Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP...

Técnicas de Uso de Técnicas de Uso de Directorio ActivoDirectorio Activo

Octubre-2004Octubre-2004

Alejandro MezcuaAlejandro Mezcua

Microsoft MVPMicrosoft MVP

[email protected]@byteabyte.net

http://www.byteabyte.net/http://www.byteabyte.net/

AgendaAgenda

Roles de los servidoresRoles de los servidores El Catálogo GlobalEl Catálogo Global Control de la cobertura de DCsControl de la cobertura de DCs Búsquedas LDAP al directorio. LDP.Búsquedas LDAP al directorio. LDP. Uso y creación de scriptsUso y creación de scripts Extensiones a la consola de Extensiones a la consola de

administración MMC administración MMC

Roles de los servidoresRoles de los servidoresFSMOFSMO Flexible Single Master of OperationsFlexible Single Master of Operations

La mayoría de las tareas funcionan en modo La mayoría de las tareas funcionan en modo Multiple Master (cualquier servidor)Multiple Master (cualquier servidor)

Ciertas tareas del directorio activo se dejan en Ciertas tareas del directorio activo se dejan en manos de un solo servidormanos de un solo servidor

Se puede seleccionar a qué servidor asignar Se puede seleccionar a qué servidor asignar cada rol.cada rol.

Cinco roles FSMOCinco roles FSMO Emulador de PDCEmulador de PDC RID MasterRID Master Infrastructure MasterInfrastructure Master Domain Naming MasterDomain Naming Master Schema MasterSchema Master

Roles de los servidoresRoles de los servidores Emulador de PDCEmulador de PDC

Uno por dominioUno por dominio Da servicio de PDC a equipos no Windows Da servicio de PDC a equipos no Windows

2k+, p.e. BDCs NT4.02k+, p.e. BDCs NT4.0 Sincroniza tiempos y sincroniza la creación Sincroniza tiempos y sincroniza la creación

de políticas de grupode políticas de grupo Máximo valor para la elección de Domain Máximo valor para la elección de Domain

Master BrowserMaster Browser Se determina el servidor en:Se determina el servidor en:

Active Directory Users and Computers (botón Active Directory Users and Computers (botón derecho dominio)derecho dominio) Menú Operations MastersMenú Operations Masters

Tab PDCTab PDC

Roles de los servidoresRoles de los servidoresRID MasterRID Master

Uno por dominioUno por dominio Encargado de la asignación de Encargado de la asignación de

identificadores únicos (p.e. GUIDs)identificadores únicos (p.e. GUIDs) Se determina el servidor en:Se determina el servidor en:

Active Directory Users and Active Directory Users and Computers (botón derecho dominio)Computers (botón derecho dominio) Menú Operations MastersMenú Operations Masters

Tab RIDTab RID

Roles de los servidoresRoles de los servidoresInfrastructure MasterInfrastructure Master

Uno por dominioUno por dominio Responsable de la comprobación de Responsable de la comprobación de

pertenencia en la creación de grupos pertenencia en la creación de grupos universales en entornos multidominiouniversales en entornos multidominio

Responsable de la actualización de Responsable de la actualización de referencias de objetos de su dominio a otros referencias de objetos de su dominio a otros dominiosdominios

Se determina el servidor en:Se determina el servidor en: Active Directory Users and Computers (botón Active Directory Users and Computers (botón

derecho dominio)derecho dominio) Menú Operations MastersMenú Operations Masters

Tab InfrastructureTab Infrastructure

Roles de los servidoresRoles de los servidoresDomain Naming MasterDomain Naming Master

Uno por forestUno por forest Responsable de que los nombres de Responsable de que los nombres de

dominio sean únicosdominio sean únicos Controla el que se puedan añadir Controla el que se puedan añadir

nuevos dominiosnuevos dominios Se determina el servidor en:Se determina el servidor en:

Active Directory Domains and Trusts Active Directory Domains and Trusts (botón derecho en raíz de la consola)(botón derecho en raíz de la consola)

Menú Operations MasterMenú Operations Master

Roles de los servidoresRoles de los servidoresSchema MasterSchema Master

Uno por forestUno por forest Controla cambios y actualizaciones del Controla cambios y actualizaciones del

esquemaesquema Se determina el servidor en:Se determina el servidor en:

Registrar MMC de Active Directory Registrar MMC de Active Directory SchemaSchema C:\>regsvr32 schmmgmt.dllC:\>regsvr32 schmmgmt.dll

Active Directory Schema (botón derecho Active Directory Schema (botón derecho en raíz de la consola)en raíz de la consola) Menú Operations MasterMenú Operations Master

Roles de los servidoresRoles de los servidoresNtdsutil.exeNtdsutil.exe

Los cambios de rol se pueden realizar Los cambios de rol se pueden realizar también con Ntdsutil.exetambién con Ntdsutil.exe Permite realizar múltiples operacionesPermite realizar múltiples operaciones Opción Roles permite realizar cambios de rol de Opción Roles permite realizar cambios de rol de

FSMOFSMO ¿Qué hacer en caso de fallo completo de un ¿Qué hacer en caso de fallo completo de un

equipo que gestionaba un FSMO?equipo que gestionaba un FSMO? A través de ntdsutil.exeA través de ntdsutil.exe

Opción Roles -> Seize : RolOpción Roles -> Seize : Rol Permite pasar el rol a otro DCPermite pasar el rol a otro DC

El DC original NO se debe volver a poner en la redEl DC original NO se debe volver a poner en la red

DEMODEMO

FSMO y NTDSUTIL.EXEFSMO y NTDSUTIL.EXE

AgendaAgenda



El catálogo globalEl catálogo globalCatálogo Global (I)Catálogo Global (I)

Dentro de un dominio, cada DC dispone de Dentro de un dominio, cada DC dispone de una copia completa de la base de datosuna copia completa de la base de datos

En un entorno multi-dominio se pueden En un entorno multi-dominio se pueden designar servidores que mantengan copias designar servidores que mantengan copias parciales de los datos de todo el forestparciales de los datos de todo el forest Servidores de Catálogo GlobalServidores de Catálogo Global

Para disminuir tamaño sólo se almacenan Para disminuir tamaño sólo se almacenan los valores de ciertos atributoslos valores de ciertos atributos

El catálogo globalEl catálogo globalCatálogo Global (II)Catálogo Global (II)

Cualquier DC puede tomar el rol de Catálogo GlobalCualquier DC puede tomar el rol de Catálogo Global El servidor de GC se usa para facilitar consultas en El servidor de GC se usa para facilitar consultas en

entornos multidominioentornos multidominio Es recomendable, en entornos multidominio, Es recomendable, en entornos multidominio,

disponer de un servidor de GC en cada sitedisponer de un servidor de GC en cada site En el inicio de sesión, el servidor que valida al usuario ha En el inicio de sesión, el servidor que valida al usuario ha

de poder comprobar la pertenencia del usuario a todos los de poder comprobar la pertenencia del usuario a todos los grupos (locales y universales)grupos (locales y universales)

Lo hace a través de un GC.Lo hace a través de un GC. En Windows 2000, si no lo puede contactar no se inicia En Windows 2000, si no lo puede contactar no se inicia

sesión.sesión. En Windows 2003, el DC guardará en una caché la En Windows 2003, el DC guardará en una caché la

pertenencia a grupos universales.pertenencia a grupos universales.

El catálogo globalEl catálogo globalCatálogo Global (III)Catálogo Global (III)

En la consola (MMC) del esquema se puede En la consola (MMC) del esquema se puede indicar qué atributos se replican en el indicar qué atributos se replican en el Catálogo GlobalCatálogo Global

Los atributos por los que se vaya a realizar Los atributos por los que se vaya a realizar consultas en el GC han de estar indexadosconsultas en el GC han de estar indexados Si no, una búsqueda puede hacer que el servidor Si no, una búsqueda puede hacer que el servidor

en el que se realice consuma muchos recursos y en el que se realice consuma muchos recursos y no responda a nada más hasta terminar la no responda a nada más hasta terminar la consultaconsulta

DEMODEMO

Catálogos globalesCatálogos globales

AgendaAgenda



Control de la cobertura de DCsControl de la cobertura de DCs Registro Automático de DNS Registro Automático de DNS

Situación: Se quiere que los clientes Situación: Se quiere que los clientes localicen los DC de su site o del CPDlocalicen los DC de su site o del CPD

Deshabilitar el registro automático en Deshabilitar el registro automático en los DCs de las oficinaslos DCs de las oficinas Windows 2000 con SP2Windows 2000 con SP2 Mediante entrada en el registro Mediante entrada en el registro

(Windows 2000):(Windows 2000):HKEY_LOCAL_MACHINE\SYSTEM\HKEY_LOCAL_MACHINE\SYSTEM\

CurrentControlSet\Services\Netlogon\CurrentControlSet\Services\Netlogon\ParametersParameters

Registry value: DnsAvoidRegisterRecordsRegistry value: DnsAvoidRegisterRecords

Data type: REG_MULTI_SZData type: REG_MULTI_SZ

Configuración recomendada :Configuración recomendada : En las oficinas realizar sólo los En las oficinas realizar sólo los

registros “AtSite” y la entrada registros “AtSite” y la entrada “DsaCname”“DsaCname”

En el CPD realizar todos los registrosEn el CPD realizar todos los registros

SITE ADomain Controller

CPD

Domain Controller

SITE BDomain Controller

Cliente

Control de la cobertura de DCsControl de la cobertura de DCs

“Autositecoverage” “Autositecoverage” Un CD puede registrarse como CD de un site que no tiene su Un CD puede registrarse como CD de un site que no tiene su

propio CDpropio CD Basado en la matriz de costes de replicaciónBasado en la matriz de costes de replicación Deshabilitado:Deshabilitado:

HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersHKLM\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersRegistry value: AutoSiteCoverageRegistry value: AutoSiteCoverageData type: REG_DWORDData type: REG_DWORD

Configuración manual en Windows 2000:Configuración manual en Windows 2000:HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersHKLM\SYSTEM\CurrentControlSet\Services\Netlogon\ParametersRegistry value: SiteCoverageRegistry value: SiteCoverageData type: REG_MULTI_SZData type: REG_MULTI_SZRegistry value: GcSiteCoverageRegistry value: GcSiteCoverageData type: REG_MULTI_SZData type: REG_MULTI_SZ

DEMODEMO

Control de la cobertura de DCsControl de la cobertura de DCs

AgendaAgenda



Búsquedas LDAP al directorioBúsquedas LDAP al directorioRootDSERootDSE

RootDSE es parte del estándar de RootDSE es parte del estándar de LDAPv3.0LDAPv3.0 Definido en RFC 2251Definido en RFC 2251

Define la raíz de búsqueda en un Define la raíz de búsqueda en un servidor LDAPservidor LDAP

Muestra, entre otras cosas, las Muestra, entre otras cosas, las particiones básicas a las que se puede particiones básicas a las que se puede conectar un clienteconectar un cliente

Búsquedas LDAP al directorioBúsquedas LDAP al directorio Particiones (I)Particiones (I)

Particiones = AD Naming ContextsParticiones = AD Naming Contexts Un ‘contexto’ es equivalente a una particiónUn ‘contexto’ es equivalente a una partición

Permiten disponer de ‘secciones’ del Directorio Activo Permiten disponer de ‘secciones’ del Directorio Activo independientes que se pueden replicar de manera individualindependientes que se pueden replicar de manera individual

Por omisión se cuenta con:Por omisión se cuenta con: Schema Naming ContextSchema Naming Context Configuration Naming ContextConfiguration Naming Context Domain Naming ContextDomain Naming Context

Se pueden generar nuevos contextos de nombresSe pueden generar nuevos contextos de nombres Denominados Application Naming Contexts o Application Denominados Application Naming Contexts o Application

Directory PartitionsDirectory Partitions Permitirán la replicación bajo reglas propias definidas (p.e. Permitirán la replicación bajo reglas propias definidas (p.e.

replicados sólo a ciertos DCs)replicados sólo a ciertos DCs)

Búsquedas LDAP al directorioBúsquedas LDAP al directorio Particiones (II)Particiones (II)

Schema Naming ContextSchema Naming Context Contiene la definición de todas las Contiene la definición de todas las

definiciones de clases de todos los definiciones de clases de todos los objetos y atributos del directorio activo.objetos y atributos del directorio activo.

Active Directory Schema MMCActive Directory Schema MMC

Búsquedas LDAP al directorioBúsquedas LDAP al directorio Particiones (III)Particiones (III)

Configuration Naming ContextConfiguration Naming Context Mantiene información acerca de la Mantiene información acerca de la

configuración de todo el Forest, configuración de todo el Forest, incluyendo información acerca de los incluyendo información acerca de los dominios, controladores de dominio, dominios, controladores de dominio, replicación, subredes, etc.replicación, subredes, etc.

Visible mediante ADSIEditVisible mediante ADSIEdit

Búsquedas LDAP al directorioBúsquedas LDAP al directorio Particiones (IV)Particiones (IV)

Domain Naming ContextDomain Naming Context Contiene toda la información de los Contiene toda la información de los

objetos definidos en el dominio. Estos objetos definidos en el dominio. Estos objetos se replican exclusivamente a objetos se replican exclusivamente a aquellos controladores (DCs) que forman aquellos controladores (DCs) que forman parte del dominio.parte del dominio.

Visible mediante ADSIEditVisible mediante ADSIEdit

Búsquedas LDAP al directorioBúsquedas LDAP al directorioLDP (I)LDP (I)

Herramienta de soporte para Herramienta de soporte para realizar búsquedas LDAPrealizar búsquedas LDAP

Vale para cualquier tipo de Vale para cualquier tipo de servidor LDAP, no sólo para ADservidor LDAP, no sólo para AD

Búsquedas LDAP al directorioBúsquedas LDAP al directorioLDP (II)LDP (II)

Pasos:Pasos: Conexión con un servidor LDAPConexión con un servidor LDAP

Por defecto devuelve RootDSEPor defecto devuelve RootDSE Antes de consultar hay que validarAntes de consultar hay que validar

Opción bind con usuario y contraseñaOpción bind con usuario y contraseña BuscarBuscar

Definir el ámbito de la búsqueda (Base DN)Definir el ámbito de la búsqueda (Base DN) Uso de filtros con sintaxis LDAP (Sintaxis LDAP)Uso de filtros con sintaxis LDAP (Sintaxis LDAP) Profundidad de la búsqueda (En el ámbito dado)Profundidad de la búsqueda (En el ámbito dado) Resultados a devolver (Qué atributos extraer)Resultados a devolver (Qué atributos extraer)

Búsquedas LDAP al directorioBúsquedas LDAP al directorioLDP (III)LDP (III)

Demo búsqueda sencillaDemo búsqueda sencilla Lista de usuarios en una OU dadaLista de usuarios en una OU dada Obtener su GUID, SID y displayNameObtener su GUID, SID y displayName

Base DN: OU=[nombreou],DC=[dominio],DC=[dominio]

Filter: (objectClass=user)

Options - > Attributes: objectGUID;objectSid;displayName

Búsquedas LDAP al directorioBúsquedas LDAP al directorioLDP (IV)LDP (IV)

Ejemplo de búsqueda por SIDEjemplo de búsqueda por SID Obtener los datos del usuario a través de su SIDObtener los datos del usuario a través de su SID

Base DN: <SID=S-1-5-21-1065510560-3428359812-2318783122-1623>



Búsquedas LDAP al Búsquedas LDAP al directoriodirectorioLDP (V)LDP (V) Ejemplo de búsqueda por GUIDEjemplo de búsqueda por GUID

Obtener los datos del usuario a través de su Obtener los datos del usuario a través de su GUIDGUID

Base DN: <GUID=5d2ba257-6c50-4a8d-80f1-6fd4ff49407d>



Búsquedas LDAP al directorioBúsquedas LDAP al directorioLDP (VI)LDP (VI) Ejemplo de búsqueda compleja.Ejemplo de búsqueda compleja.

Lista de todos los atributos que se replican al Lista de todos los atributos que se replican al catálogo globalcatálogo global

Base DN: cn=schema,cn=configuration,dc=[dominio],dc=[dominio]

Filter: (&(objectCategory=attributeSchema)(isMemberOfPartialAttributeSet=TRUE))

Scope: Subtree

Options - > Attributes: lDAPDisplayName

Búsquedas LDAP al directorioBúsquedas LDAP al directorioLDP (VII)LDP (VII) Ejemplo de búsqueda de usuarios Ejemplo de búsqueda de usuarios

eliminados.eliminados. Ventana de seguridad muestra usuario en forma Ventana de seguridad muestra usuario en forma

de: de: Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)Account Unknown(S-1-5-21-4091595955-2324484845-4052817843-1112)

Base DN: <SID=S-1-5-21-4091595955-2324484845-4052817843-1112>

Filter: objectClass=*

Scope: Base

Options -> Attributes: objectGUID;objectSid

Options -> Search type -> Extended

Options -> TimeOut -> 120

Options -> Controls -> Return Deleted Objects

DEMODEMO

Búsquedas con LDPBúsquedas con LDP

AgendaAgenda



Uso y creación de scriptsUso y creación de scripts

Windows pone a disposición del sistema una Windows pone a disposición del sistema una librería que permite, entre otras cosas, librería que permite, entre otras cosas, acceder al Directorio Activo mediante códigoacceder al Directorio Activo mediante código ADSI (Active Directory Services Interface)ADSI (Active Directory Services Interface)

La programación se realiza en lenguajes de La programación se realiza en lenguajes de ScriptScript VBScriptVBScript JscriptJscript

El script se almacena en un archivo de texto, El script se almacena en un archivo de texto, con una extensión reconocida (.vbs ó .js) y con una extensión reconocida (.vbs ó .js) y se ejecuta como un programase ejecuta como un programa

Uso y creación de scriptsUso y creación de scripts Demo ScriptDemo Script

Ej de uso de scripts para administración de Ej de uso de scripts para administración de AD. Creación de 100 usuarios (VBScript)AD. Creación de 100 usuarios (VBScript)

Set objRootDSE = GetObject("LDAP://rootDSE")Set objContainer = GetObject("LDAP://ou=cienusuarios," & _objRootDSE.Get("defaultNamingContext"))For i = 1 To 100Set objLeaf = objContainer.Create("User", "cn=UserNo" & i)objLeaf.Put "sAMAccountName", "UserNo" & iobjLeaf.SetInfoNextWScript.Echo "100 Usuarios creados."

Uso y creación de scriptsUso y creación de scripts Technet Script CenterTechnet Script Center

Colección de scripts que sirven como base Colección de scripts que sirven como base para realizar tareas de administración muy para realizar tareas de administración muy elaboradaselaboradas

Cientos de ejemplos agrupados por áreas en Cientos de ejemplos agrupados por áreas en TechNet Script CenterTechNet Script Center http://www.microsoft.com/technet/scriptcenterhttp://www.microsoft.com/technet/scriptcenter http://www.microsoft.com/technet/scriptcenter/http://www.microsoft.com/technet/scriptcenter/

scripts/default.mspxscripts/default.mspx

DEMODEMOUso y creación de scriptsUso y creación de scripts

AgendaAgenda


administración MMCadministración MMC

Extensión de la consola MMCExtensión de la consola MMC

El entorno de administración MMC es El entorno de administración MMC es extensibleextensible Permite añadir nuevas funcionalidadesPermite añadir nuevas funcionalidades

Por ejemplo MS Exchange añade nuevas Por ejemplo MS Exchange añade nuevas páginas de propiedades a las propiedades de páginas de propiedades a las propiedades de un usuarioun usuario

Extensión de la consola MMCExtensión de la consola MMC Display SpecifiersDisplay Specifiers

En el esquema de DA existen objetos de tipo En el esquema de DA existen objetos de tipo displaySpecifiersdisplaySpecifiers En el apartado de configuraciónEn el apartado de configuración

Determinan la ‘localización’ o los idiomas en Determinan la ‘localización’ o los idiomas en los que se mostrarán ciertos elementos de la los que se mostrarán ciertos elementos de la consola de administraciónconsola de administración 409 - inglés409 - inglés

Extensión de la consola MMCExtensión de la consola MMC Specifier: user-Display (I)Specifier: user-Display (I)

Permite extender las propiedades de un Permite extender las propiedades de un usuariousuario

Dependiendo de los valores de sus atributos Dependiendo de los valores de sus atributos mostrará unas cosas u otrasmostrará unas cosas u otras

Atributo adminContextMenuAtributo adminContextMenu Permite añadir una nueva opción de menú al Permite añadir una nueva opción de menú al

menú contextual de un usuariomenú contextual de un usuario

Extensión de la consola MMCExtensión de la consola MMC Specifier: user-Display (II)Specifier: user-Display (II)

Ej. Nuevo menúEj. Nuevo menú Menú sencillo de ejemplo. Simplemente Menú sencillo de ejemplo. Simplemente

obtiene la información del objeto (path) y obtiene la información del objeto (path) y extrae su RDNextrae su RDN

De esta forma se puede llamar a cualquier De esta forma se puede llamar a cualquier ejecutable que acepte parámetros por la ejecutable que acepte parámetros por la línea de comandoslínea de comandos

Más información en:Más información en: http://msdn.microsoft.com/library/en-us/http://msdn.microsoft.com/library/en-us/

netdir/ad/netdir/ad/extending_the_user_interface_for_directoextending_the_user_interface_for_directory_objects.asp?frame=truery_objects.asp?frame=true

Extensión de la consola MMCExtensión de la consola MMC Specifier: user-Display (III)Specifier: user-Display (III)

Ej. Nuevo menúEj. Nuevo menú Menú que obtiene el listado de grupos a Menú que obtiene el listado de grupos a

los que pertenece un determinado usuario los que pertenece un determinado usuario de manera recursiva.de manera recursiva. Se modifica la propiedad adminMenuSe modifica la propiedad adminMenu Obtiene grupos dentro de gruposObtiene grupos dentro de grupos Script: getUserGroups.htaScript: getUserGroups.hta

Extensión de la consola MMCExtensión de la consola MMC Specifier: computer-DisplaySpecifier: computer-Display

Ej. Nuevo menúEj. Nuevo menú Menú que obtiene la lista de software Menú que obtiene la lista de software

instalado en el equipo vía WMIinstalado en el equipo vía WMI Se modifica la propiedad adminMenuSe modifica la propiedad adminMenu Script: getSoftInstalado.htaScript: getSoftInstalado.hta

Extensión de la consola MMCExtensión de la consola MMC Descarga de los ejemplosDescarga de los ejemplos

Estos ejemplos los podéis obtener en:Estos ejemplos los podéis obtener en: http://www.byteabyte.net/eventos/http://www.byteabyte.net/eventos/

En la sección de este WebcastEn la sección de este Webcast

DEMODEMO

Extensiones a la consola de Extensiones a la consola de administración MMCadministración MMC

Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP...

Documents

Transcript of Técnicas de Uso de Directorio Activo Octubre-2004 Alejandro Mezcua Microsoft MVP...