Active Directory Es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores.

Utiliza distintos protocolos(principalmente LDAP, DNS, DHCP, Kerberos...).Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso. Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos. Active Directory est basado en una serie de estndares llamados X.500, aqu se encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de usuarios. Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios. A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio Active Directory. Objetos Active Directory se basa en una estructura jerrquica de objetos. Los objetos se enmarcan en tres grandes categoras. recursos (p.ej. impresoras), servicios (p.ej. correo electrnico), y usuarios (cuentas, o usuarios y grupos). El DA proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad. Cada objeto representa una entidad individual ya sea un usuario, un equipo, una impresora, una aplicacin o una fuente compartida de datos y sus atributos. Los objetos pueden contener otros objetos. Un objeto est unvocamente identificado por su nombre y tiene un conjunto de atributoslas caractersticas e informacin que el objeto puede contenerdefinidos por y dependientes del tipo. Los atributos, la estructura bsica del objeto, se definen

por un esquema, que tambin determina la clase de objetos que se pueden almacenar en el DA. "Cada atributo se puede utilizar en diferentes "schema class objects". Estos objetos se conocen como objetos esquema, o metadata, y existen para poder extender el esquema o modificarlo cuando sea necesario. Sin embargo, como cada objeto del esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o cambiar estos objetos puede tener consecuencias serias porque cambiar la estructura fundamental del ANUNCIO en s mismo. Un objeto del esquema, cuando es alterado, se propagar automticamente a travs de Active Directory y una vez que se cree puede ser desactivado-no solamente suprimido. Cambiar el esquema no es algo que se hace generalmente sin un cierto planeamiento " Funcionamiento Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la informacin relativa a un dominio de autenticacin. La ventaja que presenta esto es la sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio. A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio. De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otras palabras, Active Directory es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la administracin y la consulta de todos los elementos lgicos de una red (como pueden ser usuarios, equipos y recursos). Intercambio entre dominios Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa un trust (en espaol, relacin de confianza). El trust es creado automticamente cuando se crean nuevos dominios. Los lmites del trust no son marcados por dominio, sino por el bosque al cual pertenece. Existen trust transitivos, donde los trust de Active Directory pueden ser un

acceso directo (une dos dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque tambin soporta NTLM y usuarios webs mediante autenticacin SSL / TLS Confianza transitiva Las Confianzas transitivas son confianzas automticas de dos vas que existen entre dominios en Active Directory. Confianza explcita Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticacin. Este tipo de relacin puede ser de una o dos vas, dependiendo de la aplicacin. Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0.

Confianza de Acceso Directo La Confianza de acceso directo es, esencialmente, una confianza explcita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticacin. Confianza entre bosques La Confianza entre bosques permite la interconexin entre bosques de dominios, creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre bosques son de tipo explcito, al contrario de Windows Server 2003. Direccionamientos a recursos Los direccionamientos a recursos de Active Directory son estndares con la Convencin Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP. Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name (DN)), as una impresora llamada Imprime en una Unidad Organizativa (en ingls, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:


en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde  CN es el nombre comn (en ingls, Common Name)  DC es clase de objeto de dominio (en ingls, Domain object Class). En forma cannica sera foo.org/Ventas/Imprime

Los otros mtodos de direccionamiento constituyen una forma local de localizar un recurso
 

Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)), que busca un recurso slo con el Nombre Comn (CN). Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar informacin

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio

Instalacion y Administracion de Active Directory

Instalacion
El servicio de directorio Active Directory, proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red. En general, Active Directory nos ayuda a implementar y administrar una red en Windows 2003 Server. A continuacin, explico cmo instalar Active Directory en Windows 2003 Server paso a paso. 1.Haz clic en Inicio>Ejecutar, escriba dcpromo y, haz clic en Aceptar. 2.En la ventana que nos aparece, haga clic en Siguiente. 3.En la prxima ventana del asistente para instalacin de Active Directory, haz clic en Siguiente. 4. Ahora, haz clic en Controlador de dominio para un dominio nuevo y, a continuacin, haz clic en Siguiente. 5. Haz clic en Dominio en un nuevo bosque y, seguidamente, haz clic en Siguiente. 6. En esta nueva ventana, donde pone Nombre DNS completo del nuevo dominio, puede escribir el nombre que quieras seguido de .local (ejemplo: dominio.local) y haz clic en Siguiente. 7. En la siguiente ventana, acepta todos los valores predeterminados que aparecen y haz clic en Siguiente.

8. Ahora, acepta otra vez el valor predeterminado y haz clic en Siguiente. 9. En esta ventana, haz clic en Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido y, haz clic en Siguiente. 10. Haz clic en Permisos compatibles slo con sistemas operativos de servidor Windows 2000 o Windows Server 2003 y haz clic en Siguiente. 11. En esta ventana, escriba una contrasea y haz clic en Siguiente. 12. Ahora, confirma que la informacin es correcta y haz clic en Siguiente. 13. Cuando te ponga un mensaje de si quieres reiniciar el equipo, haz clic en Reiniciar ahora. 14. Cuando se haya reiniciado el equipo, ya puede utilizar Active Directory. Administracion de Active Directory Esta gua es una introduccin a la administracin del servicio Active Directory de Windows Server 2003. Las herramientas administrativas de Active Directory simplifican la administracin del servicio de directorio. Puede utilizar las herramientas estndar o Microsoft Management Console (MMC) para crear herramientas personalizadas centradas en tareas de administracin nicas. Puede combinar varias herramientas en una nica consola. Tambin puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas especficas. Las herramientas administrativas de Active Directory slo se pueden utilizar desde un equipo con acceso a un dominio. Las siguientes herramientas administrativas de Active Directory estn disponibles en el men Herramientas administrativas: Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory Tambin puede administrar Active Directory de forma remota desde un equipo que no sea un controlador de dominio, como un equipo que ejecute Windows XP Professional. Para ello, debe instalar el Paquete de herramientas de administracin de Windows Server 2003. El complemento Esquema de Active Directory es una herramienta administrativa de Active Directory para administrar el esquema. No est disponible de forma predeterminada en el men Herramientas administrativas y debe agregarse manualmente. Para los administradores avanzados y los especialistas de soporte tcnico de redes, existen muchas herramientas de lnea de comandos que pueden utilizar

para configurar, administrar y solucionar problemas de Active Directory. Tambin puede crear secuencias de comandos que utilicen las Interfaces de servicio de Active Directory (ADSI). En los discos de instalacin del sistema operativo se incluyen varias secuencias de comandos de ejemplo. Usando el complemento Dominios y confianzas de Active Directory El complemento Dominios y confianzas de Active Directory proporciona una representacin grfica de todos los rboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque.

El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fcil de usar para que los usuarios inicien sesin en Active Directory. El estilo del UPN se basa en el estndar RFC 822 de Internet, al que tambin se hace referencia como direccin de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer rbol del bosque. En sta y en las dems guas detalladas de esta serie, el sufijo UPN predeterminado es contoso.com. Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesin. Tambin puede simplificar los nombres de inicio de sesin de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN slo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre vlido de dominio DNS.

Cambiar la funcionalidad de dominios y bosques La funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las caractersticas de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno. Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional est establecido en Windows Server 2003, estarn disponibles todas las caractersticas para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, slo est disponible un subconjunto de las caractersticas de Active Directory para todo el dominio y todo el bosque.

El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos ni historial de Id. de seguridad (SID). Cuando el dominio est establecido en modo nativo, se pueden utilizar las caractersticas de grupos de seguridad universal, anidacin de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque. Advertencia: una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrn incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrn agregar a dicho dominio. La funcionalidad de dominio habilita caractersticas que afectan a todo el dominio y slo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opcin predeterminada), Windows 2000 nativo, Windows Server 2003 versin provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.

Reconocer objetos de Active Directory Los objetos descritos en la tabla siguiente se crean durante la instalacin de Active Directory. Icono Carpeta Descripcin Dominio El nodo raz del complemento representa el dominio que se va a administrar. Equipos Contiene todos los equipos con Windows NT, Windows 2000, Windows XP y Windows Server 2003 que se unen a un dominio. Entre stos se incluyen los equipos que ejecutan Windows NT versiones 3.51 y 4.0. Si actualiza de una versin anterior, Active Directory migra la cuenta de equipo a esta carpeta. Es posible mover estos objetos. Sistema Contiene informacin de sistemas y servicios de Active Directory.

Usuarios Contiene todos los usuarios del dominio. En una actualizacin, se migran todos los usuarios del dominio anterior. Al igual que los equipos, se posible mover los objetos de usuario. Se puede usar Active Directory para crear los siguientes objetos.

Icono Objeto Usuario

Descripcin Un objeto de usuario es un objeto que es un principal de seguridad en el directorio. Un usuario puede iniciar sesin en la red con estas credenciales y a los usuarios se les puede conceder permisos de acceso. Un objeto de contacto es una cuenta que no tiene ningn permiso de seguridad. No se puede iniciar sesin como contacto. Los contactos se suelen utilizar para representar a usuarios externos con fines relacionados con el correo electrnico. Objeto que representa un equipo en la red. Para las estaciones de trabajo y servidores con Windows NT, sta es la cuenta de equipo.

Contacto

Equipo

Unidad Las unidades organizativas se utilizan como contenedores organizativa para organizar de manera lgica objetos de directorio tales como usuarios, grupos y equipos, de forma muy parecida a como se utilizan las carpetas para organizar archivos en el disco duro. Grupo Los grupos pueden contener usuarios, equipos y otros grupos. Los grupos simplifican la administracin de cantidades grandes de objetos. Una carpeta compartida es un recurso compartido de red que se ha publicado en el directorio. Una impresora compartida es una impresora de red que se ha publicado en el directorio.

Carpeta compartida Impresora compartida

Acerca de las directivas de Grupo Directiva de grupo es una caracterstica de la familia Microsoft Windows NT de sistemas operativos. Directiva de grupo es un conjunto de reglas que controlan el entorno de trabajo de las cuentas de usuario y de equipo. Directiva de grupo proporciona una gestin centralizada y configuracin de sistemas operativos, aplicaciones y configuraciones de los usuarios en un entorno Active Directory. En otras palabras, la directiva de grupo en los controles de parte de lo que los usuarios pueden y no pueden hacer en un sistema informtico. Aunque la directiva de grupo es ms frecuente en el uso de los entornos empresariales, es tambincomn en las escuelas, las empresas ms pequeas, y otros tipos deorganizaciones ms pequeas. Directiva de grupo a menudo se utiliza para restringir ciertas acciones que pueden plantear riesgos de seguridad

potenciales,por ejemplo, para bloquear el acceso al Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables,y as sucesivamente. Como parte de IntelliMirror tecnologas de Microsoft, la directiva de grupo tiene como objetivo reducir el costo de mantener a los usuarios. IntelliMirror tecnologasrelacionadas con la gestin de las mquinas desconectadas o usuarios mviles e incluye perfiles de usuario mviles, la redireccin de carpetas y archivos sin conexin. Los objetos de directiva de grupo no necesariamente de Active Directory, Novell ha apoyado desde los perfiles mviles de Windows 2000 con su paquete de software de gestin de ZENworks de escritorio, y a partir de Windows XP tambin es compatible con objetos de directiva de grupo. Backup y tipos de restauracin de Active Directory

En este articulo pretendo mostraros como realizar un backup de Active Directory y los diferentes tipos de restauracin posibles, los cuales pueden ir desde una restauracin completa y autoritativa de todo la base de datos a una especifica de una cuenta de equipo.

Backup Active Directory Realizar backups del Active Directory es una tarea imprescindible entre las tareas de administracin de nuestro dominio, sobre todo si este es el nico en la red y no esta apoyado por otro controlador adicional (muy recomendable). Para realizar este backup debemos utilizar la la utilidad Ntbackup incorporada en MS Windows Server. Debemos abrir Ntbackup (desde men inicio, ejecutar y teclear ntbackup) y seleccionar system state a la hora de realizar un backup. Una vez seleccionado system state pulsamos iniciar y nos aparecer un cuadro con opciones avanzadas adems de tener la posibilidad de programar el backup para que se realice de forma peridica. Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea controlador de dominio o no, contendr tambin los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Adems si se trata de un Windows 2000 o Server 2003

que actu como entidad certificadora se copiara tambin el almacn de certificados (certificate store). Entre los contenidos del backup de system state esta la base de datos NTDS.dit del Directorio Activo y el contenido del volumen de sistema (SYSVOL), independiente de que el servidor sea domain controller o no contendr tambin los ficheros de arranque (NTLDR, boot.ini, NTDetect.com), el registro y el COM+. Adems si se trata de un Windows 2000 o Server 2003 que actu como entidad certificadora se copiara tambin el almacn de certificados (certificate store).

Restauracin Active Directory

El procedimiento de restauracin del Directorio Activo, es una tarea delicada de realizar. Esta restauracin depende mucho del nmero de controladores de dominio en la red. Bsicamente existen 3 tipos de restauraciones: Primaria (primary): Este tipo de restauracin se realiza cuando tenemos un nico Controlador de Dominio. Normal (non-authoritative): consiste en restaurar la base de datos del active directory pero de manera que no se replicaran a otros controladores de dominio. Autoritativa (Authoritative restore): Con este prodecimiento los cambios se replicaran a los otros controladores de dominio. Para realizar este procedimiento debemos de realizar primero una restauracin no autoritativa y luego mediante la utilidad NTDSUTIL realizar una restauracin autoritativa. Este procedimiento se suele realizar cuando queremos restaurar algn complemento del Sistema Operativo como una cuenta de usuario, equipo, DC

Restauracin Normal o No autoritativa El proceso de realizar los diferentes tipos de restauraciones es similar, a continuacin se explica la manera de realizar una restauracin normal (No autoritativa) y los diferentes supuestos en los que podemos encontrarnos: El Sistema Operativo arranca pero la base de datos o algn complemento del dominio esta corrupto. Si nos encontramos en este caso debemos de arrancar el controlador de dominio en modo restauracin del SD.

Para arrancar en este modo debemos de mantener pulsada la tecla F8 durante el arranque del sistema y seleccionar la opcin arrancar en modo restauracin de SD. Esto nos arrancara el Sistema Operativo en modo recuperacin del controlador de dominio y mediante la utilidad Ntbackup nos permitir restaurar el sistema. El proceso de restauracin mediante el Ntbackup es un wizard donde debemos indicarle la ubicacin del backup del system restore as como el modo de restauracin: Si el Sistema Operativo no arranca o esta corrupto. En el caso de que el S.O no arranque y no nos permita arrancarlo en modo restauracin del SD (Primer supuesto) debemos utilizar un disquete de recuperacin del sistema (ASR), este disco se crea desde la utilidad ntbackup. Una vez tenemos el disco creado as como una copia del System State debemos arrancar la maquina con un disco de instalacin del Sistema Operativo y presionar la tecla f2 cuando nos aparezca la opcin de ejecutar el Asistente de recuperacin Automatizada: En este proceso nos pedir un disco de recuperacin del sistema que debamos a ver creado previamente desde la utilidad NTBACKUP. Una vez insertado el disquete de recuperacin nos aparece un asistente para recuperar el system state Controlador de dominio recin formateado En el caso que nos encontremos ante un problema de hardware o una situacin que conlleve el formateo de la maquina, debemos de realizar la restauracin desde el nuevo sistema. Para realizar este procedimiento debemos de poner a la maquina el nombre del controlador de dominio a restaurar y ejecutar el asistente de ntbackup. Una vez finalizado el Directorio Activo seria restaurado en el misma maquina. Restauracin autoritativa Esta restauracin se realiza siempre que se quiera que los datos del backup del Controlador de dominio prevalezcan sobre los actuales del dominio, en el caso que fuera el unico controlador de dominio no seria necesario pero si existen mas controladores, la informacin que estamos restaurando es ms antigua y no se actualizara salvo que lo forcemos con una restauracin autoritativa Este tipo de restauraciones se suelen hacer cuando borramos de forma accidental algn complemento del directorio (Usuario, Grupo, Controlador de Dominio..) Para realizar este tipo de restauracin debemos de hacer

previamente una restauracin Normal, como vimos en los casos anteriores (arrancando en modo restauracin del directorio activo) y tras la restauracin sin reiniciar la maquina utilizar el comando NTDSUTIL. Para realizar una restauracin autoritaria completa del Directorio Activo, puede utilizarse el mandato Restore Database, sin embargo, es necesario hacerlo con mucha precaucin, ya que se perdern todos los cambios realizados desde la ltima copia de seguridad. Mediante el comando NTDSUTIL podemos restaurar de forma autoritativa componentes del dominio.