Cuentas de Usuario en AD

¿Que son las cuentas de usuario?

Estas son credenciales que identifican a cada uno de los usuarios frente a una computadora o en una red. Se dividen en dos grupos locales y de dominio. 

Cuentas locales: estas solo pueden utilizarse en la computadora o equipo en el que fueron creadas.

Cuentas de dominio: estas son creadas en el Active Directory, y pueden usarse en cualquier computador que pertenezca a nuestro dominio.

Cuando creamos cuentas de usuarios asociamos un grupo de cinco nombres en una misma cuenta pero todos identifican al mismo objeto, su uso dependera de la función que le asignemos al objeto o que ejecutemos en el mismo. Estos son:

1. User Logon Name: Este es el que maneja la autenticacion de un usuario en nuestro dominio o red, estas reune ciertas caracteristicas las cuales son:

• Autenticacion PreWindows 2000
• Nombre unico en el dominio / bosque (tamaño 20 caracteres maxime).

2. PreWindows 2000 Logon Name: su estructura es sencilla "Dominio\User Logon Name" ejemplo: test\cpeña

3. User Principal Logon Name: Este nombre es utilizado desde Windows 2003, se compone de la siguiente manera: "USERLOGONNAME@SUFIJO" casi siempre el sufijo es el nombre de dominio sin embargo este puede cambiar.

4. LDAP Distinguesed Name: Asi como podemos acceder a una OU con este protocolo tambien lo podemos hacer con este objeto, el mismo lleva la siguiente estructura: CN+OU+DC.

CN= Common Name del objeto
OU= Empezara por la que este mas cercana al objeto y seguira todas las OU en la ruta del dominio
DC= Nombre del dominio

5. LDAP Relative Distinguised Name: Es una pequeña porcion de lo que es el nombre completo del Distinguised Name.

A continuacion les dejo un video/ tutorial en el cual detallo la forma de como crear estas cuentas.

Crando Unidades Organizativas

Pasos para crear OU's

Anteriormente hablamos respecto a las unidades organizativas y los diferentes modelos de estructura que existian para la creación de las mismas, el dia de hoy aprenderemos como crear las OU y tambien a como convinar las estructuras para una mejor administracion de nuestro entorno de trabajo.

Para crear una OU nos dirijimos a la opción de inicio escogemos Herramientas administrativas y seleccionamos Usuarios y equipos del Active Directory.

Nos aparecera una consola administrativa con todas las caracteristicas de nuestro AD, esta también nos muestra un icono con el nombre de nuestro dominio que al desplegar sus opciones nos muestra las carpetas organizativas instaladas por default en nuestro sistema, sin embargo nosostros haremos una unidad nuevaa nivel del dominio; para ello damos click derecho sobre el nombre del dominio, nos desplegara un menu en el cual escogemos Nuevo, y seleccionamos Unidad organizativa.

Esta acción nos dara una ventana en la cual nombraremos a nuestra OU, en este ejemplo empezameremos con una estructura geografica del area centroamericana por lo que nombraremos a nuestra primer OU Centro America.

Hemos creado nuestra primer Unidad Organizativa.

Podemos crear OU's dentro de OU's para tener mas ordenado y seccionado nuestros recursos del AD, para ello les dejo un video/tutorial con una explicacion mas detallada.

Unidades Organizativas (OU)

¿Que son las Unidades Organizativas?

Las unidades organizativas (OU) son objetos dentro del Active Directory que sirven para agrupar todos los recursos lógicos de nuestra red, tal es el caso de usuarios, computadoras, folders compartidos, impresoras o también para colocar una unidad organizativa dentro de otra unidad. Todas estas agrupaciones ayudan a mejorar la administración de nuestro entorno de trabajo.

Obtenemos grandes beneficios ya que podemos desde aca delegar funciones especificas y asignar políticas de grupo (GPO).

Existen diferentes modelos estructurales para la creación de nuestras OU, entre ellas podemos mencionar:

Estructura por Organización:

En este modelo las OU son creadas para reflejar el organigrama especifico de una empresa u organización. Ejemplo: El departamento de Manufactura, que tiene por debajo al depto.. de ingeniería y al depto. de investigación.

Estructura por Función:

Las OU son hechas de acuerdo con las diferentes funciones que la empresa tenga internamente sin importar el lugar en donde se encuentren los empleados, ejemplo: Ventas y dentro de ella consultoría y mercadeo.

Estructura Geográfica:

Acá la estructura refleja los diferentes lugares donde la organización se encuentra.  Ejemplo: Área de Centro América subdividida en su interior en Guatemala, El Salvador, Honduras, etc.

Estructura Hibrida

En la actualidad esta es la estructura mas utilizada en las empresas ya que esta es la combinación de las diferentes estructuras antes mencionadas, podemos encontrar una combinación entre la estructura geográfica y la de organización, también organización y función; asi como una combinación de las tres.

Observaciones: Cada objeto dentro del AD pueden ser referenciados por nombres distintos dependiendo del contexto que se este trabando, podemos mencionar entre ellos:

·      Nombres LDAP:

Es un protocolo utilizado para tener acceso a objetos que se encuentran en un servicio de directorios, este a su vez se compone de dos tipos:

o   LDAP Distinguished Name: este representa de forma completa al objeto dentro del servicio, va desde el objeto mas profundo hacia el que este mas afuera.

CN=lperez,OU=Ventas,OU=Guatemala,DC=test,DC=local

o   LDAP Relative Distinguished Name: a diferencia del primero, este es solo una parte del Distinguished Name. Ejemplo: OU=Guatemala.

·      Nombre Canonical Name: Este es utilizado para presentar la jerarquía en las herramientas administrativas del AD. Ejemplo: test.local/Guatemala, esta se compone de la primera parte el dominio una diagonal y luego el objeto (en este caso la OU).

Instalación del Active Directory

Instalando AD

Finalizamos hace unos días la activación de los servicios de dominio, preambulo el cual nos permite la instalación del Active Director. La realizacion de esta acción es sencilla, pero hay que tomar en cuenta chequear que los pasos anteriores esten correctamente instalados para que no perdamos el tiempo haciendo un doble trabajo.

Pasos a seguir:

Una vez terminada el proceso de los servicios de dominio del AD nos aparece un resumen detallado de los servicios, asi como tambiíen un pequeño dialogo que nos indica si deseamos ininiciar con la instalacion luego de cerrar este wizard.

Tambien podemos solo darle cerrar al wizard y empezar con la configuración del AD desde ejecutar, esta opcion la encontramos en inicio > ejecutar o con la conbinacion de teclas: tecla windows + R. Una vez nos aparezca la ventanita de ejecutar escribimos en ella dcpromo y luego enter.

 

Debera empezar el wizard correspondiente al Active Directory, al iniciarce hay que darle siguiente.

Nos dara otra ventana, siguiente.

Acá podemos elegir como será nuestro dominio; si es nuevo o si pertenecera a un bosque existente, en este caso estamos creando un dominio nuevo dentro de un bosque nuevo. Siguiente.

Colocamos el nombre del dominio, tomaremos como ejemplo test.local. Siguiente.

Establemcemos el nivel de funcionabilidad del Bosque. Siguiente.

También el del Dominio. Siguiente.

En esta ventana nos pide instalar la opción adicional de DNS, aceptamos. Siguiente.

Aceptamos esta advertencia, Si.

Ubicacion de la base de datos del Active Directory, siguiente.

Contraseña de seguridad para posibles restauraciones o eliminacion de un dominio, agregan una contraseña y luego siguiente.

Resumen y confirmacion de la instalacion del AD. Siguiente.

En el cuadro de proceso de instalación aparece un checkbox que nos dice Reiniciar al completar habilitamos la casilla y esperamos a que finalize la instalación.

 

Cuando complete el proceso y reinicie el servidor, automaticamente pasara de ser un server normal a ser un Controlador de Dominio o Domain Controller (DC). Tambien les dejo un video/tutorial en donde detallo mas aspectos de la instalación.

 

Servicios del Active Directory

Activando los Servicios del AD

Anteriormente hablamos de como preparar nuestro servidor para ser un Domain Controller, el día de hoy aprenderemos a como instalar los servicios de dominio del active directory. Estos servicios son muy importantes ya que sin ellos no podremos instalar nuestro AD.

Pasos para la activación: 

Nos ubicamos en en el icono que esta a la par de inicio el cual es el administrador del servidor, tambien pueden dar click derecho sobre equipo y luego administrar y les aparecera una ventana en la cual esta todos los recursos de nuestro server. 

 Buscamos la opcion que diga Roles, en windows server 2008 primera edicion esta como Funciones, la seleccionamos y nos vamos a la opcion que dice Agregar Roles o Agregar Funciones, y la seleccionamos.

Aparecera un wizard de instalación con detalles importantes previos a la instalcion de dichos roles o funciones, le damos siguiente.

Luego de darle siguiente nos dara una lista de todas las funciones que se pueden instalar en nuestro servidor, escogemos la que dice Servicios de dominio de Active Directory. Despues de seleccionarlo le damos siguiente.

  

Nos aparecera una ventana para agregar complementos necesarios para los servicios de AD, le damos Agregar Caracteristicas.

Al realizar esto se nos muestra con mas detalle las caracteriscas de lo que son los servicios de dominio del active directory, le damos siguiente.

Al finalizar todo esto nos pedira la confirmación para la instalacion, escogemos la opcion de instalar.

Esperamos a que termine la instalacion.

Terminada la instalacion cerramos el wizard. (Opción cerrar).

Estos son los pasos que se deben de seguir para la instalacion de los servicios del AD. También les dejo un video/tutorial en cual explico mas a detalle la instalcion del mismo.

Preparando nuestro server para un DC

Primeros pasos para un domain controller

Anteriormente hablamos de que era un domain controller y el active directory, vimos sus funciones y los servicios que estos prestan, sin embargo no detallamos su configuracion, para ello debemos de seguir dos pasos fundamentales los cuales son la apertura o preparacion para convertir a nuestro servidor en un Domain Controller.

Primer Paso: 

Debemos asignarle una direccion IP a nuestro servidor; esta debe de ser de un rango administrativo dedicado solamente a los servidores, dicho rango no debe de utilizarce para los usuarios normales de nuestra red. La clase de direccion IP que se utilizara dependera por completo de la que se este usuando en nuestra red.

 

Segundo Paso:

Luego que hallamos asignado una direccion IP a nuestro servidor tenemos que darle un nombre a nuestro equipo, realizamos esto ya que el usuario final tiende a no saber muchas veces la direccion IP del server y asocia mejor el nombre del mismo; a la hora de conectarse a algun recurso compartido, este puede hacerlo tanto por su direccion IP como por el nombre del equipo.

A continuacion les dejo un video/tuturial en el que explico mas detalladamente el proceso:

Controlador de Dominio y Active Directory

Controlador de Dominio

(Active Directory)

En el post anterior hablamos sobre la función básica de un servidor, la cual es el proveer recursos compartidos en una red. Sin embargo esto conlleva un mayor control en la administración del mismo, ya que no todos los usuarios poseerán la capacidad de modificar la información que en este se transmite; es por ello que surge la necesidad de saber quienes tienen privilegios establecidos sobre los recursos; pero, ¿como saber que usuarios pueden acceder a esta información?¿quienes pueden modificar en su totalidad los recursos?¿se pueden dar permisos solo de lectura a ciertos usuarios?; la respuesta es si,  podemos hacer todo esto mediante un Controlador de Dominio o Domain Controller.

Un Domain Controller (DC) tiene la función de autenticar a todos los usuarios dentro de una red, esto lo hace a través de un servicio de directorio activo; también conocido como Active Directory (AD) en el caso de Windows Server Systems. Este servicio nos brinda varios beneficios entre los cuales podemos mencionar:

Administración Centralizada: nos ayuda a administrar computadoras, clientes, servicios de red y aplicaciones desde un solo punto.

Centralizar la administración de seguridad: es el único que tiene la facultad de autenticar a los usuarios y controlar tanto los derechos como permisos que ellos tendrán en la red.

Delegación de la administración: existen casos en los que los usuarios dentro de una red son demasiados por lo que la administración del mismo se vuelve muy compleja y el administrador pueda que no se de abasto en el manejo del AD, por tal motivo se puede delegar tareas administrativas puntuales a ciertos usuarios, estas pueden ser: creación de usuarios, resetear passwords, etc.

Escalabilidad: esto nos ayuda a manejar gran cantidad de objetos mientras la organización crece.

Cabe resaltar que el Active Directory posee varios componentes los cuales se clasifican en 2 grupos que son Estructura Fisica y Estructura Logica.

Estructura Lógica:

En ella podemos mencionar:

Dominio: es un grupo lógico de recursos que son administrados de forma centralizada, estos poseen un nombre único así como su propio grupo de administradores.

Árbol: es un conjunto de dominios que comparten una relación de confianza entre ellos, además de esto heredan el nombre del dominio padre para agregarlo al propio.

Bosque: es un conjunto de árboles que no comparten el mismo nombre de dominio.

O.U.  Unidades Organizativas: esta estructura sirve para agrupar recursos dentro de un dominio a la cual se le pueden agregar políticas de grupo y delegación administrativa. (Esta estructura se detallara mas adelante).

Estructura Física:

Lo mas importante de esta estructura son los SITES ya que ellos controlan el trafico de replicación dentro de los Domain Controllers.

Sistemas Operativos Para Servidores

Sistemas Operativos Para Servidores

Los sistemas operativos para servidores son considerados como sistemas operativos pasivos, ya que estos están a la espera de la interacción con los usuarios o clientes. Estos a su vez centralizan las necesidades que los usuarios podrían tener en un ambiente laboral tales pueden ser: las colas impresión, intercambio de archivos, recursos de bases de datos, navegación por internet, entre otras; estos S.O. administran las soluciones, prestando los servicios requeridos para un mejor desenvolvimiento en la red.

Podemos clasificar los sistemas en dos grupos, los cuales son de paga y open source. 

S.O. de Paga

Se les denomina asi por la adquisición del licenciamiento, son los sistemas que en algún momento son mas mencionados y cuentan con una amplia gama de versiones para adecuarlo a la tarea correspondiente o a las necesidades que la empresa u organización posean. Entre ellos podemos mencionar la familia de Windows Server (en todas sus versiones y ediciones), Mac OS X Server y Red Hat, este ultimo se toma se incluye también en este grupo ya que al adquirir dicho software se requiere de de soporte técnico por lo cual hay que pagarlo. 

S.O. Open Source:

Estos sistemas son de código abierto y no tienen ningún costo su licenciamiento, son mas utilizados como servidores web o de correo ya que son altamente estables y seguros en sus políticas en contra de atentados que puedan suceder fuera de nuestra red. Su mayoría están basados en LINUX, algunos de los mas comunes son: Ubuntu, CentOS, ClearOS, Suse, Fedora, Debian y ClarkConnect.