Sesión 11
Relaciones de confianza de AD DS: Es una relación entre dominios que permite a los usuarios de un dominio ser autenticados por un controlador de dominio de otro dominio.
1.- Esquema (Schema): Es el conjunto de definiciones para los objetos y sus atributos.
2.- Catálogo global (Global Catalog): Es un índice a la base de datos del AD DS que contiene una copia parcial de su contenido.
- WS2019 todas las relaciones de confianza son transitivas y bidireccionales por default.
2.- Controladores de dominio de sólo lectura (RODC): Contiene todos los objetos y atributos del AD DS que contiene el controlador de dominio, excepto las contraseñas de las cuentas.
3.- Servidores miembros del dominio (Member Servers -MS): Pertenece al dominio y no contiene una copia de las cuentas de usuario y de otros objetos del AD DS. (Se utiliza para almacenar los archivos y otros recursos de red).
4.- Servidores independientes (IS): No pertenecen al dominio, pero pueden pertencer a grupos de trabajo del dominio. (Pueden implementar DMZ).
Características fundamentales
-Al crear un dominio en un árbol ya existente la relación por default son transitivas y bidireccionales.
-Los dominios de un mismo bosque sus relaciones son de confianza, bidireccionales y transitivas. (la relación de confianza se establece manualmente entre distintos bosques).
-AD DS incorpora esquemas básicos que definen las clases de objetos y atributos contenidos en el directorio, además de restricciones y límites de las instancias de los objetos.
-AD DS define un catálogo global que contiene información de los objetos del directorio.
-AD DS proporciona un servicio de replicación que distribuye los datos del directorio por toda la red.
Carpetas de configuración
AD DS tiene dos carpetas de configuración:
1.- SYSVOL: Es un directorio compartido que almacena la copia del servidor de los archivos públicos del dominio que debe ser compartido para el acceso y replicación común en todo un dominio.
2.- NTDS: Base de datos de los objetos del AD DS. También contiene información como: NSPI Interfaz proveedora de nombres de servicios; XDS servicio de directorio de Microsoft Exchange; LSA Autoridad local de seguridad; SAM Administrador de seguridad de las cuentas de usuario; LDAP Protocolo ligero de acceso a directorios; DSA Agente del sistema de directorio y KCC Revisor de reconocimiento de consistencia.
Usuarios y grupos:
Cuentas de usuario: representan a una persona y se denominan principales de seguridad dentro del Active Directory.
Son objetos dentro del directorio a los que se les asignan automáticamente identificadores de seguridad para iniciar sesión en la red y tener acceso a los recursos.
-Se utiliza para autenticar la identidad del usuario.
Tipos de usuario
1.- Usuarios locales: Estas cuentas se crean y guardan en los equipos clientes que no son controladores del dominio y no pueden utilizarse para conectarse a ningún dominio.
2.- Administradores: Permite administrar el equipo en el que se creó y no puede ser borrada ni quitada del grupo local de administradores.
Cada cliente del dominio tiene dos usuarios administradores:
2.1 Administrador local: Solo controla a la computadora cliente,
2.2 Administrador del dominio
3.- Usuarios del dominio o usuarios globales: Estas cuentas se crean en los servicios de directorio del AD DS, se guardan en los controladores del dominio y pueden utilizarse para conectarse a clientes de los dominios que estén creados y otros dominios del bosque con los que se tengan relaciones de confianza. (se puede conceder permisos y derechos para el dominio y puede entrar a cualquier computadora del AD DS, con el mismo perfil y políticas de usuario).
4.- Invitado: Normalmente esta cuenta esta deshabilitada (no tiene privilegio y no tiene contraseña).
Perfiles de usuario: es una herramienta que sirve para personalizar el entorno de las cuentas de usuario, cada perfil está asociado a su nombre de usuario.
Tipos de perfiles:
1.- Local: se guarda en cada computadora en la que el usuario accede. (puede modificar y conservar los escritorios y archivos).
2.- Temporal: se crea cuando se produce un error en la carga de perfil del usuario. (se elimina al finalizar la sesión y no guarda los cambios realizados).
3.- Movil: es asignado a cada usuario por los administradores, pero puede ser modificado por el usuario y los cambios permanecen después de finalizar la conexión.
4.- Obligatorio: es igual al movil pero asegura que los usuarios trabajen en un entorno común. Puede ser modificado por el usuario pero los cambios se pierden al finalizar la conexión.
5.- Super-obligatorio: es igual que el obligatorio pero con un nivel superior de seguridad. Si existe un error al cargar el perfil al iniciar sesión, no permitirá la conexión.
Perfiles especiales
1.- All Users:
2.- Default User
Carpetas de configuración de perfiles
-Appdata -local -roaming -lacallow
-Configuración local
-Cookies
-Datos de programa
-Entorno de red
-Escritorio
-Favoritos
-Impresoras
-Menú de inicio
-Mis documentos
-Plantillas
-Reciente
-SendTo
Archvios de configuración de perfiles
-Ntuser.dat
-Ntuser.dat.LOG1
-Ntuser.dat.LOG2
-Ntuser.man
1.- Esquema (Schema): Es el conjunto de definiciones para los objetos y sus atributos.
2.- Catálogo global (Global Catalog): Es un índice a la base de datos del AD DS que contiene una copia parcial de su contenido.
- Relaciones de confianza unidireccionales: Los usuarios del dominio pueden tener acceso a los recursos del dominio B, pero no al revés. (A -> B)
- Relaciones de confianza bidireccionales: Los usuarios del dominio A pueden tener acceso a los recursos del dominio B y de también al revés. (A <-> B)
- Relaciones de confianza transitivas: Los usuarios del dominio A pueden tener acceso a los recursos del dominio B y los usuarios del dominio B tienen acceso a los recursos del dominio C, entonces los usuarios de A tendran acceso a C. (A -> B -> C <- A)
- WS2019 todas las relaciones de confianza son transitivas y bidireccionales por default.
- Relaciones de confianza intransitivas: Esta limitada por las relaciones de los dominios y se tiene que configurar manualmente la ausencia de transitividad.
Tipos de servidores
1.- Controladores del dominio (DC): Pertenece al domino y contiene una copia de las cuentas de usuario y de otros objetos del AD DS.
Es obligatorio que cada dominio haya por lo menos un controlador del dominio (recomendado 2).
Dominio raíz es cuando se instala el primer controlador de dominio de bosque.
2.- Controladores de dominio de sólo lectura (RODC): Contiene todos los objetos y atributos del AD DS que contiene el controlador de dominio, excepto las contraseñas de las cuentas.
3.- Servidores miembros del dominio (Member Servers -MS): Pertenece al dominio y no contiene una copia de las cuentas de usuario y de otros objetos del AD DS. (Se utiliza para almacenar los archivos y otros recursos de red).
4.- Servidores independientes (IS): No pertenecen al dominio, pero pueden pertencer a grupos de trabajo del dominio. (Pueden implementar DMZ).
Características fundamentales
-Al crear un dominio en un árbol ya existente la relación por default son transitivas y bidireccionales.
-Los dominios de un mismo bosque sus relaciones son de confianza, bidireccionales y transitivas. (la relación de confianza se establece manualmente entre distintos bosques).
-AD DS incorpora esquemas básicos que definen las clases de objetos y atributos contenidos en el directorio, además de restricciones y límites de las instancias de los objetos.
-AD DS define un catálogo global que contiene información de los objetos del directorio.
-AD DS proporciona un servicio de replicación que distribuye los datos del directorio por toda la red.
Carpetas de configuración
AD DS tiene dos carpetas de configuración:
1.- SYSVOL: Es un directorio compartido que almacena la copia del servidor de los archivos públicos del dominio que debe ser compartido para el acceso y replicación común en todo un dominio.
2.- NTDS: Base de datos de los objetos del AD DS. También contiene información como: NSPI Interfaz proveedora de nombres de servicios; XDS servicio de directorio de Microsoft Exchange; LSA Autoridad local de seguridad; SAM Administrador de seguridad de las cuentas de usuario; LDAP Protocolo ligero de acceso a directorios; DSA Agente del sistema de directorio y KCC Revisor de reconocimiento de consistencia.
Usuarios y grupos:
Cuentas de usuario: representan a una persona y se denominan principales de seguridad dentro del Active Directory.
Son objetos dentro del directorio a los que se les asignan automáticamente identificadores de seguridad para iniciar sesión en la red y tener acceso a los recursos.
-Se utiliza para autenticar la identidad del usuario.
Tipos de usuario
1.- Usuarios locales: Estas cuentas se crean y guardan en los equipos clientes que no son controladores del dominio y no pueden utilizarse para conectarse a ningún dominio.
2.- Administradores: Permite administrar el equipo en el que se creó y no puede ser borrada ni quitada del grupo local de administradores.
Cada cliente del dominio tiene dos usuarios administradores:
2.1 Administrador local: Solo controla a la computadora cliente,
2.2 Administrador del dominio
3.- Usuarios del dominio o usuarios globales: Estas cuentas se crean en los servicios de directorio del AD DS, se guardan en los controladores del dominio y pueden utilizarse para conectarse a clientes de los dominios que estén creados y otros dominios del bosque con los que se tengan relaciones de confianza. (se puede conceder permisos y derechos para el dominio y puede entrar a cualquier computadora del AD DS, con el mismo perfil y políticas de usuario).
4.- Invitado: Normalmente esta cuenta esta deshabilitada (no tiene privilegio y no tiene contraseña).
Perfiles de usuario: es una herramienta que sirve para personalizar el entorno de las cuentas de usuario, cada perfil está asociado a su nombre de usuario.
Tipos de perfiles:
1.- Local: se guarda en cada computadora en la que el usuario accede. (puede modificar y conservar los escritorios y archivos).
2.- Temporal: se crea cuando se produce un error en la carga de perfil del usuario. (se elimina al finalizar la sesión y no guarda los cambios realizados).
3.- Movil: es asignado a cada usuario por los administradores, pero puede ser modificado por el usuario y los cambios permanecen después de finalizar la conexión.
4.- Obligatorio: es igual al movil pero asegura que los usuarios trabajen en un entorno común. Puede ser modificado por el usuario pero los cambios se pierden al finalizar la conexión.
5.- Super-obligatorio: es igual que el obligatorio pero con un nivel superior de seguridad. Si existe un error al cargar el perfil al iniciar sesión, no permitirá la conexión.
Perfiles especiales
1.- All Users:
2.- Default User
Carpetas de configuración de perfiles
-Appdata -local -roaming -lacallow
-Configuración local
-Cookies
-Datos de programa
-Entorno de red
-Escritorio
-Favoritos
-Impresoras
-Menú de inicio
-Mis documentos
-Plantillas
-Reciente
-SendTo
Archvios de configuración de perfiles
-Ntuser.dat
-Ntuser.dat.LOG1
-Ntuser.dat.LOG2
-Ntuser.man
Comentarios
Publicar un comentario