ing. edwin ramón lacayo cruz responsable de sistema feed the children nic microsoft windows 2003...
TRANSCRIPT
Ing. Edwin Ramón Lacayo CruzIng. Edwin Ramón Lacayo CruzResponsable de sistemaResponsable de sistema
Feed The Children NicFeed The Children Nic
Microsoft Microsoft Windows 2003 ServerWindows 2003 ServerActive DirectoryActive Directory
AgendaAgenda
¿Qué es el Directorio Activo?¿Qué es el Directorio Activo? ArquitecturaArquitectura Qué relación mantiene con Windows 2003Qué relación mantiene con Windows 2003 Beneficios Beneficios
¿Qué es el Directorio Activo?¿Qué es el Directorio Activo?
En una red de Microsoft® Windows® Server 2003, el En una red de Microsoft® Windows® Server 2003, el servicio de directorio Active Directory® proporciona la servicio de directorio Active Directory® proporciona la estructura y las funciones para organizar, administrar estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red. y controlar el acceso a los recursos de red.
Active Directory proporciona también la capacidad de Active Directory proporciona también la capacidad de administrar centralmente la red de Windows Server administrar centralmente la red de Windows Server 2003. Esta capacidad significa que puede almacenar 2003. Esta capacidad significa que puede almacenar centralmente información acerca de la empresa, por centralmente información acerca de la empresa, por ejemplo, información de usuarios, grupos e ejemplo, información de usuarios, grupos e impresoras, y que los administradores pueden impresoras, y que los administradores pueden administrar la red desde una sola ubicación.administrar la red desde una sola ubicación.
¿Qué es el Directorio Activo?¿Qué es el Directorio Activo?
Funcionalidad: Active Directory está Funcionalidad: Active Directory está organizado en secciones que permiten el organizado en secciones que permiten el almacenamiento de una gran cantidad de almacenamiento de una gran cantidad de objetos. Como resultado, es posible objetos. Como resultado, es posible ampliar Active Directory a medida que ampliar Active Directory a medida que crece una organización, permitiendo que crece una organización, permitiendo que una organización que tenga un único una organización que tenga un único servidor con unos cuantos centenares servidor con unos cuantos centenares de objetos, crezca hasta tener miles de de objetos, crezca hasta tener miles de servidores y millones de objetos.servidores y millones de objetos.
Organización Organización JerárquicaJerárquica
• Estructura ArbóreaEstructura Arbórea• Objetos en ContenedoresObjetos en Contenedores• Contenedores en ContenedoresContenedores en Contenedores
AlmacenamientoAlmacenamiento Orientado a Orientado a
ObjetosObjetos
• Soporta múltiples modelos de Soporta múltiples modelos de ObjetosObjetos
• La información de Objetos: AtributosLa información de Objetos: Atributos• Seguridad a nivel Objeto y AtributoSeguridad a nivel Objeto y Atributo
Arquitectura del DAArquitectura del DA
Replicación Replicación Multi-MasterMulti-Master
• Soporta Réplicas MúltiplesSoporta Réplicas Múltiples• Lectura/Escritura completa por Lectura/Escritura completa por
RéplicaRéplica• Replicación Optimizada Replicación Optimizada
AutomáticamenteAutomáticamente
MáquinasMáquinasMáquinasMáquinas AplicacionesAplicacionesAplicacionesAplicacionesDispositivosDispositivosDispositivosDispositivos
Arquitectura del ADArquitectura del AD
Organización jerarquizada para una fácil y centralizada Organización jerarquizada para una fácil y centralizada gestión de la redgestión de la red
RaízRaízRaízRaíz
UsuariosUsuariosUsuariosUsuarios
DocentesDocentesDocentesDocentes AdministraciónAdministraciónAdministraciónAdministración
= Contenedor de = Contenedor de DominioDominio
= = ObjetoObjeto
MáquinasMáquinasMáquinasMáquinas AplicacionesAplicacionesAplicacionesAplicacionesDispositivosDispositivosDispositivosDispositivos
Arquitectura del ADArquitectura del ADRaízRaízRaízRaíz
UsuariosUsuariosUsuariosUsuarios
DocentesDocentesDocentesDocentes RRHHRRHHRRHHRRHH
Name: Bob JonesName: Bob JonesEmail: [email protected]: [email protected]: 555-1234Phone: 555-1234SSN: 456-78-9101SSN: 456-78-9101
Name: Bob JonesName: Bob JonesEmail: [email protected]: [email protected]: 555-1234Phone: 555-1234SSN: 456-78-9101SSN: 456-78-9101
Los Objetos del Directorio tienen atributos que se Los Objetos del Directorio tienen atributos que se representan usuarios y recursos, como por ejemplo, las representan usuarios y recursos, como por ejemplo, las computadoras y las impresoras. Algunos objetos pueden llegar a computadoras y las impresoras. Algunos objetos pueden llegar a ser container para otros objetos.ser container para otros objetos.
Podrá realizar una variedad de tareas, incluyendo la instalación, Podrá realizar una variedad de tareas, incluyendo la instalación, la configuración, la administración y la resolución de problemasla configuración, la administración y la resolución de problemas
Arquitectura ADArquitectura AD
Replicación Multi-MasterReplicación Multi-Master flexibleflexible, , alta disponibilidadalta disponibilidad y y performanceperformance
Cambio de Cambio de AulaAula aa 110 110Cambio de Cambio de AulaAula aa 110 110
Alta de Alta de AlumnaAlumna: : Mª JoseMª Jose
Alta de Alta de AlumnaAlumna: : Mª JoseMª Jose
““Site”Site”Norte AméricaNorte América
““Site”Site”EuropaEuropa
Dominio a Nivel Alto
DC2
DC1
DC3
DC5
DC6
DC4
Arquitectura ADArquitectura AD Roles de los sistemas del SiteRoles de los sistemas del Site
Punto de Administración
Punto de ubicación del Servidor(Server Location Point)
Punto de distribución Punto de informes
Punto de acceso de
cliente
Servidor de Site
SMS SiteDatabase
Arquitectura ADArquitectura AD Jerarquías de SitesJerarquías de Sites
Arquitectura ADArquitectura AD Jerarquías de SitesJerarquías de Sites
Site Primario(Child yParent Site)
Site secundario(Child Site)
Site Primario (Central)(Parent Site)
Site Primario o secundario(Child Site)
SQL
SQL
SQL
SQL
InfraestructuraInfraestructura Diseño basado en infraestructuras de empresa:Diseño basado en infraestructuras de empresa:
Estructuración de SITES según:Estructuración de SITES según: Funciones administrativas.Funciones administrativas. Diseños geográficos.Diseños geográficos. Funcionalidades de SMS.Funcionalidades de SMS.
Despliegue de roles como mejora de las Despliegue de roles como mejora de las funciones de red.funciones de red.
Microsoft Solutions for Management: Microsoft Solutions for Management: Management Architecture. Guías de diseño de Management Architecture. Guías de diseño de arquitectura.arquitectura. www.microsoft.com/downloadswww.microsoft.com/downloads
Escenario de implementaciónEscenario de implementación
Escenario interconexión WANEscenario interconexión WAN
Simplifica la Simplifica la Gestión de Gestión de WindowsWindows
Único punto de GestiónÚnico punto de GestiónDistribución Automática de SoftwareDistribución Automática de SoftwareGestión Centralizada de Ficheros e Gestión Centralizada de Ficheros e ImpresorasImpresoras
Refuerza la Refuerza la Seguridad Seguridad WindowsWindows
Acceso único a los Recursos de RedAcceso único a los Recursos de RedConfiguración del Configuración del Desktop Desktop de acuerdo de acuerdo con los servicios de seguridad de con los servicios de seguridad de InternetInternet
Beneficios del DABeneficios del DA
Extiende la Extiende la Interop. Interop.
WindowsWindows
Basado en EstándaresBasado en EstándaresInterfaces y Conectores abiertosInterfaces y Conectores abiertosFuerte soporte de los mayores Fuerte soporte de los mayores proveedoresproveedores
Simplifica la Gestión Simplifica la Gestión
DA organiza jerárquicamente a Usuarios y Recursos DA organiza jerárquicamente a Usuarios y Recursos de Red para simplicar la gestiónde Red para simplicar la gestión
RaízRaízRaízRaíz
UsuariosUsuariosUsuariosUsuarios MáquinasMáquinasMáquinasMáquinas AplicacionesAplicacionesAplicacionesAplicaciones
DocentesDocentesDocentesDocentes AdministraciónAdministraciónAdministraciónAdministración
DispositivosDispositivosDispositivosDispositivos
Dar la App. de Gestión de Dar la App. de Gestión de Alumnos a AdministaciónAlumnos a AdministaciónDar la App. de Gestión de Dar la App. de Gestión de Alumnos a AdministaciónAlumnos a Administación
Impresora Color en Impresora Color en Edifico 6Edifico 6
Impresora Color en Impresora Color en Edifico 6Edifico 6
Delega Tareas de Gestión Delega Tareas de Gestión al Administrador de Officeal Administrador de OfficeDelega Tareas de Gestión Delega Tareas de Gestión al Administrador de Officeal Administrador de Office
Seguridad ReforzadaSeguridad Reforzada
DA proporciona seguridad para servicios de Internet con DA proporciona seguridad para servicios de Internet con protección de datos mientras se facilita el accesoprotección de datos mientras se facilita el acceso
Protocolos seguros, single sign-onProtocolos seguros, single sign-on
RaízRaízRaízRaíz
AlumnosAlumnosAlumnosAlumnos MáquinasMáquinasMáquinasMáquinas AplicacionesAplicacionesAplicacionesAplicaciones
LectivosLectivosLectivosLectivos ExtranetExtranetExtranetExtranet
DispositivosDispositivosDispositivosDispositivos
Restringir los Derechos Restringir los Derechos de Acceso a Externosde Acceso a Externos
Restringir los Derechos Restringir los Derechos de Acceso a Externosde Acceso a Externos
KerberosKerberosX.509X.509
Smart CardSmart Card
KerberosKerberosX.509X.509
Smart CardSmart Card
Certificados PKICertificados PKICertificados PKICertificados PKI
1 Inserción tarjeta provoca ventana GINA de Pin
2 Pin de Usuario
7 KDC devuelve Ticket cifrado con clave de sesión , que a su vez es cifrado utilizando la clave pública del usuario
8 La tarjeta descifra el Ticket usando la clave privada, y autorizando al LSA el login del usuario 6 KDC verifica
el certificado y consulta en AD
LectorLectorLectorLector
SC
4 LSA accede a la tarjeta y obtiene el certificado
3 GINA pasa el PIN a LSA
LSALSA
5 Kerberos envía el certificado en petición de login al KDCK
erbero
sK
erbero
s
Kerb
eros
Kerb
eros
KDCKDC
Windows 2003 Tarjeta InteligenteWindows 2003 Tarjeta InteligenteLogonLogon
Web Web SeguraSegura
ClienteCliente
Autoridad Autoridad CertificaciónCertificación
Emisión deEmisión deCertificado Certificado
Windows 2003 PKI Windows 2003 PKI Web Segura (Autenticación de Servidor)Web Segura (Autenticación de Servidor)
Relación deRelación deconfianzaconfianza
InternetInternet
HTTP con SSL/TLSHTTP con SSL/TLS
Autoridad
CertificaciónLectorLector
SCSCCertCert Desarrollador
ServidorWeb
Certificadode firmar Codigo
Publicación de Software
Windows 2003 PKI Windows 2003 PKI Firma del Software (Firma del Software (Authenticode)Authenticode)
UsuarioUsuario
Relación deRelación deconfianzaconfianza
InternetInternet
HTTPHTTP
Windows 2003 EFSWindows 2003 EFS
Cifrado de ficheros localesCifrado de ficheros locales
Encrypting File System DriverEncrypting File System Driver
Texto en claroTexto en claro
Texto cifradoTexto cifrado
AplicaciónAplicación
Almacenamiento LocalAlmacenamiento Local
La reunión La reunión
de esta …de esta …
A#2CxsA#2Cxs
%k;0)a…%k;0)a…
Escritura:Escritura:
La reunión La reunión
de esta …de esta …
A#2CxsA#2Cxs
%k;0)a…%k;0)a…
Lectura:Lectura:
Windows 2003 KerberosWindows 2003 Kerberos
Maquina ClienteMaquina Cliente
AplicacionesAplicaciones
FicherosFicheros
ServidoresServidoresWindows 2000 Windows 2000
ACL
ACL
DispositivosDispositivos
ACL
DirectorioDirectorioActivoActivo
Controlador DominioControlador DominioDe Windows 2000 De Windows 2000
KDC KDC
4.4. RecursoRecurso
4.4. El Servidor verifica el ticket, lo El Servidor verifica el ticket, lo compara con la Lista de Control de compara con la Lista de Control de Accesos (ACL) del recurso y permite Accesos (ACL) del recurso y permite o deniega el accesoo deniega el acceso
3.3. Cliente pide acceso a un Cliente pide acceso a un recurso y presenta su recurso y presenta su ticketticket
PeticionPeticion TicketTicket(Autorizacion)(Autorizacion)
TicketTicket
2.2. El servidor le El servidor le asigna un asigna un Ticket al Ticket al clientecliente
1.1. Cliente se Cliente se autentifica al autentifica al DCDC
(Autentificacion)(Autentificacion)
Interoperabilidad ExtendidaInteroperabilidad Extendida
DA proporciona una plataforma integrada y extensible DA proporciona una plataforma integrada y extensible a otros sistemas a través de interfaces activas, a otros sistemas a través de interfaces activas, conectores y mecanismos de sincronizaciónconectores y mecanismos de sincronización
RootRootRootRoot
UsersUsersUsersUsers MachinesMachinesMachinesMachines ApplicationsApplicationsApplicationsApplications
FinanceFinanceFinanceFinance PersonnelPersonnelPersonnelPersonnel
DevicesDevicesDevicesDevices
PermisosPermisos: : Cambio de Cambio de SalarioSalario
PermisosPermisos: : Cambio de Cambio de SalarioSalario
DerechosDerechos: : Dar a Adm. Dar a Adm. Fiananciera más Ancho Fiananciera más Ancho de Banda a fin de mesde Banda a fin de mes
DerechosDerechos: : Dar a Adm. Dar a Adm. Fiananciera más Ancho Fiananciera más Ancho de Banda a fin de mesde Banda a fin de mes
AplicaciónAplicación: : Políticas de Políticas de Buzón de ExchangeBuzón de Exchange
AplicaciónAplicación: : Políticas de Políticas de Buzón de ExchangeBuzón de Exchange
ADSI – ADSI – Active Directory Active Directory Service InterfaceService Interface
Basado WSH (Windows Scripting Host) Ejemplo ejecución: cscript //T:30 samplescrip.vbs /parametro
CreateObject: Permite la llamada a otros objetos OLE (Ej. Llamar a Excel, Word, ..) Set oXL=Wscript.CreateObject(“Aplicación Excel) oXL.workbooks.open TextXL
En Windows 2000 el entorno WSH puede acceder al objeto Directorio Activo
Directorio ActivoDirectorio ActivoAcceso por LDAPAcceso por LDAP
2 Modalidades2 Modalidades
Distinguised (DN)Distinguised (DN) /O=Internet/DC=COM/DC=Microsoft//O=Internet/DC=COM/DC=Microsoft/
CN=Alumno/CN=Pepe PerezCN=Alumno/CN=Pepe Perez
Relative Distinguised Name (RDN)Relative Distinguised Name (RDN) CN=Pepe PerezCN=Pepe Perez
Usuarios WindowsUsuarios Windows• Info cuentasInfo cuentas• PrivilegiosPrivilegios• PerfilesPerfiles• PolíticaPolítica
Clientes WindowsClientes Windows• Perfil administraciónPerfil administración• info redesinfo redes• PolíticaPolítica
Servidores WindowsServidores Windows• Perfil administraciónPerfil administración• info redesinfo redes• ServicioServicio• ImpresorasImpresoras• Compartir archivosCompartir archivos• PolíticaPolítica
Punto focal de:Punto focal de:• AdministraciónAdministración• SeguridadSeguridad• InteroperatibilidadInteroperatibilidad
DirectorioDirectorio ActivoActivo
AplicacionesAplicaciones• Config. servidorConfig. servidor• Sign-On únicoSign-On único• Info de directorio Info de directorio • de aplicaciones de aplicaciones
PolíticaPolítica
Dispositivos redesDispositivos redes• ConfiguraciónConfiguración• Política Calidad Política Calidad de Serviciode Servicio• Política SeguridadPolítica Seguridad
InternetInternet
Servicios de FirewallServicios de Firewall• ConfiguraciónConfiguración• Política SeguridadPolítica Seguridad• Política VPNPolítica VPN
OtrosOtrosDirectoriosDirectorios• Páginas Páginas blancasblancas• Comercio Comercio electrónicoelectrónico
Otros NOSOtros NOS• RegistroRegistro usuariousuario• SeguridadSeguridad• PolíticaPolítica
Servidores E-MailServidores E-Mail• Info buzonesInfo buzones• Libreta direccionesLibreta direcciones
El Directorio Activo le ofrece un punto focal de gestión, seguridad e interoperatibilidad
Directorio ActivoDirectorio Activo
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.