Etiquetas

WS2025 - ACTIVE DIRECTORY

Active Directory Domain Services en Windows Server 2025

En esta práctica, aprenderemos sobre Active Directory Domain Services (AD DS) después de haber promovido nuestro Windows Server 2025 a un Controlador de Dominio. Utilizaremos varias herramientas y funcionalidades de Active Directory, como la creación de Unidades Organizativas (OUs), Grupos y Usuarios, y exploraremos las diferencias entre los permisos de administración y los usuarios estándar. Para ello, también crearemos dos usuarios: uno con permisos de administrador, llamado Clockworker, y otro sin permisos administrativos, llamado Bob. Así podremos probar las diferencias de acceso y privilegios.

1. ¿Qué es Active Directory Domain Services (AD DS)?

Active Directory Domain Services (AD DS) es el servicio central de administración de directorios en Windows Server. AD DS almacena información sobre los objetos de la red, como usuarios, grupos, equipos, y permite a los administradores gestionar esta información de forma centralizada. Se utiliza para implementar dominios, lo que permite a los usuarios iniciar sesión en la red, aplicar políticas de seguridad y compartir recursos entre los usuarios.

Funciones clave de AD DS:

  • Autenticación centralizada: Permite que los usuarios de la red se autentiquen de manera centralizada, con un solo conjunto de credenciales para acceder a recursos dentro del dominio.
  • Autorización: Proporciona un sistema para controlar quién puede acceder a qué recursos, mediante permisos y políticas.
  •    Organización de objetos: Los objetos en Active Directory, como usuarios, equipos, y grupos, pueden organizarse en una estructura jerárquica utilizando Unidades Organizativas (OUs), lo que facilita la gestión.
  •     Aplicación de Políticas de Grupo (Group Policy): A través de las Group Policies, se puede aplicar configuraciones de seguridad y políticas administrativas de manera centralizada a los usuarios y equipos dentro del dominio.

2. Estructura de Active Directory

En AD DS, los objetos como usuarios, grupos, equipos, y Unidades Organizativas (OUs) se organizan de manera jerárquica, lo que facilita su gestión.

Dominios:

Un dominio es la unidad básica dentro de Active Directory. Los dominios contienen los objetos (usuarios, grupos, equipos) y comparten una base de datos común. Cuando promovemos un Windows Server 2025 a un controlador de dominio, creamos el nombre del dominio, que será utilizado por todos los equipos y usuarios en la red.

Unidades Organizativas (OUs):

Las Unidades Organizativas (OUs) son contenedores dentro de un dominio que permiten organizar los objetos. Por ejemplo, puedes crear una OU para cada departamento de una empresa (TI, Recursos Humanos, Ventas, etc.) y dentro de ellas, gestionar los usuarios y grupos relacionados.

  •    Ventaja de las OUs: Facilitan la administración de grupos grandes de usuarios y equipos, y permiten aplicar políticas específicas solo a ciertos conjuntos de objetos dentro del dominio.

Objetos: Usuarios, Grupos y Equipos:

  •    Usuarios: Son cuentas que permiten a las personas acceder a la red y a los recursos compartidos. Cada usuario tiene un conjunto único de credenciales (nombre de usuario y contraseña) y puede pertenecer a uno o más grupos.
  •     Grupos: Los grupos permiten administrar permisos y acceso a recursos de manera más sencilla. En lugar de asignar permisos a cada usuario individualmente, los usuarios se agregan a grupos y se otorgan permisos a esos grupos.
    •    Grupos de seguridad: Utilizados para conceder permisos de acceso a recursos (por ejemplo, archivos, carpetas o impresoras).
    •     Grupos de distribución: Utilizados para crear listas de distribución de correo, pero no pueden asignarse para permisos de seguridad.
  •     Equipos: Son objetos que representan los ordenadores dentro del dominio. Los equipos también tienen cuentas que les permiten conectarse al dominio.

3. Proceso de Promoción a Controlador de Dominio

Cuando promovemos un servidor Windows Server 2025 a un Controlador de Dominio, estamos configurando el servidor para que actúe como el centro de autenticación y gestión de usuarios, grupos y recursos en la red. Durante este proceso:

  •     Se crea el nombre del dominio que se utilizará para referenciar el dominio en la red (por ejemplo, empresa.local).
  •     Windows Server instala AD DS y la base de datos de Active Directory que almacenará todos los objetos (usuarios, grupos, equipos).
  •     El servidor se convierte en el Controlador de Dominio, es decir, el servidor principal que gestiona las solicitudes de inicio de sesión y acceso a recursos.

4. Creación de Unidades Organizativas (OUs), Grupos y Usuarios

Después de la promoción a dominio, el siguiente paso es organizar los objetos del directorio. Vamos a ver cómo crear Unidades Organizativas (OUs), Grupos y Usuarios, lo que permitirá organizar y gestionar eficientemente los recursos en la red.

Unidades Organizativas (OUs):

Imagina que una empresa tiene diferentes departamentos: TI, Ventas, y Recursos Humanos. Podemos crear una OU para cada departamento y organizar los usuarios y grupos dentro de ellas.

  •    Por ejemplo, crear una OU llamada TI y dentro de ella, alojar todos los usuarios del departamento de TI.

Grupos:

Los grupos permiten gestionar los permisos de manera más eficiente.

  • Grupo de Administradores: Usuarios dentro de este grupo tienen permisos elevados y pueden gestionar la configuración del servidor y otros objetos dentro del dominio.
  • Grupo de Usuarios Estándar: Tienen permisos limitados, generalmente solo para realizar tareas básicas dentro de su sesión de Windows.

Usuarios:

En esta práctica, crearemos varios usuarios y grupos, entre ellos están:

  •   Clockworker: Este usuario será añadido al Grupo de Administradores, lo que le otorgará privilegios administrativos.
  •     Bob: Será un usuario estándar, sin permisos administrativos. Lo añadiremos a un Grupo de Usuarios Estándar.

5. Permisos y Roles de Usuarios en Active Directory

Active Directory permite establecer diferentes niveles de permisos y roles para usuarios. Los usuarios con permisos administrativos pueden realizar tareas como gestionar el servidor, cambiar configuraciones del dominio, o gestionar otros usuarios. Los usuarios estándar tienen permisos limitados y solo pueden realizar tareas básicas, como iniciar sesión y ejecutar aplicaciones.

Usuario Clockworker (Administrador):

  •      Al pertenecer al Grupo de Administradores, este usuario puede:
    •     Crear y gestionar otros usuarios y grupos.
    •     Modificar configuraciones críticas del servidor y de AD DS.
    •    Acceder a configuraciones avanzadas del sistema operativo y aplicar políticas de grupo.
  •    En la práctica, se espera que Clockworker pueda acceder al servidor Windows Server 2025 sin restricciones y realizar tareas administrativas.

Usuario Bob (Usuario Estándar):

  •     Como miembro del Grupo de Usuarios Estándar, Bob tendrá permisos limitados:
    •     No podrá acceder a configuraciones críticas del servidor.
    •     No podrá crear o gestionar usuarios ni modificar configuraciones del dominio.
    •    Tendrá acceso solo a las aplicaciones y recursos permitidos para usuarios estándar.
  •   En la práctica, Bob tendrá acceso básico al servidor y sus recursos, pero no podrá modificar configuraciones importantes.

6. Políticas de Grupo (Group Policy)

Las Políticas de Grupo permiten aplicar configuraciones y restricciones a los usuarios y equipos dentro del dominio de manera centralizada. Estas políticas pueden utilizarse para:

  •    Configurar seguridad: Aplicar configuraciones de seguridad para bloquear ciertas acciones o funcionalidades en los equipos de los usuarios.
  •    Configurar escritorios y aplicaciones: Personalizar configuraciones de Windows, aplicaciones permitidas, y otros ajustes.

Por ejemplo, puedes crear una política que limite el acceso a ciertos programas o funciones a usuarios no administrativos, como Bob, mientras permites acceso completo a los administradores, como Clockworker.

7. Acceso al Servidor y Diferencias de Permisos

Después de crear los usuarios y grupos, realizaremos una prueba para verificar las diferencias de permisos:

  1.    Clockworker (Administrador) intentará acceder a configuraciones avanzadas del servidor y a la consola de administración de AD DS.
  2.      Bob (Usuario Estándar) intentará realizar las mismas acciones, pero recibirá mensajes de error o denegación de acceso debido a su falta de privilegios.

8. Ventajas de Usar Active Directory Domain Services (AD DS)

AD DS es una herramienta poderosa para gestionar redes empresariales con varios usuarios y equipos. Sus principales ventajas incluyen:

  •   Gestión centralizada: Los administradores pueden gestionar usuarios, equipos, y políticas de seguridad de manera centralizada, lo que facilita la administración de grandes redes.
  •    Seguridad mejorada: El uso de grupos y permisos asegura que solo los usuarios autorizados puedan acceder a ciertos recursos.
  •     Escalabilidad: AD DS puede crecer con la empresa, permitiendo la adición de nuevos usuarios, equipos y políticas sin complicaciones.
  •     Políticas de Grupo (GPO): La capacidad de aplicar políticas de manera uniforme en toda la red garantiza que los sistemas estén configurados de acuerdo con las normativas de seguridad y operaciones.

Conclusión

En esta práctica, hemos explorado los fundamentos de Active Directory Domain Services (AD DS), su estructura jerárquica, y cómo se gestionan usuarios, grupos y permisos en un entorno de dominio. Al crear diferentes usuarios y asignarles roles, hemos comprobado cómo los administradores tienen más control que los usuarios estándar.

La estructura de red empleada durante la práctica ha sido la siguiente.


El organigrama empleado durante la práctica será el siguiente.






Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares