Introducción al servicio de directorio Microsoft Active Directory

Contenido Descripción general Introducción a Active Directory Estructura lógica de Active Directory Estructura física de Active Directory 1 2 16 25

Introducción al servicio de directorio Microsoft Active Directory

i

Notas para el instructor
El módulo presenta los conceptos del servicio de directorio Active Directory® con sus estructuras lógica y física. Después de completar este módulo, los alumnos serán capaces de: • Describir la función de Active Directory. • Describir la estructura lógica de Active Directory. • Describir la estructura física de Active Directory.

Desarrollo del módulo
Para presentar este módulo, utilice la estrategia siguiente: • Introducción a Active Directory En este tema presentará Active Directory. Empiece por ilustrar el propósito de Active Directory como servicio de directorio de red. Muestre el archivo multimedia (disponible en el fichero media03.zip). Explique la manera en que las extensiones de cliente de Active Directory permiten que determinada funcionalidad de Active Directory para equipos cliente no ejecute Microsoft Windows® 2000. Explique el propósito de los objetos de Active Directory y sus atributos. Analice el esquema de Active Directory y ponga de relieve cómo se usa el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) para comunicarse con Active Directory. • Estructura lógica de Active Directory En este tema presentará la estructura lógica de Active Directory. Empiece por ilustrar el propósito de los dominios de Active Directory. Explique la manera en que se pueden usar las unidades organizativas para agrupar objetos en una jerarquía lógica dentro de un dominio, así como para delegar el control administrativo sobre los objetos. Ilustre cómo se usan los dominios para formar árboles y bosques que ayudan al uso compartido de los recursos de red y las funciones administrativas. Analice el catálogo global y la manera en que se usa para encontrar información acerca de los objetos de directorio y para iniciar sesión en la red. • Estructura física de Active Directory En este tema presentará la estructura física de Active Directory. Empiece por ilustrar cómo se usan los controladores de dominio para replicar en Active Directory y realizar una o varias funciones de maestro único o de varios maestros. Explique el concepto de sitios como objetos físicamente discretos y ponga de relieve cómo optimizan el tráfico de replicación y de inicio de sesión.

Introducción al servicio de directorio Microsoft Active Directory

1

Descripción general
Objetivo del tema
Proporcionar una introducción a los temas y objetivos del módulo.

Introducción a Active Directory Estructura lógica de Active Directory Estructura física de Active Directory

Explicación previa

En este módulo aprenderá acerca de Active Directory.

En una red de Microsoft® Windows® 2000, el servicio de directorio Active Directory® proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red. Para implementar y administrar una red de Windows 2000, debe comprender el propósito y la estructura de Active Directory. Active Directory proporciona también la capacidad de administrar centralmente la red de Windows 2000. Esta capacidad significa que puede almacenar centralmente información acerca de la empresa, por ejemplo información de usuarios, grupos e impresoras, y que los administradores pueden administrar la red desde una sola ubicación. Active Directory admite la delegación del control administrativo sobre los objetos de Active Directory. Esta delegación permite que los administradores asignen a un grupo específico de administradores permisos administrativos específicos para objetos, como cuentas de usuario o de grupo. Después de finalizar este módulo, el alumno será capaz de: • Describir la función de Active Directory. • Describir la estructura lógica de Active Directory. • Describir la estructura física de Active Directory.

Introducción al servicio de directorio Microsoft Active Directory

2

Introducción a Active Directory
Objetivo del tema
Presentar Active Directory

Explicación previa

Qué es Active Directory Presentación multimedia Tecnologías compatibles con Active Directory Objetos de Active Directory Esquema de Active Directory Protocolo ligero de acceso a directorios Grupos de Active Directory Active Directory y DNS

Active Directory almacena información acerca de los recursos de toda la red.

Active Directory almacena información acerca de los recursos de toda la red y facilita a los usuarios la búsqueda, administración y acceso a estos recursos. Los recursos se administran dentro de Active Directory como objetos. Los objetos representan recursos físicos, como equipos, impresoras y usuarios. Active Directory está formado por varios componentes. Para administrar Active Directory, debe entender sus componentes y la manera de usarlos.

Introducción al servicio de directorio Microsoft Active Directory

3

Qué es Active Directory
Objetivo del tema
Ilustrar el propósito de usar Active Directory como servicio de directorio de red.

Explicación previa

Active Directory almacena información acerca de los recursos en una red de Windows 2000 y permite que los recursos resulten accesibles a los usuarios y las aplicaciones.

La funcionalidad del La funcionalidad del servicio de directorio servicio de directorio Organizar Organizar Administrar Administrar Controlar Controlar

Administración centralizada Administración centralizada Punto de administración único Punto de administración único

Recursos Recursos

Acceso completo del usuario a los Acceso completo del usuario a los recursos de directorios al iniciar recursos de directorios al iniciar sesión una vez sesión una vez

Puntos clave

Active Directory proporciona funcionalidad de servicio de directorio, como un medio de organizar, administrar y controlar centralmente el acceso a los recursos de red. Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente.

Active Directory es el servicio de directorio de una red de Windows 2000. Un servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite que los recursos resulten accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una manera coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la información relativa a los recursos de red.

La funcionalidad del servicio de directorio
Active Directory proporciona funcionalidad de servicio de directorio, como un medio de organizar, administrar y controlar centralmente el acceso a los recursos de red. Active Directory hace que la topología física de red y los protocolos pasen desapercibidos, de forma que un usuario de una red puede tener acceso a cualquier recurso sin saber dónde está el recurso o cómo está conectado físicamente a la red. Un ejemplo de este tipo de recurso es una impresora. Active Directory está organizado en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, es posible ampliar Active Directory a medida que crece una organización, lo que permite que una organización que tiene un único servidor con unos cuantos centenares de objetos crezca hasta tener miles de servidores y millones de objetos.

Introducción al servicio de directorio Microsoft Active Directory

4

Administración centralizada
Un servidor que ejecuta Windows 2000 almacena la configuración del sistema, información de las aplicaciones e información acerca de la ubicación de los perfiles de usuario en Active Directory. En combinación con las directivas de grupo, Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente. Active Directory proporciona también un control centralizado del acceso a los recursos de red, al permitir que los usuarios sólo inicien sesión una vez para obtener pleno acceso a los recursos mediante Active Directory.

Introducción al servicio de directorio Microsoft Active Directory

5

Presentación multimedia: Conceptos de Active Directory en Windows 2000
Objetivo del tema
Explicar la presentación multimedia acerca de los conceptos de Active Directory en Windows 2000.

Explicación previa

Antes de empezar, veamos una presentación multimedia que explica los conceptos importantes de Active Directory.

Empiece esta presentación desde el equipo del instructor. El tiempo estimado para realizar esta presentación es de siete minutos.

Esta presentación multimedia describe conceptos básicos de Active Directory, como las unidades organizativas, árboles, bosques, convenciones de nomenclatura del Sistema de nombres de dominio (DNS, Domain Name System) y sitios. El archivo de la presentación esta disponible en el fichero media03.zip.

Introducción al servicio de directorio Microsoft Active Directory

6

Tecnologías compatibles con Active Directory
Objetivo de la diapositiva
Describir las normas, protocolos y API compatibles con Active Directory y Windows 2000.

DNS DNS DHCP DHCP

SNTP SNTP

Introducción

Tecnologías estándar del sector Tecnologías estándar del sector

Active Directory es compatible con varias de las normas, los protocolos y las API más importantes.

TCP/IP TCP/IP

LDAP LDAP

X.509 X.509

LDIF LDIF Kerberos Kerberos

El objetivo de Active Directory es aportar una visión unificada de la red que reducirá considerablemente el número de directorios y espacios de nombre con los que tienen que lidiar los administradores de red y los usuarios. Active Directory está diseñado específicamente para operar con otros directorios y administrarlos, independientemente de su ubicación o de los sistemas operativos subyacentes. Para ello, Active Directory ofrece una amplia compatibilidad con las normas y los protocolos existentes y proporciona interfaces de programación de aplicaciones (API) que facilitan la comunicación con otros directorios. En la siguiente tabla se describen las tecnologías compatibles con Active Directory, su función y una referencia para obtener más información sobre ella.
Tecnología Protocolo de configuración dinámica de host (DHCP) Protocolo de actualización dinámica (DNS) Protocolo de tiempo de red simple (SNTP) Protocolo ligero de acceso al directorio (LDAP) v3 LDAP ‘C’ Formato de intercambio de datos LDAP (LDIF) Kerberos versión 5 Descripción Administración de las direcciones de red Administración de espacios de nombre de host Servicio de tiempo distribuido Acceso a directorios API del directorio Sincronización de directorios Autenticación Referencia RFC 2131

RFC 2052 y 2163

RFC 1769 RFC 2247, 2251, 2252 y 2256 RFC 1823 Borrador de Grupo de Tareas sobre Ingeniería de Internet (IETF) RFC 1510

Introducción al servicio de directorio Microsoft Active Directory (continuación) Tecnología Certificados de X.509 v3 Descripción Autenticación Referencia

7

Norma X.509 de la Organización internacional de normalización (ISO) RFC 791 y 793

Protocolo de control de transporte/Protocolo de Internet (TCP/IP)

Protocolo de red

La compatibilidad con estas tecnologías estándar del sector ofrece varias ventajas: • El protocolo de actualización dinámica DNS permite a las empresas conseguir una estructura de nomenclatura global compatible con las convenciones DNS estándar de Internet. • LDAP potencia al máximo la interoperabilidad entre aplicaciones y servicios de directorio y facilita la interoperabilidad de directorios gracias a la sincronización. • La integración de Kerberos v5 y el certificado X.509 con Active Directory aporta a las empresas flexibilidad para mezclar y ajustar la seguridad que implanta, tanto en entornos de Internet como de Intranet, en función de sus necesidades.

Introducción al servicio de directorio Microsoft Active Directory

8

Objetos de Active Directory
Objetivo del tema
Identificar el propósito de los objetos de Active Directory.
Objetos Objetos Atributos Atributos Nombre de Nombre de impresora impresora Ubicación de Ubicación de la impresora la impresora Atributos Atributos Nombre Nombre Apellidos Apellidos Nombre de inicio Nombre de inicio de sesión de sesión Active Directory Active Directory Impresoras Impresora1 Impresora2 Impresora3 Usuarios Don Hall Suzan Fine Atributo Atributo Valor Valor

Explicación previa

Los objetos de Active Directory representan los recursos de red, como los usuarios, grupos, equipos e impresoras.

Impresoras Impresoras

Usuarios Usuarios

Los objetos representan los recursos de red Los atributos definen la información relativa a un objeto

Active Directory almacena información acerca de los objetos de red. Los objetos de Active Directory representan los recursos de red, como los usuarios, grupos, equipos e impresoras. Todos los servidores, dominios y sitios de la red se representan también como objetos. Como Active Directory representa todos los recursos de red como objetos en una base de datos distribuida, un único administrador puede controlar centralmente esos recursos. Cuando crea un objeto, las propiedades o atributos que lo describen se almacenan en el directorio. Los usuarios pueden encontrar objetos en Active Directory mediante la búsqueda de atributos específicos. Por ejemplo, un usuario puede encontrar una impresora en un edificio concreto mediante la búsqueda del atributo Location de la clase de objeto de impresora. Una función importante de algunos objetos de Active Directory (dominios, contenedores y unidades organizativas) es la de contener otros objetos. Después, arquitectos de infraestructura con experiencia organizan en una jerarquía, o bosque, estos dominios, contenedores y unidades organizativas. Los objetos que representan los recursos de red, como usuarios, grupos, impresoras y carpetas de uso compartido, se colocan en el bosque basándose en la manera en que se administrarán esos objetos. Nota El objeto de contenedor tipo de Active Directory es un objeto integrado diseñado para facilitar la migración desde un dominio de Windows NT. No puede vincular los objetos de directiva de grupo con estos contenedores, ni tampoco pueden contener unidades organizativas que se usen para organizar otros objetos de Active Directory. Estas restricciones significan que los arquitectos de infraestructura expertos planean el diseño del dominio y la jerarquía de unidades organizativas de Active Directory que más conviene a las necesidades de la empresa y, a menudo, sólo dejan los objetos integrados en los contenedores integrados; por ejemplo, el grupo Administradores de esquema en el contenedor Usuarios.

Introducción al servicio de directorio Microsoft Active Directory

9

Esquema de Active Directory
Objetivo del tema
Identificar el propósito del esquema en Active Directory.
Objeto Objeto Ejemplos de clase Ejemplos de clase
Definidas en el contexto de nombres de esquema de Active Directory Almacenadas en el contexto de nombres de dominio de Active Directory

Explicación previa

El esquema de Active Directory define todos los objetos de Active Directory.

Equipos Equipos

Ejemplo Ejemplo Atributos Atributos
Atributos de usuarios: Atributos de usuarios: usuarios:
caducaCuenta caducaCuenta departamento departamento nombreCompleto nombreCompleto nombre nombre

Ejemplo Ejemplo Propiedades Propiedades
Propiedades Propiedades
10/02/03 10/02/03 Ventas Ventas CN=Wendy Kahn, CN=Wendy Kahn, OU=Beth OU=Beth

Usuarios Usuarios

Impresoras Impresoras

El esquema de Active Directory contiene las definiciones de todos los objetos, como usuarios, equipos e impresoras, almacenados en Active Directory. En Windows 2000 sólo hay un esquema para todo un bosque, de manera que todos los objetos creados en Active Directory se ajustan a las mismas reglas. Los dos tipos de definiciones del esquema son los atributos y las clases de objeto. Las clases de objeto describen los objetos de directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos. Los atributos se definen de forma independiente de las clases de objeto. Cada atributo se define sólo una vez y se puede utilizar en múltiples clases de objetos. Por ejemplo, el atributo Description se usa en muchas clases de objetos, pero para asegurar la coherencia se define sólo una vez en el esquema. La base de datos de Active Directory almacena el esquema. El almacenamiento del esquema en una base de datos significa que el esquema: • Está dinámicamente a disposición de las aplicaciones de usuario, lo que permite a las aplicaciones de usuario leer el esquema para descubrir qué objetos y propiedades están disponibles y se puedan usar. • Es dinámicamente actualizable, por lo que una aplicación puede extender el esquema con nuevos atributos y clases de objetos, utilizando inmediatamente esas extensiones del esquema. • Puede usar las listas de permisos, conocidas como Listas de control de acceso discrecional (DACL, Discretionary Access Control Lists), para proteger todas las clases de objetos y atributos. Por el uso de permisos, sólo los usuarios autorizados pueden hacer cambios en el esquema. Importante Sólo los miembros del grupo Administradores de esquema pueden actualizar el esquema. Hay que supervisar cuidadosamente la pertenencia a este grupo, pues las actualizaciones del esquema pueden afectar a los nuevos objetos creados y a la integridad de los objetos existentes.

Introducción al servicio de directorio Microsoft Active Directory

10

Protocolo ligero de acceso a directorios
Objetivo del tema
Identificar las rutas de nomenclatura LDAP para los objetos de Active Directory.

LDAP proporciona una manera de comunicar con Active Directory especificando las rutas de nomenclatura únicas de cada objeto del directorio Las rutas de nomenclatura de LDAP incluyen: Nombre completo CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft Suzan Fine Nombre completo relativo

Explicación previa

LDAP es el protocolo que se usa para el acceso a Active Directory.

Sugerencia

Use la ilustración de la diapositiva para explicar en el aula los conceptos de nombres completos y nombres completos relativos.

El Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) es un protocolo de servicios de directorio que se usa para consultar y actualizar Active Directory. La especificación de protocolo para LDAP especifica que un objeto de Active Directory sea representado por una serie de componentes de dominio, unidades organizativas y nombres comunes, creando una ruta de nomenclatura LDAP en Active Directory. Las rutas de nomenclatura LDAP se usan para el acceso a los objetos de Active Directory e incluyen lo siguiente: • Nombre completo • Nombre completo relativo

Nombre completo
Todos los objetos de Active Directory tienen un nombre completo. El nombre completo identifica el dominio donde se encuentra el objeto y la ruta de acceso completa a través de la que se llega hasta él. Un ejemplo de nombre completo es:
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft

Clave DC OU CN CN

Atributo Componente de dominio Unidad organizativa Nombre común Contenedor

Descripción Un componente del nombre DNS de dominio, como com. Una unidad organizativa que se puede usar para contener otros objetos. Cualquier objeto, aparte de los componentes de dominio y las unidades organizativas, como los objetos de usuario y de equipo. CN se usa también para representar el objeto de Active Directory, contenedor. Los contenedores son objetos integrados de Active Directory que no puede modificar y que están diseñados para contener objetos de recursos. Un ejemplo es el contenedor Usuarios predeterminado.

Introducción al servicio de directorio Microsoft Active Directory

11

Si el mismo objeto de usuarios que se utiliza en la diapositiva se ha almacenado en el contenedor Usuarios en lugar de en la unidad organizativa Ventas, el nombre LDAP completo sería:
CN=Suzan Fine,CN=Users,DC=contoso,DC=msft

Nota El uso de contenedores integrados, en lugar de agregar sus propias unidades organizativas, da menos flexibilidad a Active Directory. Por ejemplo, no puede vincular objetos de la directiva de grupo a los contenedores integrados.

Nombre completo relativo
El nombre completo relativo LDAP es la parte del nombre completo LDAP que únicamente identifica el objeto en su contexto de búsqueda. Su composición varía dependiendo del alcance del contexto de búsqueda existente establecido por el cliente. El contexto de búsqueda puede variar desde el nivel de componente de dominio al nivel de nombre común. En el ejemplo anterior, el nombre completo relativo del objeto de usuario Suzan Fine es Suzan Fine. La tabla siguiente proporciona ejemplos de nombres completos y nombres completos relativos.
Nombre completo CN=Suzan Fine,OU=Sales, DC=contoso,DC=msft CN=Suzan Fine,OU=Sales, DC=contoso,DC=msft OU=Sales,DC=contoso,DC=msft CN=Judy Lew,OU=Shipping, DC=europe,DC=contoso,DC=msft DC=contoso,DC=msft OU=Shipping,DC=Europe, DC=contoso,DC=msft OU=Sales CN=Judy Lew DC=contoso,DC=msft CN=Suzan Fine,OU=Sales Contexto de búsqueda OU=Sales,DC=contoso,DC=msft Nombre completo relativo CN=Suzan Fine

Nota Las dos primeras entradas de la tabla hacen referencia al mismo objeto, pero en diferentes contextos de búsqueda. Es posible que, para conservar su exclusividad, el nombre completo relativo deba ser más largo que el nombre del objeto final.

Introducción al servicio de directorio Microsoft Active Directory

12

Grupos de Active Directory
Objetivo del tema
Explicar los tipos de grupos de seguridad disponibles en un dominio de Active Directory.

Grupos locales de dominio Grupos locales de dominio Miembros de cualquier dominio del bosque Miembros de cualquier dominio del bosque Uso para el acceso a los recursos Uso para el acceso a los recursos del propio dominio del propio dominio Grupos globales Grupos globales globales Sólo miembros del propio dominio Sólo miembros del propio dominio Uso para el acceso a los recursos Uso para el acceso a los recursos de cualquier dominio de cualquier dominio Grupos universales Grupos universales universales Miembros de cualquier dominio del bosque Miembros de cualquier dominio del bosque Uso para el acceso a los recursos Uso para el acceso a los recursos de cualquier dominio de cualquier dominio

Explicación previa

Los grupos de seguridad son las unidades que se utilizan para asignar y mantener los permisos. Es fundamental elegir el grupo de seguridad apropiado para realizar una administración y replicación eficaces en Active Directory.

Active Directory utiliza los siguientes tipos de grupos de seguridad: • Grupos locales de dominio, que conceden permisos a los usuarios para que obtengan acceso a recursos de la red como carpetas, archivos o impresoras de un único dominio. • Grupos globales, que organizan objetos de usuario de dominio entre dominios. • Grupos universales, que se utilizan para agrupar usuarios y conceder permisos en todo el bosque. Puede utilizar estos grupos de seguridad para proteger recursos. Los grupos de seguridad le permiten asignar los mismos permisos a un gran número de usuarios en una operación, lo que garantiza que los permisos son coherentes para todos los miembros de un grupo. Una parte importante de un entorno de red basado en Windows 2000 consiste en decidir cuándo usar cada tipo de grupo de seguridad.

Introducción al servicio de directorio Microsoft Active Directory

13

Sugerencia

Grupos locales de dominio
A continuación se resumen las reglas de pertenencia a un grupo local de dominio: • Pertenencia. Puede contener usuarios, grupos globales y otros grupos universales de cualquier dominio del bosque. En un dominio de modo nativo, también puede contener grupos locales de dominio de su propio dominio. • Puede ser miembro de. En un dominio de modo nativo, puede ser miembro de otro grupo local de dominio desde su propio dominio. • Se le puede conceder permiso para. Cualquier recurso del dominio en donde reside el grupo local de dominio. Use un grupo de dominio local para asignar permisos de acceso a recursos que se encuentren en el mismo dominio en el que se creó el grupo de dominio local. Agregará grupos globales que comparten los mismos recursos al correspondiente grupo local de dominio.

Señale la nota relativa a los grupos universales y la replicación del catálogo global.

Grupos globales
A continuación se resumen las reglas de pertenencia a un grupo global: • Pertenencia. Puede contener cuentas de usuario del dominio en donde existe el grupo. En un dominio de modo nativo, los grupos globales también pueden contener otros grupos globales desde el dominio en donde existe. • Puede ser miembro de. Grupos locales de dominio de cualquier dominio del bosque. En un dominio de modo nativo, también puede ser miembro de otro global en su propio dominio. • Se le puede conceder permiso para. Todos los dominios del bosque. Use los grupos globales para organizar a los usuarios que comparten las mismas tareas y deben tener requisitos de acceso a red similares. Un tipo diferente de grupo resulta más apropiado para controlar el acceso a los recursos; use los grupos globales sólo para organizar usuarios o grupos de usuarios.

Introducción al servicio de directorio Microsoft Active Directory

14

Grupos universales
A continuación se resumen las reglas de pertenencia a un grupo universal: • Pertenencia. Puede contener cuentas de usuario, grupos globales y otros grupos universales de cualquier dominio del bosque. • Puede ser miembro de. Grupos locales de dominio y otros grupos universales de cualquier dominio del bosque. • Se le puede conceder permiso para. Todos los dominios del bosque. Los dominios de Windows 2000 deben encontrarse en modo nativo para poder usar los grupos universales. Use grupos universales para anidar los grupos globales, para que pueda asignar permisos a los recursos relacionados en múltiples dominios. Evite agregar usuarios individuales a los grupos universales para mantener en el mínimo la necesidad de cambios de pertenencia. Nota Diseñe grupos universales con miembros que permanezcan estáticos a lo largo del tiempo. Realice las modificaciones mínimas en los grupos, ya que al actualizar la pertenencia a un grupo universal, toda la pertenencia a ese grupo universal se replica en todos los servidores de catálogos globales del bosque. Esta replicación puede causar una importante cantidad de tráfico en la red y crear retrasos en la propagación.

Introducción al servicio de directorio Microsoft Active Directory

15

Active Directory y DNS
Objetivo de la diapositiva
Explicar la función de DNS en Active Directory.

Resolución de nombres Definición de espacios de nombre Localización de los componentes físicos de Active Directory

Introducción

DNS realiza tres funciones básicas en Active Directory.

DNS es un servicio obligatorio para una red de Windows 2000, puesto que es necesario para la funcionalidad de Active Directory. Active Directory utiliza DNS para tres funciones básicas: • Resolución de nombres. DNS realiza la resolución de nombres traduciendo los nombres de host en direcciones IP. • Definición de espacios de nombres. Active Directory utiliza las convenciones de nomenclatura de DNS para dar nombre a los dominios. Los nombres de dominios de Windows 2000 son nombres de dominios DNS. Por ejemplo, contoso.com es un nombre de dominio DNS válido y también podría ser el nombre de un dominio de Windows 2000. • Localización de los componentes físicos de Active Directory. Para iniciar sesión en la red y realizar consultas en Active Directory, un equipo en el que se ejecute Windows 2000 debe buscar primero un controlador de dominios o un servidor de catálogo global para autenticar el inicio de sesión o procesar la consulta. La base de datos DNS almacena y proporciona la información de qué equipos realizan estas funciones para que se pueda dirigir la petición correctamente.

Introducción al servicio de directorio Microsoft Active Directory

16

Estructura lógica de Active Directory
Objetivo de la diapositiva
Presentar los componentes lógicos de Active Directory.

Dominios Unidades organizativas Árboles y bosques Catálogo global
Bosque
Dominio Dominio Dominio Dominio Dominio Dominio Árbol

Introducción

Los componentes de Active Directory se utilizan para diseñar una jerarquía de directorios.

UO UO

Domain Domain Dominio Dominio

UO UO

UO UO

Árbol Dominio Dominio Dominio Dominio

La estructura lógica de Active Directory es flexible y ofrece un método para diseñar una jerarquía de directorios útil tanto para los usuarios como para los que tengan que administrarla. Los componentes lógicos de la estructura de Active Directory incluyen: • Dominios • Unidades organizativas • Árboles • Bosques • Es muy importante conocer la finalidad y la función de los componentes lógicos de la estructura de Active Directory para realizar una gran variedad de tareas, como la planificación, instalación, configuración y resolución de problemas de Active Directory.

Introducción al servicio de directorio Microsoft Active Directory

17

Dominios
Objetivo del tema
Ilustrar el propósito del dominio en Active Directory.
Un dominio es un límite de seguridad Un administrador de dominio sólo puede administrar dentro del dominio, a menos que se le concedan explícitamente derechos de administración en otros dominios Un dominio es una unidad de replicación Los controladores de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio de su dominio

Explicación previa

El dominio es la unidad central de la estructura lógica de Active Directory.

ario1 Usu rio2 a Usu

Replicación Replicación Dominio de Dominio de Windows 2000 Windows 2000

ario1 Usu rio2 a Usu

La unidad central de la estructura lógica de Active Directory es el dominio. Un dominio es un conjunto de equipos, definido por un administrador, que comparten una base de datos de directorios común. Un dominio tiene un nombre único y proporciona acceso a las cuentas de usuario centralizadas y a las cuentas de grupo mantenidas por el administrador de dominio.

Límite de seguridad
En una red de Windows 2000, el dominio sirve como límite de seguridad. El propósito de un límite de seguridad es garantizar que un administrador de un dominio tenga los permisos y derechos necesarios para realizar la administración sólo en ese dominio, a menos que al administrador se le concedan explícitamente esos permisos y derechos en un dominio adicional. Todos los dominios tienen sus propias directivas de seguridad y relaciones de seguridad con otros dominios.

Unidad de replicación
Los dominios son también unidades de replicación. Una unidad de replicación significa que todos los controladores de dominio de un determinado dominio reciben los cambios en la información de su propio dominio, replicando esos cambios en los otros controladores de dominio del mismo dominio.

Introducción al servicio de directorio Microsoft Active Directory

18

Cambio del modo de dominio
Objetivo del tema
Describir los modos de dominio y la manera de cambiarlos.
Active Directory se instala en modo mixto para la compatibilidad con los controladores de dominio existentes El anidamiento de grupo y los grupos de seguridad universales requieren que un dominio esté en modo nativo Modo mixto Modo nativo

Explicación previa

Después de haber instalado Active Directory y haber establecido un dominio, el dominio opera en modo mixto.

Controlador de dominio (Windows 2000) y Controlador de dominio (Windows NT 4.0) Controladores de dominio Controladores de dominio (sólo en Windows 2000) (sólo en Windows 2000)

Después de instalar Active Directory y establecer un dominio, éste opera en modo mixto como modo de dominio predeterminado. Un dominio de modo mixto es compatible con controladores de dominio que ejecutan Windows 2000 o Windows NT 4.0. Active Directory se instala en modo mixto para proporcionar compatibilidad con los controladores de dominio existentes que no se hayan actualizado con Windows 2000. La capacidad de utilizar indefinidamente el dominio en modo mixto significa que puede actualizar los controladores de dominio que ejecutan Windows NT 4.0 en cualquier momento, según las necesidades de su organización. Si la red no dispone de ningún controlador de dominio que ejecute Windows NT 4.0, o cuando todos los controladores de dominio se hayan actualizado a Windows 2000, puede convertir el dominio de modo mixto a modo nativo. En un dominio de modo nativo, todos los controladores de dominio ejecutan Windows 2000. Sin embargo, no es necesario actualizar a Windows 2000 los servidores miembro y los equipos cliente antes de convertir un dominio a modo nativo. Algunas funciones de Active Directory, como el anidamiento de grupo y los grupos de seguridad universales, requieren que ese dominio esté en el modo nativo. Ya no puede agregar controladores de dominio que ejecutan Windows NT 4.0 a un dominio en modo nativo.

Introducción al servicio de directorio Microsoft Active Directory

19

Para cambiar su dominio al modo nativo, siga estos pasos: 1. Haga clic en el menú Inicio, seleccione Programas y haga clic en Herramientas administrativas. 2. Abra Usuarios y equipos de Active Directory o Dominios y confianzas de Active Directory desde el menú Herramientas administrativas. 3. Abra el cuadro de diálogo Propiedades correspondiente al dominio. 4. En la ficha General, haga clic en Cambiar modo. 5. Haga clic en Sí y, después, en Aceptar. Precaución El cambio de modo mixto a modo nativo es un proceso unidireccional; no se puede cambiar de modo nativo a modo mixto.

Introducción al servicio de directorio Microsoft Active Directory

20

Unidades organizativas
Objetivo del tema
Ilustrar el propósito de las unidades organizativas en Active Directory.
Modelo administrativo de red Modelo red Estructura organizativa Estructura organizativa

Explicación previa

Ventas Usuarios Equipos

Vancouver Ventas Reparaciones

Una unidad organizativa es un contenedor en el que organiza los objetos de un dominio.

Utilizar las unidades organizativas para agrupar objetos en la jerarquía lógica que mejor se adapte a las necesidades de su organización Delegar el control administrativo sobre los objetos que están dentro de una unidad organizativa asignando permisos específicos a usuarios y grupos

Una unidad organizativa es un objeto que usa para organizar los objetos de un dominio. Una unidad organizativa puede contener objetos, como cuentas de usuario, grupos, equipos, impresoras y otras unidades organizativas.

Jerarquía de unidades organizativas
Puede utilizar las unidades organizativas para agrupar objetos en la jerarquía lógica que mejor se adapte a las necesidades de su organización. Por ejemplo, puede crear una jerarquía de unidades organizativas que represente lo siguiente en una organización: • Un modelo administrativo de red basado en responsabilidades administrativas. Por ejemplo, una organización podría tener un administrador responsable de todas las cuentas de usuario y otro responsable de todos los equipos. En ese caso, podría crear una unidad organizativa para usuarios y otra para equipos. • Una estructura organizativa basada en límites geográficos o departamentales. • Una combinación de estas dos jerarquías anteriores. La jerarquía de unidades organizativas de un dominio es independiente de la estructura de unidades organizativas de otros dominios: cada dominio puede implementar su propia jerarquía de unidades organizativas.

Introducción al servicio de directorio Microsoft Active Directory

21

Control administrativo de las unidades organizativas
Puede delegar el control administrativo sobre los objetos de una unidad organizativa. Para delegar el control administrativo de una unidad organizativa, asigne a uno o más grupos de usuarios los permisos específicos para la unidad organizativa y los objetos que contiene la unidad organizativa. Para una unidad organizativa, puede asignar el control completo sobre todos los objetos que hay en ella o bien un control administrativo limitado, como la capacidad de modificar la información de correo electrónico acerca de los objetos de usuario de la unidad organizativa o de restablecer las contraseñas sólo en los objetos de usuario.

Introducción al servicio de directorio Microsoft Active Directory

22

Árboles, bosques y confianzas transitivas bidireccionales
Objetivo del tema
Ilustrar cómo los dominios forman árboles y bosques.

Explicación previa

El primer dominio de Windows 2000 que se crea es el dominio raíz del bosque.

Relación de confianza Relación de confianza transitiva bidireccional transitiva bidireccional

(raíz)

contoso.msft contoso.msft

Bosque Árbol
nwtraders.msft nwtraders.msft asia. asia. contoso.msft contoso.msft au. au. contoso.msft contoso.msft

Árbol
asia. asia. nwtraders.msft nwtraders.msft au. au. nwtraders.msft nwtraders.msft

Relaciones de confianza Relaciones de confianza transitivas bidireccionales transitivas bidireccionales

El primer dominio de Windows 2000 de cualquier empresa recibe el nombre de dominio raíz del bosque. El dominio raíz del bosque es importante por las razones siguientes: • Siempre se hará referencia al bosque con el nombre de su dominio raíz, por ejemplo el bosque Contoso. Cambiar el nombre de este dominio significa quitar Active Directory de todos sus controladores de dominio. • Se agregan dominios adicionales al dominio raíz para formar la estructura de árboles o la estructura de bosques, según los requisitos de los nombres de dominio. • Se crean grupos especiales para administrar Active Directory sólo en el dominio raíz del bosque, por ejemplo en el grupo Administradores de empresa y el grupo Administradores de esquema. • En el dominio raíz del bosque deben existir las funciones de Maestro de operaciones de esquema y Maestro de nombres de dominio.

Árboles
Un árbol es una disposición jerárquica de los dominios de Windows 2000 que comparten un espacio de nombres contiguo. Cuando se agrega un dominio a un árbol existente, el nuevo dominio es un dominio secundario de un dominio principal existente. El nombre del dominio secundario se combina con el del dominio principal para formar su nombre DNS. Todo dominio secundario tiene una relación de confianza transitiva y bidireccional con respecto a su dominio principal.

Introducción al servicio de directorio Microsoft Active Directory

23

Bosques
Un bosque es uno o más árboles. Los árboles de un bosque no comparten necesariamente un espacio de nombres contiguo. Los árboles de un bosque comparten un esquema, un contexto de configuración de Active Directory y un catálogo global comunes. Un solo árbol que no esté relacionado con otro es un bosque de un solo árbol. Así, todo dominio de raíz de árbol tiene una relación de confianza transitiva con el dominio de raíz de bosque. El nombre del dominio raíz del bosque se utiliza para hacer referencia a un bosque concreto. Cada árbol de un bosque tiene su propio espacio de nombres único. Por ejemplo, Contoso, Ltd. crea una organización independiente llamada Northwind Traders. Contoso, Ltd. decide crear un nuevo nombre de dominio de Active Directory para Northwind Traders, llamado nwtraders.msft. Aunque las dos organizaciones no comparten un espacio de nombres común, al agregar el nuevo dominio de Active Directory como un nuevo árbol de un bosque existente las dos organizaciones podrán compartir recursos y funciones administrativas.

Relaciones de confianza transitivas bidireccionales
Una confianza es un vínculo de comunicación unidireccional segura entre dominios. Una confianza bidireccional significa que hay dos rutas de confianza que van en direcciones opuestas entre los dos dominios. Por ejemplo, el dominio au.contoso.msft confía en contoso.msft en una dirección, mientras que contoso.msft confía en au.contoso.msft en la dirección opuesta. Una confianza transitiva significa que la relación de confianza extendida a un dominio se extiende automáticamente a todos los otros dominios que confían en él. Por ejemplo, el dominio au.contoso.msft confía directamente en contoso.msft. El dominio asia.contoso.msft también confía directamente en contoso.msft. Como ambas confianzas son transitivas, au.contoso.msft confía indirectamente en asia.contoso.msft. Una relación de confianza transitiva bidireccional es la relación de confianza predeterminada entre los dominios del mismo bosque en Windows 2000. Una confianza transitiva bidireccional es una combinación de una confianza transitiva y una confianza bidireccional. La ventaja de las confianzas transitivas bidireccionales de los dominios de Windows 2000 es que existe una confianza completa entre todos los dominios de una jerarquía de dominios de Active Directory. Los árboles vinculados por relaciones de confianza forman un bosque.

Introducción al servicio de directorio Microsoft Active Directory

24

Catálogo global
Objetivo del tema
Ilustrar las funciones del catálogo global.
Subconjunto de Subconjunto de atributos de todos atributos de todos los objetos los objetos
Dominio Dominio Dominio Dominio Dominio Dominio

Explicación previa

El catálogo global contiene un subconjunto de los atributos de todos los objetos de Active Directory.

Catálogo global Catálogo global Catálogo Consultas Consultas Pertenencia Pertenencia a grupos cuando el a grupos cuando el usuario inicia sesión usuario inicia sesión

Servidor de catálogo global

El catálogo global es un depósito de información que contiene un subconjunto de atributos de todos los objetos de Active Directory. De forma predeterminada, los atributos que se almacenan en el catálogo global son los que se utilizan con más frecuencia en las consultas, como el nombre, el apellido y el nombre de inicio de sesión de un usuario. El catálogo global contiene la información necesaria para determinar la ubicación de cualquier objeto del directorio. El catálogo global habilita a los usuarios para que realicen tres funciones importantes: • Encontrar información de Active Directory en todo el bosque, independientemente de la ubicación de los datos. • Utilizar la información de pertenencia a un grupo universal para iniciar sesión en la red. • Iniciar sesión utilizando un nombre principal de usuario en varios bosques de dominio. Un servidor de catálogo global es un controlador de dominio que procesa consultas contra el catálogo global. El primer controlador de dominio que crea en Active Directory se convierte automáticamente en un servidor de catálogo global. Puede configurar otros servidores de catálogo global para equilibrar el tráfico de la autenticación del inicio de sesión y las consultas. El catálogo global hace que la estructura de directorios de un bosque sea transparente para los usuarios que realizan una búsqueda. Por ejemplo, si busca todas las impresoras de un bosque, un servidor de catálogo global procesará la consulta en el catálogo global y devolverá después los resultados. Sin un servidor de catálogo global, esta consulta requeriría buscar en todos los dominios del bosque. El catálogo global contiene también los permisos de acceso de cada objeto y atributo almacenados en el catálogo global. Si busca un objeto y no tiene los permisos apropiados para verlo, no lo podrá ver en los resultados de la búsqueda. Esto garantiza que los usuarios sólo podrán encontrar los objetos a los que se les ha asignado acceso.

Introducción al servicio de directorio Microsoft Active Directory

25

Estructura física de Active Directory
Objetivo del tema
Presentar los temas relacionados con la estructura física de Active Directory.

La estructura física de Active Directory está formada por: Controladores de dominio Sitios

Explicación previa

La estructura física de Active Directory está separada y es distinta de la estructura lógica.

En Active Directory, la estructura lógica es diferente de la estructura física y está separada de ella. La estructura lógica se utiliza para organizar los recursos de red y la estructura física se utiliza para configurar y administrar el tráfico de red. Los controladores de dominio y los sitios constituyen la estructura física de Active Directory. La estructura física de Active Directory define dónde y cuándo se producen el tráfico de replicación y de inicio de sesión. Es fundamental entender los componentes físicos de Active Directory para poder optimizar el tráfico de red y el proceso de inicio de sesión. Conocer la estructura física ayuda también a solucionar problemas de replicación y de inicio de sesión.

Introducción al servicio de directorio Microsoft Active Directory

26

Controladores de dominio
Ilustrar la función de los controladores de dominio en la estructura física.

Objetivo del tema

Controladores de dominio: Alojar la carpeta SYSVOL Participar en la replicación de Active Directory Realizar las funciones de las operaciones de maestro único en un dominio
ario1 Usu rio2 a Us u

Explicación previa

Un controlador de dominio de Windows 2000 almacena una réplica de Active Directory.

Replicación Replicación

ario1 Usu rio2 a Usu

Controlador de dominio

Dominio Dominio = Una copia escribible de la base de datos de la de datos de Active Directory Directory

Controlador de dominio

Un controlador de dominio es un equipo donde se ejecuta Windows 2000 Server y que almacena una réplica del directorio. Un controlador de dominio administra también los cambios realizados en la información del directorio y replica estos cambios en otros controladores del mismo dominio. Los controladores de dominio almacenan datos del directorio y administran procesos de inicio de sesión, autenticación y búsquedas en directorios de usuarios. Un dominio puede tener uno o varios controladores de dominio. Una organización pequeña que utilice una única red de área local (LAN, Local Area Network) puede necesitar sólo un dominio con dos controladores de dominio para proporcionar la disponibilidad y la tolerancia a errores adecuadas, mientras que una organización grande con muchas ubicaciones geográficas necesita uno o varios controladores de dominio en cada ubicación.

La carpeta SYSVOL
La carpeta SYSVOL es una carpeta compartida de volumen del sistema que se aloja en todos los controladores de dominio de Windows 2000. Este volumen del sistema compartido almacena archivos que se replican entre los controladores de dominio, como las secuencias de comandos de inicio de sesión, cierre de sesión, arranque y apagado, así como información de la Directiva de grupo. El volumen del sistema compartido se comparte en diferentes puntos de la estructura de archivos como SYSVOL, para Windows 2000 y clientes posteriores, y como NETLOGON para los equipos que no están basados en Windows 2000. El mecanismo de replicación usado con SYSVOL es muy diferente del que se usa para la replicación de Active Directory. SYSVOL usa para la replicación una característica del sistema de archivos NTFS 5.0 que es nueva para Windows 2000, el Servicio de replicación de archivos NT, por lo que debe colocarse en una partición NTFS.

Introducción al servicio de directorio Microsoft Active Directory

27

Replicación de Active Directory
La base de datos de Active Directory se divide en tres particiones conocidas como contextos de nombres: • El contexto de nombres de dominio, que contiene todos los objetos y atributos de objeto en un dominio. • El contexto de nombres de esquema, que define todos los objetos y propiedades que se pueden crear en la base de datos de Active Directory. • El contexto de nombres de configuración, que contiene la información relativa a las confianzas del bosque. Los controladores de dominio de un dominio replican cualquier cambio del contexto de nombres de dominio que relaciona sus dominios unos con otros. Los controladores de dominio de un bosque replican automáticamente cualquier cambio en el esquema y los contextos de nombres de dominio unos con otros. La replicación asegura que toda la información de Active Directory está disponible para todos los controladores de dominio y todos los equipos cliente de toda la red. La estructura física de Active Directory determina cuándo y cómo se produce la replicación. Active Directory utiliza un modelo de replicación con varios maestros. En un modelo de replicación con varios maestros, cada dominio de Windows 2000 tiene uno o varios controladores de dominio. Cada controlador de dominio almacena una copia escribible de la base de datos de Active Directory para su dominio, y administra los cambios y actualizaciones en su copia del directorio. Cuando un usuario o un administrador realiza una acción que causa una actualización en el directorio en un controlador de dominio, dicha actualización se replica en todos los controladores de dominio del dominio. Sin embargo, los controladores de dominio podrían contener información diferente durante breves períodos, hasta que todos los controladores de dominio hayan sincronizado sus cambios con Active Directory.

Operaciones de maestro único
No es práctico realizar algunos cambios en Active Directory utilizando replicación de varios maestros, por los posibles conflictos en operaciones esenciales. Por estas razones, sólo se asignan operaciones de maestro único a controladores de dominio específicos. Un maestro de operaciones es un controlador de dominio al que se le han asignado una o varias funciones de operaciones de maestro único en un dominio o bosque de Active Directory. Los controladores de dominio que se asignan a estas funciones realizan operaciones, como agregar o quitar un dominio de un bosque, que no está permitido que se produzcan simultáneamente en diferentes controladores de dominio de la red. Las funciones de las operaciones de maestro único son: • Maestro de operaciones de esquema. El controlador de dominio que se asigna para controlar todas las actualizaciones al esquema dentro de un bosque. • Maestro de nombres de dominio. El controlador de dominio al que se le asigna el control de las operaciones de agregar o quitar dominios del bosque.

Introducción al servicio de directorio Microsoft Active Directory

28

Nota En un bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio. De forma predeterminada, será el primer controlador de dominio del bosque. Sugerencia • Maestro RID. El controlador de dominio que se dedica a asignar secuencias de los identificadores relativos (RID, relative identifiers) a cada controlador de dominio de su dominio. • Emulador del controlador principal de dominio. El controlador de dominio que se asigna para que funcione como un Controlador de dominio principal (PDC, Primary Domain Controller) de Windows NT versión 4.0 para dar servicio a los clientes de red que no ejecutan el software de cliente de Windows 2000, así como para proporcionar actualizaciones de sincronización de bases de datos para Controladores de dominio de reserva (BDC, Backup Domain Controllers) de bajo nivel de Windows NT 4.0. • Maestro de operaciones de infraestructura. El controlador de dominio que se asigna para actualizar referencias a grupos de usuarios siempre que se cambian las pertenencias al grupo, así como de replicar estos cambios en todos los demás controladores de dominio del dominio. Nota En cada dominio sólo puede haber un maestro RID, un emulador PDC y un maestro de infraestructura. De forma predeterminada, será el primer controlador de dominio del dominio.

Recorrer rápidamente las funciones de las Operaciones de maestro único.

Introducción al servicio de directorio Microsoft Active Directory

29

Sitios
Objetivo del tema
Ilustrar el concepto de sitios como objetos físicamente discretos.
Seattle Chicago Los Angeles New York

Explicación previa

Un sitio es un conjunto de una o varias subredes IP.

Subred IP

Sitio

Sitios:

Subred IP

Optimizar el tráfico de replicación Permitir que los usuarios inicien sesión en un controlador de dominio con una conexión de red confiable y bien conectada

Un sitio es una combinación de una o varias subredes de Protocolo de Internet (IP) que están conectadas por un vínculo de alta velocidad. Al definir los sitios, se configura la topología de replicación y acceso a Active Directory, de forma que Windows 2000 utilice los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación. Los sitios se crean por dos razones principalmente: • Para optimizar el tráfico de replicación. • Para permitir a los usuarios conectarse con un controlador de dominio utilizando una conexión de red confiable y bien conectada para las funciones de autenticación e inicio de sesión. Los sitios se asignan a la estructura física de la red. Los dominios se asignan a la estructura lógica de la organización. Las estructuras lógicas y físicas de Active Directory son independientes unas de otras, por tanto: • No hay, necesariamente, correlación entre la estructura física de la red y su estructura de dominios. • Active Directory permite múltiples dominios en un único sitio y múltiples sitios en un único dominio. • No hay, necesariamente, correlación entre los espacios de nombres de los sitios y de los dominios.

Sign up to vote on this title
UsefulNot useful