Infraestructura de red basada en dominios WUILLIAMS DIAZ

Vista previa del material en texto

REPÚBLICA BOLIVARIANA DE VENEZUELA 
COLEGIO UNIVERSITARIO DE ADMINISTRACIÓN Y MERCADEO 
CUAM EXTENSIÓN- Cagua 
 
 
 
 
 
 
 
 
Infraestructura de red basada en 
dominios 
 
 
 
 
 
 
Autor: 
Wuilliams Emilio Diaz Delgado 
C.I: 28.316.917 
Informática 
 
 
07/12/2022 
Active Directory es la solución de directorio de Microsoft que admite centralizar 
la gestión de identidades de acceso a una empresa. Este significativo 
componente de red se muestra en la forma de un rol del servidor. Un servidor 
que albergue el rol del servidor Active Directory se conoce como controlador de 
dominio. Los servicios de dominio Active Directory están apoyados en una 
arquitectura de directorio LDAP. Este directorio admite en particular registrar el 
conjunto de información acerca de los usuarios, grupos, equipos, impresoras, 
contactos, carpetas compartidas y cualquier otro tipo de objeto. Cada tipo de 
objeto posee un conjunto de caracteres y propiedades que se definen en un 
esquema propio del funcionamiento de Active Directory. Este esquema permite 
definir las distintas clases de objetos y de atributos que puede contener la base 
de datos del directorio. 
 
Para examinar a un servicio de directorio Active Directory, las aplicaciones 
utilizan el protocolo LDAP basado en el conjunto de protocolos TCP/IP. El 
protocolo LDAP permite interrogar a la base de datos Active Directory empleando 
el puerto TCP 389, (cuando se trata de un simple controlador de dominio), y el 
puerto TCP 3268 (cuando se trata de un controlador de dominio que actúa. Así 
mismo una infraestructura active Directory funciona según una jerarquía que 
representa una entidad segura que alberga usuarios y equipos. Esta 
infraestructura forma un árbol compuesto de dominios, árboles de dominio o 
bosques. Los otros dominios constituyen un árbol notificando entre sí mediante 
relaciones de confianza. 
 
 
 
 
 
 
 
 
 
Bosques 
Es uno o más dominios de Active Directory que comparten las mismas 
definiciones de clase y atributo, información de sitio y replicación y capacidades 
de búsqueda para todo el bosque. 
 
Dominio 
Es una entidad administrativa de Active Directory dentro de la que se comparten 
ciertas funcionalidades y características. Esta entidad de seguridad alberga 
usuarios y equipos y representa un perímetro en el que las directivas se 
encuentran definidas. 
 
Árboles de dominio 
Un árbol representa un conjunto de dominios que comparten un mismo espacio 
de nombres. Varios dominios ubicados en un dominio único y que utilizan un 
espacio de nombres continuo forman un árbol. Un dominio puede poseer un 
subdominio, constituyendo así un árbol de una infraestructura Active Directory 
 
(por ejemplo: us.infonovice.priv, es.infonovice.priv). 
 
El dominio raíz es el dominio de la cima del árbol. Si el espacio de nombres no 
es continuo, hablamos de un bosque. 
 
 
 
 
 
 
 
 
 
Niveles funcionales 
Los niveles funcionales determinan las funcionalidades activas dentro de un 
dominio o un bosque. Definen a su vez qué sistemas operativos pueden albergar 
el rol de servidor Active Directory en el dominio o bosque. 
Niveles funcionales de bosque 
La selección de un nivel funcional de bosque activa las funcionalidades en el 
conjunto del bosque. 
Niveles funcionales de dominio 
La selección de un nivel funcional de dominio activa las funcionalidades 
solamente en el conjunto del dominio específico: 
Controladores de dominio 
Un controlador de dominio es un servidor que ejecuta el sistema operativo 
Windows Server en el que un administrador ha implementado los servicios de 
dominio Active Directory. 
Existen dos tipos de controladores de dominio: 
- Los controladores de dominio (en escritura). 
- Los controladores de dominio de solo lectura (RODC: Read Only Domain 
Controller). 
Cada controlador de dominio posee una función particular dentro del dominio. 
Además de aportar una seguridad adicional empleando la redundancia del 
servicio Active Directory, un controlador de dominio puede alojar funciones 
esenciales para el funcionamiento del directorio. Encontramos, en particular, los 
controladores de dominio que albergan las siguientes funciones: 
- Roles de maestros de operación (también conocidos como roles FSMO: 
Flexible Simple Master Operation) 
- Catálogo global 
- Roles FSMO 
Los roles FSMO también se conocen como roles de maestro de operaciones. 
Existen cinco roles FSMO: 
- Controlador de esquema: este rol es exclusivo en el bosque. 
- Maestro de nomenclatura de dominios: este rol es exclusivo en el bosque. 
- Maestro RID: este rol es exclusivo en cada dominio. 
- Maestro de infraestructura: este rol es exclusivo en cada dominio. 
- Emulador PDC (Primary Domain Controller): este rol es exclusivo en cada 
dominio. 
 
Los Sitios Active Directory 
Los sitios Active Directory son objetos del directorio que se encuentran en la 
partición de configuración: 
CN=Sites,CN=Configuration,DC=<Dominio raíz del bosque>. 
- Objetivo de los sitios 
Un sitio tiene como objetivo gestionar el tráfico de replicación entre sitios y 
facilitar la ubicación de los servicios. La necesidad de crear sitios se hace 
evidente cuando es imperativo identificar y separar una red fuertemente 
conectada como, por ejemplo, una sede central de un anexo de la empresa que 
se encuentra en una red remota con una conexión lenta. 
- Una red fuertemente conectada representa un sitio de Active Directory donde 
las replicaciones de los cambios aportados a Active Directory son instantáneas. 
- Una red menos fuertemente conectada estaría representada por conexiones 
lentas, menos fiables o costosas. No es indispensable replicar los cambios 
inmediatamente en este tipo de red, para optimizar el rendimiento, reducir los 
costes o ahorrar ancho de banda. Sería posible realizar por la noche la 
replicación de las particiones del directorio entre dos sitios para no interferir con 
el tráfico de los usuarios y penalizar la calidad de servicio en entornos con 
anchos de banda reducidos. Hablamos de una conexión lenta cuando su ancho 
de banda es inferior a los 512 Kbps. Es pues recomendable crear un sitio para 
delimitar esta parte de la red. 
REPLICACIÓN DE ACTIVE DIRECTORY 
En una infraestructura Active Directory, cuando un administrador efectúa 
modificaciones en un controlador de dominio, los datos modificados se replican 
en el conjunto de los controladores de dominio del bosque. Cuando la replicación 
tiene lugar entre los controladores de dominio, hablamos de replicación con 
varios maestros. De este modo, no hay una relación maestro/esclavo entre los 
controladores de dominio porque cada DC está disponible en escritura. Los 
controladores de dominio de solo lectura, también llamados RODC, no se 
encuentran disponibles en escritura y, por tanto, no pueden replicar las posibles 
modificaciones efectuadas en la base de datos de Active Directory. Por lo tanto, 
los servidores de RODC reciben datos que mantienen los controladores de 
dominio en escritura. Hablamos de replicación unidireccional. 
Un administrador debe asegurarse de que la infraestructura Active Directory 
replica correctamente toda la información de la base de datos NTDS a través de 
todos los controladores de dominio del bosque. 
- Replicación de Active Directory 
En una infraestructura Active Directory, cada controlador de dominio incluye una 
copia de la base de datos de Active Directory. Esta base de datos se divide en 
varias particiones donde el ámbito de la replicación puede abarcar el dominio o 
el bosque Active Directory. Estas particiones representan el contexto de 
nomenclatura. Un contexto de nomenclatura corresponde a los elementos 
siguientes: 
IMPLEMENTACIÓN DE LAS UNIDADES ORGANIZATIVAS 
Pueden usarse para organizar cientos de objetos en el directorio dentro de 
unidades administrables. Las Unidades Organizativas se usarán paraagrupar y 
organizar objetos con propósitos administrativos, como delegar permisos, 
asignar políticas de seguridad para uno o varios objetos como uno solo. Las 
unidades organizativas pueden contener otras unidades organizativas, pero no 
puede contener objetos de otros dominios. La jerarquía de contenedores se 
puede extender tanto como sea necesario dentro de un dominio. 
Ventajas 
- Las unidades organizativas permiten a disminuir el número de dominios 
necesarios en una red. 
- Puede aplicar directivas de seguridad y permisos administrativos a varios 
objetos(usuarios)como uno solo. 
- Puede utilizar unidades organizativas para crear un modelo administrativo que 
se puede ampliar a cualquier tamaño. 
- Un usuario puede tener autoridad administrativa para todas las unidades 
organizativas de un dominio o sólo para una de ellas. 
- El administrador de una unidad organizativa no necesita tener autoridad 
administrativa sobre cualquier otra unidad organizativa del dominio. 
Organiza objetos en un dominio 
Las unidades organizativas contienen los objetos del dominio, como cuentas de 
usuario, equipo y grupos. Archivos e impresoras compartidas publicados en 
Active Directory y también pueden estar dentro de una unidad organizativa. 
Delegar control administrativo 
Podemos asignar control administrativo, como el control total de permisos sobre 
objetos de la unidad organizativa, o de forma limitada a modificar la información 
de Correo electrónico de los usuarios de la unidad organizativa. 
Reducción de recursos agrupados 
Podemos usar las unidades organizativas para delegar la autoridad 
administrativa. Un usuario puede tener privilegios administrativos sobre una 
unidad organizativa o todas las unidades organizativas de un dominio. Podemos 
entonces administrar la configuración y uso de las cuentas y recursos 
basándonos en nuestro propio modelo de organización. 
 
 
 
 
 
 
 
 
 
 
 
 
 
En síntesis con lo expuesto, se puede decir que estas redes son un recurso muy 
significativo en las empresas orientadas al trabajo mediante terminales 
informáticos, es el uso de usuarios y permisos. Como se podrá entender, en un 
entorno de trabajo en donde existir más de 300 equipos interconectados 
mediante una red LAN dividida en sub-redes, la configuración de los sistemas 
operativos en cuanto a usuarios, premisos de acceso y bandejas de correo no 
se puede hacer por los métodos tradicionales de ir uno a uno por los equipos. 
 
Para ello, lo que realmente se necesita es un ordenador o servidor que se 
dedique a estas funciones de creación de usuarios y asignación de permisos. Es 
precisamente aquí en donde entra en juego Active Directory como herramienta 
principal para dicho trabajo.