Date post: | 24-Oct-2014 |
Category: |
Documents |
Upload: | tell-garcia |
View: | 99 times |
Download: | 1 times |
Conceptos Avanzados del Conceptos Avanzados del Directorio ActivoDirectorio Activo
David Cervigón LunaDavid Cervigón LunaMicrosoft IT Pro EvangelistMicrosoft IT Pro [email protected]@microsoft.comhttphttp://://blogs.technet.comblogs.technet.com//davidcervigondavidcervigon
Jose Parada GimenoJose Parada GimenoMicrosoft IT Pro EvangelistMicrosoft IT Pro [email protected]@microsoft.comhttp://blogs.technet.com/padreparadahttp://blogs.technet.com/padreparada
Webcasts grabados sobre Directorio ActivoWebcasts grabados sobre Directorio Activo
Conceptos Básicos de Directorio ActivoConceptos Básicos de Directorio Activo httphttp://://mseventsmsevents--eu.microsoft.comeu.microsoft.com/CUI//CUI/
WebCastEventDetails.aspx?EventIDWebCastEventDetails.aspx?EventID=118766352&=118766352&EventCategoryEventCategory=3&culture=es-=3&culture=es-ES&CountryCodeES&CountryCode=ES=ES
AGENDAAGENDA
Tipos de CuentasTipos de Cuentas Tipos y ámbitos de Grupos Tipos y ámbitos de Grupos Tipos de Confianzas Tipos de Confianzas Niveles funcionalesNiveles funcionales Aprovisionamiento de usuarios Aprovisionamiento de usuarios Sintaxis LDAP y búsquedas en el DirectorioSintaxis LDAP y búsquedas en el Directorio Mecanismos de Autenticación y Tokens de seguridadMecanismos de Autenticación y Tokens de seguridad KerberosKerberos
Tipos de Cuentas de Directorio ActivoTipos de Cuentas de Directorio Activo
Cuentas de usuario: Es un objeto almacenado en Cuentas de usuario: Es un objeto almacenado en el Directorio Activo que permite su inicio de el Directorio Activo que permite su inicio de sesión único en la redsesión único en la red Cuentas localesCuentas locales Cuentas de dominioCuentas de dominio Cuentas Integradas (Built-in)Cuentas Integradas (Built-in)
Cuentas de Equipos. Ofrecen una forma de Cuentas de Equipos. Ofrecen una forma de autenticar y auditar a los equipos que acceden a autenticar y auditar a los equipos que acceden a la red y a recursos del dominio.la red y a recursos del dominio.
Cuentas de grupos: Colección de usuarios, Cuentas de grupos: Colección de usuarios, equipos y otros grupos. Su principal objetivo es equipos y otros grupos. Su principal objetivo es simplificar la administraciónsimplificar la administración
User Principal NameUser Principal Name
En Active Directory, cada cuenta de usuario tieneEn Active Directory, cada cuenta de usuario tiene
Un nombre de Un nombre de inicio de sesión de inicio de sesión de usuario.usuario.
Un nombre de Un nombre de inicio de sesión de inicio de sesión de usuario anterior a usuario anterior a Windows 2000 Windows 2000
Un sufijo UPN (User Un sufijo UPN (User Principal Name, segun Principal Name, segun RFC 822)RFC 822)
UPN = nombre_de_inicio_de_sesión@Sufijo_UPNUPN = nombre_de_inicio_de_sesión@Sufijo_UPN
Cómo agregar Sufijos UPNCómo agregar Sufijos UPN
En la consola de Dominios y confianzas del Directorio En la consola de Dominios y confianzas del Directorio ActivoActivo
ó ó
juanp@grupoempresasjuanp@grupoempresas
Service Principal NamesService Principal Names
Cada cuenta de equipo creada en Directorio Activo tiene:Cada cuenta de equipo creada en Directorio Activo tiene:
Un nombre completo Un nombre completo relativo.relativo.
Un nombre de equipo de Un nombre de equipo de versiones anteriores a versiones anteriores a Windows 2000.Windows 2000.
Un nombre de host DNS.Un nombre de host DNS. Un sufijo DNS principal Un sufijo DNS principal
(FQDN)(FQDN)
[email protected]@empresa.com
Service Principal Names (cont.)Service Principal Names (cont.)
Atributo de valores múltiples que identifican los servicios Atributo de valores múltiples que identifican los servicios ofrecidos por el equipo, de cara a una autenticación ofrecidos por el equipo, de cara a una autenticación mutua por parte de otro equipo:mutua por parte de otro equipo:
Nombrado de ObjetosNombrado de Objetos
Se puede hacer referencia a cada objeto de Directorio Se puede hacer referencia a cada objeto de Directorio Activo con varios nombres diferentes. Directorio Activo Activo con varios nombres diferentes. Directorio Activo crea a partir de los datos durante la creación del objeto:crea a partir de los datos durante la creación del objeto: El nombre completo relativo LDAP:El nombre completo relativo LDAP: identifica unívocamente al identifica unívocamente al
objeto dentro su contenedor principal. objeto dentro su contenedor principal. • CN=JuanPCN=JuanP
El nombre completo LDAP:El nombre completo LDAP: es globalmente único. es globalmente único.• CN=JuanP, OU=Users, DC=empresa, DC=esCN=JuanP, OU=Users, DC=empresa, DC=es
El nombre canónico:El nombre canónico: se crea de la misma manera que el nombre se crea de la misma manera que el nombre completo, pero se representa con una notación diferente. completo, pero se representa con una notación diferente. • Empresa.com/Users/JuanPEmpresa.com/Users/JuanP
Objetos principales de Seguridad (Security Principals): Objetos principales de Seguridad (Security Principals): Son objetos del directorio que tienen asignados un Son objetos del directorio que tienen asignados un Identificados único de seguridad (SID) Identificados único de seguridad (SID)
Tipos de GruposTipos de Grupos
Grupos de Distribución:Grupos de Distribución: Utilizados por aplicaciones de correo (p.e Microsoft Exchange Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)Server 2000/2003) No pueden ser usados para especificar controles de acceso a No pueden ser usados para especificar controles de acceso a
recursos.recursos.
Grupos de Seguridad:Grupos de Seguridad: Asignación de derechos (funciones que se pueden desempeñar)Asignación de derechos (funciones que se pueden desempeñar) Asignación de permisos de acceso a recursosAsignación de permisos de acceso a recursos Permiten anidación, es decir, meter unos grupos dentro de otros.Permiten anidación, es decir, meter unos grupos dentro de otros.
Ambos tipos de grupo pueden ser de tres ámbitos Ambos tipos de grupo pueden ser de tres ámbitos distintos:distintos: Locales de DominioLocales de Dominio GlobalGlobal UniversalUniversal
Grupos Locales de DominioGrupos Locales de Dominio
Pueden contener:Pueden contener: Grupos Universales, Globales, Locales de su dominioGrupos Universales, Globales, Locales de su dominio Usuarios de cualquier dominio del bosqueUsuarios de cualquier dominio del bosque
Pueden pertenecer a otro grupo Local de Pueden pertenecer a otro grupo Local de DominioDominio
Solo son visibles en su propio dominioSolo son visibles en su propio dominio Sólo pueden asignarse a permisos de recursos Sólo pueden asignarse a permisos de recursos
del dominio en el que existedel dominio en el que existe Se utilizan para asignar permisos a recursos Se utilizan para asignar permisos a recursos
existentes en el dominio en donde se esta existentes en el dominio en donde se esta creando el grupocreando el grupo
Grupos GlobalesGrupos Globales
Pueden contener:Pueden contener: Usuarios, Grupos y equipos de su propio dominioUsuarios, Grupos y equipos de su propio dominio Otros grupos globalesOtros grupos globales
Pueden pertenecer a Grupos Locales, Universales o Pueden pertenecer a Grupos Locales, Universales o Globales del mismo dominioGlobales del mismo dominio
Son visibles desde cualquier dominio del bosque en los Son visibles desde cualquier dominio del bosque en los que se confíe.que se confíe.
Pueden asignarse a recursos de cualquier dominio de Pueden asignarse a recursos de cualquier dominio de confianza del bosqueconfianza del bosque
Se utilizan para organizar usuarios o grupos de usuariosSe utilizan para organizar usuarios o grupos de usuarios
Grupos UniversalesGrupos Universales
Pueden contener:Pueden contener: Usuarios y equipos de cualquier dominio del bosqueUsuarios y equipos de cualquier dominio del bosque Grupos globales o universales de cualquier dominio del bosqueGrupos globales o universales de cualquier dominio del bosque
Pueden pertenecer a otros grupos universales y a grupos Pueden pertenecer a otros grupos universales y a grupos Locales de Dominio.Locales de Dominio.
Son visibles desde todos los dominios del bosqueSon visibles desde todos los dominios del bosque Pueden asignarse a recursos que apliquen a todos los Pueden asignarse a recursos que apliquen a todos los
dominios del bosque.dominios del bosque. Se usan para asignar permisos a recursos relacionados Se usan para asignar permisos a recursos relacionados
en todos los dominios del bosque, anidando en ellos en todos los dominios del bosque, anidando en ellos grupos globales.grupos globales.
Tipos de ConfianzasTipos de Confianzas
TransitividadTransitividad Transitivas (T)Transitivas (T) Intransitivas (I)Intransitivas (I)
DirecciónDirección Bidireccionales (B)Bidireccionales (B) Unidireccionales (U)Unidireccionales (U)
Confianzas por defectoConfianzas por defecto Entre dominios (padres/hijos): Transitivas bidireccionalesEntre dominios (padres/hijos): Transitivas bidireccionales Entre raíces de árboles: Transitivas bidireccionalesEntre raíces de árboles: Transitivas bidireccionales
Otros tipos de confianzas:Otros tipos de confianzas: Externa: Con NT 4.0 (I, U/B)Externa: Con NT 4.0 (I, U/B) Territorios: Kerberos con sistemas no Windows: (T/I, U/B)Territorios: Kerberos con sistemas no Windows: (T/I, U/B) Bosque: Entre bosques (T, U/B)Bosque: Entre bosques (T, U/B) Acceso Directo: Para mejorar los tiempos de acceso entre Acceso Directo: Para mejorar los tiempos de acceso entre
dominios “lejanos” lógicamente (T, U/B)dominios “lejanos” lógicamente (T, U/B)
KerberoKerberossNT 4.0NT 4.0
ConfianzasConfianzas
SID History y SID FilteringSID History y SID Filtering
Cuando movemos un objetoCuando movemos un objeto En el dominio:En el dominio:
• No hay cambios ni en SID ni en GUIDNo hay cambios ni en SID ni en GUID En el Bosque:En el Bosque:
• Mismo GUID, cambio de SIDMismo GUID, cambio de SID Entre Bosques:Entre Bosques:
• Cambian GUID y SIDCambian GUID y SID
SID HistorySID History Atributo con la lista de todos los SIDs que han estado alguna vez Atributo con la lista de todos los SIDs que han estado alguna vez
asignados a una cuenta de usuario.asignados a una cuenta de usuario. Permite la migración de usuarios manteniendo el acceso a los Permite la migración de usuarios manteniendo el acceso a los
recursos del antiguo dominio.recursos del antiguo dominio. SID FilteringSID Filtering
Se aplica por defecto a confianzas entre bosques o externas para Se aplica por defecto a confianzas entre bosques o externas para evitar la suplantación de identidades de otros usuarios externos.evitar la suplantación de identidades de otros usuarios externos.
NO se debe aplicar a confianzas entre dominios del mismo bosqueNO se debe aplicar a confianzas entre dominios del mismo bosque
Niveles funcionalesNiveles funcionales
Niveles funcionales de Dominios: Habilitan características que afectan a todo el dominio y a ese dominio solamente. Controla y depende de los sistemas operativos de los controladores de dominio de dicho dominio. Windows 2000 mixto (DCs en NT 4.0, 2000 y 2003)
Windows 2000 nativo (DCs en 2000 y 2003)
Windows Server 2003 (DCs en 2003)
Windows Server 2003 interino (DCs en NT 4.0 y 2003)
Niveles funcionales de Bosques: Habilitan características que afectan a todo el bosque. Controla y depende de los sistemas operativos de los controladores de dominio de todos los dominios del bosque. Windows 2000 (DCs en NT 4.0, 2000 y 2003)
Windows Server 2003 (DCs en 2003)
Windows Server 2003 interino (DCs en NT 4.0 y 2003)
Niveles funcionales de DominiosNiveles funcionales de Dominios Windows 2000 Mixto y Windows 2003 Interino:Windows 2000 Mixto y Windows 2003 Interino:
Características “por defecto”Características “por defecto” Windows 2000 Nativo:Windows 2000 Nativo:
Grupos universales tanto para grupos de seguridad como de distribuciónGrupos universales tanto para grupos de seguridad como de distribución Anidamiento de gruposAnidamiento de grupos Conversión de grupos habilitada. Seguridad Conversión de grupos habilitada. Seguridad Distribución Distribución SID HistorySID History
Windows Server 2003:Windows Server 2003: Autenticación selectiva, por la que se pueden especificar usuarios y grupos Autenticación selectiva, por la que se pueden especificar usuarios y grupos
de otro bosque de confianza a los que se les permite autenticarse en de otro bosque de confianza a los que se les permite autenticarse en nuestro bosquenuestro bosque
Capacidad de especificar el atributo userPassword como contraseña Capacidad de especificar el atributo userPassword como contraseña efectiva de objetos tipo User o InetOrgPersonefectiva de objetos tipo User o InetOrgPerson
Posibilidad de redirigir los contenedores Users y Computers a otras Posibilidad de redirigir los contenedores Users y Computers a otras localizaciones bien conocidaslocalizaciones bien conocidas
Posibilidad de almacenar las políticas del Authorization Manager en el Posibilidad de almacenar las políticas del Authorization Manager en el Directorio ActivoDirectorio Activo
Delegación obligada, basada en delegación de credenciales KerberosDelegación obligada, basada en delegación de credenciales Kerberos Renombrado de DCsRenombrado de DCs lastLogonTimestamp lastLogonTimestamp Replicado en el dominio Replicado en el dominio
Niveles funcionales de BosquesNiveles funcionales de Bosques Windows 2000Windows 2000
Características “por defecto”Características “por defecto” Windows 2003 InterinoWindows 2003 Interino
Linked-value replication: Cambios en la pertenencia a grupos se Linked-value replication: Cambios en la pertenencia a grupos se almacena y replica por los cambios individuales en lugar de por almacena y replica por los cambios individuales en lugar de por toda la pertenencia como un todo.toda la pertenencia como un todo.
Mejoras en los algoritmos y la escalabilidad del KCC. El Intersite Mejoras en los algoritmos y la escalabilidad del KCC. El Intersite Topology Generator (ISTG) ha sido mejorado para soportar Topology Generator (ISTG) ha sido mejorado para soportar bosques con mayor numero de sites.bosques con mayor numero de sites.
Windows Server 2003Windows Server 2003 Capacidad de crear instancias de la clase dinámica auxiliar Capacidad de crear instancias de la clase dinámica auxiliar
dynamicObject en la partición de DominiodynamicObject en la partición de Dominio Posibilidad de crear instancias de dos nuevos tipos de grupo. Posibilidad de crear instancias de dos nuevos tipos de grupo.
Básicos y basados en consultas, para la autenticación basada en Básicos y basados en consultas, para la autenticación basada en roles.roles.
Desactivación y redefinición de atributos y clases en el EsquemaDesactivación y redefinición de atributos y clases en el Esquema Confianzas entre BosquesConfianzas entre Bosques Renombrado de DominiosRenombrado de Dominios
Aprovisionamiento de usuariosAprovisionamiento de usuarios
Para crear/modificar/borrar un solo usuarioPara crear/modificar/borrar un solo usuario Usuarios y equipos de Directorio ActivoUsuarios y equipos de Directorio Activo DsAdd, DsMod, DsRm DsAdd, DsMod, DsRm “Scriptables” “Scriptables”
Para crear/modificar/borrar múltiples usuariosPara crear/modificar/borrar múltiples usuarios CsvdeCsvde
• Importa/Exporta usuarios desde/a un fichero .csvImporta/Exporta usuarios desde/a un fichero .csv
LDIFDELDIFDE• Utiliza ficheros de texto, con formato de líneas separadas para cada Utiliza ficheros de texto, con formato de líneas separadas para cada
atributo, para crear, modificar o borrar objetos en el Directorio Activoatributo, para crear, modificar o borrar objetos en el Directorio Activo
ADSI: ADSI: Interfaz de programación para crear objetos en Directorio Activo vía Interfaz de programación para crear objetos en Directorio Activo vía desarrollodesarrollo
En todos los casos, se deben especificar al menos estos atributos:En todos los casos, se deben especificar al menos estos atributos:• DN,objectClass, sAMAccountName, userPrincipalName, displayName, DN,objectClass, sAMAccountName, userPrincipalName, displayName,
userAccountControluserAccountControl
DEMODEMO
Creación de UsuariosCreación de Usuarios Creación de GruposCreación de Grupos Movimiento de usuarios entre dominiosMovimiento de usuarios entre dominios
Sintaxis LDAPSintaxis LDAP
Cómo se construye el DN (Distinguish NameCómo se construye el DN (Distinguish Name CN= : Common Name. CN= : Common Name. OU= : Unidad OrganizativaOU= : Unidad Organizativa DC= : Domain ComponentDC= : Domain Component
Ejemplos:Ejemplos: Dominio: Dominio:
• DC=empresa,DC=comDC=empresa,DC=com Controlador de Dominio: Controlador de Dominio:
• CN=DC1,OU=Domain Controllers,DC=empresa,DC=comCN=DC1,OU=Domain Controllers,DC=empresa,DC=com Dominio hijo: Dominio hijo:
• DC=filial,DC=empresa,DC=comDC=filial,DC=empresa,DC=com Site: Site:
• CN=ZonaCentro,CN=Sites,CN=Configuration,DC=empresa,DC=comCN=ZonaCentro,CN=Sites,CN=Configuration,DC=empresa,DC=com Usuario: Usuario:
• CN=Administrador,CN=Users,DC=empresa,DC=comCN=Administrador,CN=Users,DC=empresa,DC=com
Búsquedas LDAP al directorioBúsquedas LDAP al directorio
RootDSE es parte del estándar de LDAPv3.0RootDSE es parte del estándar de LDAPv3.0 Definido en RFC 2251Definido en RFC 2251
Define la raíz de búsqueda en un servidor LDAPDefine la raíz de búsqueda en un servidor LDAP Muestra, entre otras cosas, las particiones básicas a las Muestra, entre otras cosas, las particiones básicas a las
que se puede conectar un clienteque se puede conectar un cliente Pasos:Pasos:
Conexión con un servidor LDAPConexión con un servidor LDAP• Por defecto devuelve RootDSEPor defecto devuelve RootDSE
Antes de consultar hay que validarAntes de consultar hay que validar• Opción bind con usuario y contraseñaOpción bind con usuario y contraseña
BuscarBuscar• Definir el ámbito de la búsqueda (Base DN)Definir el ámbito de la búsqueda (Base DN)• Uso de filtros con sintaxis LDAP (Sintaxis LDAP)Uso de filtros con sintaxis LDAP (Sintaxis LDAP)• Profundidad de la búsqueda (En el ámbito dado)Profundidad de la búsqueda (En el ámbito dado)• Resultados a devolver (Qué atributos extraer)Resultados a devolver (Qué atributos extraer)
DEMO: Uso de LDPDEMO: Uso de LDP
Lista de usuarios en una OU dadaLista de usuarios en una OU dada Obtener su GUID, SID, displayName y SID HistoryObtener su GUID, SID, displayName y SID History Lista de todos los atributos que se replican al catálogo Lista de todos los atributos que se replican al catálogo
globalglobal
SSPISSPI
Autenticación:Autenticación:SSPI: SSPI: Security Support Provider InterfaceSecurity Support Provider Interface
Secure RPCSecure RPC HTTPHTTP
Internet Explorer,Internet Explorer,
Internet InformationInternet InformationServerServer
NTLMNTLM KerberosKerberos SChannelSChannelSSL/TLSSSL/TLS
AplicaciónAplicaciónDCOM DCOM
DigestDigest
Mail, Mail, Chat, Chat, NewsNews
CIFS/SMBCIFS/SMB
Fichero Fichero RemotoRemoto
““Directory-Directory-enabled” appsenabled” appsusando ADSIusando ADSI
LDAPLDAP POP3, NNTPPOP3, NNTP
Arquitectura LSAArquitectura LSA
Access Token y ACLsAccess Token y ACLs
DACL:DACL: Discretionary Discretionary Access control Access control ListList
SACLSACL: System : System Access Control Access Control ListList
ACEACE: Access : Access Control EntryControl Entry
¿Que es Kerberos?¿Que es Kerberos?
Protocolo de AutenticaciónProtocolo de Autenticación Usa TicketsUsa Tickets Interoperabilidad con otros sistemasInteroperabilidad con otros sistemas Basado en claves simétricas (secretos)Basado en claves simétricas (secretos) ComponentesComponentes
Key Distribution Center (KDC)Key Distribution Center (KDC)• Almacena “long term keys” y genera TicketsAlmacena “long term keys” y genera Tickets
Authentication Service (AS)Authentication Service (AS)• Genera Ticket Granting Tickets (TGT)Genera Ticket Granting Tickets (TGT)
Ticket Granting Service (TGS)Ticket Granting Service (TGS)• Genera Tickets de sesión.Genera Tickets de sesión.
4. Recive la respuesta del AS (TGT)
TGT
7. Autentica al equipo local usando el tiket de Sesión
6. El KDC Crea un ticket de sesión y lo devuelve
TGT
Inicio de sesión InteractivoInicio de sesión Interactivo
Cliente
KDC
1. <Ctl>+<Alt>+<Sup>
DNS
2. Localiza el KDC para su realm via DNS3. Envía Autenticación
Service Request (KRB_AS)5. Envia el TGT y solicita un ticket de sesión para el equipo local (KRB_TGS)
TGT
Inicio de sesión en redInicio de sesión en red
Cliente
KDC
Servidor
1. Envía su TGT y solicita un ticket de sesión para la máquina objetivo (KRB_TGS)
TGT
2. El KDC crea un Ticket de sesión para el objetivo y lo devuelve
TGT
3. El cliente presenta el Ticket al Servidor
TGT
4. El servidor verifica que el Ticket fue emitido
por el KDC (no requiere contacto)5. El servidor autentica al cliente
5. Si el servidor es de confianza para delegaciónEnvia TGT & recibe un ticket de sesión del KDC para el server2 (KRB_TGS)
TGT
TGT
6. Presenta el Ticket de sesión al Server2
Delegación KerberosDelegación Kerberos
Cliente
KDC
Server1 Server2
1. Envia TGT & recibe un ticket de sesión del KDC para Server1 (KRB_TGS)
TGT
TGT
2. Presenta el Ticket de sesión al Server13. Server1 verifica y autentica al cliente4. Server1 hace una llamada a Server2 como cliente
7. El Server2 lo verifica y autentica al cliente
Próximas Webcasts sobre Directorio ActivoPróximas Webcasts sobre Directorio Activo
La importancia de DNS para el Directorio ActivoLa importancia de DNS para el Directorio Activo Replicación del Directorio ActivoReplicación del Directorio Activo File Replication System (FRS)File Replication System (FRS) Uso avanzado de las políticas de GrupoUso avanzado de las políticas de Grupo Mejores Prácticas para un buen diseño del Directorio Mejores Prácticas para un buen diseño del Directorio
ActivoActivo Chequeo de salud del directorio ActivoChequeo de salud del directorio Activo Mejores Prácticas en las operaciones de Directorio ActivoMejores Prácticas en las operaciones de Directorio Activo
Información de fechas y registro en:Información de fechas y registro en: httphttp://://www.microsoft.comwww.microsoft.com//spainspain/technet/jornadas/webcasts//technet/jornadas/webcasts/default.aspdefault.asp
¿PREGUNTAS?¿PREGUNTAS?
David Cervigón LunaDavid Cervigón LunaMicrosoft IT Pro EvangelistMicrosoft IT Pro [email protected]@microsoft.comhttphttp://://blogs.technet.comblogs.technet.com//davidcervigondavidcervigon
Jose Parada GimenoJose Parada GimenoMicrosoft IT Pro EvangelistMicrosoft IT Pro [email protected]@microsoft.comhttp://blogs.technet.com/padreparada http://blogs.technet.com/padreparada
REFERENCIASREFERENCIAS
Conceptos de Directorio ActivoConceptos de Directorio Activo Niveles Funcionales de Directorio ActivoNiveles Funcionales de Directorio Activo Descripción de los GruposDescripción de los Grupos Nomenclatura de objetosNomenclatura de objetos Descripción de las ConfianzasDescripción de las Confianzas
Logon and Authentication TechnologiesLogon and Authentication Technologies
Active Directory Core Concepts:Active Directory Core Concepts: http://www.microsoft.com/windowsserver2003/http://www.microsoft.com/windowsserver2003/
technologies/directory/activedirectory/default.mspx technologies/directory/activedirectory/default.mspx Scripts para Directorio ActivoScripts para Directorio Activo
REFERENCIAS:REFERENCIAS: Libros:Libros: