Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
REPÚBLICA BOLIVARIANA DE VENEZUELA COLEGIO UNIVERSITARIO DE ADMINISTRACIÓN Y MERCADEO CUAM EXTENSIÓN- Cagua Infraestructura de red basada en dominios Autor: Wuilliams Emilio Diaz Delgado C.I: 28.316.917 Informática 07/12/2022 Active Directory es la solución de directorio de Microsoft que admite centralizar la gestión de identidades de acceso a una empresa. Este significativo componente de red se muestra en la forma de un rol del servidor. Un servidor que albergue el rol del servidor Active Directory se conoce como controlador de dominio. Los servicios de dominio Active Directory están apoyados en una arquitectura de directorio LDAP. Este directorio admite en particular registrar el conjunto de información acerca de los usuarios, grupos, equipos, impresoras, contactos, carpetas compartidas y cualquier otro tipo de objeto. Cada tipo de objeto posee un conjunto de caracteres y propiedades que se definen en un esquema propio del funcionamiento de Active Directory. Este esquema permite definir las distintas clases de objetos y de atributos que puede contener la base de datos del directorio. Para examinar a un servicio de directorio Active Directory, las aplicaciones utilizan el protocolo LDAP basado en el conjunto de protocolos TCP/IP. El protocolo LDAP permite interrogar a la base de datos Active Directory empleando el puerto TCP 389, (cuando se trata de un simple controlador de dominio), y el puerto TCP 3268 (cuando se trata de un controlador de dominio que actúa. Así mismo una infraestructura active Directory funciona según una jerarquía que representa una entidad segura que alberga usuarios y equipos. Esta infraestructura forma un árbol compuesto de dominios, árboles de dominio o bosques. Los otros dominios constituyen un árbol notificando entre sí mediante relaciones de confianza. Bosques Es uno o más dominios de Active Directory que comparten las mismas definiciones de clase y atributo, información de sitio y replicación y capacidades de búsqueda para todo el bosque. Dominio Es una entidad administrativa de Active Directory dentro de la que se comparten ciertas funcionalidades y características. Esta entidad de seguridad alberga usuarios y equipos y representa un perímetro en el que las directivas se encuentran definidas. Árboles de dominio Un árbol representa un conjunto de dominios que comparten un mismo espacio de nombres. Varios dominios ubicados en un dominio único y que utilizan un espacio de nombres continuo forman un árbol. Un dominio puede poseer un subdominio, constituyendo así un árbol de una infraestructura Active Directory (por ejemplo: us.infonovice.priv, es.infonovice.priv). El dominio raíz es el dominio de la cima del árbol. Si el espacio de nombres no es continuo, hablamos de un bosque. Niveles funcionales Los niveles funcionales determinan las funcionalidades activas dentro de un dominio o un bosque. Definen a su vez qué sistemas operativos pueden albergar el rol de servidor Active Directory en el dominio o bosque. Niveles funcionales de bosque La selección de un nivel funcional de bosque activa las funcionalidades en el conjunto del bosque. Niveles funcionales de dominio La selección de un nivel funcional de dominio activa las funcionalidades solamente en el conjunto del dominio específico: Controladores de dominio Un controlador de dominio es un servidor que ejecuta el sistema operativo Windows Server en el que un administrador ha implementado los servicios de dominio Active Directory. Existen dos tipos de controladores de dominio: - Los controladores de dominio (en escritura). - Los controladores de dominio de solo lectura (RODC: Read Only Domain Controller). Cada controlador de dominio posee una función particular dentro del dominio. Además de aportar una seguridad adicional empleando la redundancia del servicio Active Directory, un controlador de dominio puede alojar funciones esenciales para el funcionamiento del directorio. Encontramos, en particular, los controladores de dominio que albergan las siguientes funciones: - Roles de maestros de operación (también conocidos como roles FSMO: Flexible Simple Master Operation) - Catálogo global - Roles FSMO Los roles FSMO también se conocen como roles de maestro de operaciones. Existen cinco roles FSMO: - Controlador de esquema: este rol es exclusivo en el bosque. - Maestro de nomenclatura de dominios: este rol es exclusivo en el bosque. - Maestro RID: este rol es exclusivo en cada dominio. - Maestro de infraestructura: este rol es exclusivo en cada dominio. - Emulador PDC (Primary Domain Controller): este rol es exclusivo en cada dominio. Los Sitios Active Directory Los sitios Active Directory son objetos del directorio que se encuentran en la partición de configuración: CN=Sites,CN=Configuration,DC=<Dominio raíz del bosque>. - Objetivo de los sitios Un sitio tiene como objetivo gestionar el tráfico de replicación entre sitios y facilitar la ubicación de los servicios. La necesidad de crear sitios se hace evidente cuando es imperativo identificar y separar una red fuertemente conectada como, por ejemplo, una sede central de un anexo de la empresa que se encuentra en una red remota con una conexión lenta. - Una red fuertemente conectada representa un sitio de Active Directory donde las replicaciones de los cambios aportados a Active Directory son instantáneas. - Una red menos fuertemente conectada estaría representada por conexiones lentas, menos fiables o costosas. No es indispensable replicar los cambios inmediatamente en este tipo de red, para optimizar el rendimiento, reducir los costes o ahorrar ancho de banda. Sería posible realizar por la noche la replicación de las particiones del directorio entre dos sitios para no interferir con el tráfico de los usuarios y penalizar la calidad de servicio en entornos con anchos de banda reducidos. Hablamos de una conexión lenta cuando su ancho de banda es inferior a los 512 Kbps. Es pues recomendable crear un sitio para delimitar esta parte de la red. REPLICACIÓN DE ACTIVE DIRECTORY En una infraestructura Active Directory, cuando un administrador efectúa modificaciones en un controlador de dominio, los datos modificados se replican en el conjunto de los controladores de dominio del bosque. Cuando la replicación tiene lugar entre los controladores de dominio, hablamos de replicación con varios maestros. De este modo, no hay una relación maestro/esclavo entre los controladores de dominio porque cada DC está disponible en escritura. Los controladores de dominio de solo lectura, también llamados RODC, no se encuentran disponibles en escritura y, por tanto, no pueden replicar las posibles modificaciones efectuadas en la base de datos de Active Directory. Por lo tanto, los servidores de RODC reciben datos que mantienen los controladores de dominio en escritura. Hablamos de replicación unidireccional. Un administrador debe asegurarse de que la infraestructura Active Directory replica correctamente toda la información de la base de datos NTDS a través de todos los controladores de dominio del bosque. - Replicación de Active Directory En una infraestructura Active Directory, cada controlador de dominio incluye una copia de la base de datos de Active Directory. Esta base de datos se divide en varias particiones donde el ámbito de la replicación puede abarcar el dominio o el bosque Active Directory. Estas particiones representan el contexto de nomenclatura. Un contexto de nomenclatura corresponde a los elementos siguientes: IMPLEMENTACIÓN DE LAS UNIDADES ORGANIZATIVAS Pueden usarse para organizar cientos de objetos en el directorio dentro de unidades administrables. Las Unidades Organizativas se usarán paraagrupar y organizar objetos con propósitos administrativos, como delegar permisos, asignar políticas de seguridad para uno o varios objetos como uno solo. Las unidades organizativas pueden contener otras unidades organizativas, pero no puede contener objetos de otros dominios. La jerarquía de contenedores se puede extender tanto como sea necesario dentro de un dominio. Ventajas - Las unidades organizativas permiten a disminuir el número de dominios necesarios en una red. - Puede aplicar directivas de seguridad y permisos administrativos a varios objetos(usuarios)como uno solo. - Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. - Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o sólo para una de ellas. - El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Organiza objetos en un dominio Las unidades organizativas contienen los objetos del dominio, como cuentas de usuario, equipo y grupos. Archivos e impresoras compartidas publicados en Active Directory y también pueden estar dentro de una unidad organizativa. Delegar control administrativo Podemos asignar control administrativo, como el control total de permisos sobre objetos de la unidad organizativa, o de forma limitada a modificar la información de Correo electrónico de los usuarios de la unidad organizativa. Reducción de recursos agrupados Podemos usar las unidades organizativas para delegar la autoridad administrativa. Un usuario puede tener privilegios administrativos sobre una unidad organizativa o todas las unidades organizativas de un dominio. Podemos entonces administrar la configuración y uso de las cuentas y recursos basándonos en nuestro propio modelo de organización. En síntesis con lo expuesto, se puede decir que estas redes son un recurso muy significativo en las empresas orientadas al trabajo mediante terminales informáticos, es el uso de usuarios y permisos. Como se podrá entender, en un entorno de trabajo en donde existir más de 300 equipos interconectados mediante una red LAN dividida en sub-redes, la configuración de los sistemas operativos en cuanto a usuarios, premisos de acceso y bandejas de correo no se puede hacer por los métodos tradicionales de ir uno a uno por los equipos. Para ello, lo que realmente se necesita es un ordenador o servidor que se dedique a estas funciones de creación de usuarios y asignación de permisos. Es precisamente aquí en donde entra en juego Active Directory como herramienta principal para dicho trabajo.
Compartir