Fundamentos y Administración de Active Directory en Windows Server

Active Directory (AD): Fundamentos y Estructura

Active Directory (AD) consiste en una base de datos que contiene información de todos los objetos existentes en una red u organización. Posee una estructura jerárquica formada por el bosque de Active Directory, los árboles, los dominios, las unidades organizativas y las entidades de red (impresoras, usuarios, grupos, equipos, etc.).

Active Directory es un servicio de directorio extensible y escalable que permite administrar eficientemente y de forma centralizada los recursos de una red (impresoras, ficheros, carpetas, etc.).

Active Directory proporciona un espacio de nombres común para el dominio, usuarios, grupos, ordenadores e impresoras, y establece una política de seguridad centralizada en el dominio, que se podrá replicar entre distintos servidores controladores del dominio.

Componentes Clave de Active Directory

• Dominio: Unidad lógica que agrupa objetos (usuarios o equipos) a los que se dará acceso a los recursos (ficheros, dispositivos, bases de datos). Es la unidad central de AD.
• Controlador de Dominio: Equipo con Windows Server 2008 que almacena una copia del directorio del dominio (base de datos local del dominio) y es el responsable de la autenticación de los usuarios de ese dominio. Puede haber varios controladores de dominio (de un mismo dominio) en un sitio, y cada uno de ellos contendrá una copia completa del directorio. En Windows Server 2008, todos serán iguales y no habrá, como en versiones anteriores de Windows, controladores primarios y secundarios.
• Unidad Organizativa (OU): Agrupación lógica de recursos. Las OU contienen objetos del dominio, como cuentas de usuario, de equipo, grupos, carpetas e impresoras compartidas y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. El empleo de OU nos permite delegar control administrativo sobre los objetos que pertenecen a una unidad organizativa, así como aplicarles directivas de grupo.
• Árbol: Agrupación de uno o más dominios que comparten un espacio de nombres contiguo. Un conjunto de árboles pueden unirse formando un bosque.
• Integración con DNS: Los nombres de dominio son nombres DNS y tienen que estar registrados en él. AD usa DNS como servicio de nombres y de localización, así que será necesario instalar un servidor DNS antes de poder instalar AD.
• Sitio: Agrupación física de equipos, es decir, una subred TCP/IP. No debe confundirse con el concepto de dominio (agrupación lógica de usuarios y equipos), ya que un sitio es una agrupación física de equipos. En un sitio puede haber varios dominios y un único dominio puede estar en varios sitios.
• Catálogo Global: Almacén central de información que contiene una copia completa de todos los objetos de su dominio y una copia parcial de todos los objetos de los otros dominios del bosque (atributos usados con más frecuencia en operaciones de búsqueda). De manera predeterminada, el primer controlador de dominio creado al instalar AD se convierte en Catálogo Global y es conocido como Servidor de Catálogo Global.
• Esquema: Define todos los objetos y tipos de datos que se pueden almacenar en Active Directory.
• Relaciones de Confianza: Son relaciones que se establecen entre dominios y permiten que los usuarios de un dominio puedan acceder a los recursos de otros dominios de forma segura.
• Directivas: Reglas que se pueden aplicar a todos los usuarios (al dominio) o a uno solo (en una unidad organizativa concreta).

Comandos de Consola Útiles en Windows

Gestión de Procesos y Permisos

• tasklist — Muestra una lista de los procesos que están en ejecución.
• tasklist /svc — Para saber los procesos asociados con servicios.
• tasklist /m — Para saber las DLLs asociadas a cada proceso.
• taskkill /pid numero /f — Mata el proceso con PID numero.
• taskkill /im programa /f — Para terminar todas las instancias que estén ejecutándose de programa.
• cacls — Para asignar permisos a usuarios sobre carpetas y archivos.

Gestión de Usuarios y Grupos Locales

• net user — Para mostrar un listado de los usuarios.
• net user usuario /add — Añade un nuevo usuario.
• net user usuario /delete — Elimina a usuario.
• net localgroup grupo usuario /add — Agrega usuario a grupo.
• net localgroup grupo usuario /delete — Quita a usuario de grupo.
• assoc — Para cambiar las asociaciones de las extensiones a los tipos de archivos.

Procesos Esenciales de Windows

• wuauclt.exe — Es el proceso de Microsoft AutoUpdate. Es el notificador de actualizaciones automáticas de Microsoft. Se encarga de comprobar si existen actualizaciones para el sistema operativo Windows.
• smss.exe — Es el Subsistema Administrador de Sesiones (Session Manager Subsystem) y es un proceso esencial para el sistema. Este proceso es el responsable de iniciar la sesión de usuario en Windows. Se encarga de cargar los procesos winlogon y el win32 (csrss.exe).
• lsass.exe — Se encarga de la seguridad local y de las políticas de autenticación de los usuarios del sistema.
• taskeng.exe — Es el Task Scheduler Engine o motor de programador de tareas de Microsoft Windows. Este proceso se encarga de ejecutar ciertos procesos en determinados tiempos.
• winlogon.exe — Se encarga de validar la identidad de un usuario en el sistema.
• dwm.exe — Es el responsable de los efectos gráficos como el Aero Glass o las previews de ventanas.
• conime.exe — Es un proceso parte del sistema operativo Microsoft Windows. Está presente cuando hay soporte para lenguajes asiáticos en Windows.
• csrss.exe — Es el Client Server Runtime Subsystem, proceso de algunas versiones de Windows. Cuando una aplicación hace una llamada a la API Win32, esta usa csrss.exe, que la comunica con el núcleo del sistema operativo para ejecutar la función solicitada a la API.
• alg.exe — Es fundamental para el cortafuegos y el servicio de conexión compartida a internet de Windows.
• msdtc.exe — Es el proceso que se encarga del Microsoft Personal Web Server y del Microsoft SQL Server.
• lsm.exe — Se encarga de controlar las sesiones locales y remotas de Windows, por lo tanto, es esencial para el sistema.
• wininit.exe — Se encarga de cargar servicios básicos de este sistema operativo: el administrador de servicios, el subsistema LSA y el administrador de sesiones locales.
• services.exe — Es un proceso de Windows encargado del inicio y detención de los servicios del sistema.
• svchost.exe — Se ejecuta al iniciar el sistema, y chequea parte de los servicios del registro para hacer la lista de servicios que deben abrirse. Por lo general, múltiples instancias del proceso svchost.exe son ejecutadas al mismo tiempo.

Servicios de Escritorio Remoto (Remote Desktop Services - RDS)

Terminal Services es la función que instalamos para poder tener acceso remoto a aplicaciones de un Terminal Server o al escritorio remoto de un servidor, tanto desde un equipo cliente de la misma red local como desde internet. Está basado en el Protocolo de Escritorio Remoto (Remote Desktop Protocol — RDP) y permite implementar y mantener software de forma eficiente, dado que se pueden ejecutar programas que están en el servidor en lugar de en el equipo cliente, y por tanto, serán más fáciles de actualizar y mantener.

En Windows Server 2008 R2, este rol (función) se llama Servicios de Escritorio Remoto.

Roles de los Servicios de Escritorio Remoto en Windows Server 2008 R2

1. Terminal Server (Servicio de Sesión de Escritorio Remoto en la versión R2 de Windows Server 2008). Los usuarios pueden conectarse a un Terminal Server para ejecutar programas, guardar archivos y utilizar recursos de ese servidor, ya sea mediante acceso a aplicaciones remotas o acceso a escritorios remotos.
2. Administrador de Licencias TS (Administrador de Licencias en R2). Administra las licencias de acceso de los clientes al servicio de escritorio remoto, que son requeridas para conectarse al servidor. Tenemos un plazo de 120 días para utilizar Terminal Services de manera gratuita.
3. Agente de Sesiones de TS (Agente de Conexión a Escritorios Remotos en R2). Este servicio permite realizar equilibrio de carga entre los servidores de una granja, así como la reconexión a una sesión existente en un Terminal Server que sea miembro de una granja.
4. Puerta de Enlace de TS (Puerta de Enlace a Escritorios Remotos en R2). Permite a los usuarios remotos autorizados conectarse a los servidores Terminal Server de una red privada desde cualquier dispositivo conectado a internet que pueda ejecutar el cliente de conexión a escritorio remoto (RDC), usando el Protocolo de Escritorio Remoto (RDP) sobre HTTPS, con la finalidad de establecer una conexión cifrada y segura entre usuarios remotos y los recursos de la red interna.
5. Acceso Web de TS (Acceso Web a Escritorios Remotos en R2). Permite el acceso a servidores de escritorio remoto, aplicaciones RemoteApp mediante un navegador web, tanto desde la red local como desde internet.

Perfiles de Usuario en Windows

El perfil de usuario contiene todos los valores que puede definir el usuario para su entorno de trabajo en un equipo, incluyendo la configuración del escritorio, el ratón, el menú de opciones, la configuración regional y de sonido, además de las conexiones de red y de las impresoras.

Los perfiles de usuario crean y mantienen automáticamente la configuración de escritorio del entorno de trabajo de cada usuario.

Perfiles Móviles

En un dominio, se puede guardar el perfil de un usuario en el servidor, para que dicho usuario tenga el mismo perfil en cualquier equipo desde el que inicie sesión. Este tipo de perfil se denomina perfil móvil.

Cuando un usuario con un perfil móvil inicia sesión en un equipo, se descarga su perfil, desde el servidor de perfiles, al equipo local (normalmente a la carpeta c:\usuarios\nombre_de_usuario) y cuando el usuario cierra la sesión, se actualiza ese perfil en el servidor, almacenándose en la carpeta que indique el administrador.

En resumen:

• Un perfil móvil es fijado por el administrador, se almacena en el servidor y se crea la primera vez que un usuario inicia sesión en un equipo del dominio.
• Los usuarios accederán siempre al mismo perfil con independencia del equipo del dominio que estén utilizando.
• Si por algún problema, el perfil móvil del usuario no está disponible, se crea y usa un perfil de usuario en el equipo local.
• Si no se asigna un perfil móvil a un usuario de dominio, ese usuario tendrá un perfil en cada equipo del dominio en el que trabaje.

Para crear un perfil móvil, previamente deberemos crear una carpeta, compartida en red, en el servidor controlador del dominio, habiendo iniciado sesión como administrador.

Nota del curso: Administración de Sistemas Operativos, Usuarios de Active Directory, 2º A.S.I.R., G.P.M.11

Administración Remota con WinRM y PowerShell

winrm set winrm/config/client @{TrustedHosts="*"} — El servidor confiará en cualquier equipo.

winrm set winrm/config/client @{TrustedHosts="w7-2-pc"}

Con la orden winrm enumerate winrm/config/listener podremos saber cuáles son las direcciones IP por las que está escuchando el servidor.

Por último, será muy importante que ejecutemos, desde el símbolo del sistema, la orden: gpupdate /force, para que las directivas aplicadas surtan efecto.

En el equipo cliente, el que queremos que administre al servidor, nos iremos al símbolo del sistema y ejecutaremos la orden: winrm quickconfig — Para iniciar el servicio WinRM y configurar LocalAccountTokenFilterPolicy para conceder derechos administrativos en modo remoto a usuarios locales.

(También podríamos haber escrito, desde PowerShell — Enable-PSRemoting)

A continuación, deberemos configurar TrustedHosts para que confíe en el servidor.

Luego, podremos utilizar el comando winrs para administrar remotamente a dicho servidor:

winrs -r:nombre_del_servidor -u:usuario comando