U3_1_D_Gestio_Dominis_Windows_Server_compressed-1-49.pdf
Document Details
Uploaded by OptimalGold
Full Transcript
LA GESTIÓ DE DOMINIS EN WINDOWS SERVER UNITAT 3 CONTINGUT DE LA UNITAT ➤ 1.INTRODUCCIÓ ➤ 2. ACTIVE DIRECTORY ➤ 2.1 ESTRUCTURA LÒGICA:COMPONENTS LÒGICS ➤ 2.2 ESTRUCTURA FÍSICA: COMPONENTS FÍSICS ➤ 2.3 RELACIÓ DE CONFIANÇA...
LA GESTIÓ DE DOMINIS EN WINDOWS SERVER UNITAT 3 CONTINGUT DE LA UNITAT ➤ 1.INTRODUCCIÓ ➤ 2. ACTIVE DIRECTORY ➤ 2.1 ESTRUCTURA LÒGICA:COMPONENTS LÒGICS ➤ 2.2 ESTRUCTURA FÍSICA: COMPONENTS FÍSICS ➤ 2.3 RELACIÓ DE CONFIANÇA ➤ 2.4 DOMINIS ➤ 2.5 UNITATS ORGANITZATIVES ➤ 2.6 PROCÉS DE PROMOCIÓ ➤ 2.7 NIVELLS FUNCIONALS DELS CONTROLADORS DE DOMINI ➤ 2.8 LES PARTICIONS ➤ 2.9 ROLS DE MESTRES D'OPERACIONS ➤ 2.10 ESPAIS DE NOMS 2  1. INTRODUCCIÓ LA GESTIÓ DE DOMINIS EN WINDOWS SERVER INTRODUCCIÓ ➤ Normalment els administradors de xarxes tenen clar que la forma més e cient d'apro tar el potencial dels equips amb Windows Server és mitjançant la creació dels anomenats dominis (model client/servidor). En aquests dominis s'emmagatzema de forma centralitzada informació administrativa (comptes d'usuaris, impressores, directoris, etc.) i de seguretat, facilitant així la tasca de l'administrador. ➤ Windows Server utilitza el concepte de Directori Actiu (AD, Active Directory) com a magatzem de dades (objectes) per implementar aquest tipus de con guració. ➤ El Directori Actiu és un servei de xarxa que guarda a una base de dades tota la informació sobre els recursos de la xarxa i permet l'accés dels usuaris a aquests recursos i a determinades aplicacions. D'aquesta manera, es converteix en un model per organitzar, controlar i administrar de manera centralitzada l'accés als recursos de la xarxa. ➤ Un dels avantatges fonamentals de l’Active Directory és separar l’estructura lògica de l’organització (dominis) de l’estructura física (topologia de xarxa). 4  fi fi fi INTRODUCCIÓ ➤ Quan s’instal·la el Directori Actiu en un o varis equips Windows Server de la xarxa, els equips es converteixen controladors de domini. ➤ És obligatori que almenys hi hagi un controlador de domini en cada domini. ➤ La resta d'equips de la xarxa que no siguin servidors poden actuar com a clients del servei de directori. ➤ Cada domini de Windows Server queda identi cat unívocament mitjançant un nom DNS, per exemple iesbielmarti.cat ➤ El Directori Actiu utilitza els noms DNS per a resoldre els noms d'equips i els noms de domini. Per això, és necessari que en cada bosc hi hagi al menys un servidor DNS. 5  fi INTRODUCCIÓ Un servidor Windows Server dins d’un domini pot ser: - Controlador de domini: Pertany al domini i conté una copia de les comptes d'usuari i d’altres dades del Directori Actiu. Es obligatori que hi hagi almenys un controlador de domini en cada domini. - Servidor membre: Pertany al domini i no conté una copia del Directori Actiu com per exemple un servidor FTP o DHCP. 6  2. ACTIVE DIRECTORY LA GESTIÓ DE DOMINIS EN WINDOWS SERVER ACTIVE DIRECTORY: QUÈ ÉS? ➤ Un directori és una estructura jeràrquica que emmagatzema informació sobre els objectes existents a la xarxa. ➤ Active Directory (AD) és la tecnologia de Microsoft utilitzada per a representar un directori. ➤ Un servei de directori proporciona mètodes per emmagatzemar les dades al directori i posar-les a disposició dels administradors i dels usuaris de la xarxa. ➤ Els objectes AD representen usuaris, ordinadors, dispositius perifèrics, serveis de xarxa i paràmetres de seguretat. Cada objecte s'identi ca de manera única pel seu nom i atributs. ➤ Active Directory utilitza els protocols i serveis següents: - Lightweight Directory Access Protocol (LDAP): s’utilitza per accedir a les dades dels serveis de directori. - Kerberos: autentica i prova de manera segura la identitat entre els usuaris i els servidors de la xarxa. - DNS: tradueix els noms de domini en adreces IP. ➤ Active Directory és utilitzat principalment per empreses i organitzacions. ➤ El bosc, el domini i l'arbre representen l’estructura lògica d'una infraestructura AD. 8  fi Estructura lògica d’Active Directory 9  Estructura lògica d’Active Directory 10  2.1 ESTRUCTURA LÒGICA: COMPONENTS LÒGICS LA GESTIÓ DE DOMINIS EN WINDOWS SERVER COMPONENTS LÒGICS: ESQUEMA ➤ Esquema: - De neix l'estructura dels components que es poden incloure a l’Active Directory. - Normalment no cal modi car-ho. - Pot ser modi cat per serveis addicionals que s'hi instal·lin (per exemple: Exchange). 12  fi fi fi Exemple de l’esquema de l’Active Directory 13  COMPONENTS LÒGICS: DOMINI ➤ Domini: - Un domini és una agrupació lògica d'usuaris, ordinadors, dispositius perifèrics i serveis de xarxa. Des de la perspectiva de l'arquitectura de xarxa els dominis són entorns de xarxa centralitzats on un servidor governa l'autenticació. - Els usuaris i recursos d’un domini es poden autenticar al propi domini però també ho poden fer a altres dominis. - Els dominis es poden agrupar en estructures majors anomenades arbre de dominis. 14  Exemple de configuració del primer domini en Windows Server. 15  COMPONENTS LÒGICS: BOSC I ARBRES ➤ Arbre de dominis: - Conjunt de dominis que comparteixen un domini arrel comú. - Els dominis d'un arbre estan enllaçats mitjançant una con ança transitiva. Per exemple, amb la con ança transitiva, si A con a en B i B con a en C, aleshores A con a en C. - En un arbre de dominis, quan un domini nou s'uneix a un arbre existent, el domini nou con a automàticament en tots els dominis existents de l’arbre. - El nivell per sota del domini de l'arbre representa els dominis secundaris. ➤ Bosc: - Conjunt de dominis que comparteixen el mateix Directori Actiu i tenen en comú el mateix domini arrel. - El primer domini creat a un bosc s’anomena domini principal o arrel, i s’hi poden afegir dominis addicionals. 16  fi fi fi fi fi fi Exemple de creació en Windows Server de l’arbre de dominis format per Dautti.local i Training.local. 17  COMPONENTS LÒGICS: DOMINI FILL O SUBDOMINI ➤ Domini ll o subdomini: - Per entendre el domini ll, ho explicarem amb un exemple: Dautti.local i Training.local representen un arbre de dominis. Com Dautti.local és el primer domini que s’ha creat representa el domini arrel i també representa el domini del bosc. A partir d'açò, Administration.Dautti.local representa un domini ll o subdomini del domini Dautti.local. 18  fi fi fi Exemple de creació en Windows Server d’un domini fill anomenat Administration.Dautti.local. 19  COMPONENTS LÒGICS: UNITAT ORGANITZATIVA ➤ Unitat Organitzativa: - Contenidors d’un domini que permeten organitzar la delegació de permisos administratius i enllaçar directives de grup. - Re ecteixen l'esquema organitzatiu de la xarxa. Per tant, un domini s’organitza en unitats organitzatives per a agrupar per usuaris, equips, etc. - No tots els contenidors són unitats organitzatives. 20  fl COMPONENTS LÒGICS: OBJECTES ➤ Objectes: - Elements administrables que es poden incloure en una unitat administrativa. - Poden ser usuaris, grups, contactes, equips, etc. - Tots aquests objectes de nits en l’esquema estan formats per atributs. - No tots els atributs dels objectes apareixen en l’eina “Usuarios y equipos de Active Directory” - Amb l’aplicació ADSIEdit.exe o amb cmdlets de Powershell es poden consultar tots els atributs que formen part d’un objecte. 21  fi Exemple dels atributs de l’administrador utilitzant l’aplicació ADSIEdit.exe 22  Exemple com consultar l’atribut PasswordLastSet utilitzant un cmdlet de powershell. 23  Estructura lògica d’Active Directory 24  Estructura lògica d’Active Directory 25  Exemple de l’estructura jeràrquica amb un únic arbre de dominis. 26  Exemple de l’estructura jeràrquica de dos arbres de dominis. 27  2.2 ESTRUCTURA FÍSICA: COMPONENTS FÍSICS LA GESTIÓ DE DOMINIS EN WINDOWS SERVER COMPONENTS FÍSICS ➤ Site o “Sitio” o Lloc: - Col·lecció de controladors de domini que resideixen en una localització física. - Pot passar que ordinadors de diferents sites (estructura física) formin part un mateix domini (estructura lògica). 29  Exemple de l’estructura física de l’Active Directory 30  Exemple de l’estructura lògica i l’estructura física de l’Active Directory 31  COMPONENTS FÍSICS ➤ Controlador de domini (DC): - Guarda una còpia de la base de dades de l’Active Directory. ➤ Servidors de catàleg global (GC): - Un servidor de Catàleg Global és un controlador de domini que té una còpia de tots els objectes d'Active Directory del nostre domini i una còpia parcial de tots els objectes del nostre bosc. - Quan promocionem el primer servidor, aquest passa a ser primer Controlador de Domini (DC) i Catàleg Global (CG). - N'hi ha d'haver almenys un per domini. ➤ Controladors de domini de només lectura (RODC): - S'instal·la a o cines on la seguretat local és menor. 32  fi COMPONENTS FÍSICS ➤ Servidor DNS: - La funció del servidor DNS és transformar les adreces IP a noms i els noms a adreces IP. - Tota la informació de noms del domini s'emmagatzema en el servidor DNS. - Per a què el domini funcioni hi ha d'haver servidors de DNS. - Es recomana que cada controlador de domini tingui el seu propi servidor DNS. - El sistema d'Active Directory replica la informació DNS entre tots els servidors DNS. - Tots els equips que s'afegeixen al domini es registren automàticament al servidor DNS. 33  2.3 RELACIÓ DE CONFIANÇA LA GESTIÓ DE DOMINIS EN WINDOWS SERVER RELACIÓ DE CONFIANÇA ➤ En Active Directory, existeix una relació de con ança entre un ordinador, un controlador de domini (DC) i els dominis. ➤ Un cop un ordinador s'uneix a un domini, el gestor de comptes de seguretat (SAM, Security Account Manager) de l'ordinador local con a en el mecanisme d'autenticació d’AD d’ un DC (Kerberos). Per tant, l'usuari és autenticat per un controlador de domini (DC) en una xarxa i NO pel SAM local. ➤ De la mateixa manera, el mecanisme d'autenticació de cada d'arbre de dominis con a en tots els altres mecanismes d'autenticació d'altres dominis d'arbre de con ança dins d'un bosc. 35  fi fi fi fi Exemple de relacions en confiança en Active Directory 36  2.4 DOMINIS LA GESTIÓ DE DOMINIS EN WINDOWS SERVER DOMINIS ➤ Cada domini necessita com a mínim un controlador de domini. A la pràctica en necessita almenys dos per tolerància a fallades i e ciència. ➤ Cada controlador de domini té una còpia de la base de dades que se sincronitza constantment amb la resta de controladors. Per exemple, si tenim 3 controladors de domini i en un d’ells es crea un usuari, automàticament l’usuari apareixerà en els altres controladors. ➤ Cada domini té una sèrie d’objectes organitzats en unitats organitzatives. ➤ Qualsevol controlador de domini pot autenticar qualsevol entrada d'usuari al domini. 38  fi 2.5 UNITATS ORGANITZATIVES LA GESTIÓ DE DOMINIS EN WINDOWS SERVER UNITATS ORGANITZATIVES ➤ Contenidors que es fan servir per agrupar objectes del domini. ➤ No tots els contenidors són unitats organitzatives. Per exemple: "Computers" i "Builtin" són contenidors però NO són Unitats Organitzatives (OU). ➤ Una unitat organitzativa en pot tenir d'altres per crear una jerarquia. ➤ S'utilitzen per a: - Agrupar objectes segons una estructura de nida (per exemple: estructura empresària, funcional, geogrà ca...). - Assignar polítiques de grup: què pot fer un conjunt d'usuaris o equips determinats. - Delegar control: assignar subadministradors per a aquesta unitat organitzativa. 40  fi fi 2.6 PROCÉS DE PROMOCIÓ LA GESTIÓ DE DOMINIS EN WINDOWS SERVER PROCÉS DE PROMOCIÓ ➤ Promoció d’un servidor: És el procés d’afegir un servidor Windows a un entorn de Directori Actiu com a controlador de domini(DC, Domain Controler). ➤ Un controlador de domini(DC) és un servidor que emmagatzema i administra la base de dades de Directori Actiu. ➤ Un DC és un servidor que s'encarrega d'autenticar els usuaris de manera segura perquè puguin accedir als recursos de xarxa d'una organització. ➤ El DC és l'encarregat de concedir accés als dominis. 42  2.7 NIVELLS FUNCIONALS DELS CONTROLADORS DE DOMINI LA GESTIÓ DE DOMINIS EN WINDOWS SERVER NIVELLS FUNCIONALS DELS CONTROLADORS DE DOMINI (DC) ➤ Els nivells funcionals es de neixen durant el procés promoció d’un nou controlador de domini i el seu valor serà en funció dels controladors de domini que ja hi ha instal·lats en el bosc. ➤ Els nivells funcionals permeten apro tar les funcionalitats més recents o permetre disposar de compatibilitat entre tots els controladors de domini d'un arbre o d’un bosc. ➤ Els controladors de domini tenen 2 nivells funcionals: El nivell funcional del bosc (FFL, Forest Funcional Level) i el nivell funcional del domini (DFL, Domain Funcional Level). ➤ El nivell funcional del bosc (FFL) controla quines versions de Windows Server es poden executar als DC del bosc i activa les característiques disponibles en tots els dominis d'un bosc. ➤ En canvi, el nivell funcional del domini (DFL) controla quines versions de Windows Server es poden executar als DC d'aquest domini i activa les característiques disponibles en aquest domini. 44  fi fi NIVELLS FUNCIONALS DELS CONTROLADORS DE DOMINI (DC) ➤ Quan s’implementa Active Directory, s’estableix habitualment els nivells funcionals de domini i bosc en el valor més alt possible que admet l’entorn. D’aquesta manera, es podrà utilitzar el major número possible de característiques de l’Active Directory. ➤ Per a disposar de compatibilitat entre els diferents controladors de domini, els nivells funcionals de un nou controlador de domini es poden establir a un valor inferior al valor més alt possible i en qualsevol moment només es poden modi car a un valor superior, mai a un valor inferior. ➤ Llistat complet de funcionalitats: https://learn.microsoft.com/es-es/windows- server/identity/ad-ds/active-directory-functional-levels 45  fi Configuració Windows Server 2016 a un nivell funcional de Windows 2012R2 durant el procés de promoció. 46  Consultar i augmentar els nivells funcionals des de l’eina “Centro de administración de Active Directory” 47  Consultar i augmentar els nivells funcionals utilitzant l’eina “Dominios y confianzas de Active Directory” 48  NIVELLS FUNCIONALS: CMDLETS DE POWERSHELL ➤ Importar el Mòdul d’Active Directory amb la comanda: Import-Module -Name ActiveDirectory ➤ Consultar el nivell funcional del bosc: (Get-AdForest).ForestMode ➤ Consultar el nivell funcional del domini: (Get-AdDomain).DomainMode ➤ Modi cació del nivell funcional del bosc: Set-ADForestMode -Identity “nomdeldomini” -ForestMode “versió_windows_server” ➤ Modi cació del nivell funcional del domini: Set-ADDomainMode -Identity “nomdeldomini” -DomainMode “versió_windows_server” 49  fi fi