------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

Module 2: Introduction to Active Directory DomainServices

------------------------------------------------------------------------------------------------------------------------------------------

------------------------------------------------------------------------------------------------------------------------------------------

En un Grupo de trabajo, la autentificacion de los usuarios (comprobar la validez de su nombre y contraseña) se hace a nivel local

en cada maquina. cada maquina guarda su propia base de datos de usuarios y contraseñas que en windows se denomina SAM

(Security Account Manager). esto hace que sea complicado trabajar en red.

AD DS (Active directory Domain Services) es un servicio que consta de varios componentes. estos componentes son tanto fisicos

como logicos.

Controladores de dominio:

Son servidores que almacenan una copia de la base de datos del directorio activo (Data Store) Son las maquinas que gestionan

todas las actividades en el dominio: recursos, Autenticacion, autorizacion, permisos, credenciales, ....

Una buena practica es contar con un minimo de 2 DC (Domain controller) en el dominio. La base de datos se replica

constantemente entre ellos y si uno falla el otro mantiene el funcionamiento del dominio

Base de datos del directorio activo (ntds.dit)

NTDS: NT Domain Services

DIT: Directory Information Tree

C:\Windows\SYSVOL aquí se encuentran las directivas de grupo.

RODC (Read Only Domain Controller):

Es un DC que almacena una copia de solo lectura del directorio activo. Se usa en sucursales para mejorar el rendimiento, pero

sin comprometer la seguridad del dominio. Además, un RODC no almacena (por defecto) credenciales en cache.

Catalogo Global:

Es un subconjunto del directorio activo.

adatum.com: Usuarios, grupos, equipos, recursos... Cada objeto tiene un conjunto de atributos:

•Usuario: Nombre de usuario, password, grupos a los que pertenece, teléfono, departamento, empresa, dirección...

contoso.com: Para que un usuario de adatum.com acceda a recursos de contoso.com solo algunos atributos de ese usuario

(nombre de usuario, password y grupos a los que pertenece). Los DC de contoso.com almacenan ese subconjunto de atributos

de objetos de adatum.com

El catalogo global es un subconjunto de atributos que se almacena en todos los DCs de todos los dominios de un mismo

bosque.

Componentes logicos de AD DS:

Pariciones: el archivo ntds.dit esta dividido a nivel logico en varios trozos que se denominan "particiones"

tenemos varias particiones(contextos de nombres o naming contex) :

-esquema (schema):almacena las plantillas de todos los objetos del directorio activo.

-catalogo global (Global Catalogue)

-Configuracion(configuration): almacena la estructura del directorio activo como sitios, dominios, subdominios,

...

Cada particion esta gestionada por una funciona que se ejecuta en una maquina concreta. la maquina que lleva a cabo esa

operacion se llama maestro de operaciones en ingles FSMO

(Flexible single master operation).

inicialmente todos los FSMO estan en el primer DC que creamos en el bosque. hay 5 maestros de operaciones.

comando

para consultas al dominio

netdom query

para saber donde estan los maestros de operaciones o fmso

netdom query fsmo

schema master:almacena las plantillas de todos los objetos del directorio activo.

SID: Security identifier (S-1-0-5-1234-12312312....-354) parte fija identificando si es usuario equipo

dominio etc parte variable

RID: Relative indentifier parte variable del SID

domain naming master: indica si esta o no dispoble un nombre de dominio almacena la lista de

dominios creados y la relacion entre ellos

Infraestructure master: conoce donde estan los equipos y los controladores de dominios para mandar a las

maquinas conectarse al DC mas cercano

PDC emulator: primary domain controller. Permite mantener la compatibilidad con funciones antiguas que ejecutaban en un

directorio activo como windows NT

para cambiar la ubicacion de los operation masters

comando cmd:

ntdsutil

aqui ROL es igual a FSMO

sirve para hacer copias de seguridad del DC transferir fsmo etc

ntdsutil roles

cuando esta activo el origen TRANSFER

cuando esta caido el origen SEIZE

para preguntar donde estan los FSMO con ntdsutil

ntdsutil > roles > connections: connect to server lon-dc1

quit para volver de instancia

desde FSMO maintenance: Select operation target

list roles for connectecd server

nomenglaturas LDAP CN=LON-DC1,DC=adatum,DC=com

el directorio activo sigue el estandar LDAP (lightweight directory acces protocol). otros servicios de directorio que siguen el

estandar y con los que podemos interactuar son:

-openLDAP linux

-oracle directory Services. incluido con oracle identity and acces manager (OIAM)

consultar maestros de operaciones desde GUI

tools> active directory users and computers

solo aparecen 3 por que son uno para cada dominio dentro del bosque

desde powershell

get-adforest

saca roles a nivel de arbol schema master y naming master

get-addomain

saca roles a nivel controlador de dominio infraestructure master, RID master, PDC emulator

con estos comando consultas al dominio con el que hayas iniciado sesion

schema master y domaing naming master fucionan a nivel de todo el bosque solo hay uno en todo el bosque

para ver donde esta el schema master en modo grafico

mmc > add snap-in> no aparece ninguna consola que lo muestre

esto se hace por que el schema no se debe tocar nunca

es una dll sin registrar

para que se muestre en mmc registrarla la DLL

regsvr32 schmmgmt.dll

despues de registrar la dll aparecera como active directory schema

otro metodo es en Server manager Tools ADSI EDIT

solo se utilizara cuando no se pueda hacer desde otro sitio

DOMINIO:

un dominio es un contenedor de objetos: Usuarios, grupos, equipos, ...

la nueva version del RID Master permite tener en un dominio hasta 2.000.000.000 de objetos

no tiene limites fisicos ni esta asociado a una red o subred concreta.

En el dominio la base de datos del ad se replica completa y de forma constante.

Arbol: conjunto de dominios que comparten una parte de su esquema de nombres (contexto de nombres) ejemplo:

arbol 1: adatum.com, madrid.adatum.com, sistemas.adatum.com, segovia.adatum.com

arbol 2: contoso.com, madrid.contoso.com, sistemas.contoso.com, logistica.valencia.contoso.com

Bosque: es un conjunto de arboles bajo una administracion comun

el primer dominio que creamos en un bosque se denomina dominio raiz (Root Domain). para nosotros adatum.com

tipo de replicacion en dominio : replicacion multimaster

ahora todos los controladores de dominio son root domain

en el dominio raiz tenemos objetos que no exiten en los otros dominios.

- Enterprise administrator: grupo con privilegios administrativos sobre TODOS los dominios

del bosque

- Schema Admins: Grupo con privilegios para la administracion del esquema.

a nivel de cada dominio particular tenemos otros objetos:

-Domain admins: tienen privilegios administrativos SOLO en su dominio

active directory users and computers

dsa.msc

Replicacion Multimaster:

Cualquier DC de un dominio puede ser el origen de cambios y se replicaran a todos los demas DCs de ese dominio.

El metodo de replicacion utilizado por el directorio activo es:

-FSR (File System Replication) windows server 2012 o anteriores

-DFS (Distributed File System) windows server 2012 R2

En windows server 2012 o anteriores teniamos la posibilidad de usar FSR o DFS. apartir de windows 2012 server R2 solo

podemos usar DFS.

Los DCs son los encargados de:

-autenticacion: Validar credenciales. comprobar que tenemos un usuario y contraseña validos

-autorizacion: Determinar el nivel de permisis que tiene un usuario sobre los recursos. Decidir que privilegios se le asignan.

permisos: lectura escritura modificacion ejecucion ... sobre archivos y carpetas

Privilegios: iniciar sesion local, iniciar sesion remota, apagar un equipo, modificar el fondo de pantalla, hacer

copias de seguridad, ....

Todos los dominios en un bosque mantienen las relaciones de confianza con el resto de los dominios de ese mismo bosque.

un usuario de cualquier dominio puede iniciar sesion en otro dominio del mismo bosque y se puede dar permisos a un usuario

de cualquier dominio sobre recursos de un mismo bosque.

Unidades organizativas (OU):

son contenedores a los que podemos aplicar GPOs

Se utilizan para reflejar la estructura jerarquica de la empresa. por ejemplo, podemos tener un dominio madrid.adatum.com con

las siquientes OUs:

-sistemas

- portatiles <-- GPO (Firewall)

- sobremesa

- servidores <-- GPO (password 14 caracteres)

-logistica <-- administracion delegada

- paqueteria

- contabilidad

-administracion

ademas, podemos delegar la administracion de una OU

para diferenciar UO de un container es si se puede o no delegar el control

En un dominio, cualquier objeto esta identificado por su SID (Security indentifier).

Si una maquina virtual esta unida a un dominio, tambien esta identificada por su SID, y podemos clonar o copiar maquinas

virtuales.

desde windows server 2012 podemos clonar maquinas virtuales, incluso controladores de dominio.

Para disinguir entre la maquina original y la clonada, windows server 2012 introduce el VM-generation ID. una maquina

virtual y su con tendran el mismo SID, pero diferente VM-Genetarion ID

Necesitamos un Hypervisor que soporte VM-Generaction ID:

-hyper-V (microsoft)

-VMware

-Citrix

ademas de clonar VMs nos permite trabajar con snapshots

el directorio activo utiliza para su base de datos numeros de secuencia para saber que controlador de dominio tiene los ultimos

cambios

cuando haces una snapshot el vm generation ID se actualiza para que cuando se haga un rollback sepa que viene de una

snapshot y se sincronice con el controlador de dominio mas actualizado.

ANTES

Para actualizar un directorio activo a la nueva version (antes de windows server 2012), era necesario preparar el esquema

para acoger las nuevas carasteristicas.

por ejemplo: para actualizar de 2003 a 2008, era necesario preparar el esquema para caracteristicas como la papelera de

recliclaje de AD.

la preparacion implicaba 2 comando:

adprep /forestprep

adprep /domainprep

estan en el CDwindows:\support\adprep

para actualizar versiones de windows server

si tienes una maquina dc en 2008 hay que meter el dvd de 2012 y ejecutar adprep /forestprep adprep /domainprep y despues

actualizar

si tienes una maquina dc en 2008 y consigues otra maquina con 2012 unes la 2012 al dominio promocionas a dc esperas que

replique con el 2008 y ya podrias quitar el 2008

Control de acceso:

Permite controlar el acceso a los recursos de una forma mas detallada y flexible usando DAC (Dynamic Access Control). es una

evolucion de NTFS

AD recycle bin:

En windows server 2008 R2, para activar y gestionar la papelera de reciclaje de AD solo podiamos usar powershell

En windows server 2012 se activa y gestiona desde el AD administrative Center

una vez activada ya no se puede desactivar

se activa en todo el bosque

MUY IMPORTANTE PARA EL EXAMEN

Workplace Join:

es una solucion de BYOD (Bring Your Own Device):

Dispositivos (smartphones tablets, portatiles personales, ...) que no pertenencen al dominio, reciben temporalmente acceso a

recursos del dominio

Un sistema completo de MDM (Mobile Device Management) es Microsoft Intune

Authentication:

TGT: Ticket Granting Ticket es de kerberos v5 dura 8 horas

el dominio le da un ticket al usuario con los accesos disponibles y el usuario usa ese ticket para entrar al equipo y a los recursos

IFM (Installation From Media):

para evita la replicacion de toda la base de datos del AD atraves de la red, podemos hacer una copia de ella en un pendrive, un

dvd,...

Promocionamos el nuevo DC desde el pendrive

no podemos hace la copia de la base de datos en funcionamiento

opciones:- parar el dominio.

- hacer una snapshot de la base datos. (ntdsutil)

EJERCICIO

promocionar LON-CORE a DC en ADATUM de forma remota usando Powershell desde LON-DC1

LON-CORE

LON-DC1

para promocionar de forma segura almacenamos en una variable el usuario y constraseña del admin

$_credencial=(Get-Credential)

sin variable

install-ADDSDomainController -domainname adatum.com -credential (Get-Credential)

con variable

install-ADDSDomainController -domainname adatum.com -credential $_credencial

ahora promocionar LON-SRV1 a DC de adatum con IFM haciendo instantanea del AD en LON-DC1

tomamos LON-DC1 como origen y vamos a copiar la base de datos del AD para promocionar LON-srv1 a DC mediante IFM

1.copiar la base de datos:

-ntdsutil

-activate instance ntds

-ifm

-Create sysvol Full C:\IFM

2.llevamos el contedio de c:\ifm a la maquina que vamos a promocionar (LON-SRV1)

3.instalamos rol de ad ds en LON-SRV1 y promocionamos con IFM

Cloud Computing

IaaS (Infrastructure as a service):

contratamos espacio de almacenamiento, memoria RAM y capacidad de procesamiento (CPU). azure (nube publica de

microsoft) amazon elastic cloud computing (EC2), google compute engine (GCE).

PaaS (Platform as a service):

gestionamos un servicio como una base de datos sin tener que preocuparnos del sistema operativo en el que esta instalada.

azure amazon db. por ejemplo una maquina para montar un directorio activo

SaaS (Software as a service):

Tienda virtual, correo electronico, alamcenamiento, gestion de fotos etc. google apps, google docs, dropbox, gmail en resumen

ofrecen una aplicacion sin saber sobre que sistema esta funcionando ni cuantos recursos utiliza.

Clonado de controladores de dominio virtuales

DHCP es incompatible con el clonado

En windows server 2012 R2 podemos clonar cualquier maquina virtual ya que soporta VM-Generation ID

Requisitos para clonar una maquina virtual

- Sistema operativo e Hypervisor que soporten VM-generation ID.

- El inconveniente es que tenemos que parar la maquina origen

Requisitos para clonar un DC virtual

- Lista de roles compatibles para clonar:

tenemos que obtener esta lista desde powershell

- Obtener un archivo de configuracion para la maquina clonada: nombre de la maquina, direccion IP, mascara, sitio...

- La maquina original de estar en el grupo "Cloneable Domain Controllers" una vez hecho el clonado, sacamos las maquinas

de este grupo para evitar clonado no autorizados.

- El inconveniente es que tenemos que parar la maquina origen

Vamos a clonar LON-DC1 -> LON-DC2

Despues de clonar siempre eliminar del grupo por seguridad

ahora desde powershell

comando para consultar aplicaciones incompatibles con el clonado y que va a excluir del clonado

get-ADDCCloningExcludedApplicationList -GenerateXml

APRENDERSE CustomDCCloneAllowList.xml

New-ADDCCloneConfigFile:

para saber -sitename

contenido del archivo DCCloneconfig.xml

<?xml version="1.0"?>

<d3c:DCCloneConfig xmlns:d3c="uri:microsoft.com:schemas:DCCloneConfig">

<ComputerName>LON-DC2</ComputerName>

<SiteName>default-first-site-name</SiteName>

<IPSettings>

<IPv4Settings>

<StaticSettings>

<Address>192.168.10.11</Address>

<SubnetMask>255.255.255.0</SubnetMask>

<DefaultGateway>192.168.10.2</DefaultGateway>

<DNSResolver>192.168.10.10</DNSResolver>

</StaticSettings>

</IPv4Settings>

</IPSettings>

</d3c:DCCloneConfig>

se apaga LON-DC1

ahora se copia la mv

se inicia LON-DC1

por que el PDC master tiene que entar en funcionamiento y esta en el LON-DC1

y ahora se inicia LON-DC2

despues de esto ya estaria 100% operativa

despromocionar un DC para crear un DC hijo

manage > remove roles and features

primero despromocionar despues eliminar rol

para crear un dominio

Powershell

install-ADDSDomaincontroller: añadir un DC a un dominio ya existente. como hicimos con LON-CORE, que lo añadimos como un

DC adicional a adatum.com

install-ADDSDomain: añadir un dominio nuevo al bosque. puede ser un dominio hijo de otro ya existente (extendemos el arbol)

o un arbol nuevo dentro del bosque (contoso.com cuando ya tenemos adatum.com)

install-ADDSForest: crear un dominio y arbol nuevo desde 0