1_9782746056442 by Editorial Tirant Lo Blanch

Contenido

Introducción a los servicios de directorio Active Directory

Capítulo 1

Introducción . . . . . . . . . . . . . . . . . . . . . . . . .

Función del servicio de directorio en la empresa. . . . . . . . . .

Posicionamiento e innovaciones de Windows Server 2008 . . . . .

1. 2. 3. 4. 5. 6.

. . . . . . . . . . . .

17 17 18 18 18 20 20 21 21 21 21 22

Windows Server 2008: estrategia de Microsoft . . . . . . . . . .

1. Integración de la innovación en Windows Server 2. El nuevo ciclo de productos Windows Server . . a. Versiones principales . . . . . . . . . . b. Versiones de actualización . . . . . . . . c. Service Packs . . . . . . . . . . . . . d. Feature Packs . . . . . . . . . . . . . 3. Windows Server 2008 "R2" . . . . . . . . . 4. Acerca de Windows Server 2003 . . . . . . .

. . . . . . . .

23 24 24 24 24 25 25 25

Servicios fundamentales y protocolos estándar . . . . . . . . . .

Versión principal de Windows Server . . . . . . . . . . . . . Evoluciones en materia de seguridad . . . . . . . . . . . . . Acceso a las aplicaciones y movilidad . . . . . . . . . . . . . Virtualización de servidores . . . . . . . . . . . . . . . . . Novedades aportadas por Windows Server 2008... . . . . . . . Innovaciones aportadas a Active Directory . . . . . . . . . . . a. AD DS: Auditoría . . . . . . . . . . . . . . . . . . . . b. AD DS: Gestión granular de las políticas de contraseña . . . . c. AD DS: Controladores de dominio de sólo lectura . . . . . . d. AD DS: Rearranque de los servicios de dominio Active Directory e. AD DS: Ayuda en la recuperación de datos . . . . . . . . . f. AD DS: Mejoras de la interfaz Active Directory. . . . . . . .

. . . . . . . .

. . . . . . . . . . . .

. . . . . . . .

. . . . . . . . . . . .

. . . . . . . .

DNS: conceptos, arquitectura y administración Capítulo 2 A.

Introducción al servicio DNS . . . . . . . . . . . . . . . . . .

1. Un poco de historia . . . . . . . . . . . . . . . . . . . . . . .

Windows Server 2008

Contenido 2. ¿Qué son los servicios DNS? . . . . . . . . . . . 3. Terminología del sistema DNS . . . . . . . . . . a. El espacio de nombre DNS (Domain Namespace) b. Jerarquía DNS y espacio de nombres Internet . . 4. El DNS: base de datos distribuida . . . . . . . .

. . . . .

34 35 35 39 40

Estructura del espacio DNS y jerarquía de dominios . . . . . . . .

1. El dominio raíz . . . . . . . . . . . . . . . . . . . . . . . . . 2. Los dominios de primer y segundo nivel . . . . . . . . . . . . . . .

42 42

Los registros de recursos . . . . . . . . . . . . . . . . . . . .

Dominios, zonas y servidores DNS. . . . . . . . . . . . . . . .

1. 2. 3. 4.

. . . . . . . . . . . . . . . . .

46 47 55 56 56 59 63 65 66 69 72 74 74 75 75 76 77

Gestión de los nombres multihost . . . . . . . . . . . . . . . .

Caducidad y borrado de los registros DNS . . . . . . . . . . . .

Opciones de inicio del servidor DNS . . . . . . . . . . . . . . .

Recursividad de los servidores DNS y protección de los servidores . .

1. Bloqueo de los ataques de tipo Spoofing DNS . . . . . . . . . . . .

C. D.

5. 6. 7. 8.

. . . . .

Dominios DNS y zonas DNS . . . . . . . . . . . . . . . . . . Zonas y ficheros de zonas . . . . . . . . . . . . . . . . . . . Nombres de dominio DNS y nombres de dominio Active Directory . . Tipos de zonas y servidores de nombres DNS . . . . . . . . . . . a. Servidores de nombres y zonas primarias . . . . . . . . . . . b. Servidores de nombres y zonas secundarias . . . . . . . . . . c. Tipos de transferencia de zonas DNS. . . . . . . . . . . . . d. Servidores de caché y servidores DNS . . . . . . . . . . . . Establecimiento de las zonas estándar: buenas prácticas . . . . . . Delegación de las zonas . . . . . . . . . . . . . . . . . . . . Uso de los reenviadores . . . . . . . . . . . . . . . . . . . . Zonas de código auxiliar. . . . . . . . . . . . . . . . . . . . a. Contenido de una zona de código auxiliar . . . . . . . . . . . b. Ventajas de las zonas de código auxiliar . . . . . . . . . . . c. Actualización de las zonas de código auxiliar . . . . . . . . . d. Operaciones en las zonas de código auxiliar . . . . . . . . . . Reenviadores, zona de código auxiliar y delegación: buenas prácticas .

. . . . .

. . . . . . . . . . . . . . . . .

Servicios de dominio Active Directory

Contenido

I. J.

2. Bloqueo de los ataques de tipo Spoofing DNS en servidores de tipo Internet

Síntesis de las funciones de los servidores DNS . . . . . . . . . .

Comandos de gestión del servicio DNS . . . . . . . . . . . . . .

1. El a. b. c. 2. El 3. El 4. El 5. El

88 88 89 91 92 93 95 96

comando ipconfig . . . . . . . . . . . . Administración de la caché del cliente DNS y Renovación de la inscripción del cliente DNS Nuevas opciones del comando ipconfig . . . comando NSLookup . . . . . . . . . . . comando DNSCmd . . . . . . . . . . . . comando DNSLint . . . . . . . . . . . . comando Netdiag . . . . . . . . . . . .

. . . de los . . . . . . . . . . . . . . . . . .

. . . . . . . . registros dinámicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Supervisión del servicio DNS . . . . . . . . . . . . . . . . . . 1. 2. 3. 4.

. . . .

98 102 103 105

Restauración de los parámetros predeterminados . . . . . . . . .

106

M. Interfaz NetBIOS y Configuración DNS del cliente Windows XP Professional . . . . . . . . . . . . . . . . . . . . . . . . .

108

1. A propósito de la interfaz NetBIOS . . . . . . . . . . . . . . a. Interfaz NetBIOS y configuración DNS del cliente Windows XP Professional . . . . . . . . . . . . . . . . . . . . . . b. Tipos de nombres tolerados . . . . . . . . . . . . . . . c. Posicionamiento de la interfaz NetBIOS en relación con TCP/IP. 2. Plataforma Windows e interfaz Windows . . . . . . . . . . . . a. Servicios NetBIOS y códigos de servicios Microsoft . . . . . . b. Resolución de nombre NetBIOS . . . . . . . . . . . . . . c. Orden de las resoluciones NetBIOS . . . . . . . . . . . . d. Orden de resolución de una estación de trabajo de tipo H-nodo e. Interfaz y nombres NetBIOS, resoluciones WINS y dominios Active Directory. . . . . . . . . . . . . . . . . . . . . 3. Configuración de un puesto cliente Active Directory . . . . . . . a. A propósito de los clientes Active Directory . . . . . . . . .

Windows Server 2008

. . . .

Definición de una base de referencia . . . . Uso de la consola Administración del servidor Uso de los visores de sucesos . . . . . . . Uso de los registros de depuración DNS . . .

. . .

108

. . . . . . . .

108 108 109 109 109 112 113 113

. . . . . . . . .

117 117 117

. . . . . . . .

Contenido

b. Estaciones de trabajo Windows XP y configuración DNS necesaria para los entornos de dominios Active Directory . . . . . . . . . . 4. Peticiones de resolución DNS y NetBIOS: Proceso de selección del método 5. Prueba de integración del equipo en el dominio Active Directory . . . . .

123 133 133

Novedades del servicio DNS de Windows Server 2008 . . . . . . . .

134

1. 2. 3. 4. 5. 6.

. . . . .

134 134 135 135 136

. . . . . .

138

. . . . . .

138

Introducción . . . . . . . . . . . . . . . . . . . . . Carga de zonas en segundo plano. . . . . . . . . . . . Soporte de direcciones IPv6 . . . . . . . . . . . . . . Soporte DNS de los controladores de dominio de sólo lectura Soporte de zonas de tipo GlobalNames . . . . . . . . . Evoluciones de la parte cliente DNS de Windows Vista y Windows Server 2008 . . . . . . . . . . . . . . . . 7. Selección de controladores de dominio con Windows Vista y Windows Server 2008 . . . . . . . . . . . . . . . .

. . . . .

Integración de las zonas DNS en Active Directory A. B.

. . . . .

Capítulo 3

Introducción a la integración de las zonas DNS en Active Directory .

142

Almacenamiento de las zonas DNS y replicación de Active Directory .

142

1. Objetos ordenadores Active Directory y denominaciones . . . . . . 2. Ventajas de la integración de las zonas DNS en Active Directory . . . a. Actualización en modo multimaestro . . . . . . . . . . . . . b. Seguridad avanzada de los controles de acceso en la zona y en los registros . . . . . . . . . . . . . . . . . . . . . . 3. Particiones predeterminadas disponibles con Windows 2000 . . . . 4. Integración de las zonas DNS en Active Directory con Windows 2000 5. Integración de las zonas DNS en Active Directory con Windows Server y Windows Server 2008. . . . . . . . . . . . . . . . . . . . a. ForestDnsZones.NombreBosqueDns . . . . . . . . . . . . . b. DomainDnsZones.NombredeDominioDns . . . . . . . . . . . c. Utilización de otras particiones del directorio de aplicaciones. . . d. Creación de una partición en el directorio de aplicaciones Active Directory. . . . . . . . . . . . . . . . . . . . . . e. Replicación de las particiones del directorio de aplicaciones y caso de los catálogos globales . . . . . . . . . . . . . . .

. . . . . .

143 145 145

. . . . . . 2003 . . . . . . . .

146 149 151

. .

157

. .

158

153 155 156 156

Servicios de dominio Active Directory

Contenido f.

Almacenamiento de las zonas, particiones de aplicaciones y replicaciones . . . . . . . . . . . . . . . . . . . . . . . . . g. Zonas DNS integradas en Active Directory y particiones de directorio ADAM . . . . . . . . . . . . . . . . . . . . . . . . . . . h. Condiciones necesarias para realizar un cambio de almacenamiento. . i. Sugerencias de raíz . . . . . . . . . . . . . . . . . . . . . . j. Almacenamiento de las zonas en Active Directory y registros dinámicos de los controladores de dominio Windows 2000, Windows Server 2003 y Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 6. Proteger las actualizaciones dinámicas. . . . . . . . . . . . . . . . a. Configurar las actualizaciones dinámicas seguras . . . . . . . . . . 7. Actualizaciones seguras y registros DNS realizados a través de DHCP. . . a. Uso del grupo especial DNSUpdateProxy para realizar las actualizaciones dinámicas de las zonas DNS seguras . . . . . . b. Protección de los registros al usar el grupo DnsUpdateProxy . . . . . c. Protección de las zonas DNS y poder del servicio servidor DHCP sobre los controladores de dominio Active Directory . . . . . . . . d. Comando Netsh y declaración de la autenticación del servidor DHCP . 8. Conflictos de gestión de las confianzas en las zonas DNS . . . . . . . .

Integración de los servidores DNS Windows con el servidor existente . 1. A propósito de los RFC soportados por el servicio DNS de Windows Server 2003 y Windows Server 2008 . . . . . . . . . 2. A propósito de los RFC 1034 y 1035 . . . . . . . . . . . . . . . 3. Consulta de los RFC en la Web. . . . . . . . . . . . . . . . . . 4. Interoperabilidad de los servicios DNS de Windows Server 2003 y 2008 . 5. Problemas de compatibilidad y búsquedas directa e indirecta WINS . . 6. Especificidad del DNS de Windows 2000 Server, Windows Server 2003 y Windows Server 2008 e integración dinámica en los servidores DHCP . . 7. Autorizaciones de las transferencias de zona . . . . . . . . . . . .

Localización de servicios Active Directory y servicios DNS

159 159 162 162

163 164 164 167 170 170 171 173 173

174

. . . . .

174 175 176 176 176

. .

177 177

Capítulo 4

Introducción . . . . . . . . . . . . . . . . . . . . . . . . .

180

Servicio de Localización DNS y selección de los controladores de dominio. . . . . . . . . . . . . . . . . . . . . . . . . .

180

Windows Server 2008

Contenido C.

Estructura DNS e integración en el directorio Active Directory . . . .

Registros DNS "Ubicación de servicio" de los controladores de dominio 187 1. Estructura de acogida de la zona DNS para los registros de recursos de tipo SRV . . . . . . . . . . . . . . . . . . . . . . . . a. A propósito del registro de recursos DNS de tipo SRV. . . . . b. Registros SRV inscritos en el servicio "Inicio de sesión de red" . c. A propósito del registro DsaGuid._msdcs.NombredeBosque . . d. Registros de recursos para los clientes no compatibles con los registros SRV . . . . . . . . . . . . . . . . . . 2. Servidores DNS no dinámicos y registros dinámicos de los controladores de dominio . . . . . . . . . . . . . . . 3. A propósito de la zona DNS del dominio raíz del bosque . . . . .

E. F. G.

. . . .

188 189 191 194

. . .

194

. . . . . .

194 195

Restricciones y problemas potenciales . . . . . . . . . . . . . .

196

. . . .

Control rápido de los registros de recursos . . . . . . . . . . . .

197

1. Pruebas de registros DNS . . . . . . . . . . . . . . . . . . . . .

197

Gestión del problema de la transición de los controladores de dominio NT a Active Directory . . . . . . . . . . . . . . . .

200

Componentes de la estructura lógica A.

. . . .

185

Capítulo 5

Introducción a los componentes de la estructura lógica . . . . . . .

206

Los dominios . . . . . . . . . . . . . . . . . . . . . . . . .

206

1. 2. 3. 4.

. . . . . . . . . . . . . . . . . .

208 209 213

. . . . . . . . . . . . . . . . . .

214 216 217

Controladores de dominio y estructura lógica . . . . . . . . . . .

220

Las unidades organizativas (OU) . . . . . . . . . . . . . . . .

223

Los árboles . . . . . . . . . . . . . . . . . . . . . . . . .

229

Contenedor (container) dentro del bosque . . . . . . . . Niveles funcionales de los dominios . . . . . . . . . . . Gestión de las directivas en los dominios. . . . . . . . . Delegación de la administración de dominios y control de los parámetros específicos de dominio . . . . . . . . 5. Uso del dominio como unidad de replicación elemental. . . 6. Límites del dominio Active Directory y delegación obligatoria

Servicios de dominio Active Directory

Contenido F.

Los bosques . . . . . . . . . . . . . . . . . . . . . . . . .

237

1. Criterios, función y buen uso de los bosques . . . . . . . . . . . . . 239 2. Configuración del bosque y del dominio raíz . . . . . . . . . . . . . 239 3. Activación de las nuevas funcionalidades de bosque de Windows Server 2003 y de Windows Server 2008 . . . . . . . . . . . . . . . . . . . . 241 4. Unidades de replicación y función de los bosques . . . . . . . . . . . 246 5. Maestros de operaciones FSMO de bosques . . . . . . . . . . . . . 249 6. El bosque y la infraestructura física Active Directory . . . . . . . . . . 249 7. Fronteras de seguridad y función de los bosques . . . . . . . . . . . 251 8. Confianzas dentro de los bosques Active Directory . . . . . . . . . . . 253 a. Beneficios de la transitividad en las confianzas . . . . . . . . . . 253 b. Estructura del bosque y confianzas . . . . . . . . . . . . . . . 254 c. Confianzas y objetos TDO en los bosques Active Directory . . . . . . 255 d. Tipos de confianza soportadas . . . . . . . . . . . . . . . . . 259 e. Bosques Windows Server (2003 o 2008) y confianzas de bosques . . 261 f. Enrutamiento de los sufijos de nombres y confianzas en el bosque . . 262 g. Uso del comando Netdom para crear y administrar confianzas . . . . 265

Éxito del proceso de actualización de Active Directory a los servicios de dominio Active Directory de Windows Server 2008 . . . . . . . 1. Comprobaciones y gestión de los riesgos . . . . . . . . . . . . . 2. Preparación de la infraestructura Active Directory para Windows Server 2008 . . . . . . . . . . . . . . . . . . 3. Implementación de un nuevo controlador Windows Server 2008 AD DS 4. Reasignación de funciones FSMO . . . . . . . . . . . . . . . . 5. Operaciones de finalización Post Migración . . . . . . . . . . . . a. Modificación de las directivas de seguridad de los controladores de dominio . . . . . . . . . . . . . . . . . . . . . . . b. Actualización de las autorizaciones de objetos GPO para los dominios migrados a partir de Windows 2000 . . . . .

Grupos, OUs y delegación A. B.

266

. .

267

. . . .

267 269 269 270

. .

270

. .

271

Capítulo 6

Introducción a los grupos, OUs y delegación . . . . . . . . . . .

274

Uso de los grupos en el entorno Active Directory . . . . . . . . .

274

1. Los diferentes tipos de grupos Windows . . . . . . . . . . . . . . .

274

Windows Server 2008

Contenido a. Los grupos de seguridad . . . . . . . . b. Los grupos de distribución . . . . . . . 2. Ámbito de los grupos . . . . . . . . . . . a. Los grupos globales . . . . . . . . . . b. Los grupos locales de dominio . . . . . c. Los grupos universales . . . . . . . . . 3. Reglas generales relativas a los objetos grupos a. Uso correcto de las cuentas de grupo . . b. Uso correcto de los grupos universales . .

. . . . . . . . .

275 276 276 276 277 277 278 278 279

Definición de una estructura de unidades organizativas . . . . . . . .

279

1. Función de los objetos unidades organizativas . . . . . . . . . 2. Uso de las unidades organizativas y relación con la organización de la empresa . . . . . . . . . . . . . . . . . . . . . . . 3. Delegación de la autoridad de administración y uso de las unidades organizativas . . . . . . . . . . . . . . . . . . . . . . . a. Estructura basada en la naturaleza de los objetos administrados b. Estructura basada en las tareas de administración . . . . . . c. Factores a integrar en la definición de una jerarquía de unidades organizativas . . . . . . . . . . . . . . . . . . . . . . 1. Uso de las unidades organizativas para las directivas de grupo . . 2. Reglas generales y buenas prácticas. . . . . . . . . . . . . .

. . .

279

. . .

280

. . . . . . . . .

282 282 283

. . . . . . . . .

283 288 288

Principios fundamentales de las directivas de grupo A.

. . . . . . . . .

Capítulo 7

Tecnología IntelliMirror . . . . . . . . . . . . . . . . . . . .

292

1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . 2. Aportación para la empresa . . . . . . . . . . . . . . . . . 3. Modificaciones realizadas a las GPO por los clientes Windows Vista a. Mejora de la detección de red (Network Location Awareness) . b. Directivas locales múltiples (LGPO) . . . . . . . . . . . . c. Mejor gestión de los mensajes de eventos. . . . . . . . . . d. Antiguos ADM y nuevos ADMX . . . . . . . . . . . . . . e. Windows Vista soporta numerosas nuevas categorías . . . . .

292 292 294 295 295 296 296 298

. . . . . . . .

Servicios de dominio Active Directory

Contenido 4. Novedades aportadas en las estaciones cliente gracias a los cambios en las directivas de grupo de Windows Server 2008 . . . . . . . . . . a. La administración centralizada de los parámetros de gestión de energía b. Mejoras aportadas a los parámetros de seguridad . . . . . . . . . c. Mejora de la gestión de los parámetros vinculados a Internet Explorer . d. Asignación de impresoras en función del sitio Active Directory . . . . e. Delegación de la instalación de controladores de impresora a través de las GPO. . . . . . . . . . . . . . . . . . . . . . . . . . f. Nuevos objetos "GPO Starter" . . . . . . . . . . . . . . . . . . g. Parámetros del protocolo NAP - Network Access Protection . . . . . 5. Nuevas preferencias de directivas de grupo de Windows Server 2008 . . a. ¿Preferencias o directivas de grupo? . . . . . . . . . . . . . . . b. Despliegue e implementación de Preferencias de directivas de grupo . c. Familias de parámetros soportadas por las Preferencias de directivas de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . . d. Operaciones y Acciones en los Elementos de las Preferencias . . . . e. Parar el tratamiento de los elementos de esta extensión si se produce un error . . . . . . . . . . . . . . . . . . . . . . . . . . . f. Ejecutar en el contexto de seguridad del usuario conectado (opción de directiva de usuario) . . . . . . . . . . . . . . . . . g. Eliminar el elemento cuando no se aplica . . . . . . . . . . . . . h. Aplicar una vez y no volver a aplicar . . . . . . . . . . . . . . . i. Selección a nivel del elemento de Preferencias. . . . . . . . . . . j. Utilización de variables en el editor de selección . . . . . . . . . . k. Seguimiento de la ejecución de las Preferencias de directivas de grupo

298 298 300 300 301 301 302 303 304 305 307 309 312 313 313 314 314 314 315 316

Creación y configuración de objetos de directiva de grupo. . . . . .

318

1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . 2. Directivas de grupo y relación con las tecnologías . . . . . . . . . 3. ¿Qué contiene una directiva de grupo? . . . . . . . . . . . . . . a. Plantillas administrativas . . . . . . . . . . . . . . . . . . b. Reglas de seguridad para los ordenadores y plantillas de seguridad c. Administración de las aplicaciones . . . . . . . . . . . . . . d. Administración de la ejecución de archivos de comandos . . . . e. Administración de los servicios de instalación remota RIS . . . .

318 318 319 319 321 327 331 331

Windows Server 2008

. . . . . . . .

Contenido f.

Administración de los parámetros de configuración y seguridad de Internet Explorer . . . . . . . . . . . . . . . . . . . . . . g. Redireccionamiento de las carpetas de usuario (carpetas especiales) . h. ¿Qué es una directiva de grupo?. . . . . . . . . . . . . . . . . i. ¿Qué es una directiva local? . . . . . . . . . . . . . . . . . . Estructura física de una directiva de grupo . . . . . . . . . . . . . . a. Objeto contenedor de directiva de grupo . . . . . . . . . . . . . b. Plantilla de la directiva de grupo . . . . . . . . . . . . . . . . c. Componentes de una directiva de grupo . . . . . . . . . . . . . d. Plantillas de directivas de grupo ADMX para Windows Vista . . . . . e. Creación de "Central Store" en SYSVOL . . . . . . . . . . . . . . f. Recomendaciones sobre la administración de las GPO en Windows Vista. . . . . . . . . . . . . . . . . . . . . . . Aplicación de las directivas de grupo en el entorno Active Directory . . . a. Aplicación con la plantilla S,D,OU y orden de procesamiento. . . . . b. Dominios Active Directory y dominios NT: L, S, D, OU y 4, L, S, D, OU c. Vínculos de las directivas de grupo a los objetos Sitios, Dominio y Unidades Organizativas y herencia . . . . . . . . . . . . . . . . d. Vínculos y atributo gPLink . . . . . . . . . . . . . . . . . . . e. Selección del controlador de dominio preferido. . . . . . . . . . . Creación de una directiva de grupo con las herramientas de Active Directory a. Uso de la consola de administración MMC Usuarios y equipos Active Directory . . . . . . . . . . . . . . . . . . . . . . . . b. Utilización de la consola de administración MMC “Sitios y servicios Active Directory” . . . . . . . . . . . . . . . . . . . . . . . Creación de una directiva de grupo con la GPMC . . . . . . . . . . . a. Creación de una directiva de grupo no vinculada . . . . . . . . . . b. Creación de una directiva de grupo vinculada . . . . . . . . . . . c. Administración de los vínculos de directiva de grupo . . . . . . . . d. Eliminación de una directiva de grupo . . . . . . . . . . . . . . e. Desactivación de una directiva de grupo . . . . . . . . . . . . . Administración del despliegue . . . . . . . . . . . . . . . . . . . a. Administración de los conflictos de procesamiento de las directivas de grupo . . . . . . . . . . . . . . . . . . . . . . . . . . b. Administración del filtrado del despliegue de directivas de grupo . . . c. Puntos importantes . . . . . . . . . . . . . . . . . . . . . .

333 334 338 338 340 340 343 344 345 350 351 352 352 355 356 357 357 360 361 362 363 363 363 363 364 365 365 365 367 369

Servicios de dominio Active Directory

Contenido

d. Definición de los filtros WMI . . . . . . . . . . . . . . . . . .

370

Configuración de los parámetros de actualización de las directivas de grupo. . . . . . . . . . . . . . . . . . . . . . . . . . .

374

1. Restauración de las directivas de grupo . . . . . . . . . . . . . . a. Restauración de directivas en segundo plano . . . . . . . . . . b. Ciclo de restauración . . . . . . . . . . . . . . . . . . . . c. Restauración a petición . . . . . . . . . . . . . . . . . . . 2. Configuración de la frecuencia de restauración de las directivas de grupo 3. Restauración con Gpupdate.exe. . . . . . . . . . . . . . . . . . 4. Procesamiento de los componentes de las directivas de grupo en los vínculos de baja velocidad . . . . . . . . . . . . . . . . . a. Procesamiento de la configuración de directivas de grupo no modificadas . . . . . . . . . . . . . . . . . . . . . . . b. Activación de la detección de vínculos lentos . . . . . . . . . . c. Forzado de la aplicación de la configuración de la directiva incluso cuando ésta no ha cambiado . . . . . . . . . . . . . . . . . 5. Prohibición de la restauración para usuarios . . . . . . . . . . . . 6. Procesamiento por bucle invertido (Loopback). . . . . . . . . . . .

. . . . . .

374 374 374 374 375 376

377

. .

378 378

. . .

379 381 381

Administración de las directivas de grupo con la consola GPMC . . .

383

1. Operación de copia de seguridad y restauración de las directivas de grupo . . . . . . . . . . . . . . . . . . . . . . . . 2. Operación de copia de directivas de grupo . . . . . . . . . . 3. Operación de importación de la configuración . . . . . . . . . a. ¿Por qué usar la funcionalidad de importación de la GPMC? . b. Uso de una tabla de correspondencias entre los objetos de diferentes dominios o bosques . . . . . . . . . . . .

E. F.

. . . .

383 385 386 386

. . . .

386

Comprobación y resolución de problemas relativos a las directivas de grupo con RsoP . . . . . . . . . . . . . . . . . . . . . .

387

Delegación del control administrativo de directivas de grupo . . . .

387

1. Conceder una delegación a través del grupo “Propietarios del creador de directivas de grupo” . . . . . . . . . . . . . . . . . . . . . . 2. Conceder una delegación con ayuda de la consola de administración GPMC a. Conceder la delegación de los vínculos de las directivas de grupo . . . b. Conceder un permiso de modelación de directivas de grupo . . . . .

389 390 390 391

Windows Server 2008

. . . .

Contenido

c. Conceder una delegación de creación de filtros WMI . . . . . . . .

392

Recomendaciones para la definición de una directiva de grupo para la empresa . . . . . . . . . . . . . . . . . . . . . . .

393

Despliegue y administración del software A.

Capítulo 8

Introducción a la administración del software . . . . . . . . . . .

396

1. IntelliMirror y la administración del software . . . . . . . . . . . . . 2. El ciclo de vida del software . . . . . . . . . . . . . . . . . . . .

396 397

Despliegue de software . . . . . . . . . . . . . . . . . . . .

401

1. Las diferentes etapas . . . . . . . . . . . . . . . . . . . . a. Disponer de un paquete MSI . . . . . . . . . . . . . . . b. Desplegar el software: Distribución y selección de objetivos . . c. Asegurar el mantenimiento del software . . . . . . . . . . d. Eliminar el software . . . . . . . . . . . . . . . . . . . 2. Tecnología Windows Installer y tipos de paquetes . . . . . . . . a. Programas con formato Microsoft Windows Installer . . . . . b. Aplicaciones reempaquetadas en formato MSI . . . . . . . . c. Archivos .Zap . . . . . . . . . . . . . . . . . . . . . d. Observaciones generales sobre los diferentes tipos de formatos de instalación . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . .

401 401 402 405 405 406 406 408 409

. . .

411

Configuración del despliegue del software . . . . . . . . . . . .

411

1. Creación de un nuevo despliegue de aplicaciones . . . a. Creación o modificación de una directiva de grupo . b. Configuración de las opciones de despliegue . . . c. Asociación de las extensiones de archivos. . . . . d. Creación de categorías de las aplicaciones públicas.

. . . . .

411 411 414 417 417

Mantenimiento de los programas desplegados . . . . . . . . . . .

418

1. Actualización de las aplicaciones . . . . . . . . . . . . . . . . . . 2. Despliegue de los Services Packs y actualizaciones . . . . . . . . . . 3. Eliminación del software. . . . . . . . . . . . . . . . . . . . . .

418 420 422

. . . . .

. . . . . . . . .

. . . . .

. . . . . . . . .

. . . . .

Servicios de dominio Active Directory

Contenido

Configuración de las funciones de servidores con los servicios AD A.

Capítulo 9

Introducción . . . . . . . . . . . . . . . . . . . . . . . . .

426

1. 2. 3. 4.

. . . .

426 427 429 431

Active Directory Certificate Services (AD CS) . . . . . . . . . . .

431

1. Introducción a las infraestructuras de claves públicas (PKI) . . . . . 2. Los diferentes tipos de certificados . . . . . . . . . . . . . . . a. Introducción . . . . . . . . . . . . . . . . . . . . . . . b. Naturaleza y contenido de un certificado digital . . . . . . . . c. Certificados X.509 versión 1 . . . . . . . . . . . . . . . . d. Certificados X.509 versión 2 . . . . . . . . . . . . . . . . e. Certificados X.509 versión 3 . . . . . . . . . . . . . . . . 3. Los certificados y la empresa. . . . . . . . . . . . . . . . . . a. Relación entre los certificados y las autenticaciones . . . . . . b. Ámbito de utilización de los certificados . . . . . . . . . . . c. Utilización de los certificados digitales en la empresa . . . . . . d. Certificados de Usuarios . . . . . . . . . . . . . . . . . . e. Certificados de equipos . . . . . . . . . . . . . . . . . . f. Certificados de aplicaciones. . . . . . . . . . . . . . . . . 4. Almacenamiento de los certificados . . . . . . . . . . . . . . . a. Introducción . . . . . . . . . . . . . . . . . . . . . . . b. Almacenamiento de certificados e interfaz CryptoAPI . . . . . . c. Visualización de los certificados: Almacén lógico y almacén físico . d. Archivado local de los certificados expirados. . . . . . . . . . e. Estructura de almacenamiento del almacén de certificados lógico . f. Origen de los certificados almacenados en los almacenes . . . . g. Protección y almacenamiento de claves privadas . . . . . . . . 5. Consola de administración MMC de certificados . . . . . . . . . . 6. Nuevas interfaces criptográficas de Windows Vista y Windows Server 2008 . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . .

431 432 432 437 440 441 442 452 452 454 459 461 461 463 464 464 464 466 466 467 469 470 471

. .

472

Servicios de directorio de Windows 2000 Server y servicios asociados Servicios de directorio de Windows Server 2003 y servicios asociados Servicios de directorio de Windows Server 2003 R2 y servicios asociados Servicios de directorio de Windows Server 2008 y servicios asociados

Windows Server 2008

. . . .

. . . . . . . . . . . . . . . . . . . . . . .

Contenido a. Interfaz CNG (Cryptographic API Next Generation) . . . . . . . . . 7. Servicios de certificados de Windows Server 2008. . . . . . . . . . . a. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . b. ¿Por qué utilizar una PKI Microsoft Windows Server en lugar de otra? . c. Importancia de la Arquitectura de una infraestructura de clave pública 8. Novedades aportadas por las Autoridades Windows Server 2008 . . . . a. Nuevo componente MMC PKI de empresa . . . . . . . . . . . . b. Inscripción de los dispositivos de red con el protocolo MSCEP . . . . c. Evolución de los métodos de inscripción Web con AD CS . . . . . . d. OCSP y parámetros de validación de la ruta de acceso . . . . . . .

472 473 473 475 476 477 478 479 486 490

Active Directory Federation Services (AD FS) . . . . . . . . . . .

502

1. 2. 3. 4.

. . . .

502 505 505 508

Active Directory Lightweight Directory Services (AD LDS) . . . . . . . .

509

1. 2. 3. 4.

. . . .

509 510 511 523

Active Directory Rights Management Services (AD RMS) . . . . . .

524

1. 2. 3. 4. 5. 6.

. . . . . .

524 525 525 527 534 542

Índice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

545

Conceptos fundamentales . . . . . . . . . . . . . AD FS: Novedades aportadas por Windows Server 2008 Instalación de la función AD FS . . . . . . . . . . Referencias para AD FS con Windows Server 2008 . .

. . . .

Conceptos fundamentales . . . . . . . . . . . . . . AD LDS: Novedades aportadas por Windows Server 2008 Instalación de la función AD LDS . . . . . . . . . . . Referencias para AD LDS con Windows Server 2008 . .

. . . .

Introducción . . . . . . . . . . . . . . . . . . . . . Conceptos fundamentales . . . . . . . . . . . . . . . AD RMS: Novedades aportadas por Windows Server 2008 . Instalación de la función AD RMS de Windows Server 2008 Validación del buen funcionamiento de la plataforma RMS . Referencias para AD RMS con Windows Server 2008 . . .

. . . .

. . . . . .

. . . .

. . . . . .

. . . .

. . . . . .

. . . .

. . . . . .

. . . .

. . . . . .

Servicios de dominio Active Directory

Capítulo 5

A. Introducción a los componentes de la estructura lógica El directorio Active Directory depende directamente de elementos técnicos que permiten disponer de una estructura global y, por supuesto, de tecnologías de almacenamiento. La estructura lógica de Active Directory se compone de dominios y bosques que representan de forma lógica el espacio del directorio. Este espacio lógico, estamos hablando de la infraestructura lógica Active Directory, permite a los administradores hacer abstracción con respecto a la estructura técnica, y entonces hablamos de infraestructura física de Active Directory. Esta diferenciación permite mejorar considerablemente la organización de los elementos que componen la red en función de la naturaleza de los objetos que forman parte de ella o, por qué no, en función de la organización de la empresa. El presente capítulo le permitirá estudiar el uso de los dominios y bosques para que los servicios de directorio Active Directory desempeñen el papel central de consolidación. De esta forma, la información y los servicios ofrecidos a través del directorio Active Directory podrán ser localizados en cualquier punto de la red por los usuarios y aplicaciones de la empresa.

B. Los dominios El dominio es un componente fundamental de la estructura lógica Active Directory. Por definición, se trata de un conjunto de ordenadores que comparten una base de datos de directorio común. Los ordenadores interactúan con el dominio en función de sus respectivos papeles como, por ejemplo, controladores de dominio o, simplemente, ordenadores miembros de dicho dominio. El dominio puede establecerse para implementar dentro de la empresa una zona de administración. De esta forma, es posible establecer una delegación eficaz de la administración o lograr un mejor control de los flujos de replicación. Con respecto a las infraestructuras Active Directory, podemos decir que el criterio de elección utilizado con mayor frecuencia a la hora de crear o no un nuevo dominio, se referirá a la separación de los flujos de replicación entre varios dominios y, por lo tanto, a un mejor control de los tráficos dentro de un bosque. Aunque en cierta medida las jerarquías de dominios sean aptas para ello, las unidades organizativas (OU - Organizational Units) son particularmente adecuadas para crear estructuras jerárquicas en las que es posible delegar todas o parte de las operaciones de administración a personas habilitadas para esa tarea específica. Además de esas consideraciones de elección, el objeto dominio permite dividir el bosque Active Directory en tantas particiones como dominios haya. Por ese motivo se dice que un dominio es una partición dentro de un bosque determinado. Imaginemos, por ejemplo, una empresa que posee un bosque compuesto por tres dominios que dan soporte a usuarios y ordenadores situados en Canadá, Estados Unidos y Europa.

206

Servicios de dominio Active Directory

Componentes de la estructura lógica Esa arquitectura permite que el bosque evolucione fácilmente a medida que los tres "grandes" dominios se hacen más voluminosos. Por todo ello, los dominios Active Directory constituyen elementos que conviene crear de forma plenamente consciente y, por consiguiente, será necesario en todo momento justificar dicha creación remitiéndose a los temas o funciones siguientes: - Un dominio es un contenedor dentro del bosque. - Un dominio es una unidad de replicación. - Un dominio es una unidad que contiene directivas de seguridad. - Un dominio es una zona de autenticación y de confianza. - Un dominio es miembro de un bosque y, por ello, mantiene relaciones con los demás dominios del bosque. Cada dominio posee su propia autonomía de administración y, debido a ello, los miembros del grupo Administradores del dominio de un dominio determinado no tienen ningún derecho sobre los demás dominios del bosque a menos, claro está, que se haya establecido lo contrario.

La figura de abajo muestra que el dominio es miembro de un bosque y ofrece sus servicios de autenticación y control de acceso a los clientes y servidores miembros del dominio.

Relaciones entre los miembros del dominio Active Directory

Windows Server 2008

207

Capítulo 5 El dominio puede contener cualquier equipo dotado de las tecnologías Windows NT, Windows 2000 Server, Windows Server 2003 o Windows Server 2008. Por ejemplo, una torre de lectores de CD-Rom accesible a través de un enlace UNC (Universal Naming Convention) o un servidor LAN Manager for Unix (LMU) o un servidor Samba con Linux pueden formar parte de un dominio Active Directory. El dominio existe a través de cada uno de los controladores de dominio del dominio. Así cada controlador de dominio posee su propia copia y versión de la base de datos del directorio. En caso de que un controlador no estuviera disponible, los usuarios, equipos y servicios siempre podrán continuar accediendo a Active Directory solicitando otro controlador. Por lo tanto, los controladores de dominio participan activamente en la disponibilidad del directorio y de sus servicios. Por supuesto, el directorio Active Directory está instalado únicamente en equipos llamados controladores de dominio que funcionan con Windows 2000 Server, Windows Server 2003 o Windows Server 2008. En la medida en que el dominio esté compuesto por más de un controlador de dominio, las operaciones de creación y modificación de objetos y otros atributos de objetos deberán replicarse de manera uniforme en todos los controladores de dominio. Los mecanismos de replicación, indispensables para la coherencia de la información ofrecida por el directorio, son también fundamentales para que el propio directorio funcione correctamente.

1. Contenedor (container) dentro del bosque El bosque desempeña el papel de contenedor para albergar los dominios que a su vez desempeñan el papel de contenedor para múltiples clases de objetos. En otros términos, el bosque es el elemento que federa o une entre sí a varios dominios. Esto significa que los objetos dominio se otorgan mutuamente confianza. Así, todo nuevo dominio creado en el bosque generará automáticamente una relación de confianza bidireccional transitiva entre el nuevo dominio creado y el dominio situado en el nivel inmediatamente superior. Las relaciones de confianza entre dominios les permiten dar soporte a las peticiones de autenticación de los dominios de confianza. Antes hemos visto que cada dominio disponía de una relación de confianza con su dominio padre. Dado que por naturaleza las relaciones entre dominios son transitivas y bidireccionales, está claro que los objetos contenidos en un dominio x del bosque pueden beneficiarse de las ACL (Access Control List) que contienen usuarios de cualquier dominio del bosque.

208

Servicios de dominio Active Directory

Componentes de la estructura lógica

Bosque, dominios, OU y confianzas Tomemos ahora un ejemplo relativo al almacenamiento propiamente dicho de los objetos del directorio. Las zonas DNS pueden considerarse como objetos (objetos procedentes de la clase dnsZone) y por ello, resulta posible almacenarlos en Active Directory. En función de las necesidades, algunas zonas residirán en un dominio particular mientras que otras se encontrarán en todo el bosque.

Este ejemplo muestra hasta qué punto los objetos dominio (clase domainDNS) y bosque pueden contener objetos diversos y variados tales como los objetos unidad organizativa (OU - clase organizationalUnit) o los objetos usuario (clase user o inetOrgPerson). Bosque y RootDSE: a propósito del punto de entrada... El protocolo LDAP versión 3.0 permite acceder a las propiedades de un objeto particular llamado RootDSE. El RootDSE se define como raíz del árbol del directorio almacenado en un servidor de directorio determinado. De hecho, este punto de acceso no pertenece a ningún espacio de denominación (NC o dominio Windows) en particular. Permite simplemente obtener información relativa al servidor de directorio propiamente dicho y, por lo tanto, no debe confundirse con un punto cualquiera de entrada al bosque. Para obtener más información sobre el objeto RootDSE, consulte la ayuda en línea del SDK Active Directory, disponible en la siguiente dirección: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/adschema/adschema/root dse.asp

2. Niveles funcionales de los dominios Vamos a descubrir que un dominio Active Directory puede funcionar en diferentes modos o niveles funcionales. La noción de nivel funcional, específica de un dominio Active Directory, se definirá con ayuda del atributo domainFunctionality.

Windows Server 2008

209

Capítulo 5 Este atributo indica el nivel funcional de un dominio Active Directory determinado: "0" Dominio Windows 2000 en modo mixto. "1" Dominio Windows 2000 en modo nativo. "2" Dominio Windows Server 2003. "3" Dominio Windows Server 2008. El nivel funcional de dominio permite activar ciertas funcionalidades específicas del dominio Active Directory. Como ha podido observarse con el atributo domainFunctionality mencionado más arriba, existen cuatro niveles de funcionamiento diferentes. Dominio Windows 2000 mixto Modo de funcionamiento que permite una interoperabilidad total, ya que el dominio podrá contener de manere indiferente controladores de dominio Windows Server 2003, Windows 2000 Server y/o Windows NT Server 4.0. Dominio Windows 2000 nativo Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2003 y/o Windows 2000 Server. Dominio Windows Server 2003 versión preliminar (modo específico) Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2003 y/o Windows NT Server 4.0. Dominio Windows Server 2003 Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2003 y versiones posteriores, pero no anteriores. En Windows 2000, los niveles funcionales de dominio se conocen como "dominio en modo mixto" o "dominio en modo nativo". Dominio Windows Server 2008 Modo de funcionamiento que permite una interoperabilidad limitada ya que el dominio podrá contener sólo controladores de dominio Windows Server 2008, pero no anteriores.

Elevación de los niveles funcionales de los dominios Cuando un servidor Windows Server 2008 se instala como controlador de dominio, se activa por defecto un conjunto de funcionalidades Active Directory. Antes de pasar a detallarlas, podemos precisar que la mayor parte de las novedades introducidas por los servicios de directorio de Active Directory está disponible independientemente del nivel funcional del dominio. No obstante, además de las funcionalidades Active Directory básicas, en caso necesario podrá beneficiarse de nuevas funcionalidades Active Directory actualizando los antiguos controladores NT a Windows Server 2003 o mejor aún a Windows Server 2008.

210

Servicios de dominio Active Directory

Componentes de la estructura lógica Por supuesto, los trámites que deberán adoptarse son "implacables". - Para alcanzar el nivel funcional Windows 2000 mixto, tendrá que actualizar el dominio NT a Active Directory. - Para alcanzar el nivel funcional Windows 2000 nativo, tendrá que actualizar los antiguos controladores NT a Windows 2000 Server, Windows Server 2003, Windows Server 2008 o eliminarlos. - Para alcanzar el nivel funcional Windows Server 2003, tendrá que actualizar todos los controladores a Windows Server 2003, o eliminar los controladores de niveles inferiores.

Vista de la opción Elevar el nivel funcional del dominio

Cuando todos los controladores de dominio funcionen en la versión requerida de Windows, podrá optar, en función de sus necesidades, por elevar el nivel funcional al nivel inmediatamente superior, o más arriba aún si la tecnología lo permite. A propósito de la elevación del nivel funcional: observará que no se trata de un parámetro que afecte a un controlador de dominio en particular sino al propio dominio en su totalidad. Es muy importante subrayar que esta operación es irreversible y no podrá por lo tanto anularse de ninguna manera, a menos que se restaure el directorio Active Directory.

Windows Server 2008

211