En la tabla siguiente se proporcionan detalles sobre cómo crear los grupos de seguridad global. Cree los siguientes grupos de seguridad global y usuarios en el controlador de dominio mediante sus propias convenciones de nomenclatura. Los ejemplos que se proporcionan a continuación se usan para simplificar. Agregue los miembros especificados en la lista a los grupos creados.
Microsoft Entra Domain Services proporciona servicios de dominio administrado, como unión a dominio, directiva de grupo, LDAP, autenticación Kerberos/NTLM que es totalmente compatible con Windows Server Active Directory. Estos servicios de dominio se usan sin necesidad de implementar, administrar ni aplicar revisiones a los controladores de dominio. Domain Services se integra con el inquilino de Microsoft Entra existente. Esta integración permite a los usuarios iniciar sesión con sus credenciales corporativas y, además, le permite usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos.
Elija la ubicación de Azure en que se debe crear el dominio administrado. Si elige una región que admite Azure Availability Zones, los recursos de Domain Services se distribuyen entre las zonas para conseguir redundancia adicional.
Para crear rápidamente un dominio administrado, puede seleccionar Revisión y creación para aceptar otras opciones de configuración predeterminadas. Los siguientes valores predeterminados se configuran al elegir esta opción de creación:
En la página Resumen del asistente, revise la configuración del dominio administrado. Puede volver a cualquier paso del asistente para realizar cambios. Para volver a implementar un dominio administrado en un inquilino de Microsoft Entra diferente de manera consistente usando estas opciones de configuración, también puede descargar una plantilla para automatización.
El proceso de aprovisionamiento del dominio administrado puede tardar hasta una hora. En el portal se muestra una notificación que señala el progreso de la implementación de Domain Services. Seleccione la notificación para ver el progreso detallado de la implementación.
Seleccione el grupo de recursos, como myResourceGroup y, a continuación, elija el dominio administrado en la lista de recursos de Azure, como aaddscontoso.com. La pestaña Información general muestra que el dominio administrado se está Implementando. No se puede configurar el dominio administrado hasta que está totalmente aprovisionado.
El dominio administrado está asociado a su inquilino de Microsoft Entre. Durante el proceso de aprovisionamiento, Domain Services crea dos aplicaciones empresariales, Domain Controller Services y AzureActiveDirectoryDomainControllerServices en el inquilino de Microsoft Entra. Estas aplicaciones empresariales se necesitan para dar servicio al dominio administrado. No las elimine.
Ahora que Domain Services se ha implementado correctamente, es el momento de configurar la red virtual para permitir que otras máquinas virtuales y aplicaciones conectadas usen el dominio administrado. Para proporcionar esta conectividad, actualice la configuración del servidor DNS de la red virtual de modo que apunte a las dos direcciones IP donde se ha implementado el dominio administrado.
Las direcciones que aparecen son los controladores de dominio que se usan en la red virtual. En este ejemplo, estas direcciones son 10.0.2.4 y 10.0.2.5. Más adelante puede encontrar estas direcciones IP en la pestaña Propiedades.
Microsoft Entra Connect Cloud Sync no se admite con Domain Services. Los usuarios locales deben sincronizarse mediante Microsoft Entra Connect para poder acceder a las máquinas virtuales unidas a un dominio. Para más información, consulte Proceso de sincronización de hash de contraseñas para Domain Services y Microsoft Entra Connect.
En esta primera sección vamos a detallar las operaciones e información presentesen el directorio LDAP de Zentyal en cualquiera de los modos de operación deldominio. Más adelante se detallará como configurar y desarrollar dichos modos.
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los demásservicios compatibles con Kerberos del dominio aceptaran los tickets proporcionadospor el cliente. Estos son obtenidos automáticamente cuando se solicita acceder alservicio.
Es posible crear GPOs usando cualquier cliente Windows unido al dominio. Para ellotendremos que instalar la herramienta RSAT de Microsoft e iniciar sesión con elusuario que hemos configurado como administrador del dominio, y usando la interfazRSAT, diseñaremos el GPO deseado.
Gracias a la integración con tecnologías Samba4, Zentyal es capaz de convertirse enun Controlador Adicional de un dominio existente, ya sea uniéndose a un servidorWindows o a otro controlador basado en Samba4, por ejemplo, otro servidor Zentyal.
Si tenemos alguna IP externa asociada a nuestro hostname(por ejemplo, zentyal.zentyal-domain.lan), podremos tener problemas de sincronizaciónsi alguno de los demás controladores intenta usar esa IP para enviar los datos.Incluso si tenemos varias IP internas, podemos sufrir el mismo problema, por que elsistema de DNS lleva a cabo un round-robin por defecto cuando responde a laspeticiones. Si experimentamos esta incidencia, puede ser recomendable descomentar elparámetro sortlist = yes en el fichero /etc/zentyal/dns.conf y reiniciarel servidor DNS. De esta manera el DNS ordenará las IP de la respuesta, poniendoprimero la que coincida con la máscara de red de la máquina haciendo la petición.
De ahora en adelante, Zentyal será el único controlador crítico para el dominio ytodos los servicios de dominio seguirán funcionando incluso si apagamos los demáscontroladores, exceptuando consideraciones de red y escalabilidad.
En el panel derecho, haga clic con el botón secundario en el nombre del controlador de zonas de almacenamiento, seleccione Propiedades y, a continuación, haga clic en la ficha Delegación.
Si usa múltiples dominios de Active Directory, debe especificar los dominios que se usarán para el SSO (inicio de sesión único). Después de instalar el SSO Agent, puede especificar los dominios que usará para la autenticación y sincronizar la configuración del dominio con el SSO Agent. También puede especificar las opciones para usar el SSO sin el SSO Client. Esto se conoce como SSO sin cliente. La configuración para SSO sin cliente se establece al configurar el SSO Agent. Para configurar el SSO Agent, debe tener privilegios de administrador en el equipo donde está instalado el SSO Agent.
Al iniciar el SSO Agent por primera vez, se generan los archivos de configuración Users.xml y AdInfos.xml. Estos archivos de configuración están cifrados y almacenan los detalles de configuración de dominio que se especifican al configurar el SSO Agent.
Tras iniciar sesión por primera vez, puede cambiar la contraseña para las cuentas predeterminadas. Como debe iniciar sesión con las credenciales de administrador para cambiar las configuraciones del SSO Agent, es fundamental que recuerde la contraseña especificada para la cuenta de administrador. También puede agregar nuevas cuentas de usuario y cambiar las configuraciones de las cuentas de usuario ya existentes. También puede utilizar las cuentas de admin y de status para abrir una sesión de telnet y configurar el SSO Agent.
Al editar un dominio SSO, puede modificar todas las configuraciones menos el nombre de dominio. Si desea cambiar el nombre de dominio, debe eliminar el dominio y agregar un nuevo dominio con el nombre correcto.
2. Eventos registrados cuando se permite una conexión porque la cuenta se ha agregado a la "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "de la Directiva de Grupo:
Las identidades de los dispositivos que se han agregado a la "controlador de dominio: Permitir conexiones de canales seguros de Netlogon vulnerables "la Directiva de grupo será vulnerable a los ataques.
Para agregar un equipo a un dominio, es preciso iniciar la sesión con una cuenta de usuario que posea los privilegios adecuados. Con esos privilegios, es posible agregar nuevas estaciones de trabajo y servidores a los dominios después de la instalación.
Recuerde que, aunque un BDC nativo de Windows NT no puede cambiar de dominio a menos que se le vuelva a instalar Windows NT Server, los BDC de SunLink Server pueden cambiar de dominio sin tener que reinstalar su software.
En este video de 5 minutos verás lo que hay que tener en cuenta antes de unir Zentyal a un dominio Windows, cómo configurar Zentyal como un DC adicional y cómo verificar que ambos servidores estén trabajando juntos, sincronizados bidireccionalmente y controlando y gestionando el dominio.
Actualizado: Si desean unir al dominio equipos Linux pueden utilizar herramientas como PBIS-OPEN, yo la he utilizado con distribuciones de escritorio Ubuntu y Kubuntu con muy buenos resultados ademas de facilitarme mucho la configuración. Claro que si deseas tener un mejor control de estas configuraciones recomiendo darle una vistazo a SSSD. Comparto una buena referencia sugerida por NATHAN a continuación:
Tengo un DC con Windows Server 2k12 Foundation y ahora quiero añadir un Windows Server 2k12 Standard a ese dominio. Todo perfecto, sin embargo no consigo que el Foundation replique las carpetas de SYSVOL y NETLOGON.
b2a8ae9291