Active Directory Flashcards
La base de datos distribuida de AD se encuentra en todos los Controladores de Dominio (DC). ¿En qué fichero se encuentra?
%SystemRoot%\ntds\Ntds.dit
En AD, un bosque es
un conjunto de uno o varios dominios
En AD, el nombre del bosque coincide con el nombre del
dominio raíz (es decir, el primer dominio instalado)
En AD, los límites de replicación están creados por un
sitio
En AD, un directorio puede usar varios protocolos (como API), que son
LDAP (Lightweight Directory Access Protocol), ADSI (Active Directory Service Interfaces), MAPI (Messaging Application Programming Interface)
En AD, los objetos se organizan en las siguientes categorías:
Usuarios, Recursos y Servicios
En AD podemos encontrar los siguientes tipos de objetos
Usuario, Grupo, Equipo, Unidad Organizativa (OU), Impresora
La base de datos de AD se organiza en particiones (o “naming contexts”). Las particiones de dicha base de datos son
Partición de dominio, de configuración, de esquema y de DNS
De los 5 roles de FSMO (Flexible Single Master Operation) de AD, cuáles 2 se encuentran en el dominio raíz
Rol Maestro del esquema (Schema Master) y Rol de Maestro de denominación del dominio (Domain Naming Master).
De los 5 roles de FSMO (Flexible Single Master Operation) de AD, cuáles 3 están presentes en cada dominio del bosque
Rol de Maestro RID (RID Pool Manager), Rol Maestro de Infraestructura (Infraestructure Master) y Rol Maestro Emulador PDC (PDC Emulator)
Para arrancar y detener los servicios de AD en una consola de DOS, se usa:
Para arrancar:
net start ntds
Para detener:
net stop ntds
Kerberos en un protocolo de autenticación que utiliza los puertos
TCP/UDP 88
LDAP utiliza el puerto
TCP 389
LDAPS (LDAP sobre SSL) utiliza el puerto
TCP 636
En un bosque de AD, el rol de maestro emulador PDC se encarga de
Mantener el reloj del dominio.
El rol maestro emulador PDC sincroniza su reloj con un servidor de tiempo.
Los demás Controladores de Dominio (DC) sincronizan su hora con el rol maestro emulador PDC.
Los equipos y servidores (no DC) se sincronizan con su Controlador de Dominio (DC).
En AD, el rol maestro RID se encarga de
asignar bloques de identificación relativos (RID) a los distintos Controladores de Dominio (DC) que lo soliciten.
Los FSMO (Flexible Single Master Operations, por sus siglas en inglés) son una serie de operaciones realizadas por los controladores de dominio en torno a
la replicación MultiMaster (tipo de replicación en la que cualquier DC puede enviar o recibir actualizaciones del Directorio Activo)
En AD, para ver los distintos FSMO podemos ejecutar el siguiente comando
netdom query FSMO
Las versiones de Windows Server únicamente disponibles en 64 bits son:
Windows Server 2008, 2012, 2016 y 2019
En servicio SMB de Windows se utiliza para
compartir archivos e impresoras
Las actualizaciones de zonas entre servidores DNS tienen lugar usando el puerto
TCP 53
Los clientes pueden realizar 3 tipos de preguntas a un servidor DNS:
Iterativas, Recursivas e Inversas
En un DNS un registro NS permite
Indicar los servidores de DNS autorizados para el dominio (NS = Name Server)
En DNS, ¿cuál es la longitud máxima de un nombre de dominio?
255 caracteres
¿Cuál es la longitud máxima y mínima de un nombre de equipo/dominio NetBios?
mínimo 1 carácter,
máximo 15 carácterés
¿Cuál es la longitud máxima y mínima de un nombre de equipo/dominio DNS que permite Windows?
mínimo 2 carácteres,
máximo 63 carácterés
Los tipos de servidores de DNS que existen son:
Primarios o Maestros,
Secundarios o Esclavos,
Locales o Caché
En DNS, a la etiqueta más a la derecha, por ejemplo “com” de www.google.com se denomina
Dominio de Nivel Superior (TLD)
La herramienta de Windows para la consulta de nombres de dominio es:
nslookup
En DNS, ¿qué es la transferencia de zona?
Es el proceso por el que se copia el contenido de un archivo de zona DNS de un servidor DNS principal a un servidor DNS secundario
¿Qué es una zona DNS?
Es una base de datos que contiene una porción o subárbol de espacio de nombres de un dominio
¿Para qué sirve el servidor secundario de DNS?
Sirve de respaldo cuando el servidor principal no está disponible
¿Qué hace el comando GPUPDATE /force ?
Fuerza a descargarse las políticas de un equipo
¿Qué comando se usa para montar un nuevo controlador de dominio?
DCPROMO
Una política de grupo puede “enlazarse” a nivel de:
OU, dominio, equipo local, sitio
Una política de grupo puede “aplicarse” a nivel de:
Equipo y Usuario
¿Qué hace el comando DCDIAG?
Hace un diagnóstico del Directorio Activo
¿Qué parámetro se le debe pasar al comando DCDIAG para que corrija los errores?
Fix
En AD, ¿qué es un árbol?
Una colección de dominios que dependen de una raíz común
En Windows Server, los cambios del directorio del dominio se realizan en los
Controladores de Dominio (DC)
En AD, los contenedores que se utilizan para estructurar otros objetos con propósitos administrativos se denominan:
Unidades Organizativas (OU)
¿Dónde se definen las clases de objeto, los tipos de atributos de los objetos y las configuraciones de seguridad?
En el esquema de Active Directory
¿Cómo se denomina al repositorio de información que contiene un subconjunto de los atributos de todos los objetos de Active Directory utilizados con más frecuencia?
Catálogo Global (contiene una copia completa del “sitio”)
¿Cuántos Controladores de Dominio puede haber en AD?
Uno o varios
Según la terminología de AD, la combinación de una o varias subredes IP conectadas a través de un vínculo de alta velocidad se les denomina:
Sitio
Los grupos de AD pueden ser de dos tipos:
Seguridad y Distribución
Respecto al ámbito de los grupos en AD, pueden ser
global, universal o dominio.
El ámbito de un grupo determina si el grupo abarca múltiples dominios o se limita a uno solo
¿Qué permisos se aplican sobre un recurso, si los permisos de compartición y los permisos NTFS (seguridad) difieren?
Se aplican los más restrictivos
¿Qué se utiliza para configurar una política de contraseñas en un EQUIPO INDEPENDIENTE que ejecuta Windows?
secpol.msc
¿Cuáles son las dos directivas de grupo predeterminadas que se crean en AD?
Default Domain Controller Policy
Default Domain Policy
¿Qué comando se utiliza para forzar a un equipo a DESCARGAR la configuración de GPO después de que se haya modificado una GPO?
gpupdate /force
Crea una unidad organizativa de servidor. Desea aislar la OU del servidor para que no se vea afectada por ninguno de los GPO de dominio. ¿Qué debes hacer?
Usar Block Policy Inheritance
¿Con qué frecuencia se actualizan las políticas de grupo en los PC cliente?
Cada hora
¿Cuáles son dos tipos de Namespaces DFS?
Domain-based namespace,
Server-based namespace
¿Qué tecnología de cifrado utilizaría para proteger archivos INDIVIDUALES en un equipo Windows Server?
EFS
¿Qué tecnología de cifrado utilizaría para proteger una unidad completa en un equipo Windows Server?
BitLocker
¿Qué utiliza un cliente AD para localizar objetos en otro dominio?
Global Catalog
¿Qué herramienta puede utilizarse para agregar, eliminar o modificar objetos en AD, además de modificar el esquema si es necesario?
LDIFDE
¿Qué dos cuentas de usuario se crean automáticamente en un equipo que ejecuta Windows Server 2012 R2?
Administrator y Guest
Está intentando eliminar un grupo de seguridad global en la consola Usuarios y equipos de AD, pero la consola no le permitirá completar la tarea… ¿cuál podría ser la causa?
No tiene los permisos adecuados para el contenedor en el que se encuentra el grupo
Debe eliminar en Windows Server la función de Servicios de dominio de Active Directory desde un controlador de dominio, ¿qué comando ejecutar?
Se usa DCPROMO, desde ahí se elimina la función de Servicios de dominio de Active Directory
Su empresa tiene un bosque de AD que contiene varios objetos GPO vinculados. Uno de estos GPO publica aplicaciones en objetos de usuario. Un usuario informa que la aplicación no está disponible para la instalación. Debe identificar si se ha aplicado el GPO, ¿qué debes hacer?
Ejecutar la utilidad “Group Policy Results” para el usuario.
En línea de comandos: GPRESULT
Crea 200 nuevas cuentas de usuario. Los usuarios están ubicados en 6 SITOS diferentes. Los nuevos usuarios informan que reciben el siguiente mensaje de error cuando intentan iniciar sesión: “El nombre de usuario o la contraseña es incorrecta.” Confirma que las cuentas de usuario existen y están habilitadas. También confirma que la información de nombre de usuario y contraseña suministrada es correcta. Debe identificar la causa del fallo. También debe asegurarse de que los nuevos usuarios puedan iniciar sesión. ¿Qué utilidad debe ejecutar?
Repadmin, ya que están replicados en 6 sitios y todo lo demás está bien
Su red contiene un dominio de Active Directory. El dominio contiene cuatro controladores de dominio. Modificas el esquema de Active Directory. Debes comprobar que todos los controladores de dominio recibieron la modificación de esquema. ¿Qué comando debe ejecutar?
repadmin.exe /showrepl *
Su red contiene un dominio de Active Directory que tiene dos sitios. Debe identificar si las secuencias de comandos de inicio de sesión se replican en todos los controladores de dominio. ¿Qué carpeta debe verificar?
SYSVOL
Debe compactar una base de datos de Active Directory en un controlador de dominio que ejecute Windows Server 2008 R2. ¿Qué debes hacer?
Desde Ntdsutil, utilice la opción Archivos.
Su red contiene un bosque de Active Directory. El bosque contiene un dominio denominado contoso.com. Se descubre el siguiente suceso en el registro de sucesos de los equipos cliente: “El proveedor de tiempo NtpClient no pudo encontrar un controlador de dominio para utilizar como fuente de tiempo. NtpClient volverá a intentarlo en % 1 minutos”. Debe asegurarse de que los equipos cliente pueden sincronizar correctamente sus relojes. ¿Qué debes hacer?
Mover the PDC emulator role.
En sistemas Windows, ¿para qué sirve WSUS?
Proporciona una solución integral para administrar las actualizaciones dentro de la red.
En Windows Server 2012, Microsoft introdujo un nuevo sistema de ficheros denominado:
ReFS (Resilient File System)
¿Podemos ver la tabla de rutas con el comando netstat de Windows?
Si, con:
netstat -r
