CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

martes, 12 de agosto de 2008

ADMINISTRACIÓN

QUE ES DIRECTORIO ACTIVO

Directorio Activo o Active Directory (AD) Es el término utilizado por Microsoft para referirse a su implementación de Servicio de Directorio (SD) en una red distribuida de computadores. Es una base de datos que presta información sobre recursos, usuarios, equipos en una empresa.


* Sirve para almacenar en forma centralizada la información relativa a un dominio de autenticación.
*Facilita el control, la Administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos.
* Se centraliza la Administración de Seguridad.
* Provee una mejor delegación de la Autoridad Administrativa.
* Ofrece escalabilidad muy superior a los límites de Windows NT.
* Maneja usuarios, grupos, o computadores como una objetos definidos en él, beneficiando sustancialmente la empresa.
* Genera relaciones de confianza entre bosques de Directorios Activos permitiendo relaciones de confianza entre organizaciones que tengan vínculos comerciales y que no sean del mismo grupo matriz.


INFRAESTRUCTURA DE ACTIVE DIRECTORY

BOSQUE: Infraestructura completa de AD.Consiste en uno o más Trees.
ARBOL (Tree): Conjunto de dominios, consiste en 2 0 más dominios agrupados juntos en estructuras de jerarquía llamadas Domain Trees.
DOMINIOS: Unidades Organizacionales core (básica) de la estructura lógica de Active Directory.
UNIDADES ORGANIZATIVAS: Contenedor de objetos para organizar otros objetos con própositos Administrativos. Permiten organizar objetos en un dominio, nos permiten delegar control administrativo, simplifican la administración de los recursos comúnmente agrupados.
OBJETOS: Componentes básicos de la estructura Lógica, entre estos están las impresoras y los equipos.













El Directorio Activo también está compuesto por 5 Maestros de Operaciones que ofrecen información puntual sobre los objetos y recursos que se encuentran en la red. Estos son: Los Maestros de Esquema, que muestran los perfiles y características de los objetos del Bosque; el Maestro de Infraestructura, que localiza los objetos dentro de un dominio; Maestro de Nombres de Dominio, controla la adición y el retiro de Dominios en el Bosque; Maestro de Identificación Relativa, que asigna un número único de identificación para cada objeto y/o recurso en el Dominio; y, el PDC, Controlador de Dominio Primario, es el primer Controlador que se crea en el Dominio y del cual se administran todos los objetos del dominio.

Active Directory contiene 3 Herramientas Administrativas, denominadas Consolas, desde las cuales se puede administrar los Dominios y Bosques, estos son: Usuarios y Equipos, Sitios y Servicios, Dominios y Confianzas.

Usted también puede administrar su Directorio Activo remotamente, siguiendo los siguientes pasos:

- Debemos estar logueados en el dominio en el cual está el equipo servidor; como cliente en Windows XP.
- Tener los permisos suficientes para instalar las herramientas administrativas, o simplemente como administrador de la máquina.
- Insertamos el cd de Windows Server 2003 ó 2000
- Abrimos la carpeta i386
- Luego abrimos la carpeta de instalación Admin.Pack
- Instalamos
- Abrimos la ventana ejecutar
- Copiamos mmc
- Archivo
- Agregar o quitar complementos
- Agregar
- Escogemos el Servidor que deseamos Administrar
- Aceptar
- Agregar
- Cerrar.
* Ya, en la consola debe aparecer el Servidor que vamos a Administrar.
* En Inicio, debe aparecer Herramientas Administrativas.

Las Herramientas Administrativas permiten a los administradores de red: agregar, buscar, cambiar la configuración de equipos y objetos del Directorio Activo.
Las más usadas son:
- Usuarios y equipos de Active Directory.
- Sitios y servicios de Active Directory.
- Dominios y confianzas de Active Directory.
- Administración de Equipos.
- DNS.
- Escritorio Remoto.

MMC (Microsoft Management Console): Se usa para crear, guardar y abrir Herramientas Administrativas, llamadas Consolas, que administran el hardware, software y componentes de red de su S.O Windows. MMC se ejecuta en todos los S.O clientes que se admiten actualmente.
Los Derechos específican las acciones que pueden realizar los miembros de un grupo de seguridad en un dominio o bosque.

Los Permisos específican los recursos a los que puede obtener acceso un miembro de grupo en la red.

Los GRUPOS son un conjunto de cuentas de Usuario y de Equipo (objetos) que se pueden administrar como una sola unidad. Se utilizan para simplificar la Administración.


















En Active Directory existen dos tipos de Grupo:
* SEGURIDAD: Se utiliza para asignar derechos y permisos de usuario.
* DISTRIBUCIÓN: Solo se puede usar con aplicaciones de correo electrónico. No se pueden utilizar para cambiar permisos, debido a que no tienen habilitada la seguridad. Es utilizado para cambiar objetos relacionados.

Existen los siguientes ámbitos de grupo:
- Global
- Local de Dominio
- Universal
- Local

Los Grupos Globales, son grupos de distribución o de seguridad que pueden contener usuarios, grupos y equipos procedentes del mismo dominio que el grupo global. Puede utilizar grupos de seguridad globales para asignar derechos y permisos de usuario a los recursos de cualquier dominio. En modo mixto, los Grupos Globales, pueden contener cuentas de usuario del mismo dominio y pueden ser miembros de Grupos locales de dominio. En modo nativo, contienen Cuentas de usuario, cuentas de equipo y grupos globales del mismo dominio, y puede ser miembro de Grupos Universales y grupos locales de dominio en todos los grupos de dominio y globales del mismo dominio.Puede ser visto en todos los dominios del bosque y dominios de confianza. Tiene Permisos en todos los dominios del bosque y dominios de confianza.

Los Grupos Universales, son grupos de distribución o de seguridad que, en modo nativo contiene Cuentas de usuario, cuentas de equipo, grupos globales y otros grupos universales de cualquier dominio del bosque; puede ser miembro de Grupos locales de dominio y universales de cualquier dominio.Es visible en todos los dominios de un bosque. Concede permisos a grupos universales para todos los dominios de un bosque. Este grupo no se puede aplicar en modo mixto.

Los Grupos de Dominio Local, son grupos de seguridad o de distribución que, en modo mixto contiene cuentas de usuario, cuentas de equipo y grupos globales de cualquier dominio; no puede ser miembro de ningún otro grupo. En modo nativo puede contener cuentas de usuario, cuentas de equipo, grupos globales y grupos universales de cualquier dominio del bosque, y grupos locales de dominio del mismo dominio; y puede ser miembro de Grupos locales de dominio del mismo dominio. Es visible solo en su propio dominio. Tiene permisos sobre el Dominio al que pertenece.

El Grupo Local es un conjunto de cuentas de usuario y grupos de dominio creados en un servidor miembro o en un servidor independiente. Se utiliza para anidar grupos globales y poder asignar permisos a recursos relacionados de varios dominios. En ocasiones se le llama Grupo Locales de Equipo.

Ahora pasó a hablar sobre los permisos que se le asignan a las cuentas de usuario o cuentas de equipo sobre las carpetas, archivos y/o recursos. Existen dos clases de permisos: NTFS y los de carpetas compartidas.

Los permisos NTFS son usados para el control de acceso. Definen la manera en la que los grupos, usuarios y aplicaciones pueden acceder al sistema de archivos. Existen cinco tipos de permisos NTFS: lectura, escritura, lectura y ejecución, modificación y control total.


Los permisos de carpetas compartidas sólo se aplican a los usuarios que acceden a las mismas desde la red y no afectan a los usuarios que accedan desde el equipo donde se encuentra la carpeta compartida. Los permisos pueden asignarse a cuentas de usuarios, grupos y cuentas de equipo. Estos permisos son: Lectura, cambio (modificar), control total.



ESTRATEGIAS DE GRUPOS


AGP: En AGP, se colocan cuentas de usuario (A) en grupos globales (G) y se conceden permisos (P) a los grupos globales. Esta estrategia presenta la limitación de complicar la administración cuando se utilizan varios dominios. Si los grupos globales de varios dominios necesitan los mismos permisos, debe conceder permisos a cada uno de los grupos globales de forma individual.


Utilice AGP para bosques con un dominio, a los que no agregará nunca otros dominios, y con muy pocos usuarios.


AGP tiene las siguientes ventajas:
*No se anidan los grupos y, por lo tanto, la solución de problemas puede simplificarse.
* Las cuentas pertenecen a un único ámbito de grupo.


AGP tiene las siguientes desventajas:
*Cada vez que un usuario se autentica con un recurso, el servidor debe comprobar la pertenencia al grupo global para determinar si el usuario es aún miembro del grupo.
* Se degrada el rendimiento debido a que el grupo global no se almacena en caché.


ADLP: En ADLP, se colocan cuentas de usuario (A) en grupos globales (DL) y se conceden permisos (P) a los grupos locales de dominio. Esta estrategia presenta una limitación: no permite conceder permisos para recursos que se encuentran fuera del dominio. Por lo tanto se reduce la flexibilidad a medida que crece la red.


Utilice ADLP para un bosque que reúna los siguientes requisitos:
* El bosque solo tiene un dominio y muy pocos usuarios.
* No se agregarán nunca otros dominios al bosque.
* No hay servidores miembro de Microsoft Windows NT 4.0 en el dominio.


ADLP tiene las siguientes ventajas:
*Las cuentas pertenecen sólo a un único ámbito de grupo.
*No se anidan los grupos y, por lo tanto, la solución de problemas puede
simplificarse.


ADLP tiene las siguientes desventajas:
*Se degrada el rendimiento debido a que cada grupo local de dominio tiene varios miembros que deben autenticarse.



AGDLP: En AGDLP, se colocan cuentas de usuario (A) en grupos globales (G), se colocan los grupos globales en grupos locales de dominio (DL) y, a coninuación, se conceden permisos (P) a los grupos locales de dominio. Esta estrategia ofrece flexibilidad para el crecimiento de la red y reduce el número de veces que se deben definir los permisos.


Utilice AGDLP para un bosque formado por uno o varios dominios, y en el que puede que deba agregar futuros dominos.


AGDLP tiene las siguientes ventajas:
*Los dominios son flexibles.
*Los propietarios de los recursos necesitan menos acceso a Active Directory
para proteger de forma flexible sus recursos.


AGDLP tiene la siguiente desventaja:
* Una estructura de administración por niveles es más compleja de configurar al principio, pero, con el tiempo, es más fácil de administrar.


AGUDLP: En AGUDLP, se colocan cuentas de usuario (A) en grupos globales (G), se colocan estos grupos globales en grupos universales (U), luego estos se ubican en grupos locales de dominio (DL) y, a continuación, se conceden permisos (P) a los grupos de dominio local.


Utilice AGUDLP para un bosque con más de un dominio, en el que los administradores necesiten una administración centralizada para varios grupos globales.


AGUDLP tiene las siguientes ventajas:
* Existe flexibilidad en todo el bosque.
* Permite una administración centralizada.


AGUDLP tiene la siguiente desventaja:
*La pertenencia a grupos universales se almacena en el catálogo global.


AGLP: Utilice AGLP para colocar cuentas de usuario en un grupo global y conceder permiso al grupo local. Esta estrategia presenta una limitación: no se pueden conceder permisos para recursos que se encuentran fuera del equipo local.


Por lo tanto, coloque las cuentas de usuarios en un grupo global, agregue el grupo global al grupo local y, a continuación, conceda permisos al grupo local. Puede utilizar, con esta estrategia, el mismo grupo global en varios equipos locales.


Utilice grupos locales de dominio siempre que sea posible. Utilice grupos
locales sólo cuando no se haya creado un grupo local de dominio para este fin.


Utilice la estrategia AGLP cuando el dominio tenga las siguientes
características:
* Se ha actualizado de Windows NT 4.0 a Windows Server 2003.
* Contiene un dominio.
* Tiene pocos usuarios.
* No se agregarán más dominios.
* Para mantener una estrategia de grupo de Windows NT 4.0.
* Para mantener una administración de usuarios centralizada y una administración de recursos descentralizada.


Es recomendable que utilice AGLP con Windows Server 2003, Active Directory y servidores miembros de Windows NT 4.0.


AGLP tiene las siguientes ventajas:
* Mantiene la estrategia de grupo de Windows NT 4.0. * Los propietarios de recursos poseen pertenencia a cada grupo que necesita accceso.


AGLP tiene las siguientes desventajas:
*Active Directory no controla el acceso.
* Debe crear grupos redundantes en todos los servidores miembros. * No permite la administración centralizada.

1 comentarios:

Anónimo dijo...

muy bueno te felicito ojala pudieras subir videos relacionados con estos temas te lo agradeceria