際際滷

際際滷Share a Scribd company logo

Windows Server-DOMINIOS DE CONFIANZA.pdf

Esther Ferreiro
Esther Ferreiro

Windows Server Dominios de confianza

1 of 12
Download to read offline
1 DOMINIOS DE CONFIANZA Introduci坦n Active Directory pos炭e unha caracter鱈stica chamada relaci坦n de confianza que permite aos usuarios dun dominio autenticado nun dominio distinto daquel ao que pertence. As relaci坦ns de confianza Permiten aos usuarios acceder aos recursos doutro dominio e aos administradores definir os permisos e dereitos de usuario para os usuarios do outro dominio. Permiten establecer comunicaci坦n entre varios controladores de dominio co fin de poder administrar desde un s坦 punto da rede a todos os usuarios e recursos de que disp坦n a rede. Nunha rede que te単a dous ou mais dominios, cada dominio act炭a como unha rede por separado coa s炭a propia base de datos de contas. Windows Server soporta varios tipos de relaci坦ns de confianza. Os diferentes tipos de relaci坦ns difer辿ncianse poden ter distintos trazos caracter鱈sticos: 1. M辿todo de creaci坦n. Alg炭ns tipos de relaci坦ns de confianza cr辿anse de forma autom叩tica (impl鱈cita) e outras de forma manual (expl鱈cita). 2. Direcci坦n. Si a relaci坦n de confianza 辿 unidireccional, os usuarios dominio A (de confianza) poden utilizar os recurso do dominio B (que conf鱈a), pero non ao rev辿s. Nunha relaci坦ns bidireccional, ambas acciones son posibles. 3. Transitividade. Nunha relaci坦n de confianza transitiva, si un dominio A conf鱈a en outro B, e este conf鱈a nun terceiro C, ent坦n de forma autom叩tica A conf鱈a en C. Nas relaci坦ns non transitivas, a confianza entre A e X ter鱈an que engadirse de forma expl鱈cita. Dominio de confianza unidireccional Dominios de confianza transitiva Tipos de relaci坦ns de confianza 1. Relaci坦ns entre dominios sen confianza. Os usuarios autenticados nun dominio non poden acceder aos recurso de outro dominio. 2. Relaci坦ns de confianza unidireccionais. Se a relaci坦n establ辿cese entre o dominio A (dominio de confianza) e o dominio B (dominio que conf鱈a), os usuarios que se
2 autentiquen no dominio A poder叩n ter acceso aos recursos do dominio B, pero os que o fagan no dominio B non poder叩n acceder aos recurso do dominio A. 3. Relaci坦ns de confianza bidireccionais. Crease establecendo 2 relaci坦ns de confianza unidireccionais, unha en cada direcci坦n. Un usuario conectado con 辿xito a un dos dominios ser叩 considerado autenticado polo outro dominio. Estas relaci坦ns permiten unha maior flexibilidade no acceso dos usuarios aos recursos e fan a administraci坦n da rede moito m叩is sinxela. Nas relaci坦ns bidireccionais 辿 necesario configurar ambos lados da relaci坦n, para isto 辿 necesario dispo単er de credenciais v叩lidas en ambos dominios. Este traballo p坦dese facer de forma independente, executando o Asistente para nueva confianza primeiro nun dominio e logo no outro, ou facelo de forma simult叩nea utilizando o Asistente para nueva confianza nun s坦 dos dominios. Se o facemos de forma simult叩nea crearase automaticamente unha contrasinal de confianza segura. Se o facemos por separado temos que asegurarnos de po単er a mesma contrasinal de confianza en ambos lados da relaci坦n. Ruta de acceso de confianza Unha ruta de acceso de confianza consiste nunha serie de relaci坦ns de confianza que te単en que seguir as solicitudes de autenticaci坦n entre dominios. Antes de que un usuario poida ter acceso a un recurso noutro dominio, o sistema de seguridade nos controladores de dominio que executan Windows Server te単en que determinar si o dominio que conf鱈a (o dominio que cont辿n o recurso ao que o usuario est叩 intentando ter acceso) ten unha relaci坦n co dominio de confianza (o dominio de inicio de sesi坦n do usuario). Para determinar isto, o sistema de seguridade calcula a ruta de acceso de confianza entre un controlador de dominio no que o dominio conf鱈a e un controlador de dominio no dominio de confianza. Obxectos de dominio de confianza Cada relaci坦n de confianza dun dominio repres辿ntase cun Obxecto de Dominio de Confianza (TDO, Trusted Domain Object). Todo TDO ten os seguintes atributos: A transitividade A direcci坦n de confianza O nome dos dominios rec鱈procos Tipos de confianza O Asistente para nueva confianza1 de Windows Server permite establecer unha das seguintes relaci坦ns de confianza: Confianza externa: Permite acceder a recursos dun dominio Windows NT 4.0 ou a dominios de bosques diferentes que non estean unidos por unha confianza de bosque. Son relaci坦ns non transitivas que poder ser unidireccionais ou bidireccionais. 1 Tam辿n podemos executar a orde Netdom
3 Confianza de domino kerberos: Permiten establecer relaci坦ns de confianza entre dominios Windows Server e dominios que utilicen o protocolo kerberos, pero que non sexan Windows. As relaci坦ns poden ser transitivas e non transitivas, unidireccionais ou bidireccionais. Confianza de bosque. Permiten compartir recursos entre diferentes bosques. Son relaci坦ns transitivas e poden ser unidireccionais e bidireccionais. No caso de ser bidireccionais, as solicitudes de autenticaci坦n poden chegar desde un bosque a outro. Confianza directa ou abreviada. Melloran o tempo que precisan os usuarios para iniciar sesi坦n entre 2 dominios de 叩rbores distintos nun bosque de Windows Server. Sempre son transitivas e poden ser tanto unidireccionais como bidireccionais. Confianzas transitivas Cando se crea un novo dominio nun bosque xa existente, automaticamente establ辿cese unha relaci坦n bidireccional e transitiva entre o novo dominio e o dominio pai. Esta situaci坦n rep鱈tese ao crear un novo subdominio do dominio anterior. Isto implica que un usuario que se autentique nun dominio dun bosque poder叩 acceder a calquera recursos de outro dominio sobre o que te単a permisos e que estea compartido en outro dominio calquera do bosque. Confianza directa ou abreviada A confianza directa establ辿cese entre dous dominios dun bosque. Ao creala facemos que se reduza o tempo de autenticaci坦n do usuario no outro dominio. Estas relaci坦ns poden ser unidireccionais ou bidireccionais.
4 Confianzas no transitivas Nos seguintes casos s坦 se poden crear relacionas de confianza non transitivas entre dominios: Cando se disp坦n dun dominio con Windows 2000 Server ou superior e outro con Windows NT. Cando se disp坦n de dous dominios con Windows 2000 Server ou superior en bosques diferentes e non est叩n relacionados con unha confianza de bosque. Engadir un subdominio a un dominio existente Cando se crea un novo subdominio, de un dominio xa existente, establ辿cese de forma impl鱈cita e autom叩tica unha relaci坦n de confianza bidireccional e transitiva entre o novo dominio e o dominio pai.
5 Pr叩ctica1. Relaci坦n de confianza entre dos dominios independentes Paso1. Instalar dous servidores coas seguintes caracter鱈sticas: Servidor1: Nome: Principal IP V4: 192.168.1.1 Contrasinal do administrador: abc123., Roles instalados: o Controlador de dominio para un novo dominio. o Nome de dominio: iesan.local o Domino nun novo bosque o Servidor DNS Servidor2: Nome: Ciclon IP V4: 192.168.100.1 Contrasinal do administrador: abc123., Roles instalados: o Controlador de dominio para un novo dominio. o Nome de dominio: iesar.local o Domino nun novo bosque o Servidor DNS Paso2. Comprobar a conexi坦n entre os dous servidores. Para comprobar a conexi坦n entre os dous controladores de dominio: iesan.local e iesar.local imos utilizar unha nova ferramenta chamada Administrador de DNS. Para abrir o Administrador de DNS temos que ir a Herramientas>DNS
6 Ao pulsar DNS 叩brese o Administrador de DNS e despregar as opci坦ns da icona do servidor (Principal) que se presenta y pulsar o bot坦n dereito sobre Reenviadores condiocionales > Nuevo reenviador condicional.... Na vent叩 de Nuevo reenviador condicional temos que cubrir os datos do nome do dominio co que queremos comprobar a comunicaci坦n e a IP do servidor, tal e como se ve na seguinte vent叩. No caso de que a comunicaci坦n se poida establecer aparecer叩 o dominio e a s炭a direcci坦n IP
7 Desta forma tam辿n temos rexistrado os dominios cos que se van a establecer relaci坦ns de confianza. Non est叩 de mais comprobar a comunicaci坦n dos distintos servidores co comando ping. Tam辿n p坦dese comprobar o reenviador condicional co comando nslookup que permitir叩 resolver o nome de dominio si est叩 feito de forma correcta. Paso 3. Establecer as relaci坦ns de confianza. Desde o equipo Principal ir a Herramientas Administrativas/Dominios y confianzas de Active Directory Co bot坦n dereito do rato sobre o nome do dominio ir a Propiedades>Confianzas>Nueva confianza... e iniciar o Asistente para nueva confianza. 1. Escribir o nome do dominio NetBios co que queremos establecer a relaci坦n de confianza (non usamos o nome DNS pois implicar鱈a que a relaci坦n establecer鱈ase a trav辿s de kerberos e ser鱈an precisos moitos mais axustes nos que non imos entrar agora). Nos imos establecer unha relaci坦n bidireccional polo que pulsaremos sobre Nueva confianza....
8 Imos elixir Confianza de bosque que vai permitir que os usuarios de calquera dos dominios en ambos bosques podan autenticarse nos dominios de outro bosque. 1. Indicar a direcci坦n de confianza. A nosa relaci坦n de confianza ser叩 bidireccional. a. Bidireccional: Crearemos unha relaci坦n de confianza de cada dominio sobre o outro. b. Unidireccional de entrada: os usuarios do dominio iesan.local poder鱈an ser autenticados no dominio iesar.local. c. Unidireccional de sa鱈da: os usuarios do dominio iesar.local poder鱈an ser autenticados no dominio iesan.local.
9 Determinar as partes da relaci坦n de confianza. No noso caso si dispo単emos do nome de usuario e a contrasinal de administrador do dominio iesar.local podemos facer que a relaci坦n de confianza se faga efectiva tam辿n no outro dominio.
10 A continuaci坦n temos que decidir si, unha vez autenticado un cliente, este ter叩 acceso a todos os recursos do bosque ou si, polo contrario, temos que conceder acceso de forma individual aos recursos. Nos elixiremos a Autentificaci坦n en todo o bosque no nivel de autenticaci坦n no bosque local e no bosque especificado.
11 Como resumo da operaci坦n se amosa a seguinte vent叩:
12 CREAR USUARIOS A PARTIR DUN ARQUIVO CSV Para crear os usuarios do dominio iesan.local imos utilizar un arquivo CSV seguindo as instruci坦ns que ve単en no seguinte ligaz坦n http://somebooks.es/automatizar-la-creacion- usuarios-del-dominio-windows-server-2016-archivo-csv/. Crea tres usuarios que se chamen UsuarioXX_A, UsuaroiXX_B e UsuarioXX_C, sendo XX o n炭mero do teu equipo de clase. Sube a aula virtual o arquivo CSV e a orde que utilizaches para crear os usuarios en iesan.local. Este arquivo chamarase CREARUSUARIOCSV. EXPORTAR USUARIOS ENTRE DOMINIOS Para crear os usuarios de iesar.local imos utilizar o seguinte m辿todo 1. Exportamos os usuarios do grupo Docentes de pr叩cticas anteriores. a un arquivo CSV co m辿todo que ven desenvolvido no seguinte ligaz坦n http://somebooks.es/exportar-los- usuarios-dominio-windows-server-2016-archivo-csv/. 2. Creamos os usuarios en iesar.local tal como vimos no apartado de Crear usuarios a partir dun arquivos CSV. Sube a aula virtual o arquivo CSV resultado da exportaci坦n e a orde que utilizaches para crear os usuarios en iesar.local. Este arquivo chamarase EXPORTARUSUARIOS. COMPROBAR AS RELACINS DE CONFIANZA Agora proba as relaci坦ns de confianza probando a autenticarte nun 叩rbore co usuario de outro 叩rbore. Sube a aula virtual un v鱈deo da autenticaci坦n do usuario dun dominio noutro dominio.

More Related Content

Windows Server-DOMINIOS DE CONFIANZA.pdf

  • 1. 1 DOMINIOS DE CONFIANZA Introduci坦n Active Directory pos炭e unha caracter鱈stica chamada relaci坦n de confianza que permite aos usuarios dun dominio autenticado nun dominio distinto daquel ao que pertence. As relaci坦ns de confianza Permiten aos usuarios acceder aos recursos doutro dominio e aos administradores definir os permisos e dereitos de usuario para os usuarios do outro dominio. Permiten establecer comunicaci坦n entre varios controladores de dominio co fin de poder administrar desde un s坦 punto da rede a todos os usuarios e recursos de que disp坦n a rede. Nunha rede que te単a dous ou mais dominios, cada dominio act炭a como unha rede por separado coa s炭a propia base de datos de contas. Windows Server soporta varios tipos de relaci坦ns de confianza. Os diferentes tipos de relaci坦ns difer辿ncianse poden ter distintos trazos caracter鱈sticos: 1. M辿todo de creaci坦n. Alg炭ns tipos de relaci坦ns de confianza cr辿anse de forma autom叩tica (impl鱈cita) e outras de forma manual (expl鱈cita). 2. Direcci坦n. Si a relaci坦n de confianza 辿 unidireccional, os usuarios dominio A (de confianza) poden utilizar os recurso do dominio B (que conf鱈a), pero non ao rev辿s. Nunha relaci坦ns bidireccional, ambas acciones son posibles. 3. Transitividade. Nunha relaci坦n de confianza transitiva, si un dominio A conf鱈a en outro B, e este conf鱈a nun terceiro C, ent坦n de forma autom叩tica A conf鱈a en C. Nas relaci坦ns non transitivas, a confianza entre A e X ter鱈an que engadirse de forma expl鱈cita. Dominio de confianza unidireccional Dominios de confianza transitiva Tipos de relaci坦ns de confianza 1. Relaci坦ns entre dominios sen confianza. Os usuarios autenticados nun dominio non poden acceder aos recurso de outro dominio. 2. Relaci坦ns de confianza unidireccionais. Se a relaci坦n establ辿cese entre o dominio A (dominio de confianza) e o dominio B (dominio que conf鱈a), os usuarios que se
  • 2. 2 autentiquen no dominio A poder叩n ter acceso aos recursos do dominio B, pero os que o fagan no dominio B non poder叩n acceder aos recurso do dominio A. 3. Relaci坦ns de confianza bidireccionais. Crease establecendo 2 relaci坦ns de confianza unidireccionais, unha en cada direcci坦n. Un usuario conectado con 辿xito a un dos dominios ser叩 considerado autenticado polo outro dominio. Estas relaci坦ns permiten unha maior flexibilidade no acceso dos usuarios aos recursos e fan a administraci坦n da rede moito m叩is sinxela. Nas relaci坦ns bidireccionais 辿 necesario configurar ambos lados da relaci坦n, para isto 辿 necesario dispo単er de credenciais v叩lidas en ambos dominios. Este traballo p坦dese facer de forma independente, executando o Asistente para nueva confianza primeiro nun dominio e logo no outro, ou facelo de forma simult叩nea utilizando o Asistente para nueva confianza nun s坦 dos dominios. Se o facemos de forma simult叩nea crearase automaticamente unha contrasinal de confianza segura. Se o facemos por separado temos que asegurarnos de po単er a mesma contrasinal de confianza en ambos lados da relaci坦n. Ruta de acceso de confianza Unha ruta de acceso de confianza consiste nunha serie de relaci坦ns de confianza que te単en que seguir as solicitudes de autenticaci坦n entre dominios. Antes de que un usuario poida ter acceso a un recurso noutro dominio, o sistema de seguridade nos controladores de dominio que executan Windows Server te単en que determinar si o dominio que conf鱈a (o dominio que cont辿n o recurso ao que o usuario est叩 intentando ter acceso) ten unha relaci坦n co dominio de confianza (o dominio de inicio de sesi坦n do usuario). Para determinar isto, o sistema de seguridade calcula a ruta de acceso de confianza entre un controlador de dominio no que o dominio conf鱈a e un controlador de dominio no dominio de confianza. Obxectos de dominio de confianza Cada relaci坦n de confianza dun dominio repres辿ntase cun Obxecto de Dominio de Confianza (TDO, Trusted Domain Object). Todo TDO ten os seguintes atributos: A transitividade A direcci坦n de confianza O nome dos dominios rec鱈procos Tipos de confianza O Asistente para nueva confianza1 de Windows Server permite establecer unha das seguintes relaci坦ns de confianza: Confianza externa: Permite acceder a recursos dun dominio Windows NT 4.0 ou a dominios de bosques diferentes que non estean unidos por unha confianza de bosque. Son relaci坦ns non transitivas que poder ser unidireccionais ou bidireccionais. 1 Tam辿n podemos executar a orde Netdom
  • 3. 3 Confianza de domino kerberos: Permiten establecer relaci坦ns de confianza entre dominios Windows Server e dominios que utilicen o protocolo kerberos, pero que non sexan Windows. As relaci坦ns poden ser transitivas e non transitivas, unidireccionais ou bidireccionais. Confianza de bosque. Permiten compartir recursos entre diferentes bosques. Son relaci坦ns transitivas e poden ser unidireccionais e bidireccionais. No caso de ser bidireccionais, as solicitudes de autenticaci坦n poden chegar desde un bosque a outro. Confianza directa ou abreviada. Melloran o tempo que precisan os usuarios para iniciar sesi坦n entre 2 dominios de 叩rbores distintos nun bosque de Windows Server. Sempre son transitivas e poden ser tanto unidireccionais como bidireccionais. Confianzas transitivas Cando se crea un novo dominio nun bosque xa existente, automaticamente establ辿cese unha relaci坦n bidireccional e transitiva entre o novo dominio e o dominio pai. Esta situaci坦n rep鱈tese ao crear un novo subdominio do dominio anterior. Isto implica que un usuario que se autentique nun dominio dun bosque poder叩 acceder a calquera recursos de outro dominio sobre o que te単a permisos e que estea compartido en outro dominio calquera do bosque. Confianza directa ou abreviada A confianza directa establ辿cese entre dous dominios dun bosque. Ao creala facemos que se reduza o tempo de autenticaci坦n do usuario no outro dominio. Estas relaci坦ns poden ser unidireccionais ou bidireccionais.
  • 4. 4 Confianzas no transitivas Nos seguintes casos s坦 se poden crear relacionas de confianza non transitivas entre dominios: Cando se disp坦n dun dominio con Windows 2000 Server ou superior e outro con Windows NT. Cando se disp坦n de dous dominios con Windows 2000 Server ou superior en bosques diferentes e non est叩n relacionados con unha confianza de bosque. Engadir un subdominio a un dominio existente Cando se crea un novo subdominio, de un dominio xa existente, establ辿cese de forma impl鱈cita e autom叩tica unha relaci坦n de confianza bidireccional e transitiva entre o novo dominio e o dominio pai.
  • 5. 5 Pr叩ctica1. Relaci坦n de confianza entre dos dominios independentes Paso1. Instalar dous servidores coas seguintes caracter鱈sticas: Servidor1: Nome: Principal IP V4: 192.168.1.1 Contrasinal do administrador: abc123., Roles instalados: o Controlador de dominio para un novo dominio. o Nome de dominio: iesan.local o Domino nun novo bosque o Servidor DNS Servidor2: Nome: Ciclon IP V4: 192.168.100.1 Contrasinal do administrador: abc123., Roles instalados: o Controlador de dominio para un novo dominio. o Nome de dominio: iesar.local o Domino nun novo bosque o Servidor DNS Paso2. Comprobar a conexi坦n entre os dous servidores. Para comprobar a conexi坦n entre os dous controladores de dominio: iesan.local e iesar.local imos utilizar unha nova ferramenta chamada Administrador de DNS. Para abrir o Administrador de DNS temos que ir a Herramientas>DNS
  • 6. 6 Ao pulsar DNS 叩brese o Administrador de DNS e despregar as opci坦ns da icona do servidor (Principal) que se presenta y pulsar o bot坦n dereito sobre Reenviadores condiocionales > Nuevo reenviador condicional.... Na vent叩 de Nuevo reenviador condicional temos que cubrir os datos do nome do dominio co que queremos comprobar a comunicaci坦n e a IP do servidor, tal e como se ve na seguinte vent叩. No caso de que a comunicaci坦n se poida establecer aparecer叩 o dominio e a s炭a direcci坦n IP
  • 7. 7 Desta forma tam辿n temos rexistrado os dominios cos que se van a establecer relaci坦ns de confianza. Non est叩 de mais comprobar a comunicaci坦n dos distintos servidores co comando ping. Tam辿n p坦dese comprobar o reenviador condicional co comando nslookup que permitir叩 resolver o nome de dominio si est叩 feito de forma correcta. Paso 3. Establecer as relaci坦ns de confianza. Desde o equipo Principal ir a Herramientas Administrativas/Dominios y confianzas de Active Directory Co bot坦n dereito do rato sobre o nome do dominio ir a Propiedades>Confianzas>Nueva confianza... e iniciar o Asistente para nueva confianza. 1. Escribir o nome do dominio NetBios co que queremos establecer a relaci坦n de confianza (non usamos o nome DNS pois implicar鱈a que a relaci坦n establecer鱈ase a trav辿s de kerberos e ser鱈an precisos moitos mais axustes nos que non imos entrar agora). Nos imos establecer unha relaci坦n bidireccional polo que pulsaremos sobre Nueva confianza....
  • 8. 8 Imos elixir Confianza de bosque que vai permitir que os usuarios de calquera dos dominios en ambos bosques podan autenticarse nos dominios de outro bosque. 1. Indicar a direcci坦n de confianza. A nosa relaci坦n de confianza ser叩 bidireccional. a. Bidireccional: Crearemos unha relaci坦n de confianza de cada dominio sobre o outro. b. Unidireccional de entrada: os usuarios do dominio iesan.local poder鱈an ser autenticados no dominio iesar.local. c. Unidireccional de sa鱈da: os usuarios do dominio iesar.local poder鱈an ser autenticados no dominio iesan.local.
  • 9. 9 Determinar as partes da relaci坦n de confianza. No noso caso si dispo単emos do nome de usuario e a contrasinal de administrador do dominio iesar.local podemos facer que a relaci坦n de confianza se faga efectiva tam辿n no outro dominio.
  • 10. 10 A continuaci坦n temos que decidir si, unha vez autenticado un cliente, este ter叩 acceso a todos os recursos do bosque ou si, polo contrario, temos que conceder acceso de forma individual aos recursos. Nos elixiremos a Autentificaci坦n en todo o bosque no nivel de autenticaci坦n no bosque local e no bosque especificado.
  • 11. 11 Como resumo da operaci坦n se amosa a seguinte vent叩:
  • 12. 12 CREAR USUARIOS A PARTIR DUN ARQUIVO CSV Para crear os usuarios do dominio iesan.local imos utilizar un arquivo CSV seguindo as instruci坦ns que ve単en no seguinte ligaz坦n http://somebooks.es/automatizar-la-creacion- usuarios-del-dominio-windows-server-2016-archivo-csv/. Crea tres usuarios que se chamen UsuarioXX_A, UsuaroiXX_B e UsuarioXX_C, sendo XX o n炭mero do teu equipo de clase. Sube a aula virtual o arquivo CSV e a orde que utilizaches para crear os usuarios en iesan.local. Este arquivo chamarase CREARUSUARIOCSV. EXPORTAR USUARIOS ENTRE DOMINIOS Para crear os usuarios de iesar.local imos utilizar o seguinte m辿todo 1. Exportamos os usuarios do grupo Docentes de pr叩cticas anteriores. a un arquivo CSV co m辿todo que ven desenvolvido no seguinte ligaz坦n http://somebooks.es/exportar-los- usuarios-dominio-windows-server-2016-archivo-csv/. 2. Creamos os usuarios en iesar.local tal como vimos no apartado de Crear usuarios a partir dun arquivos CSV. Sube a aula virtual o arquivo CSV resultado da exportaci坦n e a orde que utilizaches para crear os usuarios en iesar.local. Este arquivo chamarase EXPORTARUSUARIOS. COMPROBAR AS RELACINS DE CONFIANZA Agora proba as relaci坦ns de confianza probando a autenticarte nun 叩rbore co usuario de outro 叩rbore. Sube a aula virtual un v鱈deo da autenticaci坦n do usuario dun dominio noutro dominio.