Documento de Diseo
Preparado para:
PNP
Preparado por:
Carlos Moreno - Especialista
Preparado por:
Noem Inga - Especialista
Preparado para: Polica Nacional del Per
Revisiones y Aprobaciones
Page 1
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Tabla de Contenidos
1 Introduccin .......................................................................................................................... 5
Page 2
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
5 Conclusiones........................................................................................................................ 37
Page 3
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Page 4
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
1 Introduccin
La Polica Nacional del Per es una institucin del Estado que tiene por misin garantizar, mantener y
restablecer el orden interno, prestar proteccin y ayuda a las personas y a la comunidad, garantizar el
cumplimiento de las leyes y la seguridad del patrimonio pblico y privado, prevenir, investigar y
combatir la delincuencia, viligar y controlar las fronteras; con el propsito de defender a la sociedad y
a las personas, a fin de permitir su pleno desarrollo, en el marc de una cultura de paz y de respeto a
los derechos humanos.
Page 5
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
El propsito principal de un servicio de Active Directory es el de proveer una gestin centralizada para
la autorizacin y autenticacin de usuarios y estaciones de trabajo dentro de nuestra organizacin.
Una estructura de Active Directory permite a los administradores asignar polticas, dar permisos para
el acceso a recursos de red, distribuir software e inclusive aplicar actualizaciones crticas dentro de la
organizacin.
Active Directory es bsicamente una estructura jerrquica de objetos. Esta estructura jerrquica
incluye el bosque, los dominios del bosque, y las Unidades Organizacionales (OU). Dichos objetos estn
categorizados en tres grupos: recursos (p.e. impresoras), servicios (p.e. correo) y usuarios (cuentas de
usuario y grupos). Las tareas fundamentales de Active Directory son las de proveer informacin acerca
de los objetos, definir como estn organizados, manejar el control de acceso y aplicar polticas de
seguridad sobre ellos. Toda esta informacin es consolidada en una base de datos central la cual puede
soportar millones de estos objetos.
Active Directory de est conformado por una coleccin de dominios. Esta coleccin de dominios, es
conocido como un rbol, el cual est organizado en relaciones de padre-hijo hacia uno o ms
dominios subordinados, o dominios hijos. Un dominio hijo tambin puede ser el padre de uno o ms
dominios hijos, y as sucesivamente. Bajo este contexto, un bosque es la coleccin de uno o ms
rboles. En la siguiente figura se muestra una posible organizacin de dominios de un rbol, el cual
forma parte de un bosque.
Cada dominio define una frontera administrativa y una unidad de replicacin para una coleccin de
objetos. Estos objetos incluyen datos tales como informacin de usuario, recursos de impresora, y
servidores de archivos compartidos. Para proveer administracin delegada de tareas diarias, cada
Page 6
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
dominio puede ser adicionalmente subdividido en contenedores lgicos conocidos como Unidades
Organizacionales (OU).
Dentro de un dominio todos los servidores que mantienen una copia de la informacin del dominio
son conocidos como controladores de dominio. Estos controladores de dominio pueden aceptar
actualizaciones y replicar los cambios hacia otros controladores de dominio del mismo dominio. Para
tener disponible la informacin de un dominio a los usuarios de otros dominios que forman parte del
mismo bosque, un subconjunto de la informacin de todos los objetos de Active Directory es
almacenado y replicado entre controladores de dominio especficos; estos controladores de dominio
se denominan servidores de catlogo global (GC).
El Sistema de Espacio de Nombres de Dominio (DNS) es una parte integral de Active Directory. Cada
dominio de Active Directory registra sus servicios en el DNS y adicionalmente utiliza el DNS para
localizar otros recursos y servicios. Esto significa que el diseo de la arquitectura de Active Directory
debe incluir una arquitectura de DNS.
Las Unidades Organizacionales (OU) son objetos de un dominio de Active Directory, los cuales sirven
como contenedores de otros objetos del mismo dominio; es decir, permite organizar lgicamente
objetos dentro de un dominio. Las OU pueden contener los siguientes objetos: usuarios, grupos de
usuarios, computadoras, impresoras, carpetas compartidas, y otras OU del mismo dominio al que
pertenecen. Cuando existen mltiples dominios dentro del bosque de Active Directory, cada dominio
puede implantar su propia jerarqua de OU.
Existen dos razones principales para utilizar una jerarqua de OU dentro de un Dominio: la primera es
para proveer un modelo de delegacin de tareas administrativas, y la segunda es para proveer una
manera de aplicar directivas sobre usuarios y computadoras. Estas directivas son aplicables al nivel de
OU, y permiten administrar el ambiente operativo de las estaciones o asignar procedimientos de inicio
de sesin o finalizacin de sesin a un grupo de usuarios.
Cuando un usuario inicia una sesin en el dominio, el servicio de cliente de la estacin identifica la
jerarqua de OU definida para la cuenta del computador, as como para la cuenta de usuario que inici
la sesin. Esta jerarqua es luego evaluada para determinar que grupos de directivas (GPO) asociadas
a las OU son aplicables. Debido a esto, es recomendable consolidar los GPO, de manera que minimice
el tiempo necesario para evaluar los GPO que se deben aplicar, tanto por usuario y por la estacin de
trabajo donde se inici la sesin.
Page 7
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
o Crear y borrar objetos de un tipo especifico bajo unidades organizacionales. Los objetos que
pueden actualizar son: usuarios, grupos, o impresoras.
o Actualizar las propiedades de objetos de un tipo especfico. Por ejemplo: es posible delegar
permisos para cambiar las contraseas sobre un objeto.
2.4.1 Qu es un RODC?
Un RODC es un controlador de dominio que contiene particiones de solo lectura de la base de
datos del Directorio Activo. El RODC ha sido diseado principalmente para ser implementado en
localidades remotas con pocos usuarios, pobre seguridad fsica, bajos anchos de banda y poco
conocimiento tcnico por parte de los administradores locales.
Page 8
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Las siguientes caractersticas de los RODCs ayudan a mitigar los problemas arriba mencionados:
o Base de datos del Directorio Activo de Solo Lectura. A excepcin de las contraseas de
usuarios, un RODC contiene todos los objetos y atributos que un controlador de dominio de
escritura tiene. Los clientes, sin embargo, no tienen la capacidad de escribir cambios
directamente en el RODC. Aplicaciones locales que requieran de acceso de lectura al
Directorio Activo obtendrn acceso mediante el RODC, mientras que las aplicaciones LDAP
que requieren ejecutar operaciones de escritura sern referidos a un controlador de dominio
de escritura en un site adyacente.
o Separacin del Rol de Administrador. La separacin del rol de administrador especifica que
cualquier usuario de dominio o del grupo de seguridad puede ser delegado como
administrador local del RODC sin necesidad de asignar permisos sobre el dominio u otros
controladores de dominio a estos usuarios.
o DNS de Solo Lectura. Se podr instalar el servicio de DNS en los RODC. Los RODC sern
capaces de replicar todas las particiones utilizadas por el DNS, por lo que los clientes de las
localidades remotas podrn consultar sobre resolucin de nombres de manera local. Sin
embargo los DNS instalados en los RODC no soportan actualizacin de los clientes
directamente. Esta actualizacin la deber manejar un DNS de escritura en un site adyacente.
Tener en cuenta que existen algunas funciones no disponibles en los RODC que normalmente
utilizan los controladores de dominio de escritura:
o Tener un rol de Operations Master (tambin conocido como roles de FSMO). Debido a que
la naturaleza de los RODC es de solo lectura, estos no pueden escribir informacin en la base
de datos del Directorio Activo, y por consiguiente no puede tener un rol de Operations
Page 9
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Master.
Ser un servidor de Bridgehead. Los servidores de bridgehead estn diseados para replicar
cambios a otros sites. Debido a que los RODC solo tienen replicacin de entrada, ellos no pueden
tener la funcin de bridgehead a otros sites.
Las siguientes graficas muestras como estn estructurados los controladores de domino con
sistema operativo Windows Server 2000/2003 y como la misma red estara despus de la
implementacin de RODCs ejecutando en Windows Server 2008.
o El nivel funcional del bosque deber ser Windows Server 2003. Esto provee un alto nivel de
consistencia de replicacin.
o Como mejor practica no desplegar un RODC en un site que tenga un controlador de dominio
de escritura.
o Ejecutar el comando adprep / rodcprep antes de instalar el primer RODC. Este paso no es
requerido si se est creando un nuevo bosque con solo controladores de dominio en
Windows Server 2008.
Page 10
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
En Active Directory existen cinco roles maestros de operacin FSMO (Flexible Single Master
Operations):
o Schema Master
o Infrastructure Master
El Schema Master y Domain Naming Master son roles a nivel de bosque; esto significa que en el bosque
solamente existe un controlador de dominio con el rol Schema Master y un controlador de dominio
con el rol Domain Naming Master. Por otro lado, los roles: Relative Identifier Master (RID), Primary
Domain Controller (PDC) Emulator, e Infrastructure Master, existen uno por dominio.
Page 11
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Cuando un objeto de un controlador de dominio hace referencia a un objeto que no forma parte
del mismo dominio, a este se le identifica mediante el GUID, el SID y el DN del objeto referenciado.
Si el objeto referenciado se moviera, el GUID no cambia, el SID cambia si el movimiento es entre
dominios, y el DN siempre cambia.
Cuando el Domain Naming Master crea un objeto representando un nuevo dominio, y debe
asegurar que ningn otro objeto o dominio tengan el mismo nombre. El Domain Naming Master
logra esto satisfactoriamente cuando tambin es un Catlogo Global, el cual contiene una rplica
parcial de cada objeto en el bosque.
Cuando una transferencia de roles toma lugar, se actualiza el dueo del rol actual antes de actualizarlo
al deseado nuevo dueo del rol. Si el deseado nuevo dueo del rol falla antes de realizar su
actualizacin, no contendr todava su rol. El deseado nuevo dueo de rol puede obtener el rol de las
siguientes maneras:
o Permitir la replicacin de actualizar el deseado nuevo dueo de rol con el cambio realizado
con el actual dueo de rol. (Esto no requiere ninguna accin de su parte, pero s puede tomar
ms tiempo que repetir el intento de transferencia de rol).
Respecto al respaldo de los Roles Maestros, cuando se realiza un respaldo del controlador de dominio,
tambin se respaldan los roles que tiene. Cuando un controlador de dominio es restaurado desde un
medio de respaldo, los roles tambin son restaurados.
Page 13
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
2.8 Sites
Un SITE de Active Directory es una coleccin de uno o ms segmentos de red TPC/IP, los cuales estn
interconectados utilizando una red de alta velocidad, tpicamente una LAN. Los SITES son
independientes de los dominios, debido a que estn relacionados a la estructura fsica de la red,
mientras que los dominios estn organizados en base a una estructura lgica de la organizacin. Los
SITES son utilizados por las computadoras clientes para encontrar eficientemente recursos de red,
tales como controladores de dominio y servidores de Catlogo Global. Los SITES tambin son utilizados
para proveer a los administradores la habilidad de controlar el trfico de replicacin que se requiere
para definir los lmites de la WAN. Existe poco beneficio de crear un SITE que no contenga por lo menos
un controlador de dominio.
Para poder controlar de manera adecuada el trfico de red, es necesario que los administradores estn
constantemente supervisando los SITES definidos.
Active Directory provee dos tipos de grupos de usuarios: grupos de seguridad y grupos de distribucin.
Los grupos de seguridad son utilizados para asignar o denegar derechos y permisos a grupos de
usuarios y computadoras, de tal manera que puedan tener acceso a los recursos. Un grupo de
seguridad tiene todas las capacidades de un grupo de distribucin. Los grupos de distribucin
solamente pueden ser utilizados para agrupar usuarios en funciones no relacionadas a seguridad, tales
como: listas de correo electrnico. Los grupos de seguridad y distribucin tienen atributos de alcance
(Attribute Scope). El alcance de un grupo determina quien puede ser un miembro del grupo y dnde
puede ser utilizado para brindar permisos a los recursos en el rbol de Active Directory.
o Local Group - Local Groups o Grupos Locales son grupos de seguridad que pueden contener
usuarios y grupos globales desde cualquier dominio del mismo bosque. Los grupos locales
son especficos a una computadora y no son reconocidos en ninguna otra parte del dominio.
Los grupos locales son tpicamente usados para otorgar acceso a recursos en una
computadora especfica.
o Domain Local Group (modo nativo solamente) Un Domain Local Group o Grupo Local de
Dominio puede ser utilizado para otorgar permisos a recursos dentro de su propio dominio.
Un grupo local de dominio puede contener usuarios y grupos globales de cualquier dominio
del bosque, as como tambin puede contener otros grupos locales de dominio de su propio
dominio.
o Domain Global Group Un Domain Global Group o Grupo Global de dominio puede ser
utilizado para otorgar permisos a recursos en cualquier lugar del bosque. Cuando se opera
Page 14
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
en modo Mixto, un grupo global de dominio puede contener usuarios, grupos globales, y
grupos universales de otros dominios del bosque operando en modo nativo. Cuando se
opera en modo nativo, el grupo global de dominio puede tambin contener otros grupos
globales de dominio desde su propio dominio.
Para crear los diferentes grupos en Active Directory, es imprescindible considerar que los
administradores tengan la habilidad de otorgar permisos a los recursos con la menor carga
administrativa, as como de la carga ocasionada por motivos de replicacin. De igual manera, se debe
tener en cuenta el nivel de acceso apropiado para el acceso a los recursos.
Los grupos de Seguridad de Windows Server deben ser utilizados para asignar permisos a los recursos
en vez de otorgar permisos directamente a los usuarios individuales. La estrategia recomendada para
utilizar grupos globales y grupos locales de dominio es poner las cuentas de usuarios en grupos globales
y luego poner los grupos globales en grupos locales de dominio y asignar los permisos a recursos a los
grupos locales de dominio. Los grupos Universales debern ser usados principalmente para permitir el
acceso a los recursos donde tanto los usuarios y recursos se encuentren en mas de un dominio. Esta
estrategia provee mayor flexibilidad y reduce la complejidad de asignar permisos de acceso a los
recursos de la red.
El Catlogo Global mantiene una rplica de cada objeto en un bosque de Windows Server. Para
mantener el tamao de los datos del Catlogo Global a un mnimo, ste contiene una copia completa
de los objetos de su dominio y un subconjunto de los atributos de cada objeto de otros dominios en el
bosque. Los atributos en el catlogo global son las ms frecuentemente usados en operaciones de
bsqueda (tal como el primer nombre y apellido), as como los ms requeridos para localizar una
rplica total de un objeto. Dado uno o ms atributos de un objeto para realizar una bsqueda, el
catlogo global permite a los usuarios y aplicaciones buscar objetos en Active Directory, para lo cual
no necesita conocer en qu dominio en el rbol se encuentra el objeto. La replicacin de Active
Directory automticamente construye el catlogo global luego que un administrador ha designado un
servidor como servidor de catlogo global. Los atributos replicados en el catlogo global incluyen un
conjunto definido por Microsoft. Los Administradores pueden especificar propiedades adicionales
para lograr las necesidades de su instalacin. Por esta razn, el catlogo global tiene un rol crtico en
las operaciones de Active Directory.
Page 15
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
o Reducir el tiempo requerido para inicio de sesin de clientes cuando se opere en modo
nativo.
o Para cada SITE de Active Directory debe haber al menos un servidor de catlogo global.
Para configurar todos los controladores de dominio de servidores de catlogo global, es posible
lograrlo ejecutando un SCRIPT para que realice dichos cambios.
Windows Server incluye el servicio W32Time que es requerido por el protocolo de autenticacin de
Kerberos, para lo cual se aplica el RFC 1361, Simple Network Time Protocol (SNTP). El objetivo del
servicio de tiempo es asegurarse que todas las computadoras utilizando Windows Server dentro de
una corporacin utilicen una hora comn.
El objetivo principal del servicio es mantener los relojes de las computadoras de Microsoft Windows
dentro de un bosque completamente sincronizados con una fuente autoritativa de tiempo, con un
mnimo esfuerzo administrativo.
El servicio de tiempo de Windows utiliza una relacin jerrquica, la cual controla la autoridad y no
permite desviaciones, de tal forma que se asegure la aplicacin de un tiempo nico. En este sentido,
los controladores de dominio que tienen el rol de PDC FSMO en los diferentes dominios de un bosque
deberan ser configurados para sincronizar su reloj con una fuente autoritativa de tiempo. Esta fuente
horaria debera ser un servidor de tiempo habilitado dentro de la empresa o una fuente horaria basada
en Internet.
La sincronizacin de tiempo entre controladores de dominio es una medida de seguridad para evitar
ataques de repeticin de trfico de red. En la poltica de grupo Default Domain Controller Policy se
define que la mxima diferencia de tiempo entre controladores de dominio es de 5 minutos. Si la
diferencia es mayor, se invalidar el ticket de Kerberos para el controlador de dominio desfasado (el
que no contenga el rol de Emulador de PDC).
Page 16
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
El DNS fue originalmente diseado para soportar la bsqueda de nombres en una base de datos
esttica, esto se debi a que inicialmente se esperaba que la frecuencia de cambios fuese baja,
por lo tanto las actualizaciones se realizaban manualmente en un archivo texto. Con la
introduccin de la asignacin automtica de direcciones IP utilizando DHCP, el proceso de
actualizar manualmente los registros de red se torn ineficiente, por lo que se desarroll el
Dynamic DNS definido en el RFC 2136.
La aplicacin del servidor DDNS en Windows Server 2008, est diseado para integrarse con el
Active Directory, donde la principal ventaja es la posibilidad de replicacin multi-master del DDNS,
trayendo como principales beneficios: seguridad incrementada, soporte a caracteres
internacionales, y administracin simplificada de nombres.
El objetivo principal del DDNS en Windows Server 2008, es formar parte de la infraestructura de
nombre de dominio de Active Directory, de tal forma que sea mucho ms rpido ubicar a todos
los equipos de cmputo y servicios que conforman el bosque. De igual manera, ayudar a reducir
las dependencias en archivos HOSTS o de superar los problemas del DNS esttico, para de esta
manera utilizar un enfoque estndar para resolucin de nombres de la industria.
Para implantar DHCP en una empresa, es necesario tener al menos un servidor DHCP, y los
servidores y estaciones que requieran de asignacin automtica de la configuracin TCP/IP, deben
estar configurados como clientes DHCP; en la mayora de los casos, la configuracin de una
estacin de trabajo como un cliente DHCP es muy sencilla. Luego de estar configurado para utilizar
DHCP, la estacin de trabajo automticamente obtendr y actualizar su configuracin TCP/IP
basado en la informacin que recibe desde un servidor DHCP.
Page 17
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Un servidor DHCP mantiene la informacin de configuracin TCP/IP en una base de datos. Esta
base de datos sirve como un repositorio central de todas las direcciones relevantes de TCP/IP
distribuidos por el servidor DHCP.
El objetivo principal del DHCP es simplificar la administracin de direcciones TCP/IP dentro de una
entorno de red. De igual manera, permite asegurar con una alta fiabilidad que los equipos de los
usuarios podrn obtener direcciones TCP/IP en cualquier lugar de la organizacin sin requerir
alguna intervencin administrativa.
Page 18
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
3 Escenario actual
Actualmente la Polica Nacional de Per tiene implementado tres dominios, a continuacin mayor
detalle de los mismos:
Dominio INTRANET.PNP: Este dominio es utilizado para que todos los usuarios inicien sesin en
las estaciones de trabajao, este dominio slo cumple esta funcionalidad.
Dominio REDPNP.ORG: los usuarios de este dominio son utilizados exclusivamente para la
conexin VPN, con la autorizacin correspondiente, se crean usuarios que a travs de un servidor
TMG realizan la conexin VPN.
Dominio PNP.GOB.PE: este dominio contiene cuentas de usuarios que son utilizados
exclusivamente por el correo.
Page 19
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
A continuacin se detalla el diseo lgico de Active Directory Domain Services para la La Polica Nacinal
del Per.
Page 20
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Las estructuras de OUs pueden ser relativamente planas, con pocos niveles de anidamiento y sin
embargo ofrecer una gran funcionalidad debido al uso de grupos de seguridad para filtrar la
aplicacin de polticas de grupo. La estructura de OUs permite una delegacin granular de los
permisos administrativos por medio de la utilizacin de herramientas de gestin nativas de Active
Directory como por ejemplo la herramienta DSACLS (http://technet.microsoft.com/es-
ar/library/cc771151(WS.10).aspx)
Mantener la estructura de OUs consistente y alineada a estndares de nombres dar lugar a una
administracin ms sencilla de la plataforma.
En el modelo planteado para Polica Nacional del Per, las OUs corresponden a Usuarios y PCs
estas a nivel de usuarios est organizado en OUs que comienzan en 00, 01, 02 99, y esto debido
a que los Carnet de los usuarios (Policas) terminan en estos dgitos, es por ello que se los organiz
de esa manera, cabe mencionar que estos usuarios son solo para buzones de correo, ya que inician
sesin con usuarios de otro dominio, y que estn divididos en Unidades PNP y a los cuales se le
aplica las GPO correspondientes. A nivel de computadoras la organizacin a nivel de OUs ser por
divididos por Unidades PNP, esto abarca comisaras, entre otras entidades de la Polica Nacional
del Per.
En el caso que cambien los requerimientos de negocio, ya sea por necesidad de aplicar nuevas
polticas o por necesidades de delegacin, ser posible redisear la estructura de OU para
adecuarla a la nueva realidad, siguiendo los lineamientos propuestos en esta seccin. De manera
adicional, el siguiente enlace proporciona detalle sobre las principales recomendaciones de
Microsoft en cuanto al diseo de OUs: Creating an Organizational Unit Design -
http://technet.microsoft.com/en-us/library/cc770377(WS.10).aspx
o Cuentas de Servicio.- Esta OU alberga cuentas que son destinados a los servicios y/o
aplicaciones que requieren una cuenta de usuario del dominio para ejecutar algn proceso.
Page 21
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
o Cuentas de Usuarios.- Esta OU alberga todas las cuentas de usuarios que son vlidos para el
dominio, adems dentro de la misma se encuentran ms Unidades Organizativas.
00.- Esta OU alberga a todos los usuarios cuyos nmeros de carnet de policas terminan
en 00, cabe mencionar que estos puedes estar ubicados en diferentes ciudades, adems
que se sigue el mismo esquema para los dems policas, es decir, las OUs comienzan en
00, 01, 02, 03 97, 98 y 99.
Usuarios Temp.- Esta OU alberga a todos los usuarios que sern creados por un tiempo
determinado para proveedores o usuarios externos a la Polica Nacional del Per.
o Unidades PNP: Esta OU alberga usuarios creados por dependencias, comisaras y dems
entidades de la Polica Nacional Del Per, por lo que las cuentas no son a usuarios en especial,
si no a las entidades mencionadas. Posee la siguiente estructura:
Direccin General - DIRIGEN.- Esta OU alberga a todos las cuentas creadas para las
entidades que pertenezcan a la Direccin General.
Direccin Nacional de Gestin Institucional PNP.- Esta OU alberga a todas las cuentas
creadas para las entidades que pertenecen a la Direccin Nacional de Gestin
Institucional de la Polica Nacional del Per.
MINITER.- Esta OU alberga a todas las cuentas creadas para las entidades que
pertenecen al Ministerio del Interior.
Usuarios PNP-Pendiente.- Esta OU alberga a todos las cuentas creadas para los usuarios
que se encuentren pendientes por diferentes motivos.
Z-Grupos de Mensajera.- Esta OU alberga a todos los grupos creados para mensajera
de la Polica Nacional del Per.
o Cuentas de Computadoras (Unidades PNP).- Esta OU alberga todas las computadoras que
son vlidos para el dominio y que han iniciado sesin al menos una vez cada 90 das (nmero
de das recomendado). Dentro las Unidades Organizacionales creadas en funcin de las
polticas de grupo aplicadas.
Direccin de Seguridad.- Esta OU alberga todas las computadoras de los usuarios que
pertenecen a la Direccin de Seguridad de la Polica Nacional del Per.
Direccin General PNP.- Esta OU alberga las cuentas de computadoras de los usuarios
que pertenecen a la Direccin General de la Polica Nacional del Per.
Estado Mayor General.- Esta OU alberga todas las computadoras de los usuarios que
pertenecen al Estado Mayor General de la Polica Nacional del Per.
Inspectora General.- Esta OU alberga todas las computadoras de los usuarios que
pertenecen a la Inspectora General de la Polica Nacional del Per.
Interpol Oficina Central Nacional Lima.- Esta OU alberga todas las computadoras de
los usuarios que pertenecen a la Interpol.
NOTA: Cabe mencionar que hay ms departamentos los cuales sern OUs, en el informe
se mencionan los principales. Adems de lo mencionado, las GPO que se aplicarn a las
Page 22
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
OUs, dependern de la evaluacin a las GPO que actualmene se tienen creadas y las
GPO que Softline brinde, en base a esa revisin se asignarn de forma adecuadas las
GPO a las OUs.
o Servidores.- Esta OU alberga todos los servidores que forman parte del dominio.
Page 23
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
o Administrador de dominio
Encargado de la administracin del forest y dominio, de servidores miembro y de las
Workstation. Acceso ilimitado sobre todos los controladores de dominio, servidores
miembros y estaciones de trabajo. Se recomienda que los miembros de este grupo deban
pertenecer al grupo Enterprise Admin.
o Operador de sitio
Encargado de la administracin de servidores miembro y de las Workstation. Acceso ilimitado
sobre los servidores miembros y estaciones de trabajo del pas o regin asignada. Se
recomienda que los miembros de este grupo deban pertenecer al grupo Account Operators.
Estos son los recursos que se consideran mnimos para la correcta administracin del Active
Directory, los mismos podrn incrementarse segn las necesidades y problemticas.
o Administrar las polticas de seguridad del dominio como as tambin las polticas de
controladores de dominio.
o Configurar los parmetros del servicio de directorio, como por ejemplo definir el nivel
funcional del Forest.
Page 24
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
o Cuentas de usuario, que representan las identidades de la gente que utiliza la red.
o Grupos de seguridad, los cuales son utilizados para agregar cuentas con el propsito de
autorizar el acceso a los recursos.
o Atributos especficos para las aplicaciones integradas con Active Directory, como por ejemplo
Microsoft Exchange Server o Microsoft Lync.
o Cuentas de equipo, que representan los equipos y dispositivos que estn unidos a los
dominios en el forest de Active Directory.
o Servidores miembros, estaciones de trabajo y los servicios corriendo sobre los mismos.
En el caso de La Polica Nacional del Per, estas actividades estn asociadas a los Administradores
de Dominio, pero como recomendacin esta actividad debera estar asignada al Administrador de
cuentas y seguridad Global (ver seccin: Roles a desarrollar por el personal de DIRTEL).
En cuanto a la arquitectura de Active Directory Domain Services diseada para La Polica Nacional
del Per, no se tiene relacin de confianza con ningn dominio.
NOTA: Se realizar una relacin de confianza para la migracin de perfiles, la cual ser elimianda
al final de la misma, y que por ello no se considera como una relacin de confianza permanente.
Page 25
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Los cuatro (04) Domain Controller del dominio raz de bosque (o Forest Root Domain) se
encontraran fsicamente en tres Sites, estarn distribuidos con el dominio intranetpnp.pnp, tal
como se muestra en la siguiente tabla:
o Cada Dominio del Forest debe tener como mnimo 02 controladores de dominio, esta
configuracin obedece a mecanismo de tolerancia a fallas y contingencia.
o Para La Polica Nacional del Per los Domain Controller estarn ubicados en los sitios de San
Isidro Ministerio del Interior, Av. Espaa y Av. Arambur. Esto cumple con el enunciado
mencionado en el primer punto.
Con respecto al sistema operativo necesario, estos servidores controladores de dominio contarn
con sistemas operativos Windows Server 2012 Standard. Esta configuracin permite que el
servicio Local Security Authority Subsystem pueda trabajar con memoria superior a 04 GB RAM
y hasta 4TB. Es por eso que los servidores de 64 bits son los recomendados para servicios de Active
Directory Domain Services con gran cantidad de objetos.
Page 26
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
o Schema Master
o Infrastructure Master
El Schema Master y Domain Naming Master son roles a nivel de bosque, esto significa que en el
bosque slo existe un controlador de dominio con el rol Schema Master y un controlador de
dominio con el rol Domain Naming Master. Por otro lado, los roles: Relative Identifier Master
Page 27
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
(RID), Primary Domain Controller (PDC) Emulator, e Infrastructure Master, existen uno por cada
dominio.
Como regla general se deber mantener los roles de operacin (FSMO) en el menor nmero de
controladores de dominio posibles con fin de simplificar el diseo. Para el caso del rol de
Infrastructure Master, este no deber ubicarse en el mismo servidor de Catlogo Global debido a
que no podr identificar correctamente cambios de seguridad de otros dominios. La excepcin es
cuando todos los controladores de dominio son Catlogo Globales o en un bosque nico con un
dominio nico. En estos casos el Infrastructure Master tiene toda la informacin que requiere.
El siguiente cuadro muestra la ubicacin de los roles FSMO en cada dominio de La Polica Nacional
del Per:
NOTA: Los nombres ydirecciones IP de los Domain Controller se encuentran establecidas, por lo
que los nombres que aparecen son tentativos.
Page 28
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Para calcular el mnimo espacio de disco necesario para cada controlador de dominio definido
seguir las siguientes recomendaciones:
Tener tambin en cuenta la necesidad de utilizar discos RAID para los controladores de
dominio principales para mejorar tanto el rendimiento como para utilizar un esquema
tolerante a fallas. De la misma forma tener en cuenta que podr ser necesario separa el sistema
operativo, la paginacin, los archivos de log de transacciones, la base de datos en volmenes
Page 29
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Como recomendacin, para los controladores de dominio utilizar discos de por lo menos 40
GB de espacio en su particin de sistema.
1499 512 MB
500999 1 GB
> 1,000 2 GB
A pesar que la tabla muestra el mnimo necesario, aumentar la memoria mejora el rendimiento
del Directorio Activo. El Directorio Activo normalmente copia su base de datos a memoria. Esto
reduce el acceso a disco y mejora el rendimiento. Tener adicionalmente en cuenta que el
sistema operativo Windows Server 2012 requiere de mnimo 1 GB de memoria para su
correcto funcionamiento, por lo que el valor tomado de la tabla deber adicionarse a este.
Como recomendacin general para sitios de menos de 500 usuarios empezar con un servidor
de un procesador. Para los servidores principales utilizar un servidor con dos procesadores o
Core Duo. Se asume que los controladores de dominio nicamente tienen los servicios de
Directorio Activo y DNS. En caso que se cuenten con aplicaciones adicionales se deber
aumentar la capacidad de procesamiento recomendada.
Muchas redes corporativas cuentan con tarjetas de red de 100 Mbps o 1 Gbps en sus
Page 30
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
servidores. Tpicamente una tarjeta de red es suficiente para manejar todo el trfico de red de
Directorio Activo hacia el servidor.
Utilizar mltiples tarjetas de red en un controlador de dominio puede causar una variedad de
problemas, como fallas en la replicacin y/o autenticacin. En general no es recomendable
contar con mltiples tarjetas de red en los servidores controladores de dominio.
Memoria 08 RAM
Disco 01 Raid 1
Otras consideraciones:
Page 31
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
En cuanto a la arquitectura de Active Directory Domain Services diseada para La Polica Nacional
del Per, se recomienda mantener el modelo actual de resolucin de nombres DNS, en el cual:
o Para un forest de un nico dominio, el servidor DNS primario para los computadores es un
controlador de dominio del bosque, el cual tendr configurado el Forwarder hacia Internet.
En el caso de La Polica Nacional, todos los Domain Controller tendrn el servicio DNS integrado.
El principal que se encuentra en el Site San Isidro Ministerio del Interior, el DC01, tendr la
configuracin de Forwarder para la salida hacia Internet.
Page 32
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
4.3.2 DHCP
Actualmente la Polica Nacional del Per poseen el Servicio de DHCP instalado en el Controlador
de Dominio puma26.intranet.pnp (172.31.1.7), el cual posee diferentes mbitos para las
diferentes entidades de la Polica Nacional del Per.
4.3.3 WINS
Actualmente poseen instalado el servicio de WINS, se encuentra instalado en el servidor
172.31.1.7, el cual solo es utilizado por un nmero menor de usuarios. Para la nueva
implementacin no se contar con la instalacin de este servicio, ya por indicacin de la Polica
Nacional no se deber instalar el servicio de WINS.
Para asegurarse de que se utiliza la hora correcta, el Servicio de hora de Windows utiliza una
relacin jerrquica que controla la autoridad y el servicio no permite bucles. De manera
predeterminada, los equipos basados en Windows utilizan la siguiente jerarqua:
o Todos los equipos de escritorio cliente nominan al controlador de dominio que autentican
como su asociado de hora.
o Todos los servidores miembro siguen el mismo proceso que los clientes.
Page 33
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
El tamao del rea ser determinado por la cantidad de hardware necesitado para el
procesamiento y almacenamiento de la informacin. Los requerimientos de tipo ambiental deben
ser especificados por los diferentes fabricantes de los equipos. Las medidas de seguridad que se
deban tomar, dependern directamente del valor de los activos de informacin, su nivel de
confidencialidad, y los valores requeridos:
o El sitio donde se ubiquen los recursos informticos deben ser fsicamente slidos, y protegido
de accesos no autorizados, factores naturales, usando mecanismos de control, barreras
fsicas, alarmas, barras metlicas, etc.
o Debe existir un rea de recepcin que solo permita la entrada de personal autorizado.
o Todas las salidas de emergencia en el permetro de seguridad deben tener alarmas sonoras
y cierre automtico.
Page 34
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Son configuraciones que estn relacionados a los aspectos de seguridad de las contraseas de los
usuarios, tal como longitud mnima, vigencia mxima, entre otros.
Direccin de Documentos.- Esta poltica no tiene ninguna configuracin, por lo que ser
eliminada.
Directiva de Auditora para AD.- Poltica aplicada a todo el dominio y que ayuda a la
auditora del AD, adems del mensaje de inicio de sesin que se presenta a los usuarios.
Directiva de Grupo 1.- Poltica que define el fondo de pantalla corporativo para la Polica
Nacional del Per.
Directiva de Prueba.- Poltica que bloquea el acceso al Messenger y que adems bloque
el acceso a las propiedades de conexin (para configuracin de la direccin IP).
Limas.- Esta poltica no tiene ninguna configuracin asignada, por lo que ser eliminada.
Nuevo Objeto Directiva de Grupo.- Esta poltica no tiene ninguna configuracin asignada
por lo que ser eliminada.
Pruieba.- Esta poltica no tiene ninguna configuracin asignada, por lo que ser
eliminada.
SUS.- Poltica que configura los servidores Proxy para el acceso a Internet a todos los
usuarios.
Page 35
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
Deshabilitar USB Lectora de CD.- Esta GPO bloquear el acceso USB o de CDs a la
estacin de trabajo, para que se evite que usuarios puedan llevarse informacin
importante en los dispositivos de almacenamiento.
Deshabilitacin de funciones del Panel de Control.- Esta GPO permitir deshabilitar las
opciones del panel del control que el usuario no debe modificar por ningn motivo, esto
incluye la configuracin de la direccin IP, ya que es el problema ms comn con los
usuarios.
NOTAS:
Se muestran diferentes GPO que no tienen configuracin y que no se aplicarn, por lo que sern
eliminadas y quitadas del dominio. Las GPO que queden sern separadas de las GPO que
Softline presente.
Page 36
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per
5 Conclusiones
El presente documento muestra el diseo final luego de la implementacin del Directorio Activo en La
Polica Nacional del Per.
El diseo mostrado lneas arriba cumple con las mejores prcticas recomendadas por Microsoft.
Page 37
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20