search

Estructura de Active directory y Creacion

hashtag
Espacios de nombres en AD

Cada contenedor y objeto de un arbol tiene un nombre unico, su espcacio de nombre tiene forma de ruta:

  • DN (Distinguished Name): Ruta Completa del objeto.

    • Ej: CN=Impresora, OU=RRHH, DC=curso, DC=dom

  • UPN (User Principal Names)

  • RDN: Nombre relativo al objeto origen

  • OU (Unidad Organizativa), contenedor principal

  • DC (Controlador de dominio)

  • CN (Nombre comun): Nombre del objeto

  • Ruta canonica: curso.dom/RRHH/Impresora

hashtag
Planificacion de AD:

  • Sitios

  • Despliegue de Software

  • Ubicacion Fisica de Servidores

  • Cuentas

  • Auditoria

  • Politicas de Grupo

  • Unidades Organizativas

hashtag
Riesgos de un AD:

  • Un alto porcentaje de proyectos exige la integracion en AD

  • Su seguridad disminuye con el tiempo

    • Software de teceros

    • Mala configuracion

    • Etc..

  • Uno de los servicios menos auditados

  • Es un blanco perfecto para ataques de todo tipo

hashtag
Requisitos para crear un AD:

El servidor que se va a emplear para crear el controlador de dominio requiere:

  • Actualizar parches.

  • Poner IP estatica

  • Poner nombre a la maquina

Comando
Descripcion

Install-Module PSWindowsUpdate

Instalar Modulo de actualizaciones

Get-WindowsUpdate -AcceptAll -Autoreboot

Instalar actualizaciones pendientes de Windows

Get-NetIPAddress -AddressFamily IPv4 -SuffixOrigin Dhcp

Obtener configuracion de red Ipv4 con DHCP

$al=(Get-NetIPAddress -AddressFamily IPv4 -SuffixOrigin Dhcp) InterfaceAlias

Configurar tarjeta de red

Set-DnsClientServerAddress -InterfaceAlias $al -ServerAddress ("10.0.2.200"."8.8.8.8")

Definir servidores DNS

Disable-NetAdapterBinding [-InterfaceAlias $al | -Name "*"] -ComponentID ms_tcpip6 -PassThru

Deshabilitar IPv6 (Opcional)

Rename-Computer -NewName "DC01" -Restart

Cambiar nombre de maquina

hashtag
Crear un AD y Agregar un DC a un Bosque:

Hay diversas formas de realizarlo:

  • GUI: Usando el asistente virtual instalamos el componente

  • CLI: usando la instruccion dcpromo

  • PS: Usando instrucciones como las siguientes:

Comando
Descripcion

Install-WindowsFeature AD-Domain-Services -IncludeManagementTools

Instalar Servicios AD y herramientas

Import-Module ADDSDeployment

Importar modulo de AD

$fqdn="curso.dom" \n $ntds="X:\Windows\NTDS" \n $sv="X:\Windows\SYSVOL" \n $dm="Win2012R2" \n $fm="Win2008"

Definir variables y rutas NTDS, SYSVOL

Install-ADDSForest -CreateDnsDelegation:$false -InstallDns:$true -DomainName $fqdn -DomainNetBiosName $fqdn.Split(".")[0] -DatabasePath $ntds -LogPath $ntds -SysvolPath "$sv" [-DomainMode "$dm" -ForestMode "$fm"] -NoRebootOnCompletion:$false -Force:$true

Desplegar dominio. Solicita clave de recuperacion DSRM (Requiere Complejidad)

$al=(Get-NetIPAddress -AddressFamily IPv4 -SuffixOrigin Dhcp) InterfaceAlias

Recuperar alias de la tarjeta

Set-DnsClientServerAddress -InterfaceAlias $al -ServerAddresses ("10.0.2.200"."127.0.0.1")

Configurar como DNS el mismo

Install-ADDSDomainController -NoGlobalCatalog:$false -CreateDnsDelegation:$false -InstallDns:$true -CriticalReplicationOnly:$false -DomainName $fqdn -ReplicationSourceDC "DC01.$fqdn" -SiteName "Default-First-Site-Name" -DatabasePath $ntds -LogPath $ntds -SysvolPath "$sv" -NoRebootOnCompletion:$false -Force:$true -Credential (Get-Credential)

Promover el DC al Bosque

hashtag
Validando las instalaciones de AD en el dominio:

hashtag
El Tiempo en AD

Es imprescindible asegurarse de que haya una sincornizacion horario entre los equipos del dominio y el AD.Por ello debe configurarse en el AD:

NOTA: En las maquinas Windows virtualizadas evitar que se sincronicen con el servidor de virtualizacion si se sincronizan con el directorio ya que podria causar problemas.

hashtag
Agregar un equipo al dominio

se puede realizar de modo visual segun el sistema operativo (Windows 7, 8, 8.1 o 10)

Se puede realizar por PS:

Comando
Descripcion

$dom="curso.dom" \n $ip="10.0.2.200" \n $pc="EQUIPO1"

Definir nombre del dominio, IP DNS y nombre maquina

Rename-Computer -NewName "$pc" -Restart

Cambiar nombre de maquina (opcional)

$wmi=Get-WmiObject win32_NetworkAdapterConfiguration -Filter "IPEnabled=True"

Acceder a Tarjeta de red (Win 7)

$wmi.SetDNSServerSearchOrder($ip)

Definir como DNS el DC (Win 7)

$wmi.SetDNSDomain($dom)

Definir como dominio DNS el Dominio (Win 7)

$al=(Get-NetIPAddress -AddressFamily IPv4 -SuffixOrigin Dhcp) InterfaceAlias

Asignar indice de tarjeta a variable (Win >= 8)

Set-DnsClientServerAddress -InterfaceAlias $al -ServerAddresses ($ip)

Definir servidores DNS (Win >= 8)

Add-Computer -DomainName $dom -Credential (Get-Credential) [-NewName "$pc"] [-ComputerName "EQUIPO01, EQUIPO02, EQUIPO03"] -Restart

Agregar el equipo al dominio (Pedira credenciales de usuario administrador del dominio para poder unirlo)

hashtag
SAW (Secure Admin Workstation)

Un SAW es un entorno seguro de Administracion Altamente recomendado por Microsoft para Administracion de entornos AD.

NOTA: Todo equipo de IT deberia tener un entorno seguro, aislado para administrar el dominio.

Para instalar un SAW:

  • Instalar el MDAC correspondiente. Este proporciona los interfaces graficos habituales de administracion de un Directorio Activo

Para administrar equipos:

  • Instalar Windows Admin Center. Un entorno Web dise;ado para administrar un equipo Windows 10 y servidores

PreviousGolden TicketNextPreguntas y Respuestas de Active Directory a ChatGPT

Last updated