Usuarios (Cuentas de usuario)

PC Base de datos

Grupos

Cuenta de usuario: Conjunto de datos almacenados en el directorio, que utiliza el S.O. para identificar al usuario y a los privilegios que tiene.

PC

PC

PC

Servidor

Directorio Global Grupo de trabajo: Agrupacin lgica de computadoras que comparten recursos. Cada computadora tiene su base de datos local. Dominio: un dominio es una agrupacin lgica de computadoras que comparten un directorio centralizado. El equipo donde se encuentra esa base de datos centralizada se llama controlador de dominio. Autenticacin: Proceso que usa el Sistema Operativo para identificar a un usuario y otorgarle o denegarle a una sesin en un equipo.
Inicio de sesin Usuario Contrasea Dominio

Active Directory

Cuando nos logueamos en el active directory el servidor nos entrega un Token para esa sesin. Token User ID (este no cambia, es un campo interno de la base de datos). Sesion ID (este es para cada sesin, cambia cada ves que nos loguemos al servidor). Lista de grupos donde pertenece el usuario.
1

El protocolo de autenticacin y generacin de Token usado por Windows 200 en adelante es el Kerberos. Este es un estndar de la industria por lo que puede ser usado por otros Sistemas Operativos. Autorizacin: Proceso que usa el Sistema Operativo para otrogarle o denegarle el acceso a un usuario, sobre un determinado recurso. c/recurso Archivo Impresin Carpetas Control List). Todos tienen asociado una ACL Microsoft las llama DACL (Directory Access

Las ACL son las listas donde identifica un User ID del Token y los permisos para estos. En un procesos de autorizacin normal el host cliente, al momento de acceder a un recurso, entrega su Token y el servidor compara este contra la ACL para este recurso usando el campo User ID y los permisos para este.

Roles de los Servidores

Domain Controller: Equipo que tiene instalado el Active Directory en un Sistema Operativo. Member Server: Es un servidor que est en el mismo dominio pero que no es servidor de dominio (que no corre active directory). Los servidores que no estn en el dominio se llaman Stand Alone Server. Member Server Stand Alone Server

Servidor

Servidor

Servidor

Servidor Base de datos

Domain Controller

PC

PC

PC

Cuando se instala el primer servidor este es un Stand Alone Server y se le instala el software llamado DCPROMO para que sea Active Directory. Si posteriormente a creado el dominio hago el mismo procedimiento en otro equipo lo que estar haciendo es tener dos servidores de dominio para un mismo dominio, los mismos se sincronizaran entre si, por lo que el que se halla instalado ultimo recibir una copia de la informacin contenida en el primer equipo. El hecho de tener ms de un servidor para un dominio ofrece diferentes beneficios, por ejemplo: Sincronizacin Redundancia Performance WAN

La sincronizacin es debido a que cada servidor replicara la informacin con los servidores restantes. Redundancia es debido a que, en caso de caer un servidor, quedan los restantes, por lo que, el dominio seguir trabajando, tal ves no con la misma performance que lo haca con todos los servidores activos, pero por lo menos no se pierde el servicio. Performance es debido a que, a veces el tamao de la red produce que la carga sea demasiada para un servidor, y de esa forma, gracias a la sincronizacin que hacen los servidores, estos pueden distribuir de forma equitativa la carga de trabajo entre uno y otro, y de esa forma mejorar la performance de funcionamiento de los diferentes servidores en la red. WAN es debido a que, en el caso de sucursales separadas fsicamente y conectadas por un enlace WAN, no sera muy til que los usuarios que no estn en la red local del servidor se autenticaran en el servidor remoto, debido a que los enlaces WAN son lentas y caras, por este mismo motivo se pueden instalar dos servidores conectados por intermedio de un enlace WAN; para optimizar el uso del enlace WAN se pueden configurar los servidores para que sincronicen al momento, enviando solo los cambios, o configurando que almacene los cambios y que los sincronice a una hora determinada, estas posibilidades son parea optimizar y poder sacar el mejor rendimiento de los enlaces WAN. El uso de Active Directory trae aparejado diferentes ventajas con sus antecesores, algunas de ellas son: Integracin DNS, debido a que el usuario, para autenticarse con el servidor necesita la IP del servidor de dominio, lo primero que hace es una consulta DNS para saber la IP del servidor DNS.
Escalabilidad, debido a que el servidor no es esttico, sino que

acompaa el crecimiento de la red.

Administracin centralizada, debido a que el administrador puede controlar la base de datos de forma central en el o los servidores de dominio.

 Administracin delegada, debido a que el administrador puede derivar funciones administrativas especficas a otros administradores de la red.

Elementos de un Active Directory

Active Directory es una base de datos que contiene objetos. Objetos Usuarios Atributos Nombre Contrasea Telfono Lista de grupos Member OF User ID

Schema: Definicin de cuales objetos existen en el A.D y que atributos tienen C/U de ellos. Dominio: Es el conjunto de objetos que se encuentran en un Active Directory y pueden ser administrados centralizadamente. OU (Organization Unit) es una agrupacin lgica y arbitraria (debido a que est hecho a mi gusto) de objetos a fin de facilitar la administracin. Despus de crear el dominio con el DCPROMO, junto con este hay una serie de objetos que vienen por defecto: Usuarios Administrator/Administr ador Guest/Invitado OU = Domain Controllers Dominio OU = Equipo (Computers) OU = Usuarios (Users)

ACME

Acm e
OU=Users OU=Marketing OU=Salto OU=Ventas
Norte S ur

B .AS S

MV D

OU=Marketing

rbol: Conjunto de dominios relacionados jerrquicamente. No se pueden tener dominios y subdominios en un mismo equipo, cada dominio o subdominio es por lo menos un equipo. Los administradores de de los subdominios son delegados de los administradores del rbol (sin importar si cuando se cre el subdominio ese administrador era el administrador del equipo).

Bosques (Forrest)

Bosque (F orrest)

Acm e

Acm e

BS .AS

MV D

UY

US A

Norte

S ur

MV D

Cuando se crea un dominio con nombre Acme, por defecto se crea un rbol llamado Acme y un Bosque con el mismo nombre.

Formas para Agregar un Cliente al dominio

1. En cliente: Mi PC Propiedades Nombre de Equipo -- Nos pedir, Nombre de usuario y contrasea del administrador de dominio.
2. Crear un objeto con el nombre del equipo que agregaremos al

dominio y le damos la ubicacin en la OU que ms nos parezca en el rbol del dominio, de esta forma podremos seguir el procedimiento anterior, con la diferencia que no nos pedir el usuario y la contrasea. El procedimiento 2 nos da el beneficio de decidir nosotros donde colocar la OU que contendr al objeto XXX (nombre del equipo, por ejemplo pablopc), de lo contrario, si unimos un equipo XXX siguiendo el procedimiento 1, el objeto XXX quedara creado en la OU Computers (una de las que viene por defecto cuando se instala un equipo A.D). En el inicio de sesin de los clientes, estos solicitaran : Nombre de usuario Contrasea Dominio / Active Directory Este equipo SA
M 6

A este proceso se le llama Inicio de Sesin Clsico. A partir de Windows 2000 se permite que en el Nombre de Usuario se coloque un @ despus del nombre y se coloque despus el nombre de dominio, cuando se hace esto se inhabilita la casilla para elegir el dominio.

LDAP (Lightweight Directory Access Protocol)

Es un protocolo que permite encontrar un objeto en una base de datos. DSADD Comando para crear objetos por lnea de comandos.

CN = Common Name OU = OU DC = Dominio DSADD dsadd Tipo Objeto user Nombre LDAP cn=pablo Parametros dc=acme

< Acm e>

OU =MK TG

Federico dsadd user "cn=federico,ou=mktg,dc=acme,dc=com,dc=uy" Si vamos a crear un usuario dentro de alguna de las OU que estn por defecto, aunque suene contradictorio cuando se deba especificar el identificador de la OU, hay que poner el mismo como si fuera un Common Name(cn). Por ejemplo, si quisiera agregar al usuario Federico en la OU usuario, debera ponerlo de la siguiente forma: dsadd user "cn=federico,cn=usuario,dc=acme,dc=com,dc=uy" Esto se cumple para todas las OU por defecto.