Upload
claudio-lema-ferrufino
View
254
Download
0
Tags:
Embed Size (px)
Citation preview
Guía paso a paso para la implementación de ADAM
Microsoft Corporation
Publicada: septiembre de 2005
Autor: Jim Groves
Editor: Carolyn Eller
Resumen
El servicio de directorio Active Directory® Application Mode (ADAM) de Microsoft®
Windows Server™ 2003 R2 proporciona una completa integración de compatibilidad con
directorios, seguridad, escalabilidad y compatibilidad nativa con el protocolo ligero de
acceso a directorios (LDAP) para las aplicaciones habilitadas para el uso de directorios.
ADAM es compatible con una serie de capacidades de LDAP destinadas a los
profesionales de las tecnologías de la información (TI) y los programadores de
aplicaciones. Con esta guía paso a paso, podrá instalar ADAM y ponerlo rápidamente en
funcionamiento en Windows Server 2003 R2 para, de ese modo, explorar algunas de sus
nuevas e importantes características.
La información contenida en este documento, incluidas las direcciones URL y otras
referencias a sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos
que se indique lo contrario, los nombres de las compañías, organizaciones, productos,
nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y
acontecimientos utilizados en los ejemplos son ficticios y no representan de ningún modo
a ninguna compañía, organización, producto, nombre de dominio, dirección de correo
electrónico, logotipo, persona, lugar o acontecimiento real. Es responsabilidad del
usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna
parte de este documento puede ser reproducida, almacenada o introducida en un
sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea
electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa
autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna
limitación a los derechos de propiedad industrial o intelectual.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de
autor u otros derechos de propiedad industrial o intelectual sobre el contenido de este
documento. La entrega de este documento no le otorga ninguna licencia sobre dichas
patentes, marcas, derechos de autor u otros derechos de propiedad industrial o
intelectual, a menos que así se prevea en un contrato de licencia de Microsoft por
escrito.
© 2005 Microsoft Corporation. Reservados todos los derechos.
Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT
y Windows Server son marcas registradas o marcas comerciales de Microsoft
Corporation en EE.UU. y en otros países.
El resto de las marcas comerciales son propiedad de sus respectivos propietarios.
Contenido
Guía paso a paso para la implementación de ADAM.........................................................5
Requisitos de ADAM..........................................................................................................6
Instalar ADAM....................................................................................................................7
Usar las herramientas de administración de ADAM.........................................................18
Detener y reiniciar una instancia de ADAM..................................................................18
Usar la herramienta de administración Editor ADSI de ADAM......................................19
Configurar la herramienta de administración del complemento Esquema de ADAM....24
Usar ADSchemaAnalyzer.............................................................................................26
Usar el Sincronizador de AD a ADAM...........................................................................28
Configurar datos de aplicaciones.....................................................................................30
Paso 1: agregar clases de usuario opcionales al esquema de ADAM..........................30
Paso 2: extender el esquema de ADAM para que admita una aplicación....................32
Paso 3: importar los datos de la aplicación a una instancia de ADAM.........................33
Usar una aplicación con ADAM........................................................................................34
Consultar datos con la Libreta de direcciones de Windows..........................................34
Administrar OU, grupos y usuarios en ADAM..................................................................40
Paso 1: crear una OU...................................................................................................41
Paso 2: crear un grupo.................................................................................................42
Paso 3: crear un usuario de ADAM..............................................................................43
Paso 4: agregar un usuario a un grupo........................................................................45
Deshabilitar y habilitar cuentas de usuario de ADAM...................................................48
Administrar particiones de directorio en ADAM................................................................49
Conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe.............................49
Agregar una partición de directorio de aplicaciones.....................................................51
Eliminar una partición de directorio de aplicaciones.....................................................53
Administrar la autorización en ADAM...............................................................................56
Ver los permisos efectivos............................................................................................56
Conceder permisos......................................................................................................57
Denegar permisos........................................................................................................58
Administrar la autenticación en ADAM.............................................................................61
Enlazar como entidad de seguridad de Windows.........................................................61
Establecer la contraseña de un usuario de ADAM.......................................................62
Enlazar como entidad de seguridad de ADAM.............................................................64
Enlazar mediante un objeto proxy de ADAM................................................................64
Seguridad de enlaces y objetos proxy de ADAM.......................................................65
Crear y enlazar con un objeto proxy de ADAM.........................................................66
Demostrar las funciones de los objetos proxy de ADAM...........................................68
Realizar una copia de seguridad y restaurar Active Directory Application Mode (ADAM)69
Realizar una copia de seguridad de una instancia de ADAM.......................................69
Quitar una instancia de ADAM......................................................................................71
Restaurar una instancia de ADAM................................................................................71
Administrar los conjuntos de configuración......................................................................73
Instalar una réplica mediante el Asistente para instalación de Active Directory
Application Mode (ADAM).........................................................................................73
Instalar una réplica desde los medios utilizando la instalación desatendida................75
Configurar la programación de replicación...................................................................78
Provocar la replicación inmediata de una partición de directorio..................................80
Administrar ADAM mediante programación.....................................................................80
Administrar ADAM mediante programación con secuencias de comandos de Visual
Basic......................................................................................................................... 81
Administrar ADAM mediante programación con la API System.DirectoryServices.......82
Administrar los objetos proxy de ADAM mediante programación.................................84
Guía paso a paso de ADAM
Guía paso a paso para la implementación de ADAM
Este documento es una guía paso a paso para la implementación de Active Directory
Application Mode (ADAM).
El servicio de directorio Active Directory® de Microsoft® Windows® 2000 y Microsoft®
Windows Server™ 2003 es el servicio de directorio de crecimiento más rápido para
intranets y extranets, a causa de su completa integración de compatibilidad con
directorios, seguridad, escalabilidad y compatibilidad con el protocolo ligero de acceso a
directorios (LDAP). Active Directory en Windows Server 2003 se basa en esos principios
ofreciendo una serie de nuevas capacidades LDAP destinadas a los profesionales de
tecnologías de la información (TI) y a los programadores de aplicaciones. ADAM es una
de esas nuevas capacidades. Las organizaciones, los fabricantes independientes de
software (ISV) y los programadores que deseen integrar sus aplicaciones con un servicio
de directorio ahora cuentan con una nueva capacidad en Active Directory que les ofrece
multitud de ventajas.
Con este documento, podrá instalar ADAM y ponerlo rápidamente en funcionamiento
para, de ese modo, explorar algunas de sus nuevas e importantes características.
Más concretamente, en este escenario llevará a cabos las siguientes tareas:
1. Configure el entorno de laboratorio, en el que instalará y configurará ADAM.
2. Instale ADAM.
A continuación, podrá conocer sus características relacionadas con la adición y
administración de datos:
1. Configure los datos de aplicaciones para utilizar ADAM con una aplicación.
2. Consulte y recupere los datos de la aplicación que ha importado a la instancia de
ADAM.
3. Practique la creación y administración de unidades organizativas (OU), grupos y
usuarios en ADAM.
4. Agregue y elimine manualmente una partición de directorio de aplicaciones.
5. Conceda y deniegue permisos de usuario.
Finalmente, pondrá en práctica las tareas administrativas:
1. Enlace con una instancia de ADAM de varias formas.
5
Guía paso a paso de ADAM
2. Utilice las funciones básicas de ADAM, como iniciar y detener una instancia de
ADAM.
3. Realice copias de seguridad, quite y restaure una instancia de ADAM.
4. Instale réplicas de ADAM.
5. Realice tareas de ADAM mediante programación.
Nota
Se recomienda que, en primer lugar, lleve a cabo los pasos indicados en esta
guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están
diseñadas para ser utilizadas en la implementación de características de
Windows Server sin la documentación correspondiente. Utilice esta guía con
prudencia si la emplea como documento independiente.
Requisitos de ADAM
Antes de empezar a utilizar los procedimientos de esta guía, asegúrese de que cumple
los siguientes requisitos:
Tenga disponible al menos un equipo de pruebas donde pueda instalar ADAM. Con
objeto de seguir los ejercicios de esta guía, puede instalar ADAM en equipos que
ejecuten cualquiera de los siguientes sistemas operativos:
Windows Server 2003 R2 Standard Edition
Windows Server 2003 R2 Enterprise Edition
Windows Server 2003 R2 Datacenter Edition
El equipo debe disponer de 50 MB de espacio libre en disco.
Nota
También puede ejecutar ADAM en equipos con Windows XP y versiones
anteriores de Windows Server 2003. La versión de ADAM que se ejecuta en
esos sistemas operativos está disponible en "Windows Server 2003 Active
Directory Application Mode" en el sitio Web de Microsoft
(http://go.microsoft.com/fwlink?linkid=17797).
Obtenga una copia de la descarga de ADAM, que incluye los archivos de laboratorio
que usará en esta guía. Para este ejercicio, utilice sólo los archivos de laboratorio de
la descarga, pero instale la aplicación ADAM propiamente dicha desde el CD de
Windows Server 2003 R2. La descarga de ADAM está disponible en el Centro de
6
Guía paso a paso de ADAM
descarga de Microsoft (http://go.microsoft.com/fwlink?linkid=29359). Ejecute la
descarga para extraer los archivos de laboratorio necesarios para los ejercicios de
esta guía.
Inicie sesión con la cuenta de administrador.
Para los ejercicios de esta guía, puede instalar instancias de ADAM de réplica en el
primer equipo de pruebas o puede instalarlas en un segundo equipo si dispone de él.
Si ya ha instalado una versión anterior de ADAM, debe desinstalar del equipo la
versión anterior antes de instalar la versión nueva de ADAM.
Instalar ADAM
Puede instalar una instancia de ADAM utilizando el Asistente para instalación de Active
Directory Application Mode (ADAM) o mediante el proceso de instalación desatendida de
ADAM. En el primer ejercicio, utilizará el Asistente para instalación de Active Directory
Application Mode (ADAM) para instalar ADAM. En Administrar los conjuntos de
configuración, se utiliza la instalación desatendida para instalar una réplica de ADAM.
Nota
Para instalar ADAM, debe iniciar sesión en el equipo utilizando una cuenta que
pertenezca al grupo Administradores local.
En este ejercicio, instalará ADAM en primer lugar y, a continuación, instalará una
instancia de ADAM utilizando para ello el Asistente para instalación de Active Directory
Application Mode (ADAM).
Para instalar ADAM
1. Para instalar ADAM, inicie sesión como administrador, haga clic en Inicio,
seleccione Panel de control y, a continuación, haga clic en Agregar o quitar
programas.
2. Haga clic en Agregar o quitar componentes de Windows.
3. Active la casilla de verificación que se encuentra junto a Servicios de Active
Directory y, a continuación, haga clic en Detalles.
4. Active la casilla de verificación que se encuentra junto a Active Directory
Application Mode (ADAM), haga clic en Aceptar y, a continuación, en
Siguiente.
5. Lea el mensaje que aparece. Según el contenido del mensaje, realice una de las
7
Guía paso a paso de ADAM
siguientes acciones:
Si se muestra "El Asistente para componentes de Windows se ha
completado satisfactoriamente", haga clic en Finalizar.
Si aparece un mensaje de error, anótelo, haga clic en Finalizar y, a
continuación, examine los mensajes de sucesos de ADAM en el Visor de
sucesos.
Para instalar una instancia de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM)
1. Para iniciar el Asistente para instalación de Active Directory Application Mode
(ADAM), haga clic en Inicio, seleccione Todos los programas, ADAM y, a
continuación, haga clic en Crear una instancia de ADAM. La primera página del
Asistente para instalación de Active Directory Application Mode (ADAM) tiene el
siguiente aspecto:
2. En la página Asistente para instalación de Active Directory Application Mode
(ADAM), haga clic en Siguiente.
8
Guía paso a paso de ADAM
3. En la página Opciones de instalación, debe seleccionar si desea instalar una única
instancia de ADAM o unirse a un conjunto de configuración existente. Puesto que
está instalando la primera instancia de ADAM, haga clic en Una instancia única
(como se muestra en la ilustración) y, a continuación, haga clic en Siguiente. Más
adelante, creará otras instancias de ADAM y las unirá al conjunto de configuración.
4. En la página Nombre de instancia, indique un nombre para la instancia de ADAM
que está instalando. Este nombre se utiliza en el equipo local para identificar de
forma única la instancia de ADAM. En este ejercicio, limítese a aceptar el nombre
predeterminado de instance1 y, a continuación, haga clic en Siguiente.
9
Guía paso a paso de ADAM
5. En la página Puertos, especifique los puertos de comunicaciones que la instancia
de ADAM utiliza para comunicarse. ADAM puede comunicarse usando los
protocolos LDAP y SSL (Capa de sockets seguros). Por lo tanto, debe indicar un
valor para cada puerto. En este ejercicio, acepte los valores predeterminados de 389
y 636 y, a continuación, haga clic en Siguiente.
10
Guía paso a paso de ADAM
Nota
Si instala ADAM en un equipo en el que ya se use alguno de los puertos
predeterminados, el Asistente para instalación de Active Directory
Application Mode (ADAM) localiza automáticamente el primer puerto
disponible, empezando a partir del 50000. Por ejemplo, Active Directory
utiliza los puertos 389 y 636, además de los puertos 3268 y 3269 en
servidores de catálogo global. Por lo tanto, si instala ADAM en un
controlador de dominio, el Asistente para instalación de Active Directory
Application Mode (ADAM) proporciona un valor de 50000 para el puerto
LDAP y 50001 para el puerto SSL.
6. En la página Partición de directorio de aplicaciones, puede crear una partición de
directorio de aplicaciones (o un contexto de nomenclatura) haciendo clic en Sí, crear
una partición de directorio de aplicaciones. O bien puede hacer clic en No, no
crear una partición de directorio de aplicaciones, en cuyo caso deberá crear una
partición de directorio de aplicaciones manualmente tras la instalación. Para este
ejercicio, haga clic en Sí, crear una partición de directorio de aplicaciones. Al
crear una partición de directorio de aplicaciones, debe indicar un nombre completo
11
Guía paso a paso de ADAM
para la nueva partición. En este ejercicio, escriba o=Microsoft,c=US como nombre
completo (según se muestra en la imagen) y, a continuación, haga clic en Siguiente.
Nota
ADAM es compatible con nombres completos de estilo X.500 y de sistema
de nombres de dominio (DNS) para particiones de directorio de nivel
superior.
7. En la página Ubicaciones de archivo, puede ver y modificar los directorios de
instalación de los archivos de datos y recuperación (registro) de ADAM. De manera
predeterminada, los archivos de datos y recuperación de ADAM se instalan en
%ProgramFiles%\Microsoft ADAM\nombreDeInstancia\data, donde
nombreDeInstancia representa el nombre de la instancia de ADAM especificado en
la página Nombre de instancia. En este ejercicio, haga clic en Siguiente para
aceptar las ubicaciones de archivo predeterminadas.
12
Guía paso a paso de ADAM
Importante
Cuando instale ADAM en un equipo que ejecuta Windows XP, debe instalar
esos archivos en el mismo volumen lógico. Si instala ADAM en Windows
Server 2003 y Windows Server 2003 R2 en un entorno de producción, se
recomienda que instale los archivos en distintos discos físicos.
Nota
La instalación de ADAM instala los archivos de programa y las herramientas
de administración en %windir%\ADAM.
8. En la página Selección de cuentas de servicio, debe seleccionar una cuenta que
se utilizará como cuenta de servicio de ADAM. La cuenta que seleccione determina
el contexto de seguridad en que se ejecuta la instancia de ADAM. A menos que
instale ADAM en un controlador de dominio, el Asistente para instalación de Active
Directory Application Mode (ADAM) utiliza de manera predeterminada la cuenta
Servicio de red. En este ejercicio, haga clic en Siguiente para aceptar el valor
predeterminado de Cuenta del servicio de red. O bien, si está instalando ADAM en
un controlador de dominio, haga clic en Esta cuenta y seleccione la cuenta de
13
Guía paso a paso de ADAM
usuario de dominio que se utilizará como cuenta de servicio de ADAM.
Nota
Puede cambiar la cuenta de servicio de ADAM después de instalar ADAM
utilizando la herramienta de línea de comandos Dsmgmt. Si instala ADAM
en un controlador de dominio, debe seleccionar una cuenta de usuario de
dominio como cuenta de servicio de ADAM.
9. En la página Administradores de ADAM, debe seleccionar el usuario o el grupo
que será el administrador predeterminado de la instancia de ADAM. El usuario o
grupo que seleccione tendrá total control administrativo de la instancia de ADAM. De
manera predeterminada, el Asistente para instalación de Active Directory Application
Mode (ADAM) especifica el usuario que ha iniciado la sesión actual. Puede cambiar
esta selección y usar cualquier grupo o cuenta local o de dominio de la red. En este
ejercicio, haga clic en el valor predeterminado de Usuario con sesión iniciada y, a
continuación, haga clic en Siguiente.
14
Guía paso a paso de ADAM
10. En la página Importación de archivos LDIF, puede importar dos archivos .ldf al
esquema de ADAM que contienen definiciones de objeto de clase user. Importar
esas definiciones de objeto de clase user es opcional. No obstante, esas
definiciones de objeto son necesarias más adelantes en esta guía, así que es
recomendable que las importe en este momento:
a. Haga clic en Importar los archivos LDIF seleccionados para esta instancia
de ADAM.
b. Haga clic en MS-InetOrgPerson.LDF y, a continuación, haga clic en Agregar.
c. Haga clic en MS-User.LDF y, a continuación, haga clic en Agregar.
d. Haga clic en MS-UserProxy.LDF, haga clic en Agregar y, a continuación, en
Siguiente.
15
Guía paso a paso de ADAM
11. La página Listo para instalar le ofrece la oportunidad de revisar las selecciones
que ha realizado para la instalación. Tras hacer clic en Siguiente, el Asistente para
instalación de Active Directory Application Mode (ADAM) empieza a copiar archivos
e instalar ADAM en el equipo.
16
Guía paso a paso de ADAM
12. Cuando el Asistente para instalación de Active Directory Application Mode (ADAM)
termina de instalar ADAM, aparece el siguiente mensaje: “El Asistente para
instalación de Active Directory Application Mode se finalizó correctamente.” Cuando
aparezca la página Finalización del Asistente para instalación de Active
Directory Application Mode (ADAM), haga clic en Finalizar para cerrar el
asistente.
Nota
Si el Asistente para instalación de Active Directory Application Mode (ADAM) no
finaliza correctamente, aparecerá un mensaje de error que describe la causa del
error en la página Resumen.
Si se produce un error en el Asistente para instalación de Active Directory Application
Mode (ADAM) antes de la página Resumen, puede examinar los mensajes de error que
aparezcan. Además, puede hacer clic en Inicio, Ejecutar y escribir uno de los siguientes
comandos:
%windir%\Debug\adamsetup.log
%windir%\Debug\adamsetup_loader.log
17
Guía paso a paso de ADAM
Los archivos Adamsetup.log y Adamsetup_loader.log contienen información que le puede
ayudar a solucionar la causa del error de instalación de ADAM.
Usar las herramientas de administración de ADAM
La instancia de ADAM se ejecuta como un servicio de usuario estándar en lugar de como
un servicio del sistema y puede detenerse e iniciarse desde el complemento Servicios de
Microsoft Management Console (MMC). Además, ADAM incluye varias herramientas de
administración para tareas generales de administración. En los siguientes ejercicios,
llevará a cabo las siguientes operaciones:
Usará el complemento Servicios para detener y reiniciar la instancia de ADAM.
Usará el Editor ADSI de ADAM (ADAM-adsiedit.msc) para examinar el directorio.
Configurará el complemento Esquema de ADAM.
Usará ADSchemaAnalyzer con el objetivo de crear un archivo que se pueda utilizar
para extender un esquema con elementos de otro esquema.
Usará el Sincronizador de AD a ADAM para copiar datos desde Active Directory a
una instancia de ADAM.
Detener y reiniciar una instancia de ADAM
Para detener y reiniciar una instancia de ADAM utilizando el complemento Servicios
1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación,
haga clic en Servicios.
2. La instancia de ADAM que acaba de instalar aparece en el panel de detalles del
complemento Servicios, junto con los demás servicios del equipo. Las instancias de
ADAM aparecen en Servicios por su nombre que, en este caso, es instance1. Haga
clic en la instancia de ADAM que ha instalado, según se muestra a continuación:
18
Guía paso a paso de ADAM
3. Para detener la instancia de ADAM, en el menú Acción, haga clic en Detener.
4. Una vez detenida la instancia de ADAM, en el menú Acción, haga clic en Iniciar
para reiniciar la instancia de ADAM.
Usar la herramienta de administración Editor ADSI de ADAMLa principal herramienta de administración de ADAM es el Editor ADSI de ADAM. En
este ejercicio, utilizará el Editor ADSI de ADAM para enlazar, ver y examinar la instancia
de ADAM.
Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de ADAM
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Editor ADSI de ADAM.
2. En el árbol de la consola, haga clic en Editor ADSI de ADAM. El complemento
19
Guía paso a paso de ADAM
Editor ADSI de ADAM tiene el siguiente aspecto:
3. En el menú Acción, haga clic en Conectar a. Aparecerá el cuadro de diálogo
Configuración de conexión.
4. En Nombre de conexión puede escribir una etiqueta con cuyo nombre aparecerá
esta conexión en el árbol de la consola del Editor ADSI de ADAM. Para esta
conexión, escriba:
ADAM demo
5. En Nombre de servidor, escriba el nombre de host o DNS del equipo donde se esté
ejecutando la instancia de ADAM.
Nota
Ya que en este ejercicio ADAM se ejecuta en el equipo local, puede utilizar
localhost como nombre de servidor.
6. En Puerto, escriba el puerto de comunicaciones LDAP o SSL que use ADAM. O,
como en este caso, acepte el valor predeterminado de 389.
Nota
Para que se muestren los números de puerto utilizados por las instancias de
ADAM, haga clic en Inicio, seleccione Todos los programas, ADAM, haga
clic en Símbolo del sistema de herramientas de ADAM y, en el símbolo
del sistema, escriba: dsdbutil "list instances" quit
7. En Conectar al siguiente nodo, puede conectar con un contexto de nomenclatura
conocido, como la partición de directorio de esquema o configuración, o bien puede
especificar el nombre completo de una partición a la que desee conectarse. Para
este ejercicio, haga clic en Nombre completo (DN) o contexto de nomenclatura, y
escriba:
20
Guía paso a paso de ADAM
o=Microsoft,c=US
Se trata del nombre completo de la partición de aplicación que ha creado durante la
instalación.
8. En Conectar usando estas credenciales, haga clic en La cuenta del usuario con
sesión iniciada. El cuadro de diálogo Configuración de conexión tendrá el
siguiente aspecto:
9. Haga clic en Aceptar. El complemento Editor ADSI de ADAM tiene el siguiente
aspecto:
21
Guía paso a paso de ADAM
10. En el árbol de la consola, haga doble clic en ADAM demo y, a continuación, haga
doble clic en O=Microsoft,c=US. El complemento Editor ADSI de ADAM muestra
ahora la partición del directorio de aplicaciones:
11. En el árbol de la consola, haga clic en cualquier contenedor para ver sus objetos.
Por ejemplo, haga clic en CN=Roles.
12. Para abrir otra partición de directorio de la instancia de ADAM, en el árbol de la
consola, haga clic en Editor ADSI de ADAM y, a continuación, en el menú Acción,
haga clic en Conectar a.
13. Rellene el cuadro de diálogo Configuración de conexión como se muestra y, a
continuación, haga clic en Aceptar.
22
Guía paso a paso de ADAM
El cuadro de diálogo Configuración de conexión tendrá el siguiente aspecto:
Ahora puede examinar el contenido de la partición del directorio de configuración de
la instancia de ADAM.
23
Guía paso a paso de ADAM
14. Para cerrar el Editor ADSI de ADAM, en el menú Archivo haga clic en Salir.
Configurar la herramienta de administración del complemento Esquema de ADAMPuede utilizar otra herramienta de administración de ADAM, el complemento Esquema
de ADAM, para administrar el esquema de ADAM. Si ha utilizado con anterioridad el
complemento Esquema de Active Directory, el complemento Esquema de ADAM le
resultará muy familiar. Para poder utilizar el complemento Esquema de ADAM, debe
crear un archivo MMC para él, tal y como se describe en este procedimiento.
Para crear un archivo MMC para el complemento Esquema de ADAM
1. Haga clic en Inicio y en Ejecutar, escriba mmc /a y, a continuación, haga clic en
Aceptar.
2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a continuación,
en Agregar.
3. En Complementos independientes disponibles, haga clic en Esquema de ADAM,
Agregar, Cerrar y, a continuación, en Aceptar.
4. Para guardar esta consola, en el menú Archivo, haga clic en Guardar.
5. En Nombre de archivo, escriba lo siguiente y, a continuación, haga clic en Guardar.
%windir%\system32\adamschmmgmt.msc
El complemento Esquema de ADAM tiene el siguiente aspecto:
24
Guía paso a paso de ADAM
6. Para conectarse a la instancia de ADAM mediante Esquema de ADAM, en el árbol
de la consola haga clic con el botón secundario en Esquema de ADAM, haga clic en
Cambiar el servidor ADAM y, a continuación, rellene el cuadro de diálogo como se
indica a continuación:
7. Haga clic en Aceptar. El complemento Esquema de ADAM ahora tiene el siguiente
25
Guía paso a paso de ADAM
aspecto: Puede examinar y ver los atributos y clases del esquema de ADAM:
8. Para crear un acceso directo para el complemento Esquema de ADAM en el menú
Inicio:
a. Haga clic con el botón secundario en Inicio, haga clic en Abrir todos los
usuarios, haga doble clic en la carpeta Programas y, a continuación, haga
doble clic en la carpeta ADAM.
b. En el menú Archivo, seleccione Nuevo y, a continuación, haga clic en Acceso
directo.
c. En el asistente Crear acceso directo, en Escriba la ubicación del elemento,
escriba adamschmmgmt.msc y, a continuación, haga clic en Siguiente.
d. En la página Seleccionar un título para el programa, en Escriba un nombre
para este acceso directo, escriba Esquema de ADAM y, a continuación, haga
clic en Finalizar.
Usar ADSchemaAnalyzerPuede utilizar ADSchemaAnalyzer para migrar el esquema de Active Directory a ADAM,
de una instancia de ADAM a otra o de cualquier directorio compatible con LDAP a una
instancia de ADAM. Puede utilizar ADSchemaAnalyzer para cargar un esquema de
destino (origen), marcar los elementos que desee migrar y, a continuación, exportarlos al
esquema de base de ADAM. También puede comparar los dos esquemas.
26
Guía paso a paso de ADAM
Importante
Si utiliza ADSchemaAnalyzer para crear un archivo LDIF, debe cargar un
esquema de destino y un esquema de base. En caso contrario, es posible que la
herramienta ldifde no pueda utilizar el archivo LDIF resultante.
Para crear un archivo LDIF con ADSchemaAnalyzer
1. Haga clic en Inicio, seleccione Todos los programas, ADAM, haga clic en
Símbolo del sistema de herramientas de ADAM y, en el símbolo del sistema,
escriba:
adschemaanalyzer
2. Para cargar un esquema de destino, haga clic en Archivo y en Cargar
esquema de destino y, a continuación, realice una de las siguientes
operaciones:
Para cargar el esquema de Active Directory de dominio como esquema de
destino, en el cuadro de diálogo escriba su nombre de usuario, contraseña y
dominio y, a continuación, haga clic en Aceptar.
Para cargar otro esquema (como el esquema de un bosque de Active
Directory u otro directorio compatible con LDAP), en el cuadro de diálogo,
escriba el nombre del servidor y el puerto del directorio que contenga el
esquema de destino, escriba su nombre de usuario, contraseña y dominio
según sea necesario y, a continuación, haga clic en Aceptar.
3. Para cargar el esquema de la instancia de ADAM como esquema de base, haga
clic en Archivo, en Cargar esquema de base y, a continuación, en
Servidor[:puerto], escriba el nombre del servidor y el puerto de la instancia de
ADAM.
4. En el cuadro de diálogo, haga clic en Aceptar.
5. En el árbol resultante, marque todos los elementos que desee exportar al
esquema de base haciendo clic con el botón secundario en el elemento y
seleccionando una de las siguientes opciones:
Automático marca automáticamente un elemento como incluido o excluido
en la exportación. Si un elemento se marca como Automático (incluido),
puede hacer clic con el botón secundario en ese elemento y, a continuación,
hacer clic en ¿Por qué se incluye automático? para ver el árbol de
dependencia inverso del elemento.
Incluido marca un elemento como incluido en la exportación.
27
Guía paso a paso de ADAM
ADSchemaAnalyzer marca todos los elementos relacionados, como
superclases, auxClasses, contenidos obligatorios y opcionales,
defaultObjectCategory y possSuperiors. ADSchemaAnalyzer incluye los
conjuntos de propiedades para los atributos incluidos y vínculos hacia atrás
para los vínculos.
Excluido marca un elemento como no incluido en la exportación. Puede
bloquear determinadas rutas en el gráfico de dependencias. Por ejemplo, es
posible que desee importar domainDns pero no samAccountDomain (que es
una auxClass de domainDns). Puede excluir un elemento completo, como la
clase samAccountDomain, o puede excluir una relación. Por ejemplo, puede
quitar la referencia auxClass de la clase domainDns. Si excluye una relación,
todas las clases que hagan referencia a ese elemento seguirán incluyéndolo.
Presente significa que el elemento está presente en el servidor de destino.
De manera predeterminada, la clase superior se marca como presente.
6. Para crear el archivo LDIF, haga clic en Archivo y, a continuación, haga clic en
Crear archivo LDIF.
Puede utilizar el comando ldifde en el símbolo del sistema de las herramientas de ADAM
para importar los elementos del esquema de destino del archivo LDIF al esquema de
base de ADAM. El comienzo del archivo LDIF contiene instrucciones detalladas para
llevar a cabo esta tarea.
Usar el Sincronizador de AD a ADAMEl Sincronizador de AD a ADAM es una herramienta de línea de comandos que
sincroniza los datos de un bosque de Active Directory con un conjunto de configuración
de una instancia de ADAM.
Importante
El Sincronizador de AD a ADAM no sincroniza contraseñas de usuario entre
Active Directory y ADAM.
Deben cumplirse dos requisitos para que el Sincronizador de AD a ADAM pueda
sincronizar los datos:
El esquema de la instancia de ADAM debe extenderse para que coincida con los
objetos de esquema del bosque de Active Directory de Windows Server 2003.
El esquema de la instancia de ADAM debe extenderse para los objetos de esquema
que necesita el Sincronizador de AD a ADAM.
28
Guía paso a paso de ADAM
Nota
Debe utilizar la opción -t número_de_puerto con ldifde si la instancia de ADAM
utiliza un puerto distinto del puerto predeterminado 389.
Para utilizar el Sincronizador de AD a ADAM por primera vez
1. Haga clic en Inicio, seleccione Todos los programas, haga clic en ADAM y, a
continuación, haga clic en Símbolo del sistema de herramientas de ADAM
para abrir una ventana de comandos en el directorio de ADAM.
2. Para extender el esquema de ADAM de forma que coincida con los objetos de
esquema predeterminados de Windows Server 2003 de Active Directory, en el
símbolo del sistema escriba el siguiente comando en una sola línea y, a
continuación, presione ENTRAR:
ldifde -i -s localhost -c CN=Configuration,DC=X
#ConfigurationNamingContext -f MS-AdamSchemaW2k3.ldf
3. Para extender el esquema de ADAM de forma que incluya los objetos de
esquema que necesita el Sincronizador de AD a ADAM, en el símbolo del
sistema escriba el siguiente comando en una sola línea y, a continuación,
presione ENTRAR:
ldifde -i -s localhost:389 -c CN=Configuration,DC=X
#ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf
4. Modifique el archivo de configuración MS-AdamSyncConf.xml con los
parámetros apropiados.
Importante
No elimine los campos no utilizados del archivo.
5. Instale el archivo de configuración. En el símbolo del sistema, escriba el
siguiente comando y presione ENTRAR:
ADAMSync /install localhost:389 %windir%\ADAM\MS-AdamSyncConf.xml
6. Sincronice los datos del bosque de Active Directory al conjunto de configuración
de ADAM. En el símbolo del sistema, escriba el siguiente comando y presione
ENTRAR:
ADAMSync /sync localhost:389 "o=microsoft,c=US"
Utilice el Editor ADSI de ADAM para comprobar que los datos se han
sincronizado.
29
Guía paso a paso de ADAM
Configurar datos de aplicaciones
En la mayor parte de los casos, el esquema de ADAM se extiende con definiciones de
atributos y clases de objetos para los tipos de datos que desea que almacene una
aplicación. Igual que ocurre en Active Directory, el esquema de ADAM es extensible.
Puede extender el esquema de ADAM mediante programación o con la herramienta de
línea de comandos Ldifde.exe.
En los siguientes ejercicios, llevará a cabo las siguientes operaciones:
Paso 1: agregar clases de usuario opcionales al esquema de ADAM.
Paso 2: extender el esquema de ADAM para que admita una aplicación.
Paso 3: importar los datos de la aplicación a una instancia de ADAM.
Nota
Más adelante utilizará los datos de la aplicación que importe en estos ejercicios
con la aplicación Libreta de direcciones de Windows.
Paso 1: agregar clases de usuario opcionales al esquema de ADAMPuede agregar las clases de usuario opcionales que se proporcionan con ADAM durante
su instalación, o bien puede agregarlas manualmente utilizando la herramienta de línea
de comandos Ldifde.exe. Si ha importado los archivos .ldf de definición de clase de
usuario al ejecutar el Asistente para instalación de Active Directory Application Mode
(ADAM), puede omitir este procedimiento.
Para agregar manualmente clases de usuario opcionales al esquema de ADAM
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
ldifde -i -f ms-inetorgperson.ldf -s nombreDeServidor:númeroDePuerto -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el
puerto de comunicaciones LDAP de la instancia de ADAM. Dado que la instancia de
ADAM se está ejecutando en el equipo local, también puede utilizar localhost como
nombre del equipo.
30
Guía paso a paso de ADAM
Nota
Asegúrese de utilizar la versión de Ldifde.exe incluida en
Windows Server 2003 R2 en lugar de la que acompañaba a la versión
anterior de ADAM o a las herramientas de soporte de Windows.
La ventana Símbolo del sistema de herramientas de ADAM debe tener un
aspecto similar al que se muestra a continuación:
3. Escriba el siguiente comando y presione ENTRAR:
ldifde -i -f ms-user.ldf -s nombreDeServidor:númeroDePuerto -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
La ventana Símbolo del sistema de herramientas de ADAM tiene ahora un
aspecto similar al que se muestra a continuación:
Tras ejecutar estos comandos, el esquema de ADAM incluirá las clases de objeto de
usuario de ADAM e inetOrgPerson. Puede comprobarlo viendo el esquema de ADAM
con el complemento Esquema de ADAM.
31
Guía paso a paso de ADAM
Paso 2: extender el esquema de ADAM para que admita una aplicaciónEn este ejercicio, extenderá el esquema de ADAM de nuevo agregando para ello una
clase de objeto de contactos. Para lograrlo, volverá a utilizar la herramienta de línea de
comandos ldifde.
Para extender el esquema de ADAM
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:
ldifde -i -f unidad:\rutaDeAcceso\labs_demo\labs\contact.ldf -
snombreDeServidor:númeroDePuerto-k -j . -c "CN=Schema,CN=Configuration"
#schemaNamingContext
donde unidad:\rutaDeAcceso representa la ubicación donde ha guardado la
descarga de ADAM y nombreDeServidor:númeroDePuerto representa el nombre del
equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Dado que la
instancia de ADAM se está ejecutando en el equipo local, también puede utilizar
localhost como nombre del equipo.
Nota
Asegúrese de utilizar la copia de Ldifde.exe incluida en la versión ADAM en
lugar de la que acompañaba a la versión anterior de ADAM o a las
herramientas de soporte de Windows.
Una vez ejecutado el comando, la ventana Símbolo del sistema de herramientas
de ADAM tendrá el siguiente aspecto:
32
Guía paso a paso de ADAM
Ahora el esquema de ADAM también incluye la clase de objeto de contactos y está lista
para recibir datos de aplicación.
Paso 3: importar los datos de la aplicación a una instancia de ADAMEn este ejercicio, importará algunos datos de ejemplo a la instancia de ADAM utilizando
la herramienta de línea de comandos ldifde. Estos datos se incluyen en la descarga de
ADAM.
Para importar los datos de la aplicación
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba lo siguiente:
ldifde -i -f unidad:\rutaDeAcceso\labs_demo\labs\contactimport.ldf -s
nombreDeServidor:númeroDePuerto-k -j .
donde unidad:\rutaDeAcceso representa la ubicación donde se encuentran los
archivos de ADAM y nombreDeServidor:númeroDePuerto representa el nombre del
equipo y el puerto de comunicaciones LDAP de la instancia de ADAM.
Nota
Asegúrese de utilizar la copia de Ldifde.exe incluida en la versión ADAM en
lugar de la que acompañaba a la versión anterior de ADAM o a las
herramientas de soporte de Windows.
Una vez ejecutado el comando, la ventana Símbolo del sistema de herramientas
de ADAM tendrá el siguiente aspecto:
33
Guía paso a paso de ADAM
Nota
Ldifde siempre indica el número de entradas importadas al directorio. En
este caso, puede ver que ldifde muestra que contactimport.ldf contiene dos
registros. Para obtener más información acerca de ldifde, escriba ldifde /?
en el símbolo del sistema.
Usar una aplicación con ADAM
En este ejercicio, utilizará la Libreta de direcciones de Windows, una aplicación basada
en LDAP, para consultar y recuperar los datos de aplicación que ha importado a la
instancia de ADAM.
Consultar datos con la Libreta de direcciones de Windows
Para consultar datos con la Libreta de direcciones de Windows
1. Haga clic en Inicio y Ejecutar, escriba wab.exe y, a continuación, haga clic en
Aceptar.
2. En el menú Herramientas, haga clic en Cuentas y, a continuación, en Agregar.
Aparecerá el Asistente para la conexión a Internet.
3. En Servidor de directorio de Internet (LDAP), escriba localhost, haga clic en
Siguiente dos veces y, a continuación, haga clic en Finalizar.
4. En el cuadro de diálogo Cuentas de Internet, en la ficha Servicio de directorio,
haga doble clic en localhost, como se muestra a continuación:
34
Guía paso a paso de ADAM
5. Rellene la ficha General del cuadro de diálogo Propiedades de localhost como se
muestra en la ilustración siguiente, utilizando la cuenta con la que ha iniciado la
sesión actual en el equipo. Asegúrese de activar las casillas de verificación Este
servidor requiere iniciar sesión e Iniciar sesión usando autenticación de
contraseña segura.
35
Guía paso a paso de ADAM
6. Haga clic en la ficha Avanzadas y, a continuación, active la casilla de verificación
Usar filtro de búsqueda simple. En Base de búsqueda, escriba
o=Microsoft,c=UScomo se muestra a continuación y haga clic primero en Aceptar y
después en Cerrar en el cuadro de diálogo Cuentas de Internet.
36
Guía paso a paso de ADAM
7. En la Libreta de direcciones de Windows, haga clic en Buscar personas en la barra
de herramientas. En Buscar en, haga clic en localhost y, a continuación, en
Nombre, escriba:
kim
El cuadro de diálogo Propiedades de localhost tendrá el siguiente aspecto:
37
Guía paso a paso de ADAM
8. Haga clic en Buscar ahora. La búsqueda debe devolver una entrada del directorio
de ADAM, tal y como se muestra a continuación:
38
Guía paso a paso de ADAM
9. Haga doble clic en el nombre para ver los detalles de los resultados de la búsqueda.
10. En la ficha Organización, puede ver la relación jerárquica. Haga doble clic en el
nombre del director para ver los detalles de contacto asociados, que serán similares
a los siguientes:
39
Guía paso a paso de ADAM
Administrar OU, grupos y usuarios en ADAM
ADAM suele usarse con frecuencia para almacenar información acerca de los usuarios,
así como las organizaciones y grupos a los que pertenecen. En estos ejercicios, creará
una unidad organizativa (OU) llamada “ADAM users” en la partición del directorio de
aplicaciones o=Microsoft,c=US y agregará un grupo a ADAM llamado “ADAM testers”.
También creará un usuario de ADAM llamado Mary Baker con una de las clases de
objetos de usuario que importó anteriormente. Mediante el Editor ADSI de ADAM,
realizará las siguientes acciones:
Paso 1: crear una OU.
Paso 2: crear un grupo en la nueva OU.
40
Guía paso a paso de ADAM
Paso 3: crear un usuario de ADAM.
Paso 4: agregar un usuario de ADAM al grupo ADAM users.
Además, aprenderá a habilitar y deshabilitar cuentas de usuario de ADAM.
Paso 1: crear una OUEn este ejercicio, creará una OU.
Para crear una OU
1. Si no está abierto, abra el Editor ADSI de ADAM y, a continuación, conéctese a la
partición de directorio de aplicaciones o=Microsoft,c=US según se describe en el
procedimiento "Para enlazar, ver y examinar una instancia de ADAM utilizando el
Editor ADSI de ADAM" en Usar las herramientas de administración de ADAM.
2. En el árbol de consola, haga clic con el botón secundario en O=Microsoft,c=US,
seleccione Nuevo y, a continuación, haga clic en Objeto. El cuadro de diálogo Crear
objeto tendrá el siguiente aspecto:
41
Guía paso a paso de ADAM
3. En la lista Seleccione una clase, haga clic en organizationalUnit y, a continuación,
en Siguiente.
4. En Valor, escriba ADAM users y, a continuación, haga clic en Siguiente.
5. En la página siguiente, puede hacer clic en Más atributos para editar más atributos
del objeto que está creando. En este ejercicio, limítese a hacer clic en Finalizar.
6. En el árbol de la consola, haga doble clic en O=Microsoft,c=US. El complemento
Editor ADSI de ADAM tiene el siguiente aspecto:
Paso 2: crear un grupoEn este ejercicio, creará un grupo en la OU.
Para crear un grupo en una OU
1. En el árbol de la consola, haga clic con el botón secundario en OU=ADAM Users,
seleccione Nuevo y, a continuación, haga clic en Objeto.
2. En Seleccione una clase, haga clic en group y, a continuación, en Siguiente.
3. En Valor, escriba ADAM testers y, a continuación, haga clic en Siguiente.
4. En Valor, escriba 2147483650 (equivalente a 0x80000002 hexadecimal, que
significa una cuenta de grupo), haga clic en Siguiente y, a continuación, haga clic en
42
Guía paso a paso de ADAM
Finalizar.
Nota
Para obtener más información acerca del atributo groupType, consulte
"Group-Type" en el sitio Web de Microsoft (http://go.microsoft.com/fwlink?
linkid=51093).
El complemento Editor ADSI de ADAM tiene el siguiente aspecto:
Paso 3: crear un usuario de ADAMEn este ejercicio, creará un usuario de ADAM en la OU ADAM Users y, a continuación,
agregará el usuario al grupo ADAM Testers.
Nota
La nueva cuenta de usuario estará deshabilitada de manera predeterminada, ya
que no tiene ninguna contraseña asociada.
Para crear un usuario de ADAM
1. Si no está abierto, abra el Editor ADSI de ADAM.
2. Conéctese y enlace a la instancia de ADAM, según se describe en el procedimiento
"Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de
43
Guía paso a paso de ADAM
ADAM" en Usar las herramientas de administración de ADAM. A continuación, en el
árbol de la consola, haga doble clic en la instancia de ADAM.
3. Haga doble clic en la partición de directorio de aplicaciones O=Microsoft,c=US.
4. Haga clic con el botón secundario en el contenedor OU=ADAM Users que creó con
anterioridad, seleccione Nuevo y, a continuación, haga clic en Objeto.
5. En Seleccione una clase, haga clic en user y, a continuación, en Siguiente.
Nota
Si no ha cerrado el Editor ADSI de ADAM antes de importar las definiciones
de objeto de clase de usuario Adamuser.ldf, puede aparecer el siguiente
mensaje de advertencia durante este paso: “Se ha pasado un nombre de
directorio de ruta no válido.”
6. En Valor, escriba Mary Baker, como el nombre común (cn) del nuevo usuario,
según se muestra en esta imagen, y después haga clic en Siguiente.
7. Haga clic en Finalizar. El complemento Editor ADSI de ADAM tiene el siguiente
aspecto:
44
Guía paso a paso de ADAM
Paso 4: agregar un usuario a un grupoPuede agregar usuarios de ADAM y de Windows a los grupos de ADAM, según se
describe en este ejercicio. En primer lugar, debe agregar a Mary Baker, el usuario que
acaba de crear, al grupo ADAM testers.
Para agregar un usuario a un grupo
1. En el panel de detalles del Editor ADSI de ADAM, haga clic con el botón secundario
en CN=ADAM testers y, a continuación, haga clic en Propiedades. El cuadro de
diálogo Propiedades de CN=ADAM testers tendrá el siguiente aspecto:
45
Guía paso a paso de ADAM
2. En Atributos, haga clic en Member y, a continuación, haga clic en Editar.
3. Haga clic en Agregar cuenta de ADAM, escriba lo siguiente como nombre completo
y, a continuación, haga clic en Aceptar:
CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US
El cuadro de diálogo Nombre completo multivalor con editor de entidad principal
de seguridad tendrá el siguiente aspecto:
46
Guía paso a paso de ADAM
4. También puede agregar usuarios de Windows a un grupo de ADAM. En el cuadro de
diálogo Nombre completo multivalor con editor de entidad principal de
seguridad, haga clic en Agregar cuenta de Windows. El cuadro de diálogo
Seleccionar usuarios, equipos o grupos tiene el siguiente aspecto:
5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, agregue un
usuario de Windows desde su equipo o dominio al grupo ADAM testers. En Escriba
47
Guía paso a paso de ADAM
los nombres de objeto que desea seleccionar (ejemplos), escriba un nombre de
cuenta utilizando el formato equipo\cuenta o dominio\cuenta.
6. Haga clic en Aceptar. El nuevo nombre de usuario aparecerá en el cuadro de
diálogo Nombre completo multivalor con editor de entidad principal de
seguridad como miembro del grupo.
7. Haga clic en Aceptar dos veces para volver al Editor ADSI de ADAM.
Deshabilitar y habilitar cuentas de usuario de ADAMPuede deshabilitar y habilitar las cuentas de usuario de ADAM utilizando el complemento
Editor ADSI de ADAM. En este ejercicio, deshabilitará la cuenta de Mary Baker y la
volverá a habilitar.
Para habilitar o deshabilitar una cuenta de usuario de ADAM
1. En el Editor ADSI de ADAM, conéctese y enlace a una instancia de ADAM, tal y
como se describe en el procedimiento "Para enlazar, ver y examinar una
instancia de ADAM utilizando el Editor ADSI de ADAM" en Usar las herramientas
de administración de ADAM.
2. En el árbol de la consola, haga doble clic en la partición de directorio de
configuración O=Microsoft,c=US.
3. En el árbol de la consola, haga clic en el contenedor OU=ADAM Users.
4. En el panel de detalles, haga clic con el botón secundario en CN=Mary Baker y,
a continuación, haga clic en Propiedades.
5. En Atributos, haga clic en msDS-UserAccountDisabled y, a continuación, en
Editar.
6. Haga clic en True y, a continuación, haga clic en Aceptar. La cuenta de Mary
Baker quedará deshabilitada.
7. Para habilitar la cuenta de Mary Baker, edite msDS-UserAccountDisabled de
nuevo y, esta vez, asigne el valor False al atributo.
48
Guía paso a paso de ADAM
Administrar particiones de directorio en ADAM
En los siguientes ejercicios, se familiarizará con otra herramienta de administración de
ADAM, Ldp.exe. Ldp se instala como parte del conjunto de herramientas de
administración de ADAM. En estos ejercicios, utilizará Ldp para conectarse y enlazar a
una instancia de ADAM y, a continuación, utilizará Ldp para agregar manualmente, y
más tarde eliminar, una partición de directorio de aplicaciones. (Recuerde que también
puede crear una partición de directorio de aplicaciones utilizando el asistente para la
instalación de ADAM.)
Conectarse y enlazar a una instancia de ADAM utilizando Ldp.exePara comenzar este ejercicio, se conectará y enlazará a su instancia de ADAM mediante
Ldp.exe.
Para conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba ldp y presione ENTRAR.
3. En el menú Connection, haga clic en Connect.
4. En Server, escriba el nombre de host o DNS del equipo que ejecuta ADAM.
Cuando la instancia de ADAM se ejecuta localmente, también puede escribir
localhost.
5. En Port, escriba el número del puerto de comunicaciones LDAP o SSL de la
instancia de ADAM a la que desee conectarse y haga clic en Aceptar.
49
Guía paso a paso de ADAM
6. En el menú Connection, haga clic en Bind.
7. Realice una de estas acciones:
Para enlazar utilizando las credenciales con las que inició sesión, haga clic
en Bind as currently logged on user.
Para enlazar utilizando una cuenta de usuario de dominio, haga clic en Bind
using credentials,escriba el nombre de usuario, la contraseña y el nombre
de dominio (o el nombre del equipo, si está usando una cuenta de la
estación de trabajo local) de la cuenta que está usando y haga clic en
Aceptar.
Para enlazar usando sólo un nombre de usuario y una contraseña, haga clic
en Simple bind, escriba el nombre de usuario y la contraseña de la cuenta
que esté usando y haga clic en Aceptar.
Para enlazar utilizando un método avanzado (NTLM, DPA, negotiate o
digest), haga clic en Advanced (método), haga clic en Advanced, en
Method, seleccione el método que desee, defina las demás opciones según
sea necesario y haga clic en Aceptar dos veces.
8. Cuando haya terminado de especificar las opciones de enlace, haga clic en
Aceptar.
50
Guía paso a paso de ADAM
Agregar una partición de directorio de aplicacionesAhora puede agregar una partición de directorio de aplicaciones.
Para agregar una partición de directorio de aplicaciones utilizando Ldp.exe
1. En el menú Ldp Browse, haga clic en Add child.
2. En Dn, escriba cn=test,o=testpartition,c=us como nombre completo de la nueva
partición de directorio de aplicaciones.
3. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter.
En Attribute, escriba ObjectClass.
En Values, escriba container.
4. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter.
En Attribute, escriba InstanceType.
En Values, escriba 5.
El cuadro de diálogo Add tendrá el siguiente aspecto:
51
Guía paso a paso de ADAM
5. Haga clic en Run. Una vez agregada la nueva partición de directorio de aplicaciones,
aparece lo siguiente en el panel de detalles:
***Calling Add...ldap_add_s(ld, "cn=test,o=testpartition,c=us", [2] attrs)Added {cn=test,o=testpartition,c=us}.
6. Haga clic en Close.
7. Para actualizar Ldp y ver la nueva partición de directorio, debe desconectarse y
volver a enlazar a la instancia de ADAM. En el menú Connection, haga clic en
Disconnect.
8. Enlace a la instancia de ADAM tal y como lo hizo anteriormente. En el menú
Connection, haga clic en Bind.
9. Para ver el árbol de directorios en Ldp, en el menú View, haga clic en Tree.
10. Para ver todas las particiones de directorio de la instancia de ADAM, deje BaseDN
en blanco y haga clic en Aceptar. La ventana Ldp tendrá el siguiente aspecto:
52
Guía paso a paso de ADAM
11. Para ver la nueva partición de directorio y sus contenedores y objetos
predeterminados, haga doble clic en CN=test,O=testpartition,C=US en el árbol de
la consola. La ventana Ldp tendrá el siguiente aspecto:
Eliminar una partición de directorio de aplicacionesEn este ejercicio, eliminará la partición de directorio de aplicaciones que ha creado.
53
Guía paso a paso de ADAM
Para eliminar una partición de directorio de aplicaciones utilizando Ldp.exe
1. En el árbol de la consola de Ldp, haga doble clic en la partición del directorio de
configuración CN=Configuration,CN={GUID}, donde GUID es el identificador único
asignado por ADAM.
2. Para ver los objetos de referencias cruzadas de las particiones de directorio de la
instancia de ADAM, en el árbol de la consola haga doble clic en el contenedor de
particiones CN=Partitions. La ventana Ldp tendrá el siguiente aspecto:
3. En el árbol de la consola, en el contenedor de particiones CN=Partitions, haga
doble clic en el objeto de referencia cruzada para el que el valor de nCName (según
se muestra en el panel de detalles) es igual a CN=test,O=testpartition,C=US, tal y
como se puede ver a continuación :
Nota
Para borrar el panel de detalles de Ldp sin alterar el enlace o la conexión, en
el menú Connection, haga clic en New.
54
Guía paso a paso de ADAM
4. Para eliminar este objeto de referencia cruzada (y, por tanto, el directorio de partición
asociado), en el árbol de la consola, haga clic con el botón secundario en el objeto
de referencia cruzada apropiado del contenedor de particiones, haga clic en Delete
y, a continuación, en Aceptar.
Precaución
No es posible deshacer la eliminación de una partición después de hacer clic
en Aceptar.
Una vez eliminado el objeto de referencia cruzada, el panel de detalles tendrá una
apariencia similar a la siguiente:
ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}");Deleted "CN=56c5aea2-5cb1-450a-96f0-5622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835-DCBBEE6E08B1}"
Nota
Para obtener más información acerca de Ldp, consulte la Ayuda de ADAM. Para
abrir la Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas,
ADAM y, a continuación, haga clic en Ayuda de ADAM.
55
Guía paso a paso de ADAM
Administrar la autorización en ADAM
La autorización hace referencia al proceso de determinar a qué objetos de directorio
tienen acceso los usuarios. Igual que ocurre en Active Directory, las listas de control de
acceso (ACL) de cada objeto de directorio determinan qué usuarios tienen acceso a ese
objeto. De manera predeterminada, las únicas ACL de ADAM se encuentran en el
contenedor de nivel superior de cada partición de directorio. Todos los objetos de una
partición de directorio determinada heredan esas ACL. Puede ver y modificar las ACL
predeterminadas de ADAM, además de agregar más ACL, utilizando la herramienta de
línea de comandos Dsacls.exe. En los siguientes ejercicios, se verán y modificarán las
ACL de ADAM.
Nota
Puede tener aplicaciones habilitadas para el uso de directorios que implementen
sus propios esquemas de autorización personalizados. Estas aplicaciones
normalmente pasan por alto las ACL de los objetos de directorio de ADAM.
Ver los permisos efectivosEn este ejercicio, se verán los permisos efectivos de la partición de directorio
o=Microsoft,c=US.
Para ver los permisos efectivos
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR:
dsacls \\nombreDeServidor:númeroDePuerto\O=Microsoft,C=US
donde nombreDeServidor:númeroDePuerto es el nombre del equipo y el puerto
de comunicaciones LDAP de la instancia de ADAM.
Este comando muestra todos los permisos que se encuentran establecidos en ese
momento en el objeto de partición de directorio. El contenido de la pantalla debería ser
similar al siguiente:
Access list:Effective Permissions on this object are:Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} SPECIAL ACCESS READ PERMISSONS
56
Guía paso a paso de ADAM
LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROLAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory ChangesAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replication SynchronizationAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Manage Replication TopologyAllow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3C-C3BEC88B335E} Replicating Directory Changes All
Permissions inherited to subobjects are:Inherited to all subobjectsAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL
The command completed successfully
Conceder permisosEn este ejercicio, se concederá el permiso Eliminar sobre el objeto de grupo ADAM
testers a la cuenta de Mary Baker.
Para conceder el permiso Eliminar
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
57
Guía paso a paso de ADAM
2. En el símbolo del sistema, escriba lo siguiente:
dsacls “\\nombreDeServidor:númeroDePuerto\CN=ADAM testers,OU=ADAM
users,O=Microsoft,C=US” /G “CN=Mary Baker,OU=ADAM
users,O=Microsoft,C=US”:SD;;
donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el
puerto de comunicaciones LDAP de la instancia de ADAM. Asegúrese de utilizar
una G mayúscula al escribir el parámetro /G y emplee las comillas como se
muestra.
El contenido de la pantalla debería ser similar al siguiente:
Access list:Effective Permissions on this object are:Allow CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US SPECIAL ACCESS DELETEAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:Inherited to all subobjectsAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>
The command completed successfully
Denegar permisosEn este ejercicio, se denegará el permiso Eliminar al usuario que ha iniciado la sesión
actual en el grupo ADAM testers. Este proceso consta de dos fases:
Denegar los permisos de eliminación en el contenedor principal del grupo ADAM
testers
58
Guía paso a paso de ADAM
Denegar los permisos de eliminación en el grupo en sí
Para denegar los permisos Eliminar en el contenedor principal de un grupo
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. Para denegar los permisos Eliminar, Eliminar secundario y Eliminar árbol en el
contenedor principal del grupo ADAM testers, que es la OU ADAM users. En el
símbolo del sistema, escriba lo siguiente:
dsacls “\\nombreDeServidor:númeroDePuerto\OU=ADAM
users,O=microsoft,C=US” /D dominio\administrador:SDDCDT;;
donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el
puerto de comunicaciones LDAP de la instancia de ADAM y dominio\
administrador representa la cuenta con la que haya iniciado la sesión actual.
Asegúrese de utilizar una D mayúscula al escribir el parámetro /D y emplee las
comillas como se muestra.
El contenido de la pantalla debería ser similar al siguiente:
Access list:Effective Permissions on this object are:Deny domain\account SPECIAL ACCESS DELETE DELETE CHILD DELETE TREEAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:Inherited to all subobjectsAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>
The command completed successfully
59
Guía paso a paso de ADAM
Para denegar los permisos de eliminación en el grupo
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. Para denegar el permiso Eliminar en el grupo ADAM testers para el usuario que
ha iniciado la sesión actual, escriba lo siguiente en el símbolo del sistema:
dsacls “\\nombreDeServidor:númeroDePuerto\CN=ADAM testers,OU=ADAM
users,O=microsoft,C=US” /D dominio\administrador:SDDCDT;;
donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el
puerto de comunicaciones LDAP de la instancia de ADAM y dominio\
administrador representa la cuenta con la que haya iniciado la sesión actual.
Asegúrese de utilizar una D mayúscula al escribir el parámetro /D y emplee las
comillas como se muestra.
El contenido de la pantalla debería ser similar al siguiente:
Access list:Effective Permissions on this object are:Deny domain\account SPECIAL ACCESS DELETEAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>
Permissions inherited to subobjects are:Inherited to all subobjectsAllow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECTAllow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent>
The command completed successfully
60
Guía paso a paso de ADAM
Administrar la autenticación en ADAM
Con ADAM, puede enlazar como entidad de seguridad de Windows, como entidad de
seguridad de ADAM o mediante un objeto proxy de ADAM. En los siguientes ejercicios,
llevará a cabo las siguientes operaciones:
Llevará a cabo un enlace como entidad de seguridad de Windows.
Establecerá una contraseña para la cuenta de usuario de ADAM Mary Baker, que
creó con anterioridad.
Llevará a cabo un enlace como entidad de seguridad de ADAM.
Llevará a cabo un enlace mediante un objeto proxy de ADAM.
Además, probará los permisos que establezca utilizando la herramienta de línea de
comandos Dsacls.exe en los ejercicios de Administrar la autorización en ADAM.
Enlazar como entidad de seguridad de WindowsEn este ejercicio, enlazará con una instancia de ADAM como una entidad de seguridad
de Windows y, a continuación, probará el enlace.
Para enlazar como entidad de seguridad de Windows y probar el enlace
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Editor ADSI de ADAM.
2. Utilizando el Editor ADSI de ADAM, enlace con la instancia de ADAM utilizando
la entidad de seguridad de Windows con la que haya iniciado sesión y conéctese
con la partición de directorio O=Microsoft,c=US.
3. En el panel de detalles, examine el grupo ADAM testers en el que denegó el
permiso Eliminar a la cuenta de Windows actual.
4. Haga clic con el botón secundario en el grupo ADAM testers y, a continuación,
haga clic en Delete. Aparecerá el mensaje “Acceso denegado”, lo que confirma
que el permiso Eliminar se ha denegado a la cuenta de Windows.
61
Guía paso a paso de ADAM
Establecer la contraseña de un usuario de ADAMAntes de iniciar sesión en la instancia de ADAM con la cuenta de usuario Mary Baker,
debe establecer una contraseña para la cuenta.
Nota
Además de utilizar Ldp como se describe en este procedimiento, también puede
utilizar el Editor ADSI de ADAM para establecer o modificar contraseñas: haga
clic con el botón secundario en el objeto de directorio que representa la entidad
de seguridad de ADAM en el Editor ADSI de ADAM y, a continuación, haga clic
en Restablecer contraseña.
Para establecer una contraseña en una cuenta de usuario de ADAM
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba ldp y presione ENTRAR.
3. En el menú Connection, haga clic en Connect y, a continuación, conéctese a la
instancia de ADAM.
4. En el menú Options, haga clic en ConnectionOptions.
5. En Option Name, haga clic en LDAP_OPT_SIGN, escriba 1 en Value y, a
continuación, haga clic en Set.
6. En Option Name, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Value,
haga clic en Set y, a continuación, en Close.
7. En el menú Connection, haga clic en Bind y, a continuación, enlace con la
instancia de ADAM.
8. En el menú View, haga clic en Tree, deje BaseDN en blanco y, a continuación,
haga clic en Aceptar.
9. En el árbol de la consola, localice la partición de directorio O=Microsoft,C=US.
Haga doble clic en O=Microsoft,C=US y, a continuación, haga doble clic en
OU=ADAM Users,O=Microsoft,C=US.
10. Haga clic con el botón secundario en el objeto de usuario CN=Mary Baker y, a
continuación, haga clic en Modify. Aparecerá el siguiente cuadro de diálogo:
62
Guía paso a paso de ADAM
11. En Attribute, escriba userpassword y, a continuación, en Values escriba una
contraseña para la cuenta.
12. Haga clic en Enter y, a continuación, en Run. El panel de detalles de Ldp tendrá
un aspecto similar al siguiente:
***Call Modify...ldap_modify_s(ld, 'CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US',[1] attrs);Modified "CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US".
Nota
Cuando ADAM se ejecuta en un equipo con Windows Server 2003,
obliga al cumplimiento de la directiva de contraseñas y la configuración
de bloqueo de cuentas del equipo, unidad organizativa o dominio,
dependiendo de cuál esté en vigor.
63
Guía paso a paso de ADAM
Enlazar como entidad de seguridad de ADAMEn este ejercicio, enlazará con una instancia de ADAM como una entidad de seguridad
de ADAM y, a continuación, probará el enlace.
Para enlazar como entidad de seguridad de ADAM y probar el enlace
1. Utilizando Ldp, enlace con la instancia de ADAM utilizando CN=Mary
Baker,OU=ADAM users,O=Microsoft,C=US como cuenta, junto con la
contraseña que acaba de asignar a esta cuenta.
2. Para confirmar que ha iniciado sesión como Mary Baker y que el permiso
Eliminar que concedió anteriormente está en vigor, en el árbol de la consola de
Ldp, examine el grupo ADAM testers y elimínelo. Para eliminar el grupo ADAM
testers, haga clic con el botón secundario en el objeto CN=ADAM testers y, a
continuación, haga clic en Delete.
Nota
De manera predeterminada, los nuevos usuarios de ADAM (como Mary
Baker) tienen acceso de lectura en el contenedor de nivel superior de
una partición de directorio dada, un permiso que heredan todos los
objetos de la partición. Pero, dado que ha asignado explícitamente el
permiso Eliminar a Mary Baker en el objeto de grupo ADAM testers, la
operación de eliminación se ha llevado a cabo correctamente. Para
obtener más información acerca del control de acceso y los permisos
predeterminados de ADAM, consulte la Ayuda de ADAM. Para ver la
Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas,
ADAM y, a continuación, haga clic en Ayuda de ADAM.
Enlazar mediante un objeto proxy de ADAMAdemás de enlazar como usuario de Windows o de ADAM, también puede enlazar con
una instancia de ADAM mediante la redirección de enlace de ADAM. Si utiliza la
redirección de enlace, ADAM puede aceptar y procesar las solicitudes de enlace con un
objeto proxy de ADAM que contenga como uno de sus atributos el Id. de seguridad (SID)
de una entidad de seguridad de Active Directory. Con ADAM, puede utilizar la redirección
de enlace para proporcionar a los usuarios de Active Directory acceso a los datos de
ADAM y Active Directory, utilizando las credenciales de dominio de Active Directory como
inicio de sesión único (SSO). Además, puede utilizar los objetos proxy de ADAM para
almacenar datos de usuario específicos de una aplicación particular de ADAM y, al
64
Guía paso a paso de ADAM
mismo tiempo, emplear Active Directory para almacenar datos de directorio usados de
forma más general.
La redirección de enlace permite a un usuario conectarse a ADAM mediante un enlace
simple y mientras utiliza credenciales de Active Directory. Otros tipos de enlace con
credenciales de Active Directory funcionan sin necesitar un proxy, al contrario que el
enlace simple. Los enlaces de proxy sólo funcionan con los enlaces simples.
Los archivos .ldf de ADAM, que puede importar al esquema de ADAM durante su
instalación, contienen una definición de objeto para el objeto userProxy, que se puede
utilizar para la redirección de enlace. Este objeto contiene atributos que incluyen un
nombre completo y un SID. Si crea un objeto userProxy en ADAM (especificando un
nombre completo que se usará para el enlace) y utiliza un SID válido de una cuenta de
usuario de Active Directory, puede enlazar con ADAM utilizando la redirección de enlace.
Para obtener más información acerca de la autenticación de ADAM, consulte la
referencia técnica de "Active Directory Application Mode" en el sitio Web de Microsoft
(http://go.microsoft.com/fwlink/?LinkId=51640).
Para los siguientes ejercicios, se supone que ya ha importado las clases de usuario
opcionales al esquema de ADAM.
Seguridad de enlaces y objetos proxy de ADAM
De manera predeterminada, es necesaria una conexión SSL para enlazar con ADAM con
redirección de enlace. SSL requiere la instalación y el uso de certificados en el equipo
que ejecuta ADAM y en el que se conecta a ADAM como cliente. Si no tiene certificados
instalados en el entorno de pruebas de ADAM, puede, como alternativa, deshabilitar el
requisito de SSL, según se describe en el siguiente procedimiento.
Nota
Al deshabilitar el requisito de SSL para la redirección de enlace, la contraseña de
la entidad de seguridad de Windows se pasa al equipo que ejecuta ADAM sin
ser cifrada en primer lugar. Por lo tanto, sólo debería deshabilitar el requisito de
SSL en un entorno de pruebas.
Para deshabilitar el requisito de SSL para la redirección de enlace
1. Según se describe anteriormente en el procedimiento "Para enlazar, ver y
examinar una instancia de ADAM utilizando el Editor ADSI de ADAM", conéctese
y enlace con la instancia de ADAM utilizando el Editor ADSI de ADAM y, a
continuación, en el árbol de la consola, examine el siguiente objeto contenedor
de la partición de configuración: CN=Directory
65
Guía paso a paso de ADAM
Service,CN=Windows NT,CN=Services.
2. Haga clic con el botón secundario en CN=Directory Service y, a continuación,
haga clic en Propiedades.
3. En Atributos, haga clic en msDS-Other-Settings y, a continuación, en Editar.
4. En Valores, haga clic en RequireSecureProxyBind=1 y, a continuación, en
Quitar.
5. En Valor para agregar, escriba RequireSecureProxyBind=0, haga clic en
Agregar y, a continuación, en Aceptar.
Crear y enlazar con un objeto proxy de ADAM
En estos ejercicios, creará un objeto proxy para un usuario de Active Directory y enlazará
con ADAM utilizando dicho objeto.
Para enlazar con ADAM mediante un objeto proxy de ADAM
1. Según se describió anteriormente en el procedimiento "Para conectarse y
enlazar a una instancia de ADAM utilizando Ldp.exe", conéctese y enlace con la
instancia de ADAM utilizando Ldp y, a continuación, examine O=Microsoft,C=US.
2. En el menú Browse de Ldp, haga clic en Add child.
3. En Dn, escriba cn=testproxy,o=microsoft,c=us como nombre completo para el
nuevo objeto userProxy que se creará en el contenedor O=Microsoft,C=US.
4. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter.
En Attribute, escriba ObjectClass.
En Values, escriba userProxy.
5. De nuevo, en Edit Entry, escriba lo siguiente y, a continuación, haga clic en
Enter:
En Attribute, escriba objectSID.
En Values, escriba el SID válido de un usuario de Active Directory.
El directorio \LABS_DEMO\LABS\bindredirect de la descarga de ADAM
contiene dos comandos del paquete de herramientas de administración de
Windows Server 2003, Dsquery.exe y Dsget.exe, que le ayudarán a
recuperar el SID de un usuario de Active Directory. Puede ejecutar esos
comandos en un equipo con Windows Server 2003.
66
Guía paso a paso de ADAM
Para recuperar el SID de un usuario de Active Directory con esos comandos,
escriba lo siguiente (como un único comando) en el símbolo del sistema:
dsquery user -samid dominio\cuenta | dsget user -sid
donde dominio\cuenta representa el usuario cuyo SID desea recuperar. En
este comando, el resultado de Dsquery se reenvía a Dsget.
Puede recuperar el SID del usuario que ha iniciado la sesión actual en un
equipo que ejecuta Windows Server 2003 escribiendo lo siguiente en el
símbolo del sistema:
whoami /user
(Algunas versiones de whoami requieren la sintaxis whoami /user /sid.)
6. Haga clic en Run. De este modo se agregará el objeto userProxy con los
atributos que ha especificado al almacén de directorios de ADAM.
7. Para desconectarse de la instancia de ADAM, en el menú Connection, haga clic
en Disconnect.
Ahora puede enlazar con la instancia de ADAM utilizando el objeto proxy de ADAM y la
redirección de enlace.
Para enlazar como un objeto proxy de ADAM mediante redirección de enlace
1. En el menú Connection, haga clic en Connect y, a continuación, conéctese a la
instancia de ADAM en una conexión nueva.
2. En el menú Options, haga clic en ConnectionOptions.
3. En Option Name, haga clic en LDAP_OPT_SIGN, escriba 1 en Value y, a
continuación, haga clic en Set.
4. En Option Name, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Value, haga
clic en Set y, a continuación, en Close.
5. Para enlazar con la instancia de ADAM de nuevo mediante Ldp, en el menú
Connection, haga clic en Bind.
6. En User, escriba:
cn=testproxy,o=Microsoft,c=us
Esto representa el objeto proxy que acaba de crear.
7. Asegúrese de que la opción Domain no esté seleccionada.
8. En Password, escriba la contraseña asociada con el usuario de Active Directory
67
Guía paso a paso de ADAM
que especificó en el paso 5 del procedimiento anterior y, a continuación, haga
clic en Aceptar.
Demostrar las funciones de los objetos proxy de ADAM
De manera predeterminada, a un usuario de Windows que enlaza con una instancia de
ADAM se le asigna su pertenencia solamente a los grupos de ADAM a los que se ha
agregado explícitamente como miembro. Cuando un usuario enlaza con una instancia de
ADAM mediante un objeto proxy, se le asigna su pertenencia al grupo de usuarios de
todos los contextos de nomenclatura contenidos en la instancia de ADAM.
Puede utilizar esta diferencia en las pertenencias a grupos para demostrar las
diferencias funcionales entre enlazar con una instancia de ADAM como usuario de
Windows y enlazar con una instancia de ADAM mediante un objeto proxy. En el siguiente
ejercicio se demuestra esa diferencia.
Para demostrar el enlace a ADAM mediante un objeto proxy
1. En la partición de directorio O=Microsoft,C=US, agregue el grupo de usuarios
como miembro del grupo de lectores siguiendo las instrucciones generales para
agregar miembros a grupos que puede encontrar en el procedimiento anterior
"Para agregar un usuario a un grupo".
2. Enlace con la instancia de ADAM (utilizando Ldp o el Editor ADSI de ADAM)
como usuario de Active Directory (que no sea el administrador de ADAM, que
cuenta con acceso pleno a todas las particiones de manera predeterminada).
3. Intente leer algún objeto de la partición de directorio O=Microsoft,C=US. Este
intento no debería poder llevarse a cabo, ya que el usuario de Active Directory
no tiene acceso a la partición de manera predeterminada.
4. Enlace con la instancia de ADAM (utilizando Ldp o el Editor ADSI de ADAM)
utilizando el objeto proxy que ha creado.
5. Intente leer algún objeto de la partición de directorio O=Microsoft,C=US. Esta
vez, la operación debería realizarse correctamente, ya que a los usuarios que
enlazan con una instancia de ADAM mediante un objeto proxy se les asigna
automáticamente su pertenencia al grupo de usuarios. Además, puesto que ha
agregado el grupo de usuarios al grupo de lectores en el paso 1 de este
procedimiento, al enlazar con la instancia de ADAM mediante el objeto proxy es
posible leer la partición.
Nota
68
Guía paso a paso de ADAM
Para obtener más información acerca de la redirección de enlace,
consulte la Ayuda de ADAM. Para ver la Ayuda de ADAM, haga clic en
Inicio, seleccione Todos los programas, ADAM y, a continuación, haga
clic en Ayuda de ADAM. Para obtener información acerca de la
administración de objetos proxy mediante programación, consulte
Administrar ADAM mediante programación más adelante esta guía.
Realizar una copia de seguridad y restaurar Active Directory Application Mode (ADAM)
En los siguientes ejercicios, realizará una copia de seguridad de la instancia de ADAM. A
continuación, quitará ADAM por completo del equipo. Finalmente, restaurará la instancia
de ADAM en el equipo.
Realizar una copia de seguridad de una instancia de ADAMEn este ejercicio, realizará una copia de seguridad de la instancia de ADAM.
Para realizar una copia de seguridad de una instancia de ADAM
1. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas
del sistema y, a continuación, haga clic en Copia de seguridad.
2. En el Asistente para copia de seguridad o restauración, haga clic en el vínculo
Modo avanzado.
3. Haga clic en la ficha Copia de seguridad y, a continuación, en el menú Trabajo,
haga clic en Nuevo.
4. Active la casilla de verificación que se encuentra a la izquierda de la carpeta de la
instancia de ADAM que, de manera predeterminada, es %programfiles%\Microsoft\
ADAM\instance1.
5. Para realizar una copia de seguridad de los archivos de ADAM en un archivo, haga
clic en Archivo en Destino de la copia de seguridad. (Si no tiene una unidad de
69
Guía paso a paso de ADAM
cinta en el equipo, Archivo estará seleccionado de manera predeterminada.) A
continuación, en Hacer copia de seguridad del medio o del archivo, escriba la
ruta de acceso y el nombre del archivo de copia de seguridad (.bkf). El contenido de
la pantalla debería ser similar al siguiente:
6. Haga clic en Iniciar y, a continuación, realice los cambios que desee en el cuadro de
diálogo Información sobre el trabajo de copia de seguridad.
7. Si desea establecer opciones de copia de seguridad avanzadas, como la
comprobación de datos o la compresión por hardware, en el cuadro de diálogo
Información sobre el trabajo de copia de seguridad, haga clic en Opciones
avanzadas. Cuando haya finalizado la selección de opciones avanzadas de copia
de seguridad, haga clic en Aceptar.
8. Haga clic en Iniciar. Una vez completada la copia de seguridad, cierre la aplicación
de copia de seguridad.
70
Guía paso a paso de ADAM
Quitar una instancia de ADAMPara simular la pérdida accidental de una instancia de ADAM, puede desinstalar la
instancia de ADAM, con lo que se quitarán tanto los archivos de programa y como de
datos de ADAM.
Para desinstalar una instancia de ADAM
1. Haga clic en Inicio, seleccione Panel de control, haga clic en Agregar o quitar
programas y, a continuación, haga clic en Instancia de Adam instance1. Si se
trata del primer elemento de la lista, Instancia de Adam instance1 ya estará
seleccionado.
2. Haga clic en Quitar y, a continuación, en Sí. A continuación, se quitará Active
Directory Application Mode del equipo.
Restaurar una instancia de ADAMEn este ejercicio, restaurará la instancia de ADAM a partir de la copia de seguridad que
realizó en el ejercicio anterior.
Para restaurar una instancia de ADAM
1. Cree una instancia de ADAM siguiendo los pasos de Instalar ADAM. Utilice la misma
configuración que definió durante la primera instalación de ADAM pero, en este caso,
no cree una partición de directorio de aplicaciones durante la instalación. Puede
restaurar la partición de directorio de aplicaciones original a partir de la copia de
seguridad. Por lo tanto, en la página Partición de directorio de aplicaciones del
Asistente para instalación de Active Directory Application Mode (ADAM), haga clic en
No, no crear una partición de directorio de aplicaciones.
2. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas
del sistema y, a continuación, haga clic en Copia de seguridad.
3. Haga clic en el vínculo Modo avanzado del Asistente para copia de seguridad o
restauración.
4. Haga clic en la ficha Restaurar y administrar medios. Para seleccionar la instancia
de ADAM que desea restaurar, en el panel de detalles, active la casilla de
verificación que se encuentra a la izquierda de la carpeta instance1, según se
muestra a continuación:
71
Guía paso a paso de ADAM
5. En Restaurar archivos en, haga clic en Ubicación original.
6. En el menú Herramientas, haga clic en Opciones, después en la ficha Restaurar,
Reemplazar siempre el archivo en mi equipo y, por último, en Aceptar.
7. Haga clic en Iniciar.
8. Si aparece un mensaje solicitándole que reinicie el equipo, haga clic en Sí.
9. Una vez completada la restauración, cierre la aplicación Copia de seguridad.
10. Para confirmar que los datos de la instancia original de ADAM se han restaurado
correctamente, utilice el Editor ADSI de ADAM para confirmar que la partición de
directorio O=Microsoft,C=US se ha restaurado y que la unidad organizativa
OU=ADAM Users y la cuenta de Mary Baker existen en la partición.
72
Guía paso a paso de ADAM
Administrar los conjuntos de configuración
En los siguientes ejercicios, creará nuevas instancias de ADAM replicando para ello la
instancia de ADAM existente. De este modo, también creará un conjunto de
configuración de ADAM. Las instancias de ADAM de un conjunto de configuración
replican una partición de esquema y una partición de configuración comunes y también
pueden replicar particiones de directorio de aplicaciones (como O=Microsoft,C=US) entre
ellas.
En los siguientes ejercicios, instalará dos instancias de ADAM de réplica. Creará la
primera instancia de réplica utilizando el Asistente para instalación de Active Directory
Application Mode (ADAM). La segunda instancia de réplica la creará utilizando la
instalación desatendida. A continuación, configurará la programación de replicación para
el conjunto de configuración.
Nota
En un entorno de producción, las instancias de ADAM que pertenecen al mismo
conjunto de configuración no pueden encontrarse en el mismo equipo. Puede
tener varias instancias de ADAM ejecutándose en un equipo, pero deben
pertenecer a distintos conjuntos de configuración. No obstante, a efectos de esta
guía, si no dispone de un segundo equipo, puede instalar las instancias de
ADAM de réplica en el primer equipo.
Instalar una réplica mediante el Asistente para instalación de Active Directory Application Mode (ADAM)Puede instalar una instancia de réplica de ADAM utilizando el Asistente para instalación
de Active Directory Application Mode (ADAM).
Para instalar una instancia de réplica de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM)
1. Inicie el Asistente para instalación de Active Directory Application Mode (ADAM) en
el segundo equipo (si dispone de uno) o en el primero: haga clic en Inicio,
seleccione Todos los programas, ADAM y, a continuación, haga clic en Crear una
instancia de ADAM. Siga los pasos del asistente hasta que llegue a la página
Opciones de instalación.
73
Guía paso a paso de ADAM
2. En la página Opciones de instalación, haga clic en Una réplica de una instancia
existente y, a continuación, haga clic en Siguiente.
3. En la página Nombre de instancia, acepte el nombre predeterminado instance2 (o
instance1, si instala ADAM en el segundo equipo) y, a continuación, haga clic en
Siguiente.
Nota
Los nombres de instancia de ADAM sólo deben ser únicos en un equipo
determinado.
4. En la página Puertos, acepte los valores predeterminados de 50000 y 50001 (si
está realizando la instalación en el primer equipo) o 389 y 636 (si está usando el
segundo equipo) y, a continuación, haga clic en Siguiente.
5. En la página Unirse a un conjunto de configuración, en Servidor, escriba el
nombre de host o el nombre DNS del equipo donde se ha instalado la primera
instancia de ADAM. A continuación, escriba el número de puerto LDAP que utiliza la
primera instancia de ADAM (el 389 de manera predeterminada) y, a continuación,
haga clic en Siguiente.
Nota
Debe utilizar un nombre de host o nombre DNS válido, en lugar de una
dirección IP o el valor localhost, al especificar un servidor en la página
Unirse a un conjunto de configuración del Asistente para instalación de
Active Directory Application Mode (ADAM).
6. En la página Credenciales administrativas para el conjunto de configuración,
haga clic en la cuenta utilizada como administrador de ADAM en la primera instancia
de ADAM.
7. En la página Copiar particiones de directorio de aplicación, seleccione las
particiones de directorio de aplicaciones que desee replicar en la nueva instancia de
ADAM. (Las particiones de configuración y esquema se replicarán
automáticamente.) Si desea seleccionar la partición de directorio O=Microsoft,C=US
para replicarla, en Particiones disponibles, haga clic en O=Microsoft,C=US y, a
continuación, haga clic en Agregar. El Asistente para instalación de Active
Directory Application Mode (ADAM) tiene el siguiente aspecto:
74
Guía paso a paso de ADAM
8. Haga clic en Siguiente.
9. Acepte los valores predeterminados de las demás páginas del Asistente para
instalación de Active Directory Application Mode (ADAM) haciendo clic en Siguiente
en cada página y, a continuación, haga clic en Finalizar en la página Finalización
del Asistente para instalación de Active Directory Application Mode (ADAM).
10. Una vez completada la instalación, utilice el Editor ADSI de ADAM para confirmar
que la partición de directorio O=Microsoft,C=US se ha replicado en la segunda
instancia de ADAM.
Instalar una réplica desde los medios utilizando la instalación desatendidaAdemás de utilizar el Asistente para instalación de Active Directory Application Mode
(ADAM), también puede instalar una réplica de una instancia de ADAM desde los
medios. Para este tipo de instalación, debe utilizar una copia restaurada de una copia de
seguridad de ADAM como medio y llevar a cabo una instalación desatendida.
75
Guía paso a paso de ADAM
En primer lugar, restaurará la copia de seguridad de la instancia de ADAM a una
ubicación diferente de la original para no sobrescribir la primera instancia de ADAM. A
continuación, creará un archivo de respuesta y llevará a cabo la instalación desatendida.
Para instalar una réplica de una instancia de ADAM utilizando la instalación desatendida
1. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas
del sistema y, a continuación, haga clic en Copia de seguridad.
2. Utilice la aplicación Copia de seguridad para restaurar la copia de seguridad de la
instancia original de ADAM, tal y como hizo anteriormente. Sin embargo, en esta
ocasión haga clic en Ubicación alternativa en Restaurar archivos en en lugar de
Ubicación original y, a continuación, escriba o desplácese a la ruta de acceso de
directorio alternativa en la que desee restaurar los archivos, como se muestra a
continuación.
3. Tras restaurar los archivos de copia de seguridad, cree un archivo de respuesta para
la instalación desatendida de ADAM. Un archivo de respuesta proporciona los
valores para las opciones de instalación de ADAM (las mismas opciones que
76
Guía paso a paso de ADAM
aparecen en el Asistente para instalación de Active Directory Application Mode
(ADAM)). Utilice un editor de texto para crear un archivo de texto llamado Answer.txt
y, a continuación, agregue el siguiente contenido al archivo. Sustituya servername
con el nombre de host o nombre DNS del equipo donde se ejecuta la primera
instancia de ADAM. Sustituya C:\media_install\Program Files\Microsoft\ADAM\
instance1\data por la ruta de acceso de la copia restaurada de la primera instancia
de ADAM.
[ADAMInstall]; The following line specifies to install a replica ADAM instance.InstallType=Replica; The following line specifies the name to be assigned to the new instance.InstanceName=instance3; The following lines specify the communication ports to use for LDAP and SSL.LocalLDAPPortToListenOn=50002LocalSSLPortToListenOn=50003; The following lines specify the directory location of the restored files.ReplicationDataSourcePath=C:\media_install\Program Files\Microsoft\ADAM\instance1\dataReplicationLogSourcePath=C:\media _install\Program Files\Microsoft\ADAM\instance1\data; The following lines specify a computer name and ADAM port of an ADAM instance in the ; configuration set you want to join; Replace servername with the name of the computer on which your first ADAM; instance is runningSourceServer=servernameSourceLDAPPort=389
4. Después de guardar el archivo Answer.txt, puede ejecutar la instalación desatendida.
En el símbolo del sistema, escriba lo siguiente:
unidad:\rutaDeAcceso\adamsetup /c:"adaminstall.exe /answer:unidad:\
nombreDeRutaDeAcceso\answer.txt"
donde el primer unidad:\rutaDeAcceso es la ubicación de la descarga de ADAM y el
segundo unidad:\nombreDeRutaDeAcceso es la ubicación del archivo Answer.txt
que ha creado.
5. Tras ejecutar este comando, puede confirmar mediante el complemento Servicios
que la nueva instancia de ADAM se ha instalado y se está ejecutando.
77
Guía paso a paso de ADAM
Configurar la programación de replicaciónAhora que dispone de varias instancias de ADAM unidas en un único conjunto de
configuración, puede programar la replicación. La programación de replicación es
opcional. Igual que ocurre en Active Directory, ADAM siempre ofrece una programación
de replicación predeterminada.
Para programar la replicación entre instancias de ADAM
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Editor ADSI de ADAM.
2. Conéctese y enlace a una de las instancias de ADAM.
Nota
Dado que todas las instancias de ADAM pertenecen al mismo conjunto de
configuración, puede programar la replicación en cualquiera de ellas.
3. En el árbol de la consola, haga doble clic en la partición de configuración
CN=Configuration,CN={GUID}, donde GUID es el identificador único asignado
durante la instalación de ADAM. Haga doble clic en el contenedor de sitios,
CN=Sites, y, a continuación, haga doble clic en el contenedor de sitios
predeterminado, CN=Default-First-Site-Name. El complemento Editor ADSI de
ADAM tiene el siguiente aspecto:
78
Guía paso a paso de ADAM
Nota
De manera predeterminada, todas las instancias de ADAM que cree
pertenecen a un único sitio, Default-First-Site-Name. En este ejercicio, todas
las instancias de ADAM pertenecen a un único sitio. Por lo tanto, está
programando la replicación sin salir de un sitio, lo que recibe el nombre de
replicación dentro del sitio. Para obtener más información acerca de los
sitios, los conjuntos de configuración y la replicación de ADAM, consulte la
guía del administrador de Active Directory Application Mode. Para ver la guía
del administrador de Active Directory Application Mode, haga clic en Inicio,
seleccione Todos los programas, ADAM y, a continuación, haga clic en
Ayuda de ADAM.
4. En el panel de detalles, haga clic con el botón secundario en CN=NTDS Site
Settings y, a continuación, haga clic en Programación.
5. En el cuadro de diálogo Programación, seleccione el bloque de tiempo que desea
programar y haga clic en Ninguno, Una vez por hora, Dos veces por hora o
Cuatro veces por hora como frecuencia de replicación y, a continuación, haga clic
en Aceptar. El cuadro de diálogo Programación tendrá el siguiente aspecto:
Nota
En el caso de la replicación dentro del sitio, las instancias de ADAM replican
los cambios mediante las notificaciones de actualización. La programación
79
Guía paso a paso de ADAM
de la frecuencia de replicación sólo afecta a la replicación dentro del sitio
cuando no se producen notificaciones de actualización en el tiempo
especificado.
Provocar la replicación inmediata de una partición de directorioEl Asistente para instalación de Active Directory Application Mode (ADAM) instala una
versión de ADAM de Repadmin.exe, que cuenta con las mismas funciones que la versión
de Active Directory de Repadmin.exe. Tal y como ocurre con Active Directory, puede
provocar la sincronización inmediata de una partición de directorio con asociados de
replicación utilizando Repadmin.exe, según se explica en este ejercicio.
Para provocar la replicación inmediata de una partición de directorio utilizando Repadmin.exe
1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación,
haga clic en Símbolo del sistema de herramientas de ADAM.
2. En el símbolo del sistema, escriba lo siguiente:
repadmin /syncall localhost:389 o=Microsoft,c=us
Nota
Para obtener más información acerca de la sintaxis de repadmin, en el
Símbolo del sistema de herramientas de ADAM, escriba repadmin /?.
Administrar ADAM mediante programación
Mediante programación, puede llevar a cabo buena parte de las tareas que puede
realizar manualmente con las herramientas de administración de ADAM. En la descarga
de ADAM se incluyen varios fragmentos de código y secuencias de comandos de
ejemplo que le ayudarán a empezar.
80
Guía paso a paso de ADAM
Administrar ADAM mediante programación con secuencias de comandos de Visual BasicEl directorio \LABS_DEMO\LABS\VBScript de la descarga de ADAM incluye secuencias
de comandos de ejemplo producidas en Microsoft® Visual Basic®, Scripting Edition
(VBScript), para las siguientes operaciones comunes:
Extender el esquema para incluir la clase de contactos. (Adamcontact.vbs)
Importar dos contactos. (AdamContactImport.vbs)
En las siguientes secuencias de comandos, se supone que Adamuser.ldf se importó en
un ejercicio anterior:
Agregar OU
Agregar usuario
Agregar grupo
Agregar usuario a grupo
Eliminar usuario
Obtener una lista de objetos específicos de una ruta de acceso (Filter_adam.vbs)
Enumerar usuarios y grupos
Establecer una contraseña
Por ejemplo, la secuencia de comandos para enumerar usuarios y grupos contiene el
siguiente código:
'**************************************************'' This script enumerates the users and groups in the passed in OU' To run: cscript member_adam.vbs [OU] [Group]' Examples: cscript member_adam.vbs ou=testou,c=us testuser''**************************************************set Args = Wscript.ArgumentsouName = Args(0)' If the application OU DN is "ou=adamou,c=us" and the server is "adamhost" and the port is 389. Then this parameter should be passed' as follows: "LDAP://adamhost:389/ou=adamou,c=us"
set ou = GetObject(ouName )wscript.echo "Displaying Groups and Group membership..." & vbcrlf
ou.Filter = Array("group")for each obj in ou
81
Guía paso a paso de ADAM
wscript.echo "Group : " & obj.Name for each member in obj.Members wscript.echo " |" wscript.echo " -- " & member.Name Next wscript.echo vbcrlfNext
Puede ejecutar cualquiera de estas secuencias de comandos desde el símbolo del
sistema utilizando el comando cscript. (Para obtener ayuda sobre cscript, escriba
cscript /? en el símbolo del sistema.) Cada secuencia de comandos requiere que se
suministren los nombres completos del proveedor y del host junto con el especificador de
puerto.
Nota
La secuencia de comandos Adamcontact.vbs sólo necesita que se suministren
los parámetros nombreDeServidor:númeroDePuerto, ya que extiende el
esquema. Puede abrir el archivo en el Bloc de notas para ver la sintaxis
específica. (Si ejecuta una secuencia de comandos sin parámetros, aparecerá el
siguiente mensaje de error: “El subíndice está fuera del intervalo.”)
Por ejemplo, para ejecutar la secuencia de comandos Member_adam.vbs a fin de
enumerar los usuarios y grupos de un objeto con el nombre completo
O=Microsoft,C=US, escriba:
cscript member_adam.vbs "LDAP://nombreDeServidor:númeroDePuerto
/o=Microsoft,c=us"
donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto
de comunicaciones LDAP de la instancia de ADAM.
Administrar ADAM mediante programación con la API System.DirectoryServicesPara el siguiente ejercicio es necesario que tenga instalado Microsoft® Visual
Studio® .NET.
Para tener acceso a ADAM mediante la interfaz de programación de aplicaciones (API) System.DirectoryServices
1. Inicie Visual Studio .NET.
2. En el menú Archivo, haga clic en Nuevo y, a continuación, en Proyecto.
82
Guía paso a paso de ADAM
3. En Tipos de proyecto, haga clic en un tipo de proyecto (C#, VB.NET, etcétera).
4. En Plantillas, haga clic en una plantilla de proyecto (Consola, Windows, etcétera).
5. En Nombre, escriba un nombre para el proyecto.
6. Una vez creado el proyecto, haga clic en Agregar referencia en el menú Proyecto.
7. En la columna Nombre de componente, haga clic en
System.DirectoryServices.dll, como se muestra a continuación.
8. Agregue la siguiente línea al principio del código:
C#: using System.DirectoryServices;VB.NET: Imports System.DirectoryServices;
Nota
No es obligatorio agregar el nombre del espacio de nombres, pero resulta
83
Guía paso a paso de ADAM
más sencillo que escribir un nombre largo. Por ejemplo, en lugar de
System.DirectoryServices.DirectoryEntry, utilice DirectoryEntry.
9. Para leer un objeto de ADAM, agregue el siguiente código:
int portNumber=1025; // put the correct port number here.String serverName="adam01"; // put the correct servername here. String partitionDir = "O=Fabrikam"; //put the correct partition distinguished name.DirectoryEntry ent = new DirectoryEntry("LDAP://"+serverName+":"+portNumber+"/"+partitionDir);Console.WriteLine("Hello World, {0}, with Guid {1}", ent.Name, ent.Guid);
Administrar los objetos proxy de ADAM mediante programaciónEl directorio \LABS_DEMO\LABS\bindredirect de la descarga de ADAM incluye código
de muestra para crear, rellenar y probar objetos proxy de ADAM. Además, el directorio
incluye una versión compilada y lista para ejecutarse del código de ejemplo. Este código
de ejemplo muestra la forma en la que puede automatizar la creación de objetos proxy y
completa los pasos del procedimiento "Para enlazar con ADAM mediante un objeto proxy
de ADAM" de Administrar la autenticación en ADAM.
Nota
Para obtener más información acerca de la redirección de enlace de ADAM,
consulte la guía del administrador de Active Directory Application Mode. Para ver
la guía del administrador de Active Directory Application Mode, haga clic en
Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en
Ayuda de ADAM.
El código de sampleBindRedirect.c realiza todas las siguientes operaciones mediante
programación:
Enlaza a una instancia de ADAM utilizando la cuenta de usuario de Windows que
proporcione.
Lee el atributo tokenGroups del usuario de Windows para recuperar su SID.
Enlaza a una instancia de ADAM utilizando la cuenta de Administrador de ADAM que
proporcione.
Con la cuenta de administrador de ADAM, crea un objeto userProxy para el usuario
de Windows.
84
Guía paso a paso de ADAM
Agrega el grupo de usuarios de cualquier partición de directorio de aplicaciones dada
al grupo de lectores de la misma partición.
Enlaza a una instancia de ADAM como el usuario de Windows para demostrar que el
usuario de Windows no puede leer la partición del directorio de aplicaciones.
Enlaza a una instancia de ADAM mediante el objeto proxy para demostrar que se
puede leer la partición del directorio de aplicaciones.
Elimina el objeto userProxy.
Puede ejecutar la versión compilada de este código de ejemplo, BindRedirect.exe, para
observar su funcionamiento. Para obtener ayuda sobre la forma de ejecutar el programa
de ejemplo BindRedirect.exe, escriba bindredirect /? en el símbolo del sistema.
Nota
Este código de ejemplo se ejecuta con los siguientes requisitos:
Para ejecutarse correctamente, debe haber disponibles conexiones SSL a ADAM
(para lo que es necesario la instalación de certificados), o bien el atributo
RequireSecureProxyBind del atributo msds-Other-Settings del objeto
nTDsService debe tener un valor de 0. Para obtener más información, consulte
"Seguridad de enlaces y objetos proxy de ADAM" en Administrar la autenticación
en ADAM.
No debe existir ningún objeto de entidad de seguridad externo en ADAM para el
usuario de Windows que especifique.
Cuando utilice un enlace y una conexión SSL, debe proporcionar el nombre DNS
completo del equipo que ejecuta ADAM.
85