Joan zuzenean edukira

3.1. Active Directory sarrera

Helburua: Active Directory (AD) zer den eta bere oinarrizko arkitektura ulertzea.

Edukiak

  • Zer da Active Directory?
  • AD DS eta beste rolak (AD CS, AD FS, ...)
  • Osagaiak: basoa, domeinua, gunea (site), zuhaitza, OU, objektuak
  • DNS, ordua (NTP) eta ziurtagirien arteko harremanak
  • Izen-emate eta diseinu praktika onak
  • AWS Academy ingurunerako kontuan hartzekoak

Zer da Active Directory?

Active Directory (AD) Microsoft-en direktorio-zerbitzua da, identitateen (erabiltzaileak, ekipoak, taldeak) eta baliabideen (inprimagailuak, partekatzeak) kudeaketa sare Windows batean zentralizatzeko. ADk autentifikazioa, baimentzea eta politikak ezartzea eskaintzen ditu, modu seguruan eta eskalagarriki. Gaitasun nagusiak: - Kerberosen oinarritutako autentifikazioa (eta NTLM bateragarritasuna ondare-eszenatokietarako). - Objektuen biltegi hierarkikoa (erabiltzaileak, ekipoak, taldeak, inprimagailuak, etab.). - Talde-politikak (GPO) sistemak eta erabiltzaileak zentralizatuta konfiguratzeko. - DNSrekin integrazio naturala, zerbitzuak eta domeinu-kontrolatzaileak aurkitzeko.

ADren rol erlazionatuak

  • AD DS: Active Directory Domain Services. Identitatearen muina (domeinuak/basoak/OU, erabiltzaileak eta ekipoak, GPO, DNS integratua).
  • AD CS: Ziurtagiri Zerbitzuak. X.509 ziurtagirien jaulkipena/kudeaketa.
  • AD FS: Federazio Zerbitzuak. SSO eta kanpoko identitateekin federazioa.
  • AD LDS: Lightweight Directory Services. LDAP domeinurik gabe.

Ikastaro honetan AD DS landuko dugu.

Osagai nagusiak

  • Basoa (Forest): segurtasun-muga gorena. Automatikoki elkarri konfiantza ematen dioten domeinu bat edo gehiago biltzen ditu. Eskema (objektu-motak eta atributuak) eta Katalogo Orokorra definitzen ditu.
  • Domeinua (Domain): datu-base, politika eta administrazio-muga berak partekatzen dituen kontainer logikoa. Normalean DNS izen-espazio bati dagokio (adib., corp.local).
  • Gunea (Site): sare-topologia fisikoaren (azpisareak/kokalekuak) irudikapen logikoa. Domeinu-kontrolatzaileen arteko erreplikazioa optimizatzen du eta saio-hasieran gertueneko DC hautatzen laguntzen du.
  • Zuhaitza (Tree): DNS izen-espazio jarraitua partekatzen duten hierarkikoki erlazionatutako domeinuen multzoa (adib., corp.local eta salmentak.corp.local).
  • Unitate Antolatzailua (OU): objektuak antolatzeko eta administrazioa delegatzeko edukiontzia; hemen lotzen dira GPOak.
  • Objektuak: erabiltzaileak, ekipoak, taldeak, inprimagailuak, kontaktuak, GPOak, etab.

Basoa vs Domeinua vs Gunea: zein da aldea?

  • Basoa: konfiantza-esparrua eta eskema definitzen ditu. Baso bereko guztiek katalogo bera partekatzen dute eta konfiantza transtiboa dute.
  • Domeinua: administrazio- eta politika-mugak bereizten ditu. Domeinu bakoitzak bere domeinu-kontrolatzaileak eta datu-basea ditu.
  • Gunea: sarearen (azpisare/latentzia) arabera antolatzen du erreplikazioa eta saio-hasiera; ez du zertan egoki bat etorri egitura antolazioarekin.

Adibide bisuala

graph TD
  A[Baso: corp.local] --> B[Domeinua: corp.local]
  A --> C[Domeinua: salmentak.corp.local]
  B --> B1[OU: IT]
  B --> B2[OU: Ikasgelak]
  C --> C1[OU: Komertziala]
  %% Guneak (sare-logikak)
  S1((Gunea: Campus))
  S2((Gunea: Urrunekoa))
  S1 --- B
  S2 --- C

Praktika on azkarrak: - Baso bakarra mantendu, baldin eta hainbat baso izateko arrazoi sendoak ez badaude (segurtasun/eschema baldintza oso ezberdinak). - Domeinu bakarrarekin hasi ahal bada; domeinu gehiago gehitu soilik administrazio/politika-muga edo DNS eskakizun argiak badaude. - Guneak definitu kokaleku/azpisare esanguratsu bakoitzerako, erreplikazioa eta saio-hasiera optimizatzeko.

DNS eta orduaren (NTP) garrantzia

  • AD DS-ek DNS behar du domeinu-kontrolatzaileak eta zerbitzuak (SRV erregistroak) aurkitzeko.
  • Domeinu-kontrolatzaileak normalean DNS rola ere hartzen du.
  • Denboraren sinkronizazioa kritikoa da (Kerberosek ±5 min onartzen du). AWSn, erabili Amazon-en NTPa (169.254.169.123) edo DC bera barneko iturri gisa.

Diseinu eta izendapen praktika onak

  • Domeinuaren adibidea (laborategia): corp.local edo corp.internal (publikoarekin talkarik ez).
  • OU egitura: OU=Sailak, OU=Ikasgelak.
  • Erabiltzaileen konbentzioak: izena.abizena; ekipoak: GELA-PC01.
  • GPOak banatu (erabiltzaileak vs ekipoak). Iruzkinak eta bertsio-kudeaketa erabili.

AWS Academy kontuan hartzekoak

  • Windows Server EC2 instantzia nahiko baliabideekin (GUI): ≥ 4 vCPU, 8–16 GB RAM.
  • Security Group: RDP 3389 irakasgelako IPetara mugatua. Ez ireki beste atakarik Internetera.
  • EBS gp3 ≥ 60 GB. Etiketak: Project=WindowsServerLab.
  • Billing sarbiderik ez: kuotak errespetatu; saio amaitzean gelditu/ezabatu baliabideak.

Praktika gidatua: Ikasgelako domeinua diseinatzea

1) Zehaztu baso/domeinu izena (adib.: corp.local). 2) Marraztu erabiliko duzun OU egitura (Sailak, Ikasgelak, IT Zerbitzua). 3) Defini ezazu 5 erabiltzaile eta 2 talde global sail bakoitzeko. 4) Aukeratu pasahitz-politika eta GPO oinarrizko bat (adib., horma-papera instituzionala). 5) Prestatutako egiaztapen-zerrenda (behean) bete, AD DS ezartzean erabiliko duzuna.

Egiaztapen-zerrenda

  • Domeinu izena erabakita eta dokumentatuta
  • OU egitura definituta (diagrama sinplea)
  • Erabiltzaile eta ekipoen izendapen-konbentzioak
  • Hasierako erabiltzaile eta talde zerrenda
  • GPO oinarrizkoa definituta (helburua: erabiltzaileak/ekipoak)
  • NTP eta DNS planak

AWS Academy ikuspegia

  • Windows Server EC2 instantziak erabiliko dira AD DS rolarenarekin
  • DNS integratua DCn (DNS rola)
  • Laborategiaren mugak: baliabideak eta denbora

Ikaskuntza-emaitza

  • AD noiz erabili identifikatzea
  • Hurrengo praktiketarako topologia ulertzea

Hurrengo pausoak

  • 3.2 AD DS instalazioa: rola gehitu eta DCra sustatu.
  • 3.3 Oinarrizko administrazioa: OU, erabiltzaile/taldeak eta lehen GPOa.

Erlazionatutako AWS praktika

Diseinatu domeinua eta planifikatu zure AD AWS laborategirako gida honekin: AD diseinua eta plangintza AWSn