Anda di halaman 1dari 38

Diseo de Active Directory

Documento de Diseo

Preparado para:
PNP

martes, 28 de mayo de 2013

Versin 1.0 Final

Preparado por:
Carlos Moreno - Especialista

Preparado por:
Noem Inga - Especialista
Preparado para: Polica Nacional del Per

Hoja de Revisin y Firmas


Historial de Cambios

Fecha Autor Versin Referencia del Cambio

03/04/2013 Carlos Moreno 0.9 Preparacin del documento.

04/04/2013 Noemi Inga 1.0 Revisin del documento.

Revisiones y Aprobaciones

Nombre Versin Aprobada Cargo Fecha Firma

Page 1
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Tabla de Contenidos
1 Introduccin .......................................................................................................................... 5

2 Conceptos de Active Directory ................................................................................................ 6

2.1 Arquitectura de Dominio .............................................................................................................. 6

2.2 Unidades Organizativas ................................................................................................................ 7

2.3 Delegacin de tareas Administrativas en el AD............................................................................ 8

2.4 Read-only Domain Controllers (RODC)......................................................................................... 8

2.4.1 Qu es un RODC? ........................................................................................................... 8

2.4.2 Dnde utilizar el RODC? .............................................................................................. 10

2.4.3 Pre-requisitos de Implementacin ................................................................................ 10

2.5 Roles FSMO................................................................................................................................. 11

2.5.1 Schema Master (uno por bosque) ................................................................................. 11

2.5.2 Domain Naming Master (uno por bosque) ................................................................... 11

2.5.3 RID Master (uno por dominio) ...................................................................................... 11

2.5.4 PDC Emulator (uno por dominio) .................................................................................. 12

2.5.5 Infrastructure Master (uno por dominio)...................................................................... 12

2.6 Distribucin de roles FSMO ........................................................................................................ 12

2.6.1 Infrastructure Master .................................................................................................... 12

2.6.2 Domain Naming Master ................................................................................................ 12

2.7 Integridad de Roles FSMO y Recuperacin ................................................................................ 13

2.7.1 Roles durante el proceso de DCPROMO ....................................................................... 13

2.8 Sites ............................................................................................................................................ 14

2.9 Grupos de usuarios ..................................................................................................................... 14

2.10 Catlogos Globales.................................................................................................................. 15

2.11 Sincronizacin de tiempo........................................................................................................ 16

2.12 Servicios de Infraestructura de Red ........................................................................................ 17

2.12.1 Dynamic Domain Naming System (DDNS) ..................................................................... 17

Page 2
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2.12.2 Dynamic Host Configuration Protocol (DHCP) .............................................................. 17

3 Escenario actual .................................................................................................................. 19

4 Diseo implementado de Active Directory ............................................................................ 20

4.1 Diseo Lgico.............................................................................................................................. 20

4.1.1 Nmero de Bosques y Dominios ................................................................................... 20

4.1.2 Esquema de Unidades Organizativas ............................................................................ 21

4.1.3 Roles a Desarrollar por el Personal de DIRTEL .............................................................. 24

4.1.4 Administracin de Servicio ............................................................................................ 24

4.1.5 Administracin de Datos ............................................................................................... 25

4.1.6 Relaciones de confianza ................................................................................................ 25

4.2 Diseo Fsico ............................................................................................................................... 26

4.2.1 Ubicacin y Nmero de Controladores de Dominio ..................................................... 26

4.2.2 Domain Controller Virtuales .......................................................................................... 27

4.2.3 Ubicacin y Nmero de Catlogos Globales ................................................................. 27

4.2.4 Ubicacin de los Roles de Operations Master (FSMO) ................................................. 27

4.2.5 Diseo de Sitios ............................................................................................................. 28

4.2.6 Hardware y Software para Controladores de Dominio ................................................. 29

4.3 Diseo de Redes ......................................................................................................................... 32

4.3.1 DNS ................................................................................................................................ 32

4.3.2 DHCP .............................................................................................................................. 33

4.3.3 WINS .............................................................................................................................. 33

4.3.4 Windows Timer Service ................................................................................................. 33

4.4 Seguridad Fsica .......................................................................................................................... 34

4.4.1 Seguridad Fsica ............................................................................................................. 34

4.5 Polticas de Grupo ...................................................................................................................... 35

4.5.1 Esquema de GPO ........................................................................................................... 35

5 Conclusiones........................................................................................................................ 37

Page 3
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Page 4
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

1 Introduccin

La Polica Nacional del Per es una institucin del Estado que tiene por misin garantizar, mantener y
restablecer el orden interno, prestar proteccin y ayuda a las personas y a la comunidad, garantizar el
cumplimiento de las leyes y la seguridad del patrimonio pblico y privado, prevenir, investigar y
combatir la delincuencia, viligar y controlar las fronteras; con el propsito de defender a la sociedad y
a las personas, a fin de permitir su pleno desarrollo, en el marc de una cultura de paz y de respeto a
los derechos humanos.

Debido a su crecimiento experimentado e independencia, se hace necesaria una revisin de las


infraestructuras tecnolgicas que soportan los procesos de comunicacin, operacin y de negocio, a
fin de asegurar que el estrato tecnolgico que soporta las operaciones de la Polica Nacional del Per
funcione como un conjunto integrado que permita una gestin centralizada y estandarizada de los
accesos hacia los sistemas e informacin, otorgando adems un nivel de seguridad superior y por ende
una proteccin mayor para los activos y propiedad intelectual. En este sentido, La Polica Nacional
requier el rediseo de su arquitectura de Active Directory, la cual es necesaria para soportar su actual
infraestructura as como para el crecimiento futuro a nivel nacional. Como objetivos principales de
este diseo y restructuracin de Active Directory se tiene: contar con una solucin robusta y escalable
en el tiempo, implementar un conjunto de polticas estndar que simplifiquen la gestin de recursos y
eleven el nivel de seguridad.

El presente documento define el diseo conceptual, lgico y fsico de la infraestructura de Active


Directory necesaria y acorde a los requerimientos solicitados por La Polica Nacional del Per. A su
vez, este documento tambin contiene informacin acerca del concepto de Active Directory, mejores
prcticas de diseo, requerimientos para la migracin e informacin de referencia.

Page 5
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2 Conceptos de Active Directory

El propsito principal de un servicio de Active Directory es el de proveer una gestin centralizada para
la autorizacin y autenticacin de usuarios y estaciones de trabajo dentro de nuestra organizacin.
Una estructura de Active Directory permite a los administradores asignar polticas, dar permisos para
el acceso a recursos de red, distribuir software e inclusive aplicar actualizaciones crticas dentro de la
organizacin.

Active Directory es bsicamente una estructura jerrquica de objetos. Esta estructura jerrquica
incluye el bosque, los dominios del bosque, y las Unidades Organizacionales (OU). Dichos objetos estn
categorizados en tres grupos: recursos (p.e. impresoras), servicios (p.e. correo) y usuarios (cuentas de
usuario y grupos). Las tareas fundamentales de Active Directory son las de proveer informacin acerca
de los objetos, definir como estn organizados, manejar el control de acceso y aplicar polticas de
seguridad sobre ellos. Toda esta informacin es consolidada en una base de datos central la cual puede
soportar millones de estos objetos.

2.1 Arquitectura de Dominio

Active Directory de est conformado por una coleccin de dominios. Esta coleccin de dominios, es
conocido como un rbol, el cual est organizado en relaciones de padre-hijo hacia uno o ms
dominios subordinados, o dominios hijos. Un dominio hijo tambin puede ser el padre de uno o ms
dominios hijos, y as sucesivamente. Bajo este contexto, un bosque es la coleccin de uno o ms
rboles. En la siguiente figura se muestra una posible organizacin de dominios de un rbol, el cual
forma parte de un bosque.

Figura: rbol en Active Directory

Cada dominio define una frontera administrativa y una unidad de replicacin para una coleccin de
objetos. Estos objetos incluyen datos tales como informacin de usuario, recursos de impresora, y
servidores de archivos compartidos. Para proveer administracin delegada de tareas diarias, cada
Page 6
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

dominio puede ser adicionalmente subdividido en contenedores lgicos conocidos como Unidades
Organizacionales (OU).

Dentro de un dominio todos los servidores que mantienen una copia de la informacin del dominio
son conocidos como controladores de dominio. Estos controladores de dominio pueden aceptar
actualizaciones y replicar los cambios hacia otros controladores de dominio del mismo dominio. Para
tener disponible la informacin de un dominio a los usuarios de otros dominios que forman parte del
mismo bosque, un subconjunto de la informacin de todos los objetos de Active Directory es
almacenado y replicado entre controladores de dominio especficos; estos controladores de dominio
se denominan servidores de catlogo global (GC).

El Sistema de Espacio de Nombres de Dominio (DNS) es una parte integral de Active Directory. Cada
dominio de Active Directory registra sus servicios en el DNS y adicionalmente utiliza el DNS para
localizar otros recursos y servicios. Esto significa que el diseo de la arquitectura de Active Directory
debe incluir una arquitectura de DNS.

2.2 Unidades Organizativas

Las Unidades Organizacionales (OU) son objetos de un dominio de Active Directory, los cuales sirven
como contenedores de otros objetos del mismo dominio; es decir, permite organizar lgicamente
objetos dentro de un dominio. Las OU pueden contener los siguientes objetos: usuarios, grupos de
usuarios, computadoras, impresoras, carpetas compartidas, y otras OU del mismo dominio al que
pertenecen. Cuando existen mltiples dominios dentro del bosque de Active Directory, cada dominio
puede implantar su propia jerarqua de OU.

Existen dos razones principales para utilizar una jerarqua de OU dentro de un Dominio: la primera es
para proveer un modelo de delegacin de tareas administrativas, y la segunda es para proveer una
manera de aplicar directivas sobre usuarios y computadoras. Estas directivas son aplicables al nivel de
OU, y permiten administrar el ambiente operativo de las estaciones o asignar procedimientos de inicio
de sesin o finalizacin de sesin a un grupo de usuarios.

Cuando un usuario inicia una sesin en el dominio, el servicio de cliente de la estacin identifica la
jerarqua de OU definida para la cuenta del computador, as como para la cuenta de usuario que inici
la sesin. Esta jerarqua es luego evaluada para determinar que grupos de directivas (GPO) asociadas
a las OU son aplicables. Debido a esto, es recomendable consolidar los GPO, de manera que minimice
el tiempo necesario para evaluar los GPO que se deben aplicar, tanto por usuario y por la estacin de
trabajo donde se inici la sesin.

Page 7
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2.3 Delegacin de tareas Administrativas en el AD

Delegacin es la habilidad para asignar responsabilidades de administracin a usuarios o grupos de


usuarios sobre parte o todos los objetos de Active Directory. De esta manera, es posible reducir o
eliminar la capacidad innecesaria de delegar tareas administrativas sobre todo el dominio. En este
sentido, es posible definir niveles de administracin sobre un dominio o sobre una o todas las unidades
organizacionales de un dominio.

Algunas tareas administrativas que pueden delegarse son:

o Cambiar las propiedades de un contenedor especfico.

o Crear y borrar objetos de un tipo especifico bajo unidades organizacionales. Los objetos que
pueden actualizar son: usuarios, grupos, o impresoras.

o Actualizar las propiedades de objetos de un tipo especfico. Por ejemplo: es posible delegar
permisos para cambiar las contraseas sobre un objeto.

2.4 Read-only Domain Controllers (RODC)

2.4.1 Qu es un RODC?
Un RODC es un controlador de dominio que contiene particiones de solo lectura de la base de
datos del Directorio Activo. El RODC ha sido diseado principalmente para ser implementado en
localidades remotas con pocos usuarios, pobre seguridad fsica, bajos anchos de banda y poco
conocimiento tcnico por parte de los administradores locales.

Figura: Read-only Domain Controller

Page 8
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Las siguientes caractersticas de los RODCs ayudan a mitigar los problemas arriba mencionados:

o Base de datos del Directorio Activo de Solo Lectura. A excepcin de las contraseas de
usuarios, un RODC contiene todos los objetos y atributos que un controlador de dominio de
escritura tiene. Los clientes, sin embargo, no tienen la capacidad de escribir cambios
directamente en el RODC. Aplicaciones locales que requieran de acceso de lectura al
Directorio Activo obtendrn acceso mediante el RODC, mientras que las aplicaciones LDAP
que requieren ejecutar operaciones de escritura sern referidos a un controlador de dominio
de escritura en un site adyacente.

o Filtrado de Atributos. Algunas aplicaciones que utilizan AD DS para almacenar datos de


credenciales (como contraseas y llaves de encriptacin) que no se deseen guardar en los
RODC, en caso estos sean robados o comprometidos, pueden utilizar el filtrado de atributos
para prevenir que esta informacin sea replicada a los RODC del bosque.

o Replicacin Unidireccional. Al no haber datos escritos directamente en los RODC, los


controladores de dominio de escritura no tienen que tomar informacin de cambios desde
los RODC. Esto quiere decir que cualquier cambio o corrupcin ocasionada por un usuario
malicioso en una localidad remota no ser replicado desde los RODC al resto del bosque.
Adems de un mejor manejo del ancho de banda puesto que la replicacin ser
unidireccional en lugar de bidireccional.

o Cache de Credenciales. Esta funcionalidad almacena las credenciales de usuarios y


computadoras en los RODC. Estas credenciales consisten en un pequeo grupo de
aproximadamente diez (10) contraseas que estn asociadas a personal de seguridad. Por
defecto los RODC no almacenan credenciales de usuario o computador. El administrador
deber explcitamente que algunas credenciales sean almacenadas en cache en los RODC.
Esto hace que la potencial exposicin de credenciales en caso de robo sea limitada a las
almacenadas en cache.

o Separacin del Rol de Administrador. La separacin del rol de administrador especifica que
cualquier usuario de dominio o del grupo de seguridad puede ser delegado como
administrador local del RODC sin necesidad de asignar permisos sobre el dominio u otros
controladores de dominio a estos usuarios.

o DNS de Solo Lectura. Se podr instalar el servicio de DNS en los RODC. Los RODC sern
capaces de replicar todas las particiones utilizadas por el DNS, por lo que los clientes de las
localidades remotas podrn consultar sobre resolucin de nombres de manera local. Sin
embargo los DNS instalados en los RODC no soportan actualizacin de los clientes
directamente. Esta actualizacin la deber manejar un DNS de escritura en un site adyacente.

Tener en cuenta que existen algunas funciones no disponibles en los RODC que normalmente
utilizan los controladores de dominio de escritura:

o Tener un rol de Operations Master (tambin conocido como roles de FSMO). Debido a que
la naturaleza de los RODC es de solo lectura, estos no pueden escribir informacin en la base
de datos del Directorio Activo, y por consiguiente no puede tener un rol de Operations
Page 9
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Master.

Ser un servidor de Bridgehead. Los servidores de bridgehead estn diseados para replicar
cambios a otros sites. Debido a que los RODC solo tienen replicacin de entrada, ellos no pueden
tener la funcin de bridgehead a otros sites.

2.4.2 Dnde utilizar el RODC?


Como regla general, RODCs deben ser implementados en localidades remotas, extranet, o en
cualquier localidad en donde un controlador de domino sea necesario principalmente para
soportar una aplicacin que requiere acceso al directorio. Los RODCs han sido diseados para ser
implementados en localidades que requieran un servicio de autenticacin rpido, confiable y
robusto. Sin embargo el factor de seguridad local es determinante para tomar la decisin de
instalar un RODC o un controlador de dominio de escritura.

Las siguientes graficas muestras como estn estructurados los controladores de domino con
sistema operativo Windows Server 2000/2003 y como la misma red estara despus de la
implementacin de RODCs ejecutando en Windows Server 2008.

2.4.3 Pre-requisitos de Implementacin


Los servidores debern cumplir con los siguientes pre-requisitos para el despliegue de RODC:

o El nivel funcional del bosque deber ser Windows Server 2003. Esto provee un alto nivel de
consistencia de replicacin.

o Se deber desplegar al menos un controlador de dominio de escritura sobre Windows Server


2008 en el mismo dominio del RODC. Esto provee al RODC un partner de replicacin.

o Como mejor practica no desplegar un RODC en un site que tenga un controlador de dominio
de escritura.

o Ejecutar el comando adprep / rodcprep antes de instalar el primer RODC. Este paso no es
requerido si se est creando un nuevo bosque con solo controladores de dominio en
Windows Server 2008.

Page 10
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2.5 Roles FSMO

En Active Directory existen cinco roles maestros de operacin FSMO (Flexible Single Master
Operations):

o Schema Master

o Domain Naming Master

o Relative Identifier Master (RID)

o Primary Domain Controller (PDC) Emulator

o Infrastructure Master

El Schema Master y Domain Naming Master son roles a nivel de bosque; esto significa que en el bosque
solamente existe un controlador de dominio con el rol Schema Master y un controlador de dominio
con el rol Domain Naming Master. Por otro lado, los roles: Relative Identifier Master (RID), Primary
Domain Controller (PDC) Emulator, e Infrastructure Master, existen uno por dominio.

2.5.1 Schema Master (uno por bosque)


El controlador de dominio que tiene el rol de Schema Master es el nico controlador de dominio
que puede ejecutar operaciones de actualizacin del esquema del directorio. Cualquier
actualizacin del esquema es replicada desde el Schema Master hacia todos los controladores de
dominio del bosque.

2.5.2 Domain Naming Master (uno por bosque)


El controlador de dominio que tiene el rol de Domain Naming Master, es el nico que puede
agregar o retirar dominios del bosque. Es decir, cualquier peticin para agregar o retirar dominios,
ser solicitado al controlador de dominio que tenga este rol.

2.5.3 RID Master (uno por dominio)


Con Active Directory, es posible agregar y eliminar usuarios y computadoras desde cualquier
controlador de dominio; esto permite que la respuesta del controlador de dominio sea rpida,
pues no es necesario solicitarlo a un controlado de dominio primario (PDC). Para lograr esto, es
necesario que cada controlador de dominio tenga un conjunto de identificadores de usuarios y
computadoras (SID), los cuales despus de haber creado cientos de estos objetos podran no
contar con SIDs disponibles para continuar creando objetos, y en caso de que los controladores
de dominio requieran crear mas objetos, deben comunicarse con el controlador de dominio que
contiene el rol RID Master del dominio. Si el controlador de dominio no dispone de identificadores
(SID), y el RID Master no est disponible, no es posible crear nuevos objetos de seguridad en ese
controlador de dominio.

Page 11
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2.5.4 PDC Emulator (uno por dominio)


El controlador de dominio que tiene el rol de PDC Emulator, provee compatibilidad con los BDC
de Windows NT (cuando se opera en modo Mixto). El PDC Emulator tambin provee
sincronizacin de tiempo y control del parmetro de configuracin: Password Latency. Debido a
que con Active Directory se puede realizar un cambio a la contrasea de una cuenta de seguridad
en cualquier controlador de dominio, esto puede traer consigo un problema de latencia de
replicacin, es decir, la replicacin podra demorar, por lo tanto la contrasea no sera consistente
en el dominio, y el usuario tendra problemas para iniciar una sesin. Para solucionar esto,
cualquier cambio de contrasea se actualiza directamente en el PDC Emulator. En este sentido, si
la autenticacin falla en un controlador de dominio, el requerimiento de autenticacin es enviado
de manera inmediata al PDC Emulator, el cual tiene la contrasea actual. La replicacin urgente
de cambios de clave secretas al PDC Emulator ocurre de manera inmediata sin tomar en cuenta
el cronograma de replicacin entre Sitios en los Site Links.

2.5.5 Infrastructure Master (uno por dominio)


El controlador de dominio que tiene el rol de Infrastructure Master en un dominio es responsable
de actualizar las referencias de grupo-a-usuarios (entre dominios) para reflejar el nombre del
nuevo usuario. El Infrastructure Master actualiza estas referencias localmente y utiliza la
replicacin para asegurar que todas las otras rplicas del dominio se actualicen. Si el rol de
Infrastructure Master no est disponible, estas actualizaciones sern postergadas.

2.6 Distribucin de roles FSMO

2.6.1 Infrastructure Master


El Infrastructure Master no debe ser un servidor de Catlogo Global en un bosque de dominio
mltiple.

Cuando un objeto de un controlador de dominio hace referencia a un objeto que no forma parte
del mismo dominio, a este se le identifica mediante el GUID, el SID y el DN del objeto referenciado.
Si el objeto referenciado se moviera, el GUID no cambia, el SID cambia si el movimiento es entre
dominios, y el DN siempre cambia.

El Infrastructure Master para un dominio examina peridicamente dentro de su rplica las


referencias de los datos de directorio hacia los objetos no contenidos en el mismo dominio. Las
bsquedas de un objeto se realizan en un Catlogo Global mediante el DN y SID de cada objeto
referenciado. Si esta informacin ha cambiado, el Infrastructure Master realiza el cambio en su
rplica local, para luego replicar los nuevos valores hacia el resto de controladores de dominio del
mismo dominio.

2.6.2 Domain Naming Master


El Domain Naming Master debe ser un servidor de catlogo global.
Page 12
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Cuando el Domain Naming Master crea un objeto representando un nuevo dominio, y debe
asegurar que ningn otro objeto o dominio tengan el mismo nombre. El Domain Naming Master
logra esto satisfactoriamente cuando tambin es un Catlogo Global, el cual contiene una rplica
parcial de cada objeto en el bosque.

2.7 Integridad de Roles FSMO y Recuperacin

Cuando una transferencia de roles toma lugar, se actualiza el dueo del rol actual antes de actualizarlo
al deseado nuevo dueo del rol. Si el deseado nuevo dueo del rol falla antes de realizar su
actualizacin, no contendr todava su rol. El deseado nuevo dueo de rol puede obtener el rol de las
siguientes maneras:

o Tpicamente, se debe repetir el intento de transferencia de rol.

o Permitir la replicacin de actualizar el deseado nuevo dueo de rol con el cambio realizado
con el actual dueo de rol. (Esto no requiere ninguna accin de su parte, pero s puede tomar
ms tiempo que repetir el intento de transferencia de rol).

Respecto al respaldo de los Roles Maestros, cuando se realiza un respaldo del controlador de dominio,
tambin se respaldan los roles que tiene. Cuando un controlador de dominio es restaurado desde un
medio de respaldo, los roles tambin son restaurados.

2.7.1 Roles durante el proceso de DCPROMO


o Cuando se elimina Active Directory del controlador de dominio que es dueo de los roles
maestros de operacin, el controlador de dominio intenta abandonar sus roles. Para cada
rol que el controlador de dominio contiene, localiza otro controlador de dominio disponible
para el rol y transfiere el rol hacia ste. Si otro controlador de dominio no est disponible
durante el proceso de DCPROMO, el proceso no ser exitoso.

o No se debe depender de la transferencia cuando elimina Active Directory de un controlador


de dominio. En cambio, se debe transferir cualquier rol antes de empezar el proceso de
eliminacin de tal forma que el reemplazo del rol est como debe ser.

Page 13
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2.8 Sites

Un SITE de Active Directory es una coleccin de uno o ms segmentos de red TPC/IP, los cuales estn
interconectados utilizando una red de alta velocidad, tpicamente una LAN. Los SITES son
independientes de los dominios, debido a que estn relacionados a la estructura fsica de la red,
mientras que los dominios estn organizados en base a una estructura lgica de la organizacin. Los
SITES son utilizados por las computadoras clientes para encontrar eficientemente recursos de red,
tales como controladores de dominio y servidores de Catlogo Global. Los SITES tambin son utilizados
para proveer a los administradores la habilidad de controlar el trfico de replicacin que se requiere
para definir los lmites de la WAN. Existe poco beneficio de crear un SITE que no contenga por lo menos
un controlador de dominio.

La definicin de SITES debera estar enfocada a minimizar el esfuerzo administrativo relacionado a la


topologa de redes de Windows Server. De preferencia, se deberan definir SITES adicionales para
segmentos de red con enlaces de baja velocidad, de tal forma que se pueda especificar un esquema
de comunicacin contra estos SITES, tales como un esquema de replicacin programada.

Para poder controlar de manera adecuada el trfico de red, es necesario que los administradores estn
constantemente supervisando los SITES definidos.

2.9 Grupos de usuarios

Active Directory provee dos tipos de grupos de usuarios: grupos de seguridad y grupos de distribucin.
Los grupos de seguridad son utilizados para asignar o denegar derechos y permisos a grupos de
usuarios y computadoras, de tal manera que puedan tener acceso a los recursos. Un grupo de
seguridad tiene todas las capacidades de un grupo de distribucin. Los grupos de distribucin
solamente pueden ser utilizados para agrupar usuarios en funciones no relacionadas a seguridad, tales
como: listas de correo electrnico. Los grupos de seguridad y distribucin tienen atributos de alcance
(Attribute Scope). El alcance de un grupo determina quien puede ser un miembro del grupo y dnde
puede ser utilizado para brindar permisos a los recursos en el rbol de Active Directory.

o Local Group - Local Groups o Grupos Locales son grupos de seguridad que pueden contener
usuarios y grupos globales desde cualquier dominio del mismo bosque. Los grupos locales
son especficos a una computadora y no son reconocidos en ninguna otra parte del dominio.
Los grupos locales son tpicamente usados para otorgar acceso a recursos en una
computadora especfica.

o Domain Local Group (modo nativo solamente) Un Domain Local Group o Grupo Local de
Dominio puede ser utilizado para otorgar permisos a recursos dentro de su propio dominio.
Un grupo local de dominio puede contener usuarios y grupos globales de cualquier dominio
del bosque, as como tambin puede contener otros grupos locales de dominio de su propio
dominio.

o Domain Global Group Un Domain Global Group o Grupo Global de dominio puede ser
utilizado para otorgar permisos a recursos en cualquier lugar del bosque. Cuando se opera

Page 14
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

en modo Mixto, un grupo global de dominio puede contener usuarios, grupos globales, y
grupos universales de otros dominios del bosque operando en modo nativo. Cuando se
opera en modo nativo, el grupo global de dominio puede tambin contener otros grupos
globales de dominio desde su propio dominio.

o Universal Group (modo nativo solamente) Un Universal Group o Grupo Universal es la


forma ms simple de grupo. Los Grupos Universales pueden ser utilizar para otorgar
permisos a recursos en cualquier parte del bosque, y puede contener otros grupos
universales, grupos globales, y usuarios de cualquier parte del bosque. Los miembros del
grupo Universal son mantenidos en el catlogo global. Se debe limitar los miembros del
Grupo Universal a otros grupos locales o grupos globales, en vez de cuentas de usuarios. Esto
reducira la cantidad de trfico de replicacin que el catlogo global incurrira debido a que
los miembros de estos otros grupos se mantendran dentro de cada Active Directory de
dominio.

Para crear los diferentes grupos en Active Directory, es imprescindible considerar que los
administradores tengan la habilidad de otorgar permisos a los recursos con la menor carga
administrativa, as como de la carga ocasionada por motivos de replicacin. De igual manera, se debe
tener en cuenta el nivel de acceso apropiado para el acceso a los recursos.

Los grupos de Seguridad de Windows Server deben ser utilizados para asignar permisos a los recursos
en vez de otorgar permisos directamente a los usuarios individuales. La estrategia recomendada para
utilizar grupos globales y grupos locales de dominio es poner las cuentas de usuarios en grupos globales
y luego poner los grupos globales en grupos locales de dominio y asignar los permisos a recursos a los
grupos locales de dominio. Los grupos Universales debern ser usados principalmente para permitir el
acceso a los recursos donde tanto los usuarios y recursos se encuentren en mas de un dominio. Esta
estrategia provee mayor flexibilidad y reduce la complejidad de asignar permisos de acceso a los
recursos de la red.

2.10 Catlogos Globales

El Catlogo Global mantiene una rplica de cada objeto en un bosque de Windows Server. Para
mantener el tamao de los datos del Catlogo Global a un mnimo, ste contiene una copia completa
de los objetos de su dominio y un subconjunto de los atributos de cada objeto de otros dominios en el
bosque. Los atributos en el catlogo global son las ms frecuentemente usados en operaciones de
bsqueda (tal como el primer nombre y apellido), as como los ms requeridos para localizar una
rplica total de un objeto. Dado uno o ms atributos de un objeto para realizar una bsqueda, el
catlogo global permite a los usuarios y aplicaciones buscar objetos en Active Directory, para lo cual
no necesita conocer en qu dominio en el rbol se encuentra el objeto. La replicacin de Active
Directory automticamente construye el catlogo global luego que un administrador ha designado un
servidor como servidor de catlogo global. Los atributos replicados en el catlogo global incluyen un
conjunto definido por Microsoft. Los Administradores pueden especificar propiedades adicionales
para lograr las necesidades de su instalacin. Por esta razn, el catlogo global tiene un rol crtico en
las operaciones de Active Directory.
Page 15
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Los objetivos principales del Catalogo Global son:

o Reducir el tiempo requerido para encontrar informacin acerca de usuarios y recursos en


cualquier lugar de la red.

o Reducir el tiempo requerido para inicio de sesin de clientes cuando se opere en modo
nativo.

Algunas de las consideraciones que se deben tener son:

o Para cada SITE de Active Directory debe haber al menos un servidor de catlogo global.

o Si el inicio de sesin de cliente es lento, es necesario tener ms de un catalogo global en cada


SITE.

o Si las bsquedas son criticas y el tiempo de respuesta es lento, es necesario tener ms de un


catalogo global en cada SITE.

Para configurar todos los controladores de dominio de servidores de catlogo global, es posible
lograrlo ejecutando un SCRIPT para que realice dichos cambios.

2.11 Sincronizacin de tiempo

Windows Server incluye el servicio W32Time que es requerido por el protocolo de autenticacin de
Kerberos, para lo cual se aplica el RFC 1361, Simple Network Time Protocol (SNTP). El objetivo del
servicio de tiempo es asegurarse que todas las computadoras utilizando Windows Server dentro de
una corporacin utilicen una hora comn.

El objetivo principal del servicio es mantener los relojes de las computadoras de Microsoft Windows
dentro de un bosque completamente sincronizados con una fuente autoritativa de tiempo, con un
mnimo esfuerzo administrativo.

El servicio de tiempo de Windows utiliza una relacin jerrquica, la cual controla la autoridad y no
permite desviaciones, de tal forma que se asegure la aplicacin de un tiempo nico. En este sentido,
los controladores de dominio que tienen el rol de PDC FSMO en los diferentes dominios de un bosque
deberan ser configurados para sincronizar su reloj con una fuente autoritativa de tiempo. Esta fuente
horaria debera ser un servidor de tiempo habilitado dentro de la empresa o una fuente horaria basada
en Internet.

La sincronizacin de tiempo entre controladores de dominio es una medida de seguridad para evitar
ataques de repeticin de trfico de red. En la poltica de grupo Default Domain Controller Policy se
define que la mxima diferencia de tiempo entre controladores de dominio es de 5 minutos. Si la
diferencia es mayor, se invalidar el ticket de Kerberos para el controlador de dominio desfasado (el
que no contenga el rol de Emulador de PDC).

Page 16
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

2.12 Servicios de Infraestructura de Red

2.12.1 Dynamic Domain Naming System (DDNS)


El Domain Name System (DNS) es el sistema de nombres de facto para redes basados en TCP/IP.
Su principal rol es el traducir nombres FQDN de las computadoras hacia direcciones de TCP/IP.
Todos los dominios son identificados por un nombre de dominio FQDN. El Active Directory utiliza
el DNS como el servicio localizador, el cual permite a los usuarios y sistemas ubicar recursos en la
red.

El DNS fue originalmente diseado para soportar la bsqueda de nombres en una base de datos
esttica, esto se debi a que inicialmente se esperaba que la frecuencia de cambios fuese baja,
por lo tanto las actualizaciones se realizaban manualmente en un archivo texto. Con la
introduccin de la asignacin automtica de direcciones IP utilizando DHCP, el proceso de
actualizar manualmente los registros de red se torn ineficiente, por lo que se desarroll el
Dynamic DNS definido en el RFC 2136.

La aplicacin del servidor DDNS en Windows Server 2008, est diseado para integrarse con el
Active Directory, donde la principal ventaja es la posibilidad de replicacin multi-master del DDNS,
trayendo como principales beneficios: seguridad incrementada, soporte a caracteres
internacionales, y administracin simplificada de nombres.

El objetivo principal del DDNS en Windows Server 2008, es formar parte de la infraestructura de
nombre de dominio de Active Directory, de tal forma que sea mucho ms rpido ubicar a todos
los equipos de cmputo y servicios que conforman el bosque. De igual manera, ayudar a reducir
las dependencias en archivos HOSTS o de superar los problemas del DNS esttico, para de esta
manera utilizar un enfoque estndar para resolucin de nombres de la industria.

2.12.2 Dynamic Host Configuration Protocol (DHCP)


El Dynamic Host Configuration Protocol (DHCP) fue diseado para reducir la carga administrativa
de asignacin de direcciones TCP/IP en estaciones de trabajo dentro de nuestra organizacin. El
uso de DHCP permite que los administradores de red puedan administrar de manera centralizada
la asignacin de direcciones TCP/IP, as como definir configuraciones TCP/IP en cada computadora
sin necesidad de hacerlo individualmente de forma manual.

Para implantar DHCP en una empresa, es necesario tener al menos un servidor DHCP, y los
servidores y estaciones que requieran de asignacin automtica de la configuracin TCP/IP, deben
estar configurados como clientes DHCP; en la mayora de los casos, la configuracin de una
estacin de trabajo como un cliente DHCP es muy sencilla. Luego de estar configurado para utilizar
DHCP, la estacin de trabajo automticamente obtendr y actualizar su configuracin TCP/IP
basado en la informacin que recibe desde un servidor DHCP.

Page 17
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Un servidor DHCP mantiene la informacin de configuracin TCP/IP en una base de datos. Esta
base de datos sirve como un repositorio central de todas las direcciones relevantes de TCP/IP
distribuidos por el servidor DHCP.

El objetivo principal del DHCP es simplificar la administracin de direcciones TCP/IP dentro de una
entorno de red. De igual manera, permite asegurar con una alta fiabilidad que los equipos de los
usuarios podrn obtener direcciones TCP/IP en cualquier lugar de la organizacin sin requerir
alguna intervencin administrativa.

Page 18
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

3 Escenario actual

Actualmente la Polica Nacional de Per tiene implementado tres dominios, a continuacin mayor
detalle de los mismos:

Dominio INTRANET.PNP: Este dominio es utilizado para que todos los usuarios inicien sesin en
las estaciones de trabajao, este dominio slo cumple esta funcionalidad.
Dominio REDPNP.ORG: los usuarios de este dominio son utilizados exclusivamente para la
conexin VPN, con la autorizacin correspondiente, se crean usuarios que a travs de un servidor
TMG realizan la conexin VPN.
Dominio PNP.GOB.PE: este dominio contiene cuentas de usuarios que son utilizados
exclusivamente por el correo.

Page 19
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4 Diseo implementado de Active Directory

4.1 Diseo Lgico

A continuacin se detalla el diseo lgico de Active Directory Domain Services para la La Polica Nacinal
del Per.

4.1.1 Nmero de Bosques y Dominios


Basados en los requerimientos expresados por La Polica Nacional del Per, se implementar una
arquitectura de Active Directory con nico bosque y un dominio (intranetpnp.pnp). Los objetos
(usuarios, grupos y pc) de los dominio PNP.GOB.PE, REDPNP.PNP e INTRANET.PNP pertenecern
al domino nuevo dominio. El detalle de este diseo se muestra en la siguiente tabla:

Bosque Dominios Comentarios

Intranetpnp.pnp Intranetpnp.pnp Dominio raz

Tabla: Nmero de bosques y dominios

Page 20
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.1.2 Esquema de Unidades Organizativas


Las unidades organizacionales (OUs) son creadas con propsitos especficos de delegacin de la
administracin y aplicacin de polticas de grupo. La estructura de unidades organizacionales
(OUs) de Active Directory es el aspecto ms flexible del servicio de directorio. Las OUs son
comnmente errneamente utilizadas en las implementaciones de Active Directory o son
implementadas de una manera no optimizada. Las OUs deben existir para cumplir principalmente
dos funciones primordiales: La aplicacin de polticas de grupo a objetos del directorio y proveer
delegacin administrativa de los recursos. Las OUs generadas con otros propsitos tales como
modelar el organigrama de la organizacin o la implementacin de sucursales, tienden a agregar
niveles de complejidad en la correcta administracin del servicio de directorio sin valor agregado
para la administracin.

Las estructuras de OUs pueden ser relativamente planas, con pocos niveles de anidamiento y sin
embargo ofrecer una gran funcionalidad debido al uso de grupos de seguridad para filtrar la
aplicacin de polticas de grupo. La estructura de OUs permite una delegacin granular de los
permisos administrativos por medio de la utilizacin de herramientas de gestin nativas de Active
Directory como por ejemplo la herramienta DSACLS (http://technet.microsoft.com/es-
ar/library/cc771151(WS.10).aspx)

Mantener la estructura de OUs consistente y alineada a estndares de nombres dar lugar a una
administracin ms sencilla de la plataforma.

En el modelo planteado para Polica Nacional del Per, las OUs corresponden a Usuarios y PCs
estas a nivel de usuarios est organizado en OUs que comienzan en 00, 01, 02 99, y esto debido
a que los Carnet de los usuarios (Policas) terminan en estos dgitos, es por ello que se los organiz
de esa manera, cabe mencionar que estos usuarios son solo para buzones de correo, ya que inician
sesin con usuarios de otro dominio, y que estn divididos en Unidades PNP y a los cuales se le
aplica las GPO correspondientes. A nivel de computadoras la organizacin a nivel de OUs ser por
divididos por Unidades PNP, esto abarca comisaras, entre otras entidades de la Polica Nacional
del Per.

En el caso que cambien los requerimientos de negocio, ya sea por necesidad de aplicar nuevas
polticas o por necesidades de delegacin, ser posible redisear la estructura de OU para
adecuarla a la nueva realidad, siguiendo los lineamientos propuestos en esta seccin. De manera
adicional, el siguiente enlace proporciona detalle sobre las principales recomendaciones de
Microsoft en cuanto al diseo de OUs: Creating an Organizational Unit Design -
http://technet.microsoft.com/en-us/library/cc770377(WS.10).aspx

A continuacin se describe el esquema de las Unidades Organizacionales diseado para La Polica


Nacional:

o Cuentas de Servicio.- Esta OU alberga cuentas que son destinados a los servicios y/o
aplicaciones que requieren una cuenta de usuario del dominio para ejecutar algn proceso.

o Cuentas de Administradores.- Esta OU alberga las cuentas de los administradores del


dominio.

Page 21
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

o Cuentas Inactivas.- Esta OU alberga cuentas de usuarios que ya no pertenecen al dominio.

o Cuentas de Usuarios.- Esta OU alberga todas las cuentas de usuarios que son vlidos para el
dominio, adems dentro de la misma se encuentran ms Unidades Organizativas.

00.- Esta OU alberga a todos los usuarios cuyos nmeros de carnet de policas terminan
en 00, cabe mencionar que estos puedes estar ubicados en diferentes ciudades, adems
que se sigue el mismo esquema para los dems policas, es decir, las OUs comienzan en
00, 01, 02, 03 97, 98 y 99.

Usuarios Temp.- Esta OU alberga a todos los usuarios que sern creados por un tiempo
determinado para proveedores o usuarios externos a la Polica Nacional del Per.

o Unidades PNP: Esta OU alberga usuarios creados por dependencias, comisaras y dems
entidades de la Polica Nacional Del Per, por lo que las cuentas no son a usuarios en especial,
si no a las entidades mencionadas. Posee la siguiente estructura:

Direccin General - DIRIGEN.- Esta OU alberga a todos las cuentas creadas para las
entidades que pertenezcan a la Direccin General.

Direccin Nacional de Gestin Institucional PNP.- Esta OU alberga a todas las cuentas
creadas para las entidades que pertenecen a la Direccin Nacional de Gestin
Institucional de la Polica Nacional del Per.

MINITER.- Esta OU alberga a todas las cuentas creadas para las entidades que
pertenecen al Ministerio del Interior.

Usuarios PNP-Pendiente.- Esta OU alberga a todos las cuentas creadas para los usuarios
que se encuentren pendientes por diferentes motivos.

Z-Grupos de Mensajera.- Esta OU alberga a todos los grupos creados para mensajera
de la Polica Nacional del Per.

o Cuentas de Computadoras (Unidades PNP).- Esta OU alberga todas las computadoras que
son vlidos para el dominio y que han iniciado sesin al menos una vez cada 90 das (nmero
de das recomendado). Dentro las Unidades Organizacionales creadas en funcin de las
polticas de grupo aplicadas.

Direccin de Seguridad.- Esta OU alberga todas las computadoras de los usuarios que
pertenecen a la Direccin de Seguridad de la Polica Nacional del Per.

Direccin General PNP.- Esta OU alberga las cuentas de computadoras de los usuarios
que pertenecen a la Direccin General de la Polica Nacional del Per.

Estado Mayor General.- Esta OU alberga todas las computadoras de los usuarios que
pertenecen al Estado Mayor General de la Polica Nacional del Per.

Inspectora General.- Esta OU alberga todas las computadoras de los usuarios que
pertenecen a la Inspectora General de la Polica Nacional del Per.

Interpol Oficina Central Nacional Lima.- Esta OU alberga todas las computadoras de
los usuarios que pertenecen a la Interpol.

NOTA: Cabe mencionar que hay ms departamentos los cuales sern OUs, en el informe
se mencionan los principales. Adems de lo mencionado, las GPO que se aplicarn a las
Page 22
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

OUs, dependern de la evaluacin a las GPO que actualmene se tienen creadas y las
GPO que Softline brinde, en base a esa revisin se asignarn de forma adecuadas las
GPO a las OUs.

o Domain Controller.- Esta OU alberga los 05 Domain Controller del dominio.

o Servidores.- Esta OU alberga todos los servidores que forman parte del dominio.

o Computadoras Inactivas.- Esta OU alberga objetos de computadoras inactivas. Mediante un


Script se movern los Objetos PC que como mnimo en 90 das ningn usuario ha iniciado
sesin.

Figura: Divisn de Unidades Organizativas en La Polica Nacional del Per

Page 23
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.1.3 Roles a Desarrollar por el Personal de DIRTEL


A continuacin se mencionan los roles recomendados para la administracin de la infraestructura
Active Directory Domain Services de La Polica Nacional del Per:

o Auditor & Administrador de cambios


Encargado del seguimiento de los cambios producidos sobre la estructura de Active
Directory, y la auditora del mismo, la definicin de la infraestructura del servicio de
directorio as como de la infraestructura de seguridad (incluyendo polticas) y de la
administracin de las cuentas de grupo, usuario, y computadora. Se recomienda que los
miembros de este grupo deban pertenecer al grupo Server Operators.

o Administrador de dominio
Encargado de la administracin del forest y dominio, de servidores miembro y de las
Workstation. Acceso ilimitado sobre todos los controladores de dominio, servidores
miembros y estaciones de trabajo. Se recomienda que los miembros de este grupo deban
pertenecer al grupo Enterprise Admin.

o Operador de sitio
Encargado de la administracin de servidores miembro y de las Workstation. Acceso ilimitado
sobre los servidores miembros y estaciones de trabajo del pas o regin asignada. Se
recomienda que los miembros de este grupo deban pertenecer al grupo Account Operators.

Estos son los recursos que se consideran mnimos para la correcta administracin del Active
Directory, los mismos podrn incrementarse segn las necesidades y problemticas.

4.1.4 Administracin de Servicio


La administracin del servicio comprende la gestin de aquellos aspectos de Active Directory
Domain Services que son imprescindibles para brindar un servicio de directorio a toda la
organizacin. Bsicamente, la administracin del servicio incluye, pero no est limitada a las
siguientes tareas administrativas:

o Agregar y remover controladores de dominio.

o Administrar y monitorear la replicacin.

o Asegurar la correcta asignacin y configuracin de roles maestros de operacin (FSMO).

o Realizar backups regulares a la base de directorio.

o Administrar las polticas de seguridad del dominio como as tambin las polticas de
controladores de dominio.

o Configurar los parmetros del servicio de directorio, como por ejemplo definir el nivel
funcional del Forest.

En el caso de La Polica Nacional estas actividades estn asociadas a los Administradores de


Dominio, pero como recomendacin esta actividad debera estar asignada a los Administradores
de Dominio (ver seccin: Roles a desarrollar por el personal de DIRTEL). Estos administradores
seran los encargados de definir la infraestructura del servicio de Directorio.

Page 24
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.1.5 Administracin de Datos


La administracin de datos incluye administrar el contenido que est alojado en Active Directory,
como as tambin el contenido y el servicio de los recursos del directorio administrados. Las tareas
de administracin de datos incluyen, pero no estn limitadas a la administracin de los siguientes
objetos de Active Directory:

o Cuentas de usuario, que representan las identidades de la gente que utiliza la red.

o Grupos de seguridad, los cuales son utilizados para agregar cuentas con el propsito de
autorizar el acceso a los recursos.

o Atributos especficos para las aplicaciones integradas con Active Directory, como por ejemplo
Microsoft Exchange Server o Microsoft Lync.

o Cuentas de equipo, que representan los equipos y dispositivos que estn unidos a los
dominios en el forest de Active Directory.

o Servidores miembros, estaciones de trabajo y los servicios corriendo sobre los mismos.

En el caso de La Polica Nacional del Per, estas actividades estn asociadas a los Administradores
de Dominio, pero como recomendacin esta actividad debera estar asignada al Administrador de
cuentas y seguridad Global (ver seccin: Roles a desarrollar por el personal de DIRTEL).

4.1.6 Relaciones de confianza

En cuanto a la arquitectura de Active Directory Domain Services diseada para La Polica Nacional
del Per, no se tiene relacin de confianza con ningn dominio.

NOTA: Se realizar una relacin de confianza para la migracin de perfiles, la cual ser elimianda
al final de la misma, y que por ello no se considera como una relacin de confianza permanente.

Page 25
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.2 Diseo Fsico

4.2.1 Ubicacin y Nmero de Controladores de Dominio


La arquitectura de Active Directory propuesta para La Polica Nacional del Per est basada en
tecnologa Windows Server 2012 Standard, con nivel funcional de bosque y dominio en Windows
Server 2012.

Los cuatro (04) Domain Controller del dominio raz de bosque (o Forest Root Domain) se
encontraran fsicamente en tres Sites, estarn distribuidos con el dominio intranetpnp.pnp, tal
como se muestra en la siguiente tabla:

Nombre Localizacin IP Observaciones


Intranetpnp.pnp
San Isidro Ministerio W2012, C:\SO (80GB), D:\AD (30GB),
DC01 x.x.x.x
del Interior P:\Paginacin(20GB), 4 GB RAM
San Isidro Ministario W2012, C:\SO (80GB), D:\AD (30GB),
DC02 x.x.x.x
del Interior P:\Paginacin(20GB), 6 GB RAM
San Isidro Av. W2012, C:\SO (80GB), D:\AD (30GB),
DC03 x.x.x.x
Arambur P:\Paginacin(20GB), X GB RAM
Centro de Lima Av. W2012, C:\SO (80GB), D:\AD (30GB),
DC04 x.x.x.x
Espaa P:\Paginacin(20GB), X GB RAM

La ubicacin de los servidores se define de acuerdo a los siguientes criterios:

o Cada Dominio del Forest debe tener como mnimo 02 controladores de dominio, esta
configuracin obedece a mecanismo de tolerancia a fallas y contingencia.

o Para La Polica Nacional del Per los Domain Controller estarn ubicados en los sitios de San
Isidro Ministerio del Interior, Av. Espaa y Av. Arambur. Esto cumple con el enunciado
mencionado en el primer punto.

Con respecto al sistema operativo necesario, estos servidores controladores de dominio contarn
con sistemas operativos Windows Server 2012 Standard. Esta configuracin permite que el
servicio Local Security Authority Subsystem pueda trabajar con memoria superior a 04 GB RAM
y hasta 4TB. Es por eso que los servidores de 64 bits son los recomendados para servicios de Active
Directory Domain Services con gran cantidad de objetos.

Page 26
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.2.2 Domain Controller Virtuales


Las plataformas de virtualizacin, ofrecen una serie de caractersticas tiles que facilitan la
administracin, el mantenimiento, la realizacin de copias de seguridad y la migracin de equipos.
No obstante, existen algunas caractersticas y prcticas de implementacin comunes que no se
deben usar para controladores de dominio virtuales. En la siguiente lista se describen las prcticas
que debe evitar cuando implemente controladores de dominio:

No implemente discos duros virtuales (VHD) de disco de diferenciacin en una mquina


virtual que se vaya a configurar como controlador de dominio. Esto hace que sea mucho
ms fcil poder volver a una versin anterior, adems de disminuir el rendimiento.
No clone la instalacin de un sistema operativo sin usar Sysprep.exe, porque el identificador
de seguridad (SID) de un equipo no se actualizar.
Para evitar una situacin de posible reversin en el nmero de secuencias actualizadas
(USN), no se deben usar copias de un archivo de VHD que represente a un controlador de
dominio ya implementado para implementar ms controladores de dominio.
En las mquinas virtuales que estn configuradas como controladores de dominio,
deshabilite la sincronizacin de hora con el host mediante Servicios de integracin. En su
lugar, acepte la sincronizacin de hora de jerarqua de dominio del servicio Hora de
Windows (W32time).
Para La Polica Nacional del Per, los 4 Domain Controller sern fsicos.

4.2.3 Ubicacin y Nmero de Catlogos Globales


El diseo propuesto para La Polica Nacional del Per indica que cada controlador de dominio
albergue el rol de Catlogo Global. Esta configuracin evita tener un servidor dedicado
exclusivamente con el rol de Infrastructure Master, debido. Mayor informacin sobre el rol de
Infrastructure Master en el siguiente enlace: FSMO placement and optimization on Active
Directory domain controllers (http://support.microsoft.com/kb/223346).

4.2.4 Ubicacin de los Roles de Operations Master (FSMO)


Como se mencion anteriormente, el servicio de Active Directory Domain Services cuenta con
cinco roles de Operation Master o FSMO (Flexible Single Master Operations):

o Schema Master

o Domain Naming Master

o Relative Identifier Master (RID)

o Primary Domain Controller (PDC) Emulator

o Infrastructure Master

El Schema Master y Domain Naming Master son roles a nivel de bosque, esto significa que en el
bosque slo existe un controlador de dominio con el rol Schema Master y un controlador de
dominio con el rol Domain Naming Master. Por otro lado, los roles: Relative Identifier Master
Page 27
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

(RID), Primary Domain Controller (PDC) Emulator, e Infrastructure Master, existen uno por cada
dominio.

Como regla general se deber mantener los roles de operacin (FSMO) en el menor nmero de
controladores de dominio posibles con fin de simplificar el diseo. Para el caso del rol de
Infrastructure Master, este no deber ubicarse en el mismo servidor de Catlogo Global debido a
que no podr identificar correctamente cambios de seguridad de otros dominios. La excepcin es
cuando todos los controladores de dominio son Catlogo Globales o en un bosque nico con un
dominio nico. En estos casos el Infrastructure Master tiene toda la informacin que requiere.

El siguiente cuadro muestra la ubicacin de los roles FSMO en cada dominio de La Polica Nacional
del Per:

Nombre Localizacin IP Roles FSMO


Intranetpnp.pnp
San Isidro Schema, Domain
DC01 Ministerio del x.x.x.x
Intenerio
San Isidro Infraestructura, RID y PDC
DC02 Ministerio del x.x.x.x
Intenerio
San Isidro Av. ---
DC03 x.x.x.x
Arambur
Centro de Lima ---
DC04 x.x.x.x
Av. Espaa

NOTA: Los nombres ydirecciones IP de los Domain Controller se encuentran establecidas, por lo
que los nombres que aparecen son tentativos.

4.2.5 Diseo de Sitios


Un Site de Active Directory debe definirse para toda ubicacin fsica en la cual se han ubicado
Domain Controller, as como en cualquier lugar fsico que contenga recursos o servicios requeridos
por los clientes. La Polica Nacional cuenta con cuatro Sites San Isidro Ministerio del Interior,
San Isidro Av- Arambur y Centro de Lima Av. Espaa, en el primer site se encontrarn dos
Domain Controller, y en los cuatro Sites que restan se encontrar un Controlador de Dominio por
Site.

Page 28
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

Figura: Arquitectura Sites en La Polica Nacional

4.2.6 Hardware y Software para Controladores de Dominio


Una vez que el nmero de controladores de dominio ha sido identificado, el paso final es
determinar el espacio en el disco, cantidad de memoria, tipo de procesador y los requerimientos
de la red necesarios por cada controlador de dominio definido.

1. Requisitos Mnimos de Espacio de Disco

Para calcular el mnimo espacio de disco necesario para cada controlador de dominio definido
seguir las siguientes recomendaciones:

o 500 MB para los logs de transacciones del Directorio Activo.

o 500 MB para la unidad que contiene el SYSVOL compartido.

o De 32 GB para el sistema operativo Windows Server 2012.

o 400 MB de almacenamiento por cada 1000 usuarios en el directorio de la unidad NTDS.dit.

o Para controladores de dominio con funcin de catlogo global (GC) se requerir de


espacio adicional de disco en caso que el bosque tenga ms de un dominio. El espacio
adicional es de 50% del espacio recomendado para cada controlador de cada dominio.

Tener tambin en cuenta la necesidad de utilizar discos RAID para los controladores de
dominio principales para mejorar tanto el rendimiento como para utilizar un esquema
tolerante a fallas. De la misma forma tener en cuenta que podr ser necesario separa el sistema
operativo, la paginacin, los archivos de log de transacciones, la base de datos en volmenes
Page 29
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

distintos con el fin de lograr mejoras en el rendimiento.

Como recomendacin, para los controladores de dominio utilizar discos de por lo menos 40
GB de espacio en su particin de sistema.

2. Requisitos Mnimos de Memoria

La siguiente tabla muestra una estimacin conservadora de los requerimientos mnimos de


memoria para los controladores de dominio. Se asume que los controladores de dominio
nicamente tienen los servicios de Directorio Activo, DNS y DHCP habilitados. En caso que se
cuenten con aplicaciones adicionales se deber aumentar el tamao de memoria
recomendada.

Usuarios por Dominio en un Sitio Requerimientos Mnimos de Memoria


por Controlador de Dominio

1499 512 MB

500999 1 GB

> 1,000 2 GB

Tabla: Requisitos mnimos de memoria segn nmero de usuarios

A pesar que la tabla muestra el mnimo necesario, aumentar la memoria mejora el rendimiento
del Directorio Activo. El Directorio Activo normalmente copia su base de datos a memoria. Esto
reduce el acceso a disco y mejora el rendimiento. Tener adicionalmente en cuenta que el
sistema operativo Windows Server 2012 requiere de mnimo 1 GB de memoria para su
correcto funcionamiento, por lo que el valor tomado de la tabla deber adicionarse a este.

Para determinar cuanta es necesaria ms RAM, monitorear peridicamente el porcentaje de


operaciones de Directorio Activo ejecutadas por el cache (Database Cache % Hit) mediante
Perfomance Monitor de Windows Server 2008. Un valor bajo indica que muchas operaciones
no estn siendo ejecutadas por el cache; adicionando ms memoria RAM es posible mejorar
este ratio y por consiguiente mejorar el rendimiento del Directorio Activo.

3. Requisitos Mnimos de Procesador

Como recomendacin general para sitios de menos de 500 usuarios empezar con un servidor
de un procesador. Para los servidores principales utilizar un servidor con dos procesadores o
Core Duo. Se asume que los controladores de dominio nicamente tienen los servicios de
Directorio Activo y DNS. En caso que se cuenten con aplicaciones adicionales se deber
aumentar la capacidad de procesamiento recomendada.

4. Requisitos Mnimos de Tarjeta de Red

Muchas redes corporativas cuentan con tarjetas de red de 100 Mbps o 1 Gbps en sus
Page 30
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

servidores. Tpicamente una tarjeta de red es suficiente para manejar todo el trfico de red de
Directorio Activo hacia el servidor.

Utilizar mltiples tarjetas de red en un controlador de dominio puede causar una variedad de
problemas, como fallas en la replicacin y/o autenticacin. En general no es recomendable
contar con mltiples tarjetas de red en los servidores controladores de dominio.

5. Dimensionamiento de Servidores para la Polica Nacional del Per recomendado:

Configuracin de hardware Detalle

CPU Por cada 1GB de RAM se recomienda tener 2 Cores.

Memoria 08 RAM

Disco 01 Raid 1

Disco C:\ (80GB) Sistema Operativo

Disco D:\ (30 GB) Base de Datos AD, Logs y Sysvol.

Disco P:\ (20GB) Paginacin.

Tarjeta de Red 1Gbps

Tabla: Dimensionamiento de Domain Controller para la Polica Nacional del Per

Otras consideraciones:

o Si los controladores de dominio albergaran otros roles se recomienda incrementar el


nmero de cores y Memoria RAM de acuerdo a los requerimientos te rol en particular

o Si los controladores de dominio albergaran roles de Servidores de archivos y de impresin


se recomienda crear arreglos de disco adicionales a los utilizados por el rol de AD DS, a fin
de alojar los archivos empleados por los roles adicionales

NOTA: Para la implementacin del Directorio Activo en La Polica Nacional, se reutilizarn


servidores que poseen actualmente, y segn lo indicado no cumplen con todas las
especificaciones. Posteriormente a la implementacin La Polica Nacional del Per mejorar
la condicin de los servidores para que el performance sea el adecuado, ya que manejarn
un alto nmero de usuarios (100 000 por lo menos).

Page 31
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.3 Diseo de Redes


4.3.1 DNS

En cuanto a la arquitectura de Active Directory Domain Services diseada para La Polica Nacional
del Per, se recomienda mantener el modelo actual de resolucin de nombres DNS, en el cual:

o Para un forest de un nico dominio, el servidor DNS primario para los computadores es un
controlador de dominio del bosque, el cual tendr configurado el Forwarder hacia Internet.

Figura: Arquitectura DNS en La Polica Nacional del Per

En el caso de La Polica Nacional, todos los Domain Controller tendrn el servicio DNS integrado.
El principal que se encuentra en el Site San Isidro Ministerio del Interior, el DC01, tendr la
configuracin de Forwarder para la salida hacia Internet.

Page 32
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.3.2 DHCP
Actualmente la Polica Nacional del Per poseen el Servicio de DHCP instalado en el Controlador
de Dominio puma26.intranet.pnp (172.31.1.7), el cual posee diferentes mbitos para las
diferentes entidades de la Polica Nacional del Per.

Luego de implementar el dominio intranetpnp.pnp, se implementa la misma estructura de DHCP


que se tiene actualmente. Este rol ser instalado en todos los Domain Controller (En San Isidro
Ministerio del Interior solo en el DC02), para que todos los usuarios hagan consultas a su propio
servidor DHCP del sitio y eviten la sobrecargar a uno solo Domain Controller.

Figura: Arquitectura DHCP en La Polica Nacional del Per

4.3.3 WINS
Actualmente poseen instalado el servicio de WINS, se encuentra instalado en el servidor
172.31.1.7, el cual solo es utilizado por un nmero menor de usuarios. Para la nueva
implementacin no se contar con la instalacin de este servicio, ya por indicacin de la Polica
Nacional no se deber instalar el servicio de WINS.

4.3.4 Windows Timer Service


Windows incluye W32Time, la herramienta del Servicio de hora de Windows necesaria para el
protocolo de autenticacin Kerberos. El Servicio de hora de Windows garantiza que todos los
equipos que dentro de una organizacin ejecutan Microsoft Windows 2000 o versiones
posteriores utilicen la misma hora.

Para asegurarse de que se utiliza la hora correcta, el Servicio de hora de Windows utiliza una
relacin jerrquica que controla la autoridad y el servicio no permite bucles. De manera
predeterminada, los equipos basados en Windows utilizan la siguiente jerarqua:

o Todos los equipos de escritorio cliente nominan al controlador de dominio que autentican
como su asociado de hora.

o Todos los servidores miembro siguen el mismo proceso que los clientes.

o Todos los controladores de dominio de un dominio nominan como su asociado de hora al


maestro de operaciones del controlador principal de dominio (PDC).

Page 33
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

o Todos los maestros de operaciones de PDC obedecen la jerarqua de dominios al seleccionar


los asociados de hora.

4.4 Seguridad Fsica

4.4.1 Seguridad Fsica


La seguridad fsica identifica las amenazas, vulnerabilidades y las medidas que pueden ser
utilizadas para proteger fsicamente los recursos y la informacin de la organizacin. Los recursos
incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales
los empleados interactan, en general los activos asociados al mantenimiento y procesamiento
de la informacin, como por ejemplo activos de informacin, activos de software y activos fsicos.
Se entiende por rea donde se procesa la informacin los siguientes:

El tamao del rea ser determinado por la cantidad de hardware necesitado para el
procesamiento y almacenamiento de la informacin. Los requerimientos de tipo ambiental deben
ser especificados por los diferentes fabricantes de los equipos. Las medidas de seguridad que se
deban tomar, dependern directamente del valor de los activos de informacin, su nivel de
confidencialidad, y los valores requeridos:

o El permetro de seguridad debe ser claramente definido.

o El sitio escogido para colocar los sistemas de informacin, equipos de cmputo y


comunicaciones, deben estar protegidos por barreras y controles fsicos.

o El sitio donde se ubiquen los recursos informticos deben ser fsicamente slidos, y protegido
de accesos no autorizados, factores naturales, usando mecanismos de control, barreras
fsicas, alarmas, barras metlicas, etc.

o Debe existir un rea de recepcin que solo permita la entrada de personal autorizado.

o Todas las salidas de emergencia en el permetro de seguridad deben tener alarmas sonoras
y cierre automtico.

Todos los sitios en donde se encuentren los sistemas de procesamiento informtico o de


almacenamiento, deben ser protegidos de accesos no autorizados.

Page 34
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

4.5 Polticas de Grupo

Son configuraciones que estn relacionados a los aspectos de seguridad de las contraseas de los
usuarios, tal como longitud mnima, vigencia mxima, entre otros.

4.5.1 Esquema de GPO


A continuacin se detalla de estructura de GPO.

GPO Actuales en la PNP

Default Domain Policy.- Poltica aplicada a todo el dominio cinternacional.com.pe.

Direccin de Documentos.- Esta poltica no tiene ninguna configuracin, por lo que ser
eliminada.

Directiva de Auditora para AD.- Poltica aplicada a todo el dominio y que ayuda a la
auditora del AD, adems del mensaje de inicio de sesin que se presenta a los usuarios.

Directiva de Grupo 1.- Poltica que define el fondo de pantalla corporativo para la Polica
Nacional del Per.

Directiva de Prueba.- Poltica que bloquea el acceso al Messenger y que adems bloque
el acceso a las propiedades de conexin (para configuracin de la direccin IP).

Limas.- Esta poltica no tiene ninguna configuracin asignada, por lo que ser eliminada.

Nuevo Objeto Directiva de Grupo.- Esta poltica no tiene ninguna configuracin asignada
por lo que ser eliminada.

Nuevo Objeto Directiva de Grupo.- Poltica que muestra en usu configuracin la


aplicacin del papel tapiz corporativo para todos los usuarios.

Pruieba.- Esta poltica no tiene ninguna configuracin asignada, por lo que ser
eliminada.

SUS.- Poltica que configura los servidores Proxy para el acceso a Internet a todos los
usuarios.

Defaul Domain Controller.- Politica aplicada a la Ous Domain Controller.

Page 35
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

GPO Propuestas por Softline


Password (GPO a crear).- se aplicar una configuracin que permitir poner la dificultad
de las contraseas a diferentes tipos de usuarios, los que requieran de mayor seguridad,
pues la contrasea pedir que sea ms compleja y as dependiendo del perfil del usuario.

Deshabilitar USB Lectora de CD.- Esta GPO bloquear el acceso USB o de CDs a la
estacin de trabajo, para que se evite que usuarios puedan llevarse informacin
importante en los dispositivos de almacenamiento.

Deshabilitacin de funciones del Panel de Control.- Esta GPO permitir deshabilitar las
opciones del panel del control que el usuario no debe modificar por ningn motivo, esto
incluye la configuracin de la direccin IP, ya que es el problema ms comn con los
usuarios.

Figura: Divisn de Unidades Organizativas en La Polica Nacional del Per

NOTAS:

Se muestran diferentes GPO que no tienen configuracin y que no se aplicarn, por lo que sern
eliminadas y quitadas del dominio. Las GPO que queden sern separadas de las GPO que
Softline presente.

Page 36
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20
Preparado para: Polica Nacional del Per

5 Conclusiones

El presente documento muestra el diseo final luego de la implementacin del Directorio Activo en La
Polica Nacional del Per.

El diseo mostrado lneas arriba cumple con las mejores prcticas recomendadas por Microsoft.

Page 37
Diseo de Active Directory, Documento de Diseo, Versin 1.0 Final
Preparado por Carlos Moreno
"PNP - AD - Documento de Diseo - v1 0" ltima modificacin 28 may. 13, Rev 20