¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Windows Server 2016
  3. Configuración de los roles Active Directory
Extrait - Windows Server 2016 Arquitectura y Administración de los servicios de dominio Active Directory (AD DS)
Extractos del libro
Windows Server 2016 Arquitectura y Administración de los servicios de dominio Active Directory (AD DS) Volver a la página de compra del libro

Configuración de los roles Active Directory

Introducción

Los servicios de directorio Active Directory y sus diferentes componentes centrales forman el corazón de los sistemas de información implementados utilizando la plataforma Windows Server. Aparecido con Windows 2000 Server, los servicios de directorio Active Directory se impusieron de forma veloz como una plataforma central capaz de incluir servicios de seguridad avanzada y muchas aplicaciones capaces de usarlo como referencia. Uno de los puntos más importantes que contribuyó a este éxito es por supuesto la gran compatibilidad con el conjunto de los protocolos entre diferentes versiones de controladores de dominio Windows y sistemas operativos cliente. En efecto, es frecuente la necesidad de soportar infraestructuras compuestas por servidores y controladores de dominio que funcionan con diferentes versiones de Windows Server y con puestos de trabajo Windows y no Windows tales como Mac OS y diferentes versiones de Unix y de Linux.

Este importante éxito permitió a los equipos de desarrollo de Microsoft extender de forma significativa los servicios integrados en Active Directory para que estos servicios sean el soporte de una plataforma completa de gestión de identidades y de gestión de acceso a escala empresarial.

1. Servicios de directorio Windows Server y servicios asociados

Los servicios fundamentales de los servicios Active Directory fueron introducidos con Windows 2000 Server. De partida, se hizo énfasis en la adopción de los estándares de industria. En efecto, se escogieron los protocolos LDAP v2 y v3, Kerberos v4 y v5, los servicios DNS modernos y el servicio de tiempo NTP (Network Time Protocol). Los mecanismos de replicación son potentes y permiten desplegar infraestructuras de dominio que incluyen varias centenas de controladores. En este punto, el énfasis fue enfocado a la gestión de los objetos más importantes tales como los objetos equipo, grupo, usuario, impresora y carpetas compartidas. Uno de los objetivos principales es permitir mediante un único inicio de sesión un acceso al conjunto de recursos de la empresa. De esta forma, los usuarios pueden ubicar y acceder de forma sencilla a los recursos necesarios para el ejercicio de su actividad. Por su parte, el personal a cargo de la administración dispondrá de una infraestructura de directorio coherente e intuitiva basada en un modelo organizado...

Características de los servicios de dominio AD DS de Windows Server 2016

1. Introducción

El conjunto de capítulos anteriores planteó los conceptos y características de los servicios de dominio Active Directory ofrecidos por Windows Server. Hemos abordado de forma amplia los puntos sensibles en materia de servicios DNS, en particular la integración de las zonas DNS en Active Directory, la estructura de los bosques y los servicios de administración tales como las directivas de grupo. Las páginas siguientes permiten poner de relieve las características más notables implementadas en Windows Server 2016.

Vamos pues, a tratar los puntos siguientes:

  • El fortalecimiento de la seguridad de los controladores de dominio instalados en sucursales mediante la instalación en modo Server Core.

  • El fortalecimiento de la seguridad de los controladores de dominio instalados en sucursales con el nuevo rol de controlador de tipo sólo lectura (en inglés RODC de Read Only Domain Controller).

  • La creación de nuevas directivas de contraseña granulares aplicables de forma directa a los usuarios o grupos de dominio, además de la habitual directiva de contraseña aplicada en todo el dominio. Aunque esta característica fue aportada por Windows Server 2008, es bueno revisar este tema en el momento en que la seguridad y la securización de las plataformas se encuentra en el corazón de las preocupaciones de muchas empresas.

  • La posibilidad de activar en caso necesario las nuevas funciones de auditoría disponibles en los controladores de dominio Windows Server, a partir de Windows Server 2008 R2 y en las versiones posteriores, tales como Windows Server 2016.

  • La posibilidad de proteger los objetos de Active Directory contra el borrado utilizando las nuevas herramientas de administración Active Directory de Windows Server.

2. Rol de controlador de dominio y modo Server Core

a. Acerca del modo Server Core

De partida, el concepto de Server Core parece una señal de un paso atrás, hacia algo anodino, pobre o limitado. Este no es el caso porque la mayoría de los roles y funcionalidades aportadas por Windows Server 2016 están -casi todas- disponibles en modo Core. De hecho, se podría decir que Windows Server 2016 en modo Server Core ofrece toda la potencia de Windows Server, ¡pero sin la interfaz gráfica...

Active Directory Certificate Services (AD CS)

1. Introducción a la infraestructura de claves públicas (PKI)

Las infraestructuras de claves públicas (PKI, Public Key Infrastructure) permiten a las empresas de cualquier tamaño disponer de los elementos técnicos que permiten asegurar las comunicaciones de red, así como las transacciones electrónicas.

Una infraestructura de claves públicas implica el uso de certificados digitales, el uso de mecanismos criptográficos basados en la utilización de claves públicas, así como la puesta a disposición de los equipos, aplicaciones y usuarios de una o varias entidades de certificación. Debido a la utilización generalizada de los certificados para los equipos, aplicaciones y usuarios, los servicios de certificados de Windows Server son un elemento fundamental de una arquitectura segura.

Los mecanismos basados en los certificados digitales requieren comprobaciones en varios niveles. Es así que es posible verificar y autenticar la validez de cada una de las entidades implicadas en una transacción electrónica.

Más allá de la tecnología y en razón de su papel central en términos de seguridad, una infraestructura de claves públicas introduce de forma inevitable la necesidad de publicar dentro de la organización todas las prácticas relativas a la utilización de los certificados digitales.

Desde el punto de vista de los elementos fundamentales que componen una infraestructura de claves públicas, conviene poner de relieve los elementos siguientes:

  • Los certificados que serán utilizados por las distintas entidades representadas en el sistema de información.

  • Los servicios de certificados que garanticen la emisión de dichos certificados y de forma más amplia la gestión de éstos.

  • Las plantillas de certificados adaptadas a las diferentes necesidades y usos.

  • Las entidades a utilizar los certificados (usuarios, equipos, aplicaciones y servicios).

  • Los procesos y métodos de gestión de los certificados dentro de la empresa.

2. Los diferentes tipos de certificados

a. Introducción

Los certificados están definidos a nivel técnico por la especificación X.509v3. Esta especificación describe los diferentes formatos, opciones y métodos relativos a su uso....

Servicios de certificados de Windows Server 2016

1. Introducción

Las tecnologías criptográficas y los servicios de certificados fueron considerados temas muy importantes en las primeras versiones de Windows NT.

La primera aplicación de los servicios de certificados estuvo disponible para Windows NT Server en su versión 4.0 SP2 con el paquete Windows NT Opción Pack. Esta primera versión, aunque básica, permitía a los administradores NT generar certificados X.509v3 para aplicar el cifrado HTTPS a través de SSL, mensajería electrónica segura a través del protocolo S/MIME y la creación de aplicaciones seguras específicas.

Luego, los servicios de certificados incluidos en la familia Windows Server son un avance significativo. En efecto, las autoridades de empresa que funciona en todas las versiones de Windows Server pueden ser integradas en los servicios de directorio Active Directory. Esta relación con los servicios de directorio LDAP y los servicios de seguridad Kerberos permite a los equipos Windows autenticados mediante el protocolo Kerberos utilizar servicios sofisticados como la inscripción automática de los certificados para los equipos y también los usuarios. Por último, las autoridades de certificación Windows soportan los principios de arquitectura propios de las autoridades de certificación de claves públicas, posibilitando así la creación de jerarquías de autoridades con o sin integración en Active Directory.

A partir de Windows Server 2008 R2 y hasta Windows Server 2016, la administración Windows Server permite a los administradores de empresas de cualquier tamaño disponer de toda la granularidad de administración que pueden desear. Más allá de la capacidad de delegación propias de las autoridades de certificación de Windows Server, una de las operaciones más interesantes permite a los administradores delegar en un tercero la autorización de validar las solicitudes de certificados solo para determinados usuarios o grupos de usuarios. Esta posibilidad permite delegar la validación de ciertos tipos de certificados a los responsables de esta delicada tarea. Esto podrá, por ejemplo, ser el caso de un jefe de departamento de cara al permiso para conceder a las identidades aprobadas...

Active Directory Federation Services (AD FS)

1. Conceptos y funcionalidades básicas

Los servicios de Federación de Active Directory AD FS (Active Directory Federation Services) incorporados en Windows Server constituyen una plataforma abierta que integra sistemas Windows y no-Windows, para poner en práctica una solución de control de acceso basada en identidades.

La característica principal de los servicios de federación AD FS permite a las aplicaciones y servicios web situados dentro y fuera de la red empresarial permitir un acceso seguro a las aplicaciones en base a identidades y aplicaciones que están ubicadas en distintas redes. De esta forma, los servicios de federación ofrecen a los usuarios una autenticación única SSO (Single Sign On), para acceder a aplicaciones compatibles AD FS, donde éstas estén situadas, es decir, dentro o fuera de la red privada de la empresa. AD FS juega entonces el papel de proveedor de identidad autenticando a los usuarios y proporcionándoles tokens de seguridad para acceder a las aplicaciones aprobadas. Otro escenario de utilización permitirá a AD FS utilizar otros proveedores de identidad para, en este caso, proporcionar tokens para las aplicaciones aprobadas en el entorno AD FS.

Tenga en cuenta que la función de proporcionar un acceso externo a aplicaciones seguras vía AD FS no está garantizada a través del servicio de Rol Proxy de federación AD FS. Con Windows Server 2012 R2 y Windows Server 2016, este servicio de publicación está soportado a través del servicio de Rol de acceso remoto Proxy de Aplicación Web. Este servicio está incluido con Windows Server 2012 R2 y Windows Server 2016 y permite publicar aplicaciones como Microsoft Exchange y SharePoint y puede ser utilizado con o sin AD FS.

Los servicios AD FS permiten por lo tanto no tener necesidad de usar identidades adicionales mediante la aplicación de las relaciones de confianza capaces de transmitir la información de identidad hacia uno o varios socios que las acepten.

La idea misma del principio de federación de identidades permite imaginar muchos escenarios donde el despliegue de servicios de federación AD FS sería apropiado.

Las relaciones de colaboración basadas en la federación de socios a través de servicios tales como los ofrecidos...

Active Directory Lightweight Directory Services (AD LDS)

1. Conceptos fundamentales

Los servicios AD LDS (Active Directory Lightweight Directory Services) incluidos con Windows Server 2008 R2 y versiones posteriores, tales como Windows Server 2012 R2 y Windows Server 2016, permiten aplicar los servicios LDAP v3 estándar utilizables por las aplicaciones diseñadas para utilizar servicios de directorio. Los componentes AD LDS desempeñan el papel de proveedores de servicios de identidades para atender a los escenarios de tipo directorio o para almacenar las identidades externas (como las de socios, proveedores, etc.). La idea de partida proviene de la necesidad o la voluntad de arquitectura de separar estas identidades particulares del almacenamiento de las identidades de la empresa que por norma se almacenan y gestionan empleando los servicios de dominio Active Directory - AD DS.

AD LDS es importante en más de un sentido. En efecto, además de su papel de servicio de directorio LDAP estándar, está soportado por los servicios de federación AD FS así como en el marco de la gestión de directivas de autorización implementadas a través del componente Windows Authorization Manager, también llamado AzMan. Además, en los entornos donde los servicios AD DS se emplean, los servicios AD LDS pueden invocar a los servicios de Active Directory para la autenticación de usuarios que dispongan de una autenticación Windows.

Ventajas aportadas por los servicios AD LDS

Los servicios AD LDS aportan muchos beneficios tanto en términos de funcionalidad como en términos de facilidad de aplicación operativa.

Presentamos estos diferentes puntos a continuación:

  • Los servicios AD LDS utilizan la misma tecnología utilizada con los servicios de dominios de Active Directory AD DS.

  • Los servicios AD LDS permiten atender mejor las problemáticas complejas separando a los servicios de directorio para la infraestructura Windows de los servicios de directorio necesarios para las aplicaciones.

  • Los servicios AD LDS soportan los nombres de tipo X.500, como los O=mycompany y C=ES, donde O significa Organización y C significa País.

  • Los servicios AD LDS pueden utilizar las estructuras de seguridad de Windows para los controles de acceso y autenticación. El modelo de administración es idéntico al utilizado desde hace muchos...

Active Directory Rights Management Services (AD RMS)

1. Introducción

Windows Server 2016 y las versiones anteriores como Windows Server 2012 R2 y Windows Server 2008 R2 incorporan los servicios de gestión de derechos digitales, los cuales estaban disponibles en su primera versión con Windows Server 2003, en la forma de una descarga gratuita.

Los servicios de gestión de derechos digitales de Active Directory, AD RMS (Active Directory Rights Management Services), permiten a las empresas abordar la problemática de protección de la información digital. Esta tecnología permite a las aplicaciones compatibles proteger los documentos digitales de accesos no autorizados, ya estén estos documentos situados dentro o fuera de la red de la empresa y las operaciones sean efectuadas en modo conectado o desconectado. Los servicios AD RMS son en particular necesarios para las empresas que deben proteger datos sensibles que pueden tomar cualquier forma digital, o incluso mensajes confidenciales.

Ofrecen también la definición de directivas de derechos digitales persistentes que permitirán a las empresas respetar las directivas de seguridad definidas al mas alto nivel. Esta tecnología permite aproximarse a las exigencias en materia de seguridad de la empresa, sobre todo cuando se trata de documentos confidenciales que deben transmitirse a socios o proveedores.

Para conseguirlo, los servicios AD RMS nos permiten crear los elementos siguientes:

  • Entidades autorizadas: la empresa podrá declarar entidades de confianza como usuarios, equipos o grupos. Todas estas entidades tienen la capacidad de participar en la infraestructura AD RMS.

  • Los permisos de uso y condiciones: podemos asignar permisos de uso y condiciones que las entidades autorizadas podrán utilizar para acceder a los documentos bajo el control de RMS. La tecnología AD RMS nos permite gestionar los derechos de uso más elementales, como los derechos de reproducción, copia, impresión y copia de seguridad o edición. También es posible gestionar los permisos más específicos, como por ejemplo el permiso de transmitir un mensaje por correo electrónico, o fijar una fecha de expiración que haga que el documento no pueda ser utilizado.

  • Las exclusiones específicas: el administrador tiene la posibilidad de impedir que entidades particulares...