Microsoft

Windows 2000 Server

Active Directory

Mª José Serrano
Responsable Tecnológico
División de Grandes Organizaciones
Microsoft Corporation
 Agenda

 ¿Qué es el Directorio Activo?

 Qué relación mantiene con Windows 2000

 Beneficios
 ¿Qué es el Directorio Activo?
 El Directorio Activo es una parte integral de
Windows 2000 Server que gestiona los
servicios esenciales del SO para toda la red:
 Punto único para gestionar los distintos
objetos (usuarios, aplicaciones,
dispositivos...)
 Repositorio centralizado para seguridad
(autentificación, autorizaciones,..)
 Plataforma Abierta para desarrollo e
integración con otros sistemas
 Arquitectura del DA

• Estructura Arbórea
Organización • Objetos en Contenedores
Jerárquica • Contenedores en Contenedores

Almacenamiento • Soporta múltiples modelos de

Objetos
Orientado a • La información de Objetos: Atributos
Objetos • Seguridad a nivel Objeto y Atributo

• Soporta Réplicas Múltiples

Replicación • Lectura/Escritura completa por
Réplica
Multi-Master • Replicación Optimizada
Automáticamente
 Arquitectura del AD

Raíz
Raíz

Usuarios
Usuarios Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones

Docentes
Docentes Administración
Administración
= Contenedor
= Objeto

◆ Organización jerarquizada para una fácil y centralizada

gestión de la red
 Arquitectura del AD

Raíz
Raíz

Usuarios
Usuarios Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones

Docentes
Docentes RRHH
RRHH
Name:
Name: Bob
Bob Jones
Jones
Email:
Email: bob@abc.com
bob@abc.com
Phone:
Phone: 555-1234
555-1234
SSN:
SSN: 456-78-9101
456-78-9101

 Los Objetos del Directorio tienen atributos

 Objetos y Atributos están protegidos mediante ACL´s
 Arquitectura AD
Dominio a Nivel Alto
“Site” Cambio
Cambio dede “Site”
Norte América Aula
Aula aa 110
110 Europa

DC1 DC5

DC4
DC3
Alta
Alta de
de
DC2
Alumna
Alumna::
DC6
Mª
Mª Jose
Jose

 Replicación Multi-Master flexible, alta disponibilidad y

performance
 Beneficios del DA
Simplifica la Único punto de Gestión
Distribución Automática de Software
Gestión de Gestión Centralizada de Ficheros e
Windows Impresoras

Refuerza la Acceso único a los Recursos de Red

Configuración del Desktop de acuerdo
Seguridad con los servicios de seguridad de
Windows Internet

Extiende la Basado en Estándares

Interfaces y Conectores abiertos
Interop. Fuerte soporte de los mayores
Windows proveedores
 Simplifica la Gestión
Delega
Delega Tareas
Tareas de
de Gestión
Gestión
al
al Administrador
Administrador de
de Office
Office Raíz
Raíz

Usuarios
Usuarios Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones

Docentes
Docentes Administración
Administración Impresora
Impresora Color
Color en
en
Edifico
Edifico 66

Dar
Dar la
la App.
App. de
de Gestión
Gestión de
de
Alumnos
Alumnos aa Administación
Administación

 DA organiza jerárquicamente a Usuarios y Recursos de

Red para simplicar la gestión
 Seguridad Reforzada
Kerberos
Kerberos
X.509
X.509
Raíz
Raíz
Smart
Smart Card
Card

Alumnos
Alumnos Máquinas
Máquinas Dispositivos
Dispositivos Aplicaciones
Aplicaciones

Lectivos
Lectivos Extranet
Extranet
Restringir
Restringir los
los Derechos
Derechos
de
de Acceso
Acceso aa Externos
Externos

Certificados
Certificados PKI
PKI
 DA proporciona seguridad para servicios de Internet con
protección de datos mientras se facilita el acceso
 Protocolos seguros, single sign-on
 Windows 2000 Tarjeta Inteligente
Logon

SC
Lector
Lector

1 Inserción tarjeta 4 LSA accede a

provoca ventana la tarjeta y
GINA de Pin obtiene el
certificado

2 Pin de
Usuario 8 La tarjeta descifra el
Ticket usando la clave
privada, y autorizando
al LSA el login del
3 GINA pasa usuario 6 KDC verifica
el PIN a LSA el certificado y
consulta en AD
5 Kerberos envía el certificado
en petición de login al KDC
Kerberos

Kerberos
LSA 7 KDC devuelve Ticket cifrado con clave KDC
de sesión , que a su vez es cifrado
utilizando la clave pública del usuario
 Windows 2000 PKI
Web Segura (Autenticación de Servidor)
Web
Segura
HTTP con SSL/TLS

Internet
Emisión de
Cliente Certificado
Relación de
confianza

Autoridad
Certificación
 Windows 2000 PKI
Firma del Software (Authenticode)
HTTP Servidor
Web
Internet
Usuario
Relación de Publicación
confianza de Software
Certificado
de firmar
Codigo
Autoridad
Certificación
Lector

Cert SC
Desarrollador
 Windows 2000 EFS
Cifrado de ficheros locales

Aplicación

Escritura: Lectura:

La reunión La reunión
de esta … de esta …
Texto en claro

Encrypting File System Driver

Texto cifrado
A#2Cxs A#2Cxs
%k;0)a… %k;0)a…

Almacenamiento Local
 Windows 2000 Kerberos
1. Cliente se
autentifica al
DC

Directorio
KDC Activo
(Autentificacion)

Ticket

Dispositivos
2. El servidor le
Controlador Dominio
asigna un ACL
Ticket al De Windows 2000 Ficheros
cliente Aplicaciones
ACL
Peticion Ticket
(Autorizacion) ACL
3. Cliente pide acceso a un
recurso y presenta su
ticket

4. Recurso

4. El Servidor verifica el ticket, lo

compara con la Lista de Control de Servidores
Maquina Cliente Accesos (ACL) del recurso y permite Windows 2000
o deniega el acceso
 Interoperabilidad Extendida
Aplicación
Aplicación:: Políticas
Políticas de
de Permisos
Permisos:: Cambio
Cambio de
de
Buzón
Buzón dede Exchange
Exchange Root
Root Salario
Salario

Users
Users Machines
Machines Devices
Devices Applications
Applications

Finance
Finance Personnel
Personnel
Derechos
Derechos:: Dar
Dar aa Adm.
Adm.
Fiananciera
Fiananciera más
más Ancho
Ancho
de
de Banda
Banda aa fin
fin de
de mes
mes

 DA proporciona una plataforma integrada y extensible

a otros sistemas a través de interfaces activas,
conectores y mecanismos de sincronización
 ADSI – Active Directory
Service Interface
 Basado WSH (Windows Scripting Host)
Ejemplo ejecución:
cscript //T:30 samplescrip.vbs /parametro

 CreateObject: Permite la llamada a otros

objetos OLE (Ej. Llamar a Excel, Word, ..)
Set oXL=Wscript.CreateObject(“Aplicación Excel)
oXL.workbooks.open TextXL

 En Windows 2000 el entorno WSH puede

acceder al objeto Directorio Activo
 Directorio Activo
Acceso por LDAP

 2 Modalidades

 Distinguised (DN)
 /
O=Internet/DC=COM/DC=Microsoft/CN=Alu
mno/CN=Pepe Perez

 Relative Distinguised Name (RDN)

 CN=Pepe Perez
 Directorio Activo
Usuarios Windows Clientes Windows Servidores Windows
• Info cuentas • Perfil administración • Perfil administración
• Privilegios • info redes • info redes
• Perfiles • Política • Servicio
• Política • Impresoras
• Compartir archivos
Otros • Política
Directorios
• Páginas Dispositivos redes
Directorio Punto focal de: • Configuración
blancas
Activo • Administración • Política Calidad
• Comercio
electrónico • Seguridad de Servicio
• Interoperatibilidad • Política Seguridad
Otros NOS
• Registro
usuario
• Seguridad Servicios de Firewall
• Política • Configuración
Aplicaciones • Política Seguridad
• Config. servidor • Política VPN
Servidores E-Mail
• Sign-On único
• Info buzones Internet
• Info de directorio
• Libreta direcciones
• de aplicaciones
Política

El Directorio Activo le ofrece un punto focal de gestión,

seguridad e interoperatibilidad