos, como impresoras, usuarios o grupos de usuarios?
  • ¿Necesito controlar las cuentas de usuario desde un solo lugar?
  • ¿Tengo aplicaciones que usan Active Directory?
  • Las primeras dos preguntas están relacionadas con "cuantos viajes tenemos que dar", y qué distancia suponen. Si tenemos que movernos contínuamente de servidor en servidor para administrar sus recursos puede convenirnos Active Directory.

NOTA: Muchos clientes piden un controlador de dominio para una red de 6 ordenadores que está ubicada en una o dos habitaciones. Este es un caso de uso innecesario de Active Directory. En este caso nos bastaría con un grupo de trabajo o un dominio tipo NT4.

COMPONENTES DE AD

Los componentes principales de AD son el Almacén de datos, el Esquema y el Catálogo Global.

El Almacén de datos.

El almacén de datos es usado para referirse a la estrctura que contiene la información contenida en AD. El almacén es implementado como un conjunto de archivos ubicados en el sistema de archivos del DC.

El almacén contiene información de AD a todos los niveles, es decir, incluye información sobre los objetos del dominio y sobre las topologías y relaciones de confianza con otros dominios.

El esquema.

El esquema de AD es un conjunto de reglas sobre los tipos de información que pueden almacenarse en AD. El esquema se componen de dos tipos de objetos: atributos y clases.

Un atributo es una pieza de información almacenada en AD. Por ejemplo, Apellido es un atributo. No todos los atributos de un objeto se pueden ver mediante las herramientas adiministrativas. Por ejemplo, el SID (Security IDentifier) es un número asociado a cada usuario, identificando dominio y usuario. Este atributo se puede observar en el registro de Windows pero no lo veremos en las consolas de administración.

Las clases de objeto son grupos de atributos que definen un único tipo de recurso. Uno de los objetos más comunes es la clase "usuario". Usamos la clase de objeto "usuario" como una plantilla para una cuenta de usuario. Cuando creamos una cuenta de usuario, empleamos los atributos definidos para la clase de objeto usuario para definir la nueva cuenta. Una vez creado el objeto, utilizaremos un asistente para rellenar dichos atributos.

El esquema define como se puede usar cada atributo de AD y las propiedades asociadas a dicho atributo. Los atributos son definidos una vez, se pueden usar para cada objeto. Esto permite crear un modelo estandarizado de objeto.

El Catálogo global

El catálogo global es una base de datos que contiene toda la información perteneciente a objetos de todos los dominios en un entorn AD.

Uno de los problemas al trabajar en entornos que contiene varios dominios es que los usuarios en un dominio pueden querer encontrar objetos almacenados en otro dominio. Pero puede que no tengan información clara sobre estos objetos.

El propósito del catálogo global es indexar información almacenada en AD de forma que puede ser más fácil de buscar. El catálogo global se puede distribuir (a petición del administrador) por servidores del entorno AD.

El catálogo global es algo así como un listín telefónico universal. Así que pesa bastante. El administrador buscará un equilibrio entre el número de copias distribuidas y el espacio ocupado. Usar el catálogo global puede reducir el tráfico de red, ya que las preguntas sobre objetos de otros dominios "se quedan en casa".

EMPECEMOS

Antes de comenzar el proceso de instalación de AD, vamos definir una serie de términos con los que nos encontraremos en dicho proceso:

  • Controlador de Dominio: Es un equipo "Windows 2008 Server" con AD instalado que almacena, mantiene y gestiona la base de datos de usuarios y recursos de la red.
  • Nombre de Dominio de una máquina: Son las denominaciones asignadas a los ordenadores de la red, "hosts", y "routers", que equivalen a su dirección IP.
  • Árbol de Dominio: Es el conjunto de dominios formado por el nombre de dominio raíz (por ejemplo "AMETSIS.EDU") y el resto de dominios cuyos nombres constituyen un espacio contiguo con el nombre raíz (por ejemplo si tuviéramos un subdominio "DPTO_LENGUA", se nombraría como "DPTO_LENGUA.AMETSIS.EDU", y formaría un árbol de dominios con el dominio raíz).
  • Bosque de Árboles de Dominios.Es el conjunto de árboles de dominio que no constituyen un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raíz de nombre "SERAGUL.EDU", este nuevo dominio, junto con el anterior "AMETSIS.EDU", formarían el bosque de árboles de dominios).

ASCENDER UN SERVIDOR 2008 SERVER A DC

Antes de seguir, deberías hacer un snapshot de la máquina virtual, llamado "Antes de ser elevado a DC".

Voy a usar el dominio SERAGUL.

  1. Inicio\Ejecutar\"dcpromo"
  2. Tras hacer esto, el sistema comprueba si el servicio de directorio Active Directory está instalado. En caso negativo instala los binarios del servicio. Una vez instalado el servicio, se inicia el asistente de instalación de Servidor de Dominio.
  3. Usar la instalación en Modo avanzado.
  4. En la ventana "Compatibilidad de Sistema Operativo" seguir adelante. (Lectura del documento sobre "Autenticación de clientes en Windows NT4.0 y 2000").
  5. En la ventana "Elegir una configuración de implementación", "Crear un dominio nuevo en un bosque nuevo".
  6. En "Asigne un nombre al dominio raíz del bosque", indica un nombre FQDN del dominio. Por ejemplo, en mi caso usaré seragul.dom (tú puedes elegir el tuyo propio).
  7. Aceptar el nombre NetBIOS propuesto. En mi caso "SERAGUL".
  8. En "Establecer el nivel de funcionalidad del bosque", hay que tener en cuenta con quién se va a entender el DC. Si se va a agregar al dominio otros DC de versiones anteriores (Windows Server 2000 o 2003), habrá que mantener la compatibilidad, a cambio de perder ciertas funcionalidades únicas de 2008. Nosotros elegiremos Windows Server 2008.
  9. En "Opciones adicionales del Controlador de Dominio", seleccionamos DNS. El DC necesita utilizar un servidor DNS, que vamos a instalar en el mismo servidor.
  10. Se nos informa de que tenemos IP dinámica en alguna de nuestras interfaces. Probablemente se refiere a la configuración Ipv6. Debemos asegurarnos de que nuestra configuración ipv4 es estática y que tenemos conectividad. Si es así, podemos hacer clic en "Sí, el equipo usará una dirección IP asignada dinámicamente..."
  11. Lee atentamente la advertencia "No se puede crear una delegación DNS porque la zona primaria autoritativa...". Nos habla de resolución de nombres de nuestro dominio desde fuera (otros dominios). Aun no hemos configurado la zona, y por ello no contamos con un SOA para poder ser autoritativos. Continuamos haciendo clic en Si.
  12. En "Ubicación de la Base de Datos" hacemos clic en Siguiente. En esta ventana se nos informa sobre donde se guardarán:
    • Las bases de datos: Contienen los objetos (que veremos más adelante) de AD y sus propiedades.
    • Los ficheros de registro: Contienen un registro de las actividades del servicio de directorio.
    • El volumen Sysvol: Contiene la información del dominio que se replica al resto de controladores.
  13. Introducimos una contraseña segura, hacemos clic en siguiente.
  14. Una ventana nos muestra un resumen con la configuración elegida. En el MCTS se recomienda hacer una copia de este texto y pegarlo en un fichero de texto. Hacemos clic en siguiente.
  15. El asistente comienza a configurar AD y una vez finalizado, nos propone reiniciar el sistema.

INICIAR SESIÓN EN EL NUEVO DC

Antes de seguir, deberías hacer un snapshot del servidor, llamado "Recién elevado a DC".

Observa que tu DC, es la primera máquina en el dominio. Por ello, en el inicio de sesión se propone al administrador del dominio (a partir de ahora DA) iniciar con el usuario Administrador del Dominio seragul.edu, es decir "SERAGUL\Administrador" (que no es el mismo que el usuario Administrador del equipo).

¿Cómo podemos iniciar sesión en nuestra máquina con el Administrador local de la máquina? La solución es emplear el nombre UNC (Universal Name Convention) del administrador local.

Supongamos que la máquina se llama W20081. En tal caso, el nombre UNC del administrador local, será "W20081\Administrador". Antes de introducir el nombre UNC del administrador local, debemos elegir la opción "Cambiar de usuario", y así en la entrada "Usuario", introducimos "W20081\Administrador" y en la contraseña, la propia del administrador local.

Dicho esto, iniciaremos sesión con el usuario administrador del dominio.

Comprobar la instalación de AD

  1. Inicia sesión con el usuario administrador de dominio.
  2. Inicio Herramientas Administrativas\Visor de eventos.
  3. Desplicaga "Registros de Aplicaciones y Servicios" del panel izquierdo.
  4. Elige "Servicio de Directorio".
  5. Haciendo clic sobre cualquier evento, puedes ver sus detalles. Puedes copiar y pegar en un documento de texto para referencias posteriores.
  6. Puedes filtrar los eventos, haciendo clic derecho sobre "Servicio de Directorio" en el panel izquierdo y seleccionando la opción "Filtrar registro actual". Este filtro no elemina registros, sino que solo restringe los que se muestran.
  7. Para comprobar que AD se ha instalado correctamente, busca eventos relacionados al ID de evento 1000 (Instalación completada de AD) y al evento 1394 (Intento de actualizar la Base de Datos de AD en curso). Comprueba también los mensajes de error.

CONFIGURAR LA INTERACCIÓN DE DNS CON AD

Configurar DNS integrado con AD tiene sus ventajas. Por ejemplo, la replicación de zona pasa a ser algo trivial. AD gestiona la replicación entre los DC de un dominio, y DNS va en el lote.

  1. Inicio\Herramientas Administrativas\DNS
  2. En el nombre del nodo DNS (nombre de la máquina), clic derecho\Propiedades.
  3. Activa la pestaña "Seguridad". Ahora se pueden especificar los usuarios y grupos que tiene acceso para modificar la configuración del servidor DNS. Una vez creemos nuevos usuarios/grupos, podrás añadirlos aquí con los permisos necesarios. Acepta.
  4. Ahora vámonos a las "Zonas de búsqueda directa" en el panel izquierdo, y haz clic derecho sobre el dominio que creaste (en mi caso "seragul.dom") y elige la opción propiedades.
  5. En la pestaña "General" comprueba que el tipo es "Datos almacenados en Active Directory". Si no estuviese esta opción seleccionada, utiliza el botón "Cambiar" en la opción tipo.
  6. En la pestaña "Actualizaciones dinámicas", asegúrate de que está seleccionada la opción "Sólo con seguridad", para que las actualizaciones dinámicas solo sean llevadas a cabo por cuentas y procesos autenticados por AD.
  7. Una actualización dinámica segura se produce por alguna de las siguientes razones:

    • Añadir, borrar o modificar un dirección IP en las propiedades TCP/IP de una de las conexiones de red de un equipo unido al dominio.
    • Un equipo unido al dominio cambia o renueva su IP con un servidor DHCP autorizado en el dominio.
    • Arranque de un equipo unido al dominio.
    • Un servidor miembro es elevado a controlador de dominio.

  8. Una vez más, en la pestaña "Seguridad" puedes asignar permisos para usuarios/grupos sobre esta zona.

UNIR UN CLIENTE WINDOWS A UN DOMINIO AD

Antes de seguir, deberías hacer un snapshot de la máquina que vas a unir al dominio, con el nombre "Antes de ser unido al dominio".

Unir un cliente a un dominio, significa que hacemos a la máquina digna de confianza del DC y que por tanto podrán utilizarse los servicios de directorio desde esta máquina, ya sea para iniciar sesión, o para acceder a algún recurso del dominio. Desde "Sistema" en el panel de control, elegimos "Cambiar nombre". Una vez indiquemos el dominio, nos pedirá una contraseña con los permisos necesarios para unir una máquina nueva al dominio. Utilizaremos la cuenta del DA. Una vez unido el PC al dominio, podemos comprobar que dicha máquina ya ha sido agregada a la base de datos de AD.

Para comprobarlo, sigue los siguientes pasos:

  1. Inicio -> Herramientas Administrativas -> Usuarios y Grupos de Active Directory.
  2. En el panel izquierdo, desplegar el nodo del dominio, y hacer clic sobre la carpeta "Computers". Aquí debe aparecer el nombre de la máquina unida.
  3. Además, si la DNS utilizada por el cliente Windows es la correcta (es decir, la DNS que hemos incluido con el DC), el cliente tratará de actualizar la DNS, y debería aparecer un registro de tipo A en la zona.
  4. Si no aparece, prueba a ejecutar "ipconfig /registerdns". Si no se registra, "ponte en contacto con el Administrador del Dominio"... que casualmente eres tú.

NOTA: En el futuro, cuando conozcamos DHCP, podremos proporcionar dicha configuración mediante DHCP. Para que DHCP puede actuar en un entorno AD, debemos autorizarlo. Para hacer esto, en la consola de administración de DHCP, sobre el nodo servidor\botón derecho\Autorizar. También que debemos configurar el ámbito DHCP Para que actualice DNS.

CREAR UNA CUENTA DE USUARIO DEL DOMINIO

Ahora puedes iniciar una sesión en el dominio utilizando el usuario Administrador del dominio (en mi caso SERAGUL\Administrador). Pero esto solo será necesario en algunos casos en que necesites permisos especiales. Los usuarios no emplearán esta cuenta, así que debemos crear una para cada uno de ellos.

  1. Inicio\Herramientas Administrativas\Usuarios y Grupos de Active Directory.
  2. En el panel izquierdo, desplegar el nodo del dominio, y hacer clic sobre la carpeta "Users". En el panel derecho, hacer clic derecho y elegir "Nuevo usuario".
  3. Completar el nombre completo con apellidos y en la entrada "Nombre de inicio de sesión del usuario", introducir el nombre de usuario. Siguiente.
  4. Añadir una contraseña y seleccionar la opción adecuada. Por ejemplo "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo".

Ahora es posible iniciar una sesión en una máquina del dominio utilizando este usuario.

COMPARTIR CARPETAS EN RED

Cuando se comparte una carpeta en un dominio, hay que tener en cuenta cómo funcionan los permisos en redes Windows.

Si un archivo/carpeta está compartido en red, los permisos efectivos serán resultado de aplicar los más restrictivos por NTFS y SMB. Por ello, al compartir en red, debemos configurar correctamente los permisos de compartición (en la pestaña Compartir), y en los permisos a nivel del sistema de archivos (en la pestaña Seguridad).

A una carpeta o archivo, se le pueden asignar diferentes permisos. Estos permisos aparecen citados en https://technet.microsoft.com/es-es/library/cc732880.aspx

UNIDADES ORGANIZATIVAS

Una Unidad Organizativa es un grupo lógico de objetos AD. Sirve como contenedor dentro del cual se puden crear otros objetos, pero no forman parte del espacio de nombres DNS. Se utilizan solamente con fines de organización del dominio (es decir, hacer la vida del DA más sencilla). Una OU puede contener los siguientes tipos de objetos (y algunos otros):

  • Usuarios
  • Grupos
  • Máquinas
  • Carpetas compartidas
  • Contactos
  • Impresoras
  • Otros Ous

La característica más útil de una OU es que puede contener otros objetos OU, de modo que el DA puede agrupar jerárquicamente los recursos. Otros beneficios de los OU son:

  • Su estructura es flexible y facilmente modificable.
  • Los objetos hijo heredan la configuración de la OU.
  • Se pueden aplicar directivas de grupo (políticas) a una OU.
  • La forma de planificar la jerarquía de Ous depende de la organización. Se puede dar un enfoque en base a roles de departamento, por ejemplo. O en cambio se puede aplicar un enfoque basado en ubicaciones físicas, como es el caso siguiente:

CREAR UNA ESTRUCTURA DE OU'S

  1. Inicio\Herramientas Administrativas\Usuarios y Grupos de Active Directory.
  2. Clic derecho sobre el nombre del dominio local, y elegir Nuevo\Unidad Organizativa.
  3. Aparecerá una ventana. Observa que en su parte superior se indica el contexto (en mi caso seragul.dom) indicando que es una OU de nivel superior (ya que no está dentro de otra OU).
  4. Introduce el nombre de la OU. Por ejemplo "Contabilidad". Desactiva el botón de chequeo "Proteger contenedor contra eliminación accidental". Aceptar.

Para crear otras OU's dentro de la OU "Contabilidad", debes seguir el mismo proceso pero haciendo clic derecho sobre el OU en el que quieres crear el nuevo OU hijo.

ADMINISTRAR OU'S

Me refiero en esta sección a mover, borrar y renombrar OU's. Resulta muy intuitivo ya que todo se consigue a través del menú contextual asociado a la OU correspondiente.

Renombrar OU

Abrir la herramienta administrativa de "Usuarios y Equipos de Active Directory". Localizar la OU a modificar, y hacer clic derecho en él. En el menú contextual, elegir "Renombrar" y modificar el nombre.

Mover OU

Abrir la herramienta administrativa de "Usuarios y Equipos de Active Directory". Localizar la OU a modificar, y hacer clic derecho en él. Elegir la opción "mover", y seleccionar la nueva ubicación en el árbol de la ventana "Mover objeto dentro del contenedor".

Eliminar

El proceso para eliminar una OU es similar a los puntos anteriores. Sin embargo si olvidaste desactivar el botón de chequeo "Proteger OU contra eliminación accidental" obtendrás un error al intentar borrar. Para poder desactivar esta opción una vez creada la OU, debes seguir los siguientes pasos:

  1. Ver Características\avanzadas
  2. Clic derecho sobre la OU y elegir "propiedades".
  3. Abrir la pestaña "Objeto" y desmarcar la casilla.
  4. Ver\Desactivar "Características avanzadas".

CREAR Y ADMINISTRAR OBJETOS EN AD: GRUPOS

Mucha gente se queda con los OU's y no ve necesario crear grupos. Para ilustrar su utilidad vamos a plantear este ejemplo:

El usuario jpeinado pertenece al departamento de contabilidad, y es un auxiliar administrativo. Con esta categoría tiene acceso a 30 recursos compartidos del departamento. Pero jpeinado promociona y pasa a ser administrativo, con lo que ahora tiene permiso de acceso a otros 45 recursos nuevos. Es decir, para cada recurso nuevo al que accede hay que darle permiso. Si en vez de esto contamos con un grupo llamado "Auxiliares administrativos" y otro grupo llamado "Administrativos", a los que se han asignado los permisos adecuados, basta con cambiar a jpeinado de un grupo a otro.

CREAR UN GRUPO

  1. En la herramienta administrativa de usuarios y equipos de AD, hacer clic derecho sobre un OU que hayamos creado previamente (en mi caso, por ejemplo, seragul.dom\contabilidad), y elegimos Nuevo Grupo. Como nombre del grupo\elegimos uno acorde con la funcionalidad del grupo (en mi caso crearé el grupo "auxiliares administrativos".
  2. En el ámbito del grupo, elegimos "global" y en el tipo "Seguridad".
  3. Después debemos editar sus propiedades y agregar los usuarios o grupos que pertenezcan al grupo.

NOTA: En la ventana anterior se mencionan el "tipo de grupo" y el "ámbito del grupo". Su significado es el siguiente:

  • Tipo de grupo:
    • Grupos de seguridad: para asignar derechos y permisos.
    • Grupos de distribución: para uso con el correo electrónico.
  • Ámbito del grupo:
    • Grupos de dominio local: se usan para dar permisos dentro de un solo dominio. Es decir, un recurso compartido (carpeta, impresora) en el dominio, solo puede ser accedido desde el mismo dominio.
    • Grupos globales: se usan para dar permisos dentro del bosque al que pertenece el dominio. Puede incluir otros grupos y cuentas que pertenezcan al mismo dominio en que es creado.
    • Grupos universales: Al igual que los grupos globales, se usan para dar permisos dentro del bosque al que pertenece el dominio. La diferencia está en que se pueden incluir grupos y cuentas de cualquier dominio del bosque.

OBJETOS DE AD

Ya hemos visto anteriormente como crear una cuenta de usuario. En realidad la creación de cualquier objeto sigue el mismo procedimiento. Cambian los parámetros de configuración.

Vamos a publicar en el directorio una carpeta compartida:

  1. Abrimos la herramienta administrativa de usuarios y grupos de AD. Nos ubicamos sobre un OU que hayamos creado anteriormente (en mi caso "seragul.dom\contabilidad\planta1"), y hacemos clic derecho y elegimos "Carpeta compartida".
  2. Indicamos el nombre con el que se compartirá la carpeta en el dominio, así como la ubicación real de la carpeta, especificado en notación UNC. Por ejemplo, podemos llamar "Software" a la carpeta compartida que se encuentra en "\\XP1\softwareoficina". Aceptar.

La pregunta que surge es... Entonces, si no publico una carpeta en AD, ¿No puedo acceder a ella? En realidad no es necesario publicar un recurso compartido en AD. Pero haciéndolo, podremos obtener información sobre él al preguntar al directorio. Comparando con la guia telefónica: el hecho de que un teléfono no aparezca en la guía de teléfono, no me impide llamar a ese número. Pero si no conozco el teléfono y no tengo datos sobre el propietario, no podré encontrarlo en la guía.

MOVER OBJETOS DE AD

Para mover un objeto, el proceso es similar a mover una OU. Sobre el objeto, hacer clic derecho sobre el objeto y seleccionar mover. Finalmente elegir la nueva ubicación en el árbol que se muestra en la ventana "Mover" y aceptar.

BORRAR UN OBJETO DE AD

El borrado de objetos en AD es irreversible. Cada objeto tiene un identificador único, compuesto por:

  • El identificador del dominio, o SID. Por ejemplo, el SID de un dominio podría ser S-1-5-21-1004336348-1177238915-682003 ( ver http://technet.microsoft.com/enus/library/cc778824(WS.10).aspx).
  • El identificador relativo del objeto, o RID. Por ejemplo, 512. Algunos RID son estándar, como el SID del grupo de administradores del dominio (512) o del administrador del dominio (500).

De este modo, el SID del objeto "grupo de administradores" sería S-1-5-21-1004336348-1177238915-682003-512 en el dominio con SID S-1-5-21-1004336348-1177238915-682003.

Cuando el objeto se borra y se vuelve a crear otro con su mismo nombre, su SID cambia (ya que es único para cada objeto) por lo que aunque su nombre coincida, se trata de un objeto diferente. Antes de borrar un objeto, hay que tenerlo muy claro.

Un ejemplo. Si un archivo tiene permiso de acceso para el usuario "jperez", dicho permiso está directamente asociado al SID de "jperez". Si el usuario "jperez" es borrado y vuelto a crear, al tener un SID diferente, no podrá acceder a dichos archivos.

RESETEAR UNA CUENTA DE MÁQUINA

Entre una máquina que se ha unido al dominio y el DC, se emplea una clave (clave maestra) para proteger la comunicación entre la máquina y el DC.

Esta clave cambia cada 30 días. Por ello, si la clave maestra que contiene una máquina y la que se almacena en el DC para esta máquina no coinciden, la máquina es incapaz de comunicarse con el DC, y por tanto es incapaz de acceder al dominio. Para restablecer la comunicación entre la máquina y el DC, se sigue el siguiente procedimiento:

  1. Localizar el objeto "equipo" en el dominio, empleando la herramienta administrativa para usuarios y grupos de AD.
  2. Hacer clic derecho sobre la máquina y seleccionar la opción "restablecer cuenta". Aceptar
  3. Ahora hay que reconectar la máquina al dominio. Para ello iniciamos sesión con una cuenta de administrador local, y unimos a la máquina a un grupo de trabajo de nombre el que queramos. Reiniciamos. A partir de aquí seguimos el proceso explicado en el apartado "Unir un cliente windows a un dominio AD".

Para los siguientes ejercicios se da por hecho que existe un controlador de dominio. Si hiciste snapshots de las máquinas virtuales, tal y como se indica durante el tema, es el momento de que restaures las máquinas a los siguientes momentos:

  • La máquina cliente debe volver al momento previo de unirla al dominio.
  • El controlador de dominio debe volver al momento posterior a ser elevado a controlador de dominio

Después, reinicia cada máquina para que la fecha de ambos equipos esté sincronizada.

Actividad 1. Dando por hecho que ya cuentas con un controlador de dominio, realiza los siguientes apartados:

  1. Crea dos OU's relacionados con funciones de departamento (por ejemplo "Contabilidad" y "Proyectos").
  2. En cada departamento hay dos grupos de empleados. Por ejemplo, en el de Contabilidad estarán los administrativos y los auxiliares administrativos. Del mismo modo en el departamento de Proyectos, podrían estar los directores de proyecto y los técnicos.
    1. Crea un grupo de usuarios para cada grupo de empleados.
    2. Crea un usuario para cada departamento. Por ejemplo, los usuarios "auxiliar", "administrativo", "dproyecto" y "técnico".

Toma una captura del "Administrador de usuarios y equipos de AD" llamada Act1-ad.png, mostrando el contenido de una de las OUs, donde se puedan ver los usuarios y los grupos de usuarios.

Actividad 2. Une un cliente Windows al dominio. Utilizarás esta máquina para representar a los diferentes usuarios. Comprueba que puedes acceder utilizando los diferentes usuarios creados en el ejercicio anterior.

NOTA: Si quieres utilizar más máquinas, ponte de acuerdo con tus compañeros para emplear varias máquinas virtuales como cliente.

Toma una captura llamada Act2.1-ad.png al inicio de sesión en el cliente, con las credenciales introducidas pero sin iniciar sesión. Después, abre "Panel de Control\Sistema y seguridad\Sistema", donde se pueda ver el nombre de la máquina, así como su dominio, y toma una captura llamada Act2.2-ad.png.

Actividad 3. Consulta la DNS del Controlador de Dominio (DC), de forma que se muestre la entrada correspondiente al equipo que uniste en la actividad 2. Toma una captura llamada Act3.1-ad.png. donde se pueda ver la entrada pedida.

Después cambia manualmente la ip de la máquina cliente. Finalmente actualiza la DNS en el servidor, y comprueba que la IP asociada al equipo ha cambiado. Toma una captura llamada Act3.2-ad.png, donde se pueda ver la nueva dirección.

Actividad 4. Existirán varias carpetas compartidas. Aquí tienes un ejemplo. Define tú tus propias carpetas y permisos. Coloca al menos una carpeta en una máquina diferente (así podras comprobar la maravilla de dar permisos a usuarios de dominio).

  Carpetas
 Planif. Proy.
 Proy. A
 ExpedientesSolicitudes
 Depart. Directores de proy.
 RWXRWX
RX
RX
 Técnicos RX RWX - -
 Administrativos - RXRWX
 RWX
 Auxiliares admin.
 --
 -RWX

NOTA: El servidor de archivos puede ser (para esta práctica) el mismo DC, u otra máquina (incluido el cliente). En cualquier caso debes acceder a las carpetas compartidas via red ruta UNC).

Toma una captura llamada Act4-ad.png, donde se muestren los permisos asignados a la carpeta "Solicitudes".