Directorio Activo y Manejo de Identidades

1
Directorio Activo y Manejo de Identidades
2
Agenda

• Conceptos básicos de Directorio Activo
• Diseño de Bosques
• Diseño de Dominios
• Diseño de Unidades Organizacionales
• Diseño de Politicas de Grupo
• Diseño de Topología de sitios
• Servicios de MIIS

3
Que es el directorio activo?

• Un punto central de administración, seguridad, e
  interoperabilidad de la plataforma Windows y
  otros productos

4
Arquitectura del Directorio Activo
Organización Jerárquica

• Almacena información en forma de Arbol
• Contenedores guardan objetos
• Contenedores pueden guardar otros contenedores

Almacenamiento orientado a objetos

• Soporta varios tipos de objetos
• Información de objetos almacenada como atributos
• Seguridad a nivel de objeto o atributos

5
Directorio Activo de Windows 2003

• Clientes Windows
• Manejo Perfil
• Info Red
• Politicas

• Servidores Windows
• Manejo Perfil
• Información de Red
• Servicios
• Impresoras
• Archivos
• Politicas

• Usuarios Windows
• Info Cuenta
• Perfiles
• Derechos
• Politicas

Directorio Activo

• Un punto central para
• Administración
• Seguridad
• Interoperabilidad

6
Terminología- estándares

• DNS - Domain Name System Base de datos
  jerárquica distribuida, usada para traslado de
  nombres/direcciones
• DNS dinamico Es una adición reciente a l
  estandar de DNS
• LDAP "Lightweight Directory Access Protocol"
• X.500 - X.500 es un conjunto de estándares que
  definen un servicio distribuido de directorios
  desarrollado por la ISO
• Schema Una definición especifica de los objetos
  y sus atributos

7
Terminología Directorio Activo

• Active Directory El servicio de directorio
  iniciado con Windows 2000 Server
• Dominio Un dominio es el bloque básico de un
  directorio activo. Es una partición de la
  estructura del directorio.
• Arbol Un arbol es una colección de uno o más
  dominios que tienen un espacio de nombres
  compartido
• Bosque Un bosque es la union de uno o más
  arboles que no forman un espacio de nombres
  compartido
• Unidad Organizacional Una OU es un objeto
  contenedor que es una partición administrativa
  del directorio activo

8
Terminología Directorio Activo

• Catalogo global El GC permite a los usuarios y
  aplicaciones encontrar objetos en el directorio
  activo en multiples dominios por uno o más
  atributos del mismo
• Site Un sitio esta definido como una o más
  subredes bien conectadas
• Enlace de sitios Es un objeto que respresenta
  varios sitios que pueden comunicarse a un costo
  por un transporte entre sitios
• Replicacion Permite una replicación
  multi-master permitiendo que todas las replicas
  de una partición sean de escritura
• ADSI Active Directory Service Interface es un
  producto de cliente, que permite definir las
  interfaces del servicio de directorio

9
Terminología Objetos del directorio activo

• El directorio esta compuesto de objetos
• Los objetos representan entradas físicas que
  componen la red
• Un objeto es una instancia de almacenamiento de
  una clase
• Los Objetos tienen atributos
• Un esquema es una colección de atributos
  opcionales y obligatorios
• Un esquema es una implementación de una o más
  clases de objetos
• El acceso a todos los objetos del directorio
  ocurren usando LDAP

10
Conceptos lógicos de Directorio Activo

• Esquema
• Dominio
• Árbol
• Bosque
• Unidad Organizacional

11
Esquema

• Elementos con los que definimos clases y
  atributos para ser usadas como objetos en el
  directorio activo.
• Ampliable según sea necesario ejemplo MS
  Exchange.

12
Clases
Clase
Definidos en el esquema
Ocupa espacio segun se necesita
13
Atributo de Clase Usuario
14
Dominio

• Entorno de administración
• Entorno de seguridad y autenticación.
• Entorno de replicación
• Replicación de partición de Dominio.
• Entorno de nombre DNS

dominio.com
15
Árbol
dominio.com

• Jerarquía de dominios dispersos geográficamente.
• Relaciones de confianza Implícitas.
• Espacio de nombres continuo.
• Esquema único.
• Consolidación de una empresa en un gran espacio
  geográfico ejemplo empresa con filiales en otros
  países.

europa.dominio.com
suramerica.dominio.com
colombia.suramerica.dominio.com
16
Bosque

• Unión de múltiples Árboles,
• Único esquema, objetos sin inconsistencias a toda
  la organización.
• Espacio de nombres independientes, ejemplo
  grupos económicos.

dominio.com
asociado.com
europa.dominio.com
17
Unidad Organizacional

• Contenedor en un dominio
• Organización de objetos de dominio Ejemplo
  ubicación, dependencias, áreas de negocio.
• Jerárquico a un dominio.

18
Conceptos Físicos Directorio Activo

• Controladores de Dominio.
• Copia de base de datos de DA.
• Copias de Lectura y escritura de DA.
• Se pueden promover a DC y despromover a miembro
  de dominio según sea necesario.

19
Sitios

• Que es un site?
• Conjunto de redes conectadas por un enlace rápido
  (aprox. 2 Mbps)
• Usos
• Búsqueda de servicios (Logon, DFS).
• Replicación.
• Aplicación de políticas.

20
dominio.com
Site 2
GC
Site 1
GC
asia.dominio.com
DC
Site 3
GC
DC
21
Catalogo Global

• Replica Parcial de Todos los objetos del Bosque
  de Directorio Activo.
• Búsqueda rápida de Objetos de todos los Dominios
  en el Bosque.
• Ejemplo membresías de grupos universales.

22
Replicación

• Actualización de cambios en el Directorio Activo
• Basado en particiones.
• Esquema
• Configuración
• Una por cada dominio del bosque.
• Replicación multimaster
• Copias de escritura y lectura de cada partición
  de Directorio Activo.
• El cambio puede ser aplicado a cualquier
  servidor.

23
Diseño de Directorio Activo
24
Planeación de implementación

• Tres pasos
• Acceso a su ambiente actual
• Crear un plan de estructura de directorio
• Crear un plan de migración

25
Componentes del diseño

• Espacio de nombres del directorio activo
• Bosque
• Dominio
• Unidad Organizacional
• Topología de los sitios
• Sub Componentes
• Arquitectura de los grupos
• Catalogo Global
• Politicas de grupo
• Modelo de delegación

26
Principios

• Manténgalo simple
• Tenga en mente un modelo ideal
• Evalúe varias alternativas
• Anticipe el cambio

27
Plan de estructura
Plan Bosque

• Entregable Cuatro documentos de planeación

Plan Dominio
Plan OUs
Topología Sitos
28
Diseño de espacios de nombresDocumentos de
planeación

• bosque

Sitios
Dominios
OUs
29
Diseño de espacios de nombresImpacto

• El espacio de nombres determinará
• Disponibilidad y tolerancia a fallas
• Uso de ancho de banda y red
• Eficiencia administrativa
• Vista de usuario e interacción con el DS
• Habilidad para aceptar los cambios

30
Planeación del Bosque
Plan Bosque

• Inicie con un plan del Bosque

Domain plan
OU plan
Site topology
31
Planeación del BosqueConceptos
Nombre usuario bob_at_domain.com
32
Planeación de los BosquesMetodología

• Inicie con un unico bosque
• Cree una pólitica de control de cambios
• Grupos de Schema Admins y Enterprise Admins deben
  verificar los miembros
• Multiples bosques pueden ser requeridos
• No estan de acuerdo con la politica de control de
  cambios
• Requiere un esquema diferente
• No puede compartir toda la información

33
Planeación de BosquesEjemplos

• Autoridad central
• Un unico bosque
• Conglomerados, entidades autonomas
• Pueden requerir multiples bosques
• ISP o hosting
• Multiples bosques
• No tiene razón para compartir el esquema o
  configuración

34
Planeación de dominios
Plan Bosque

• Cree un plan de dominios para cada bosque

Plan Dominio
Plan OU
Topología Sitio
35
Planeación de dominiosConceptos

• Un dominio es la partición de un bosque
• Unidad de partición por replicación
• Segmentación administrativa y de póliticas
• Autoridad para administradores de dominio
• Control de acceso y politicas no fluyen entre
  dominios

36
Planeación de DominiosMetodología
Plan Bosque
Partición
Plan Dominio
Seleccionar la Raíz del bosque
Plan OU
Crear jerarquía
Topología Sitio
Soporte DNS
37
Planeación de dominiosRazones obsoletas para
particionar

• WinNT 4.0 limite objetos 40,000
• Pruebas directorio activo 1,800,000
• Primary Domain Controller (PDC) requerimientos de
  disponibilidad
• Active Directory es multi-master
• Delegación de administración
• Dominio de recursos ya no se necesita
• Puede delegar utilizando OUs
• Problemas de replicación

38
Planeación de dominiosSeleccione el dominio raíz

• Dominio raíz Primer dominio en el bosque
• Grupos de Schema Admins y Enterprise Admins
• Administradores de dominio controlan estos roles
• Raíz dedicada
• Usuarios administrativos únicamente

39
Planeación de dominiosCreando una jerarquía

• Los dominios están identificados con un nombre
  DNS
• Clientes encuentran DCs por búsquedas DNS
• Nombres DNS son jerárquicos

40
Planeación de las OUs
Plan Bosque

• Cree un plan de unidades organizacionales para
  cada dominio

Plan Dominio
Plan OUs
Topología Sitios
41
Planeación de OUsMetodología
Plan Bosque
Plan Dominio
Delegar Administración
Plan OU
Aplicar politica De grupo
Topología Sitio
42
Planeación de OUsConceptos

• Una OU es un contenedor dentro de un dominio
• Estructura jerarquica
• Facilmente modificable
• No está expuesta a usuarios
• No impacta desempeño

43
Planeación de OUsModelos

• OU usadas para delegación
• OU usadas por politicas
• Unir la estructura organizacional
• Administración centralizadas
• Mantener un recurso de administración
• Manejar casos especiales

44
Planeación de OUsModelos

• Organizacional
• Geográfica
• Soporte o Unidades administrativas
• Funcional o basada en tareas
• Mixta - Organizacional
• Mixta - Geográfica

45
Planeación de OUsAdministración delegada

• Los objetos pueden tener permisos por atributos
• Delegación Flexible
• Minimizar el numero de administradores de dominio

46
Planeación de OUsAplicar politicas de grupo

• Group policy es usada para controlar las
  configuraciones de clientes
• Aplicadas a usuarios y computadores
• Asociada con sitios, dominios o unidades
  organizacionales
• Crear Ous para politicas especificas

47
Politicas de grupo

• GPO (Group Policy Object) Es una colección de
  configuraciones que afectan un usuario
• Group Policy afecta objetos independiente de su
  localización fisica
• Una simple GPO puede contener cientos de
  configuraciones

48
Uso de las politicas de grupo

• Configuración de usuarios y computadores
• Póliticas de Software
• Manejo de software
• Documentos de usuario
• Configuración de seguridad
• Scripts

49
Politicas de grupo

• Puede ser aplicada a un Dominio, sitio u OU
• Grupos pueden ser usados para incluir o excluir
  politicas de grupo
• Consideraciones de diseño
• Minimizar el uso de bloqueo de herencia
• Minimizar e numero de GPOs asociadas con usuarios
  en los contenedores del AD
• Minimizar el uso de no override
• Eliminar el uso de GPOs en múltiples dominios

50
Planeación de topología de sitios
Plan bosque

• Crear un plan de topología por cada bosque

Plan Dominio
Plan OU
Plan Topología Sitio
51
Planeación de topología de sitiosConceptos

• Topología Sitios y enlaces
• Un sitio es varas subredes IP con alta velocidad
• Un enlace es la red de unión de dos sitios
• La topología es usada para enrutar el trafico y
  búsquedas
• Fácilmente modificable

52
Planeación de SitiosConceptos

• Localización de recursos
• Alcance de GPOs
• Consideraciones de diseño
• Autenticación en estaciones
• Catalogo global
• Por administración cree solo los sitios
  estrictamente necesarios

53
Servicios de Metadirectorio Microsoft Identity
Integration Server
54
Presente y futuro
Applications
Business Partner Metadirectories
LDAP
XML
XML
Applications
LDAP
MMS
XML (BizTalk)
SQL
XML
XML
Files
XML
XML
SQL Server
Active Directory

• XML tiene mas fuerza en comunicaciones
• Múltiples aplicaciones interactuando con
  Integradores
• Arquitecturas diseñadas en múltiples plataformas
• Sistemas actuales Nuevos sistemas Nuevas
  tecnologías

55
Situación actual

• Client Machines
• Mgmt profile
• Network info
• Policy

• Server Machines
• Mgmt profile
• Network info
• Services
• Printers
• File shares
• Policy

• Users
• Account info
• Privileges
• Profiles
• Policy

• Applications
• Configuration
• Single Sign-On
• App-specificdirectory info
• Policy

Identidad

• Network Devices
• Telephone
• Configuration
• QoS policy
• Security policy

• E-Mail Servers
• Mailbox info
• Address book

• Directory Services
• User Information
• Machine Info
• Network Info

56
Soluciones
Nuevo Usuario
Recursos Humanos
ERP
MMS
Otro
NOS

• Utiliza sistemas de sincronización
• No cambia sistema de autenticación de
  aplicaciones y NOS
• No hace un Single sign on

57
Conclusiones

• Diseñar planes Lógicos y físicos de la red
• Implementar políticas y estándares para sistema
  de directorio (no hacerlo mas complicado)
• Una vez diseñados los directorios de cada
  plataforma, implementar sistemas de
  Metadirectorio
• Modificar y crear una arquitectura de
  conectividad de aplicaciones para sistemas de SSO
• Mantener estándares de alta seguridad

58
Preguntas