Академический Документы
Профессиональный Документы
Культура Документы
Server 2008
Actualizado: abril de 2008
Los Servicios de dominio de Active Directory® (AD DS) del sistema operativo de Windows Server® 2008
permiten a las organizaciones crear una infraestructura segura, escalable y administrable para la
administración de recursos y usuarios, y admiten también aplicaciones habilitadas para directorio.
Una estructura lógica de Active Directory bien diseñada presenta las siguientes ventajas:
• Administración simplificada de redes basadas en Microsoft® Windows® que contienen un gran
número de objetos
Una estructura lógica de Active Directory bien diseñada facilita la integración eficaz en el sistema de
características tales como directiva de grupo, bloqueo de escritorio, distribución de software y administración
de usuarios, grupos, estaciones de trabajo y servidores. Además, una estructura lógica diseñada
cuidadosamente facilta la integración de servicios y aplicaciones de Microsoft y que no son de Microsoft,
como Microsoft Exchange Server, infraestructura de clave pública (PKI) y un sistema de archivos distribuido
(DFS) basado en dominio.
Cuando se diseña una estructura lógica de Active Directory antes de implementar AD DS, es posible
optimizar el proceso de implementación para aprovechar mejor las ventajas que ofrecen las características
de Active Directory de Windows Server 2008. Para diseñar la estructura lógica de Active Directory, el equipo
de diseño identifica en primer lugar los requisitos de la organización y, basándose en esa información, decide
dónde colocar los límites del dominio y el bosque. A continuación, el equipo de diseño decide cómo
configurar el entorno del Sistema de nombres de dominio (DNS) para satisfacer las necesidades del bosque.
Por último, el equipo de diseño identifica la estructura de la unidad organizativa (OU) necesaria para delegar
la administración de los recursos de la organización.
En esta guía
• Descripción del modelo lógico de Active Directory
Diseñar la estructura lógica de los Servicios de dominio de Active Directory (AD DS) implica definir las
relaciones entre los contenedores del directorio. Estas relaciones pueden basarse en requisitos
administrativos, como la delegación de autoridad, o pueden venir definidas por requisitos operativos, como
la necesidad de controlar la replicación.
Antes de diseñar la estructura lógica de Active Directory, es importante entender el modelo lógico de Active
Directory. AD DS es una base de datos distribuida que almacena y administra información acerca de los
recursos de red así como datos específicos de las aplicaciones con directorio habilitado. AD DS permite a los
administradores organizar los elementos de una red (por ejemplo, los usuarios, los equipos y los
dispositivos) en una estructura de contención jerárquica. El contenedor de nivel superior es el bosque.
Dentro de los bosques están los dominios y dentro de los dominios, las unidades organizativas (OU). Se
trata de un modelo lógico porque es independiente de los aspectos físicos de la implementación, como el
número de controladores de dominio necesarios en cada dominio y topología de red.
• Identidad de usuario en toda la red. El dominio permite crear identidades de usuario y hacer
referencia a ellas en cualquier equipo unido al bosque en el que se encuentra el dominio. Los
controladores de dominio que forman parte del mismo se usan para almacenar cuentas y
credenciales de usuario (como contraseñas o certificados) de forma segura.
• Relaciones de confianza. Los dominios pueden ampliar los servicios de autenticación a los usuarios
de dominios situados fuera de su propio bosque mediante relaciones de confianza.
• Replicación. El dominio define una partición del directorio que contiene datos suficientes para
proporcionar servicios de dominio y, a continuación, la replica entre los controladores del dominio.
De esta manera, todos los controladores están en el mismo nivel dentro del dominio y se
administran como una unidad.
El primer paso a la hora de establecer un proyecto de implementación para los Servicios de dominio de
Active Directory (AD DS) consiste en configurar los equipos del proyecto de diseño e implementación que
serán responsables de administrar las fases de diseño e implementación del ciclo de proyectos de Active
Directory. Además, deben identificarse las personas y grupos que serán los propietarios del directorio y los
responsables de mantenerlo una vez completada la implementación.
Una vez designados el administrador y el arquitecto del proyecto, éstos establecerán los canales de
comunicación en toda la organización, crearán las programaciones del proyecto e identificarán a las personas
que formarán parte de los equipos del proyecto, empezando por los diversos propietarios.
Patrocinador ejecutivo
Implementar una infraestructura como AD DS puede tener una amplia repercusión en la organización. Por
este motivo, es importante contar con un patrocinador ejecutivo que entienda el valor comercial de la
implementación, apoye el proyecto en el nivel ejecutivo y pueda ayudar a resolver conflictos en toda la
organización.
• Entender y registrar las razones que sustentan las decisiones clave del diseño
El diseño final de Active Directory debe reflejar una combinación de objetivos empresariales y decisiones
técnicas. Por lo tanto, el arquitecto del proyecto debe revisar las decisiones de diseño para asegurarse de
que se alinean con los objetivos empresariales.
• Asegurarse de que las personas adecuadas participen en cada una de las fases del proceso de
diseño
• Servir como punto de contacto único para el proyecto de implementación de Active Directory
La función del propietario es estratégica y administrativa. Los propietarios son responsables de comunicar a
los administradores las tareas necesarias para la implementación del diseño de Active Directory, como la
creación de nuevos controladores de dominio dentro del bosque. Los administradores son responsables de
implementar el diseño en la red conforme a las especificaciones de diseño.
En las organizaciones de gran tamaño, personas diferentes ocupan las funciones de propietario y
administrador, mientras que en algunas organizaciones pequeñas, la misma persona actúa como propietaria
y administradora al mismo tiempo.
• Los propietarios de datos, que son responsables del mantenimiento de la información almacenada
en el directorio. Ello incluye la administración de cuentas de equipo y usuario y la administración de
recursos locales, como estaciones de trabajo y servidores miembro.
Es importante identificar con antelación a los propietarios de datos y servicios de Active Directory para que
puedan participar en la mayor parte del proceso de diseño que sea posible. Puesto que los propietarios de
datos y servicios son responsables del mantenimiento a largo plazo del directorio una vez que ha finalizado
el proyecto de implementación, es importante que estas personas proporcionen información relativa a las
necesidades organizativas y estén familiarizadas con los motivos y la forma en que se toman determinadas
decisiones de diseño. Entre los propietarios de servicios se incluyen el propietario del bosque, el propietario
del Sistema de nombres de dominio (DNS) de Active Directory y el propietario de la topología del sitio. Entre
los propietarios de datos se incluye a los propietarios de la unidad organizativa (OU).
Los administradores de servicios son responsables también de completar las tareas continuas de
implementación de Active Directory que son necesarias una vez que se ha completado el proceso inicial de
implementación de Active Directory de Windows Server 2008. Por ejemplo, a medida que aumentan las
demandas sobre el directorio, los administradores de servicios crean controladores de dominio adicionales y
establecen o eliminan las relaciones de confianza entre los dominios, según sea necesario. Por este motivo,
el equipo de implementación de Active Directory necesita incluir a administradores de servicios.
Hay que tener cuidado de asignar las funciones de administrador de servicios únicamente a personas de
confianza dentro de la organización. Puesto que estas personas tienenla capacidad de modificar los archivos
del sistema en los controladores de dominio, pueden modificar el comportamiento de AD DS. Es preciso
asegurarse de que los administradores de servicios de la organización sean personas que estén
familiarizadas con las directivas operativas y de seguridad vigentes en la red y que entiendan la necesidad
de hacer que se cumplan.
Los administradores de datos son usuarios de un dominio responsables tanto de mantener los datos que se
almacenan en AD DS, como cuentas de grupo y usuario, como de mantener los equipos miembros del
dominio. Los administradores de datos controlan subconjuntos de objetos dentro del directorio y no tienen
ningún control sobre la instalación o configuración del servicio de directorio.
De manera predeterminada no se proporcionan cuentas de administradores de datos. Una vez que el equipo
de diseño determina cómo deben administrarse los recursos para la organización, los propietarios del
dominio deben crear cuentas de administradores de datos y delegar en ellos los permisos correspondientes
basándose en el conjunto de objetos de los que van a ser responsables los administradores.
Es mejor limitar el número de administradores de servicios de la organización al número mínimo necesario
para garantizar que la infraestructura siga funcionando. La mayor parte del trabajo administrativo pueden
llevarla a cabo los administradores de datos. Los administradores de servicios requieren un conjunto de
destrezas mucho más amplio, ya que son responsables de mantener el directorio y la infraestructura que lo
sustenta. Los administradores de datos sólo requieren las habilidades necesarias para administrar su parte
del directorio. Dividir las asignaciones de trabajo de esta manera tiene como resultado un ahorro de costos
para la organización, ya que sólo es preciso impartir formación a un número reducido de administradores
para que haga funcionar y mantenga todo el directorio y su infraestructura.
Por ejemplo, un administrador de servicios necesita entender cómo agregar un dominio a un bosque. Ello
incluye saber cómo instalar el software para convertir un servidor en un controlador de dominio y cómo
manipular el entorno DNS para que el controlador de domino pueda combinarse sin problemas con el
entorno de Active Directory. Un administrador de datos sólo necesita saber cómo administrar los datos
específicos de los que son responsables, como la creación de nuevas cuentas de usuario para los empleados
nuevos del departamento.
Una vez que ha finalizado el proyecto de implementación, estos propietarios de datos y servicios siguen
siendo responsables de la parte de la infraestructura administrada por su grupo. En un entorno de Active
Directory, estos propietarios son el propietario del bosque, el propietario de DNS para AD DS, el propietario
de la topología del sitio y el propietario de la unidad organizativa (OU). Las funciones de estos propietarios
de datos y servicios se explican en las siguientes secciones.
• Implementación del primer controlador de dominio de cada dominio para crear los dominios
necesarios para el bosque
• Pertenencias de los grupos de administradores de servicios de todos los dominios del bosque
• Creación del diseño de la estructura de la unidad organizativa para cada dominio del bosque
• Cambios en el esquema
El propietario del bosque tiene autoridad sobre todo el bosque. Es responsabilidad del propietario del bosque
establecer las directivas de negocio y la directiva de grupo para seleccionar a las personas que serán
administradores de servicios. El propietario del bosque es un propietario de servicios.
• Servir como enlace entre el equipo de diseño y el grupo de TI que posee actualmente la
infraestructura de DNS
• Trabajar con el equipo de implementación para garantizar que la nueva infraestructura de DNS se
implemente conforme a las especificaciones del equipo de diseño y de que ésta está funcionando
adecuadamente.
• Administrar la infraestructura de DNS para AD DS, incluido el servicio Servidor DNS y los datos DNS
• Actualizar los objetos del sitio para los controladores de dominio cuando se agrega, modifica o
elimina una subred
• Realizar todas las tareas de administración de cuentas dentro de sus unidades organizativas (OU)
asignadas
• Administrar estaciones de trabajo y servicios miembro que son miembros de sus unidades
organizativas asignadas
• Delegar la autoridad en los administradores locales dentro de sus unidades organizativas (OU)
asignadas
El tamaño de los equipos de proyecto varía dependiendo del tamaño de la organización. En las
organizaciones pequeñas, una única persona puede abarcar varias áreas de responsabilidad en un equipo de
proyecto y participar en diversas fases de la implementación. Las organizaciones de gran tamaño pueden
requerir equipos más grandes con personas diferentes o incluso equipos distintos que abarquen las diversas
áreas de responsabilidad. El tamaño de los equipos no es importante siempre que se asignen todas las áreas
de responsabilidad y que los objetivos de diseño de la organización se satisfagan.
Para las organizaciones que tienen un grupo de TI de infraestructura centralizado, dicho grupo es
generalmente el propietario del bosque y, por tanto, el propietario en potencia del bosque para cualquier
implementación futura. Las organizaciones que contienen una serie de grupos de TI de infraestructura
independientes tienen un número de propietarios potenciales del bosque. Si la organización ya tiene una
infraestructura de Active Directory, los propietarios del bosque actuales son también los propietarios
potenciales del bosque para nuevas implementaciones.
Seleccione uno de los propietarios potenciales del bosque para que actúe como propietario de cualquier
bosque que esté considerando implementar. Estos propietarios potenciales del bosque son responsables de
trabajar con el equipo de diseño para determinar si se implementará realmente o no su bosque o si hay
algún curso de acción alternativo (como unirse a un bosque existente) con el que se haga un mejor uso de
los recursos disponibles al tiempo que se satisfacen sus necesidades. El propietario (o propietarios) del
bosque de la organización es miembro del equipo de diseño de Active Directory.
• Determinar cuántos bosques y dominios se necesitan y qué relaciones habrá entre los bosques y los
dominios
• Trabajar con los propietarios de los datos para garantizar que el diseño satisface sus requisitos
administrativos y de seguridad
• Trabajar con los administradores de red actuales para garantizar que la infraestructura de red
existente es compatible con el diseño y que éste no tendrá efectos adversos sobre las aplicaciones
implementadas en la red.
• Trabajar con los representantes del grupo de seguridad de la organización para garantizar que el
diseño satisface las directivas de seguridad establecidas.
• Diseñar estructuras de unidad organizativa (OU) que permitan niveles de protección apropiados y
una adecuada delegación de autoridad a los propietarios de los datos.
• Trabajar con el equipo de implementación para probar el diseño en un entorno de laboratorio a fin
de garantizar que funciona conforme a lo planeado, así como para modificarlo en caso de que sea
necesario solucionar cualquier problema que pudiera surgir.
• Crear un diseño de topología de sitio que satisfaga los requisitos de replicación del bosque al tiempo
que evita la sobrecarga del ancho de banda disponible. Para obtener más información sobre el
diseño de la topología del sitio, consulte el tema que trata acerca del diseño de la topología del sitio
de los Servicios de dominio de Active Directory en http://go.microsoft.com/fwlink/?LinkId=89026
(puede estar en inglés).
Durante el proceso de diseño de la estructura lógica, el equipo de diseño identifica a los demás propietarios.
Estas personas deben empezar a participar en el proceso de diseño tan pronto como sean designadas. Una
vez que el proyecto de implementación se entrega al equipo de implementación, el equipo de diseño es
responsable de supervisar el proceso de implementación para garantizar que el diseño se implemente
correctamente. El equipo de diseño también se encarga de realizar los cambios en el diseño conforme a los
comentarios recibidos de las pruebas.
• Asegurarse de que los propietarios cierran la sesión en el proceso de comprobación para garantizar
que se están comprobando las características de diseño correctas
Una vez completadas las tareas de diseño y prueba, el equipo de implementación realiza las siguientes
tareas:
• Crea los bosques y dominios conforme al diseño de la estructura lógica de Active Directory
• Crea los sitios y objetos de vínculo a sitios basándose en el diseño de la topología del sitio
• Garantiza que la infraestructura de DNS se configure para admitir AD DS y que todos los espacios
de nombres nuevos se integren en el espacio de nombres existente de la organización
El equipo de implementación trabaja con los administradores de datos y servicios durante la fase de
implementación para garantizar que los miembros del equipo de operaciones están familiarizados con el
nuevo diseño. Esto ayuda a garantizar que la transición de propiedad se realice con fluidez una vez
completada la operación de implementación. Al término del proceso de implementación, la responsabilidad
de mantener el nuevo entorno de Active Directory pasa al equipo de operaciones.
La creación del diseño de un bosque conlleva identificar primero los grupos de la organización que disponen
de recursos para alojar un bosque de Active Directory y, a continuación, definir los requisitos de diseño del
bosque. Por último, es preciso determinar el número de bosques que se requieren para satisfacer las
necesidades de la organización.
Una vez asignados todos los requisitos de diseño a modelos de bosque y seleccionado el modelo de bosque
que satisface las necesidades de la organización, se debe documentar el diseño de bosque propuesto. En la
documentación se incluirá el nombre del grupo para el que se diseña el bosque, la información de contacto
del propietario del bosque, el tipo de cada uno de los bosques que incluya y los requisitos que cada bosque
satisface. Esta documentación ayudará al equipo de diseño a garantizar que todas las personas adecuadas
participen en el proceso de diseño y a aclarar el alcance del proyecto de implementación.
Para ver una hoja de trabajo que le ayude a documentar el diseño de bosque propuesto, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de
implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 (puede estar
en inglés) y abra "Forest Design" (DSSLOGI_3.doc).
En esta sección
• Identificación de los requisitos de diseño del bosque
A la hora de crear el diseño de un bosque para la organización es preciso identificar los requisitos
comerciales a los que necesita ajustarse la estructura del directorio. Esto conlleva determinar el grado de
autonomía que los grupos de la organización necesitan para administrar sus recursos de red y si cada grupo
necesita o no aislar sus recursos en la red de los demás grupos.
Los Servicios de dominio de Active Directory (AD DS) permiten diseñar una infraestructura de directorios que
dé cabida a varios grupos de una organización con requisitos de administración únicos y conseguir la
independencia estructural y operativa que sea necesaria entre los grupos.
Los grupos de la organización podrían tener algunos de los siguientes tipos de requisitos:
• Requisitos operativos. Una parte de una organización podría imponer restricciones únicas sobre
la seguridad, disponibilidad o configuración del servicio de directorio, o usar aplicaciones que
impongan restricciones únicas en el directorio. Por ejemplo, unidades de negocio individuales dentro
de una organización podrían implementar aplicaciones habilitadas para el uso de directorios que
modifiquen el esquema del directorio y que no hayan implementado otras unidades de negocio.
Puesto que todos los dominios del bosque comparten el esquema del directorio, crear varios
bosques es una solución para casos como este. Se pueden encontrar otros ejemplos en los
siguientes casos y organizaciones:
• Organizaciones militares
• Escenarios de hospedaje
• Organizaciones que mantienen un directorio disponible tanto interna como externamente (como
aquellos a los que los usuarios pueden obtener acceso públicamente en Internet).
• Requisitos legales. Algunas organizaciones deben cumplir requisitos legales para operar de una
forma determinada, como por ejemplo limitar el acceso a ciertos datos especificados en un contrato
comercial. Algunas organizaciones deben cumplir requisitos de seguridad para operar en redes
internas aisladas. El incumplimiento de dichos requisitos puede dar lugar a la pérdida del contrato y
al inicio de posibles acciones legales.
Parte de la identificación de los requisitos de diseño del bosque consiste en identificar el grado de confianza
que los grupos de la organización pueden tener en los potenciales propietarios del bosque y sus
administradores de servicios y en identificar los requisitos de autonomía y aislamiento de cada grupo de la
organización.
En esta sección
• Ámbito de autoridad del administrador de servicios
Si decide participar en un bosque de Active Directory, debe confiar en el propietario del bosque y en los
administradores de servicios. Los propietarios del bosque son responsables de seleccionar y administrar a los
administradores de servicios; por lo tanto, si confía en un propietario de bosque, también confiará en los
administradores de servicios que éste administra. Los administradores de servicios tienen acceso a todos los
recursos del bosque. Antes de tomar la decisión de participar en un bosque, es importante entender que el
propietario del bosque y los administradores de servicios tendrán acceso total a los datos. Este acceso no
puede impedirse.
Todos los administradores de servicios de un bosque tienen un control absoluto sobre todos los datos y
servicios de todos los equipos del bosque. Los administradores de servicios tienen capacidad para hacer lo
siguiente:
• Corregir errores en listas de control de acceso (ACL) de objetos. Esto permite al administrador de
servicios leer, modificar o eliminar objetos con independencia de las ACL definidas en los mismos.
• Modificar el software del sistema de un controlador de dominio para pasar por alto las
comprobaciones de seguridad normales. Esto permite al administrador de servicios ver o manipular
cualquier objeto del dominio, con independencia de la ACL del objeto.
Por esta razón, los grupos que almacenan datos en unidades organizativas (OU) en el bosque y que unen
equipos a un bosque deben confiar en los administradores de servicios. Un grupo que se una a un bosque
debe decidir confiar en todos los administradores de servicios del bosque. Esto conlleva asegurarse de que:
• Se puede confiar en que el propietario del bosque actuará conforme a los intereses del grupo y que
no tiene motivos para comportarse de forma malintencionada en contra del grupo.
• El propietario del bosque limita adecuadamente el acceso físico a los controladores de dominio. Los
controladores de dominio de un bosque no se pueden aislar entre sí. Un atacante que tuviera
acceso físico a un solo controlador de dominio podría realizar sin conexión cambios en la base de
datos del directorio y, con ello, interferir en el funcionamiento de cualquier dominio del bosque, ver
o manipular datos almacenados en cualquier lugar del bosque, y ver o manipular datos
almacenados en cualquier equipo unido al bosque. Por este motivo, el acceso físico a los
controladores de dominio debe estar limitado al personal de confianza.
• Entiende y acepta el riesgo potencial que supondría que los administradores de servicios de
confianza fueran coaccionados a poner en peligro la seguridad del sistema.
Algunos grupos podrían determinar que las ventajas en cuanto a colaboración y ahorro de costos que supone
participar en una infraestructura compartida superan a los riesgos de que los administradores de servicios
hagan un mal uso de su autoridad o sean coaccionados para ello. Estos grupos pueden compartir un bosque
y usar unidades organizativas (OU) para delegar autoridad. Sin embargo, otros grupos podrían no aceptar
este riesgo porque las consecuencias de poner en peligro la seguridad sean demasiado graves. Estos grupos
requieren bosques independientes.
• Autonomía y aislamiento
Autonomía y aislamiento
Actualizado: abril de 2008
Es posible diseñar la estructura lógica de Active Directory para conseguir uno de estos dos objetivos:
• Autonomía del servicio. Este tipo de autonomía conlleva el control sobre la totalidad o parte
de la administración del servicio.
• Autonomía de datos. Este tipo de autonomía conlleva el control sobre la totalidad o parte de
los datos almacenados en el directorio o en equipos miembro unidos al directorio.
• Aislamiento. Implica el control independiente y exclusivo de un recurso. Cuando se consigue el
aislamiento, los administradores tienen autoridad para administrar un recurso de forma
independiente, y ningún otro administrador puede retirar dicho control. Es posible diseñar la
estructura lógica de Active Directory para conseguir los siguientes tipos de aislamiento:
• Aislamiento del servicio. Impide a los administradores (que no hayan sido designados
específicamente para controlar la administración del servicio) controlar o interferir en la
administración de los servicios.
Los administradores que requieren sólo autonomía aceptan que otros administradores con una autoridad
administrativa mayor o igual a la suya tengan un control igual o mayor que ellos sobre la administración de
los datos y servicios. Los administradores que requieren aislamiento tienen el control exclusivo sobre la
administración de los datos y servicios. Por lo general, es menos caro crear un diseño para lograr autonomía
que crear un diseño para lograr aislamiento.
En Servicios de dominio de Active Directory (AD DS), los administradores pueden delegar tanto la
administración de datos como la de servicios para lograr bien autonomía o bien aislamiento entre las
organizaciones. La combinación de los requisitos de administración de servicios, administración de datos,
autonomía y aislamiento de una organización influye en los contenedores de Active Directory que se usan
para delegar la administración.
Aislamiento de datos
El aislamiento de datos conlleva el control exclusivo sobre los datos por parte del grupo u organización
dueños de los mismos. Es importante destacar que los administradores de servicios tienen la capacidad de
retirar el control de un recurso a los administradores de datos. Los administradores de datos no pueden
impedir que los administradores de servicios obtengan acceso a los recursos que ellos controlan. Por lo
tanto, no se puede lograr el aislamiento de datos si otro grupo de la organización es responsable de la
administración de los servicios. Si un grupo requiere aislamiento de datos, dicho grupo debe asumir también
la responsabilidad de la administración de los servicios.
Puesto que los datos almacenados en AD DS y en equipos unidos a AD DS no se pueden aislar de los
administradores de servicios, la única manera de que un grupo de una organización logre un completo
aislamiento de datos es crear un bosque independiente para dichos datos. Las organizaciones para las que
un ataque con software malintencionado o por parte de un administrador de servicios coaccionado puede
tener consecuencias importantes podrían optar por crear un bosque independiente a fin de lograr el
aislamiento de los datos. Normalmente, los requisitos legales crean la necesidad de este tipo de aislamiento
de datos. Por ejemplo:
• Por ley, una institución financiera se ve obligada a limitar el acceso a los datos pertenecientes a los
clientes de una jurisdicción concreta a los usuarios, equipos y administradores situados en dicha
jurisdicción. Aunque la institución confíe en administradores de servicios que trabajan fuera del área
protegida, si se infringe la limitación de acceso la institución no podrá volver a realizar negocios en
dicha jurisdicción. Por lo tanto, la institución financiera debe aislar los datos frente a los
administradores de servicios que se encuentran fuera de esa jurisdicción. Hay que tener en cuenta
que el cifrado no siempre es una alternativa a esta solución. El cifrado podría no proteger los datos
frente a los aministradores de servicios.
• Un contratista de defensa está obligado por ley a limitar el acceso a los datos protegidos a un
conjunto de usuarios específico. Aunque el contratista confíe en administradores de servicios que
controlan sistemas informáticos relacionados con otros proyectos, cualquier infracción de esta
limitación de acceso provocará que el contratista pierda el negocio.
Autonomía de datos
La autonomía de datos tiene que ver con la capacidad de un grupo u organización para administrar sus
propios datos, incluida la toma de decisiones administrativas acerca de los datos y la realización de cualquier
tarea administrativa necesaria sin que sea precisa la aprobación de otra autoridad.
La autonomía de datos no impide a los administradores de servicios del bosque obtener acceso a los datos.
Por ejemplo, los miembros de un grupo de investigación de una organización de gran tamaño podrían
requerir la capacidad de administrar los datos específicos de un proyecto ellos mismos, pero no de proteger
los datos frente a otros administradores del bosque.
Aislamiento de servicios
El aislamiento de servicios conlleva el control exclusivo de la infraestructura de Active Directory. Los grupos
que requieren aislamiento de servicios requieren que ningún administrador externo al grupo pueda interferir
en el funcionamiento del servicio de directorio.
Los requisitos legales o de funcionamiento suelen crear la necesidad de aislamiento de servicios. Por
ejemplo:
• Una empresa de fabricación tiene una aplicación crítica que controla los equipos de la fábrica. No se
puede permitir que las interrupciones en el servicio de otras partes de la red de la organización
interfieran en el funcionamiento de la fábrica.
• Una empresa de hospedaje da servicio a varios clientes. Cada uno de los clientes requiere
aislamiento de servicios para que ninguna interrupción de los mismos que afecte a un cliente pueda
afectar a los demás.
La autonomía de servicios podría requerirse dentro de una organización para un grupo que requiriera la
capacidad de controlar el nivel de servicio de AD DS (agregando y eliminando controladores de dominio, en
caso necesario) o para un grupo que requiriera la capacidad de instalar aplicaciones habilitadas para
directorio que requiriesen extensiones de esquema.
Conectividad limitada
Si un grupo dentro de la organización posee redes que están separadas mediante dispositivos que restringen
o limitan la conectividad entre las redes, como firewalls y dispositivos de traducción de direcciones de red
(NAT), ello puede afectar al diseño del bosque. A la hora de identificar los requisitos de diseño del bosque,
asegúrese de anotar las ubicaciones en las que tiene una conectividad de red limitada. Esta información es
necesaria para poder tomar decisiones en relación con el diseño del bosque.
• Determinación del número de bosques requeridos
Para determinar el número de bosques que deben implementarse es necesario identificar y evaluar
cuidadosamente los requisitos de autonomía y aislamiento de cada grupo de la organización y asignar dichos
requisitos a los modelos de diseño de bosque adecuados.
Tenga en cuenta lo siguiente a la hora de determinar el número de bosques que desea implementar en la
organización:
• Los requisitos de aislamiento limitan las opciones de diseño. Por lo tanto, si identifica requisitos de
aislamiento, asegúrese de que los grupos realmente necesitan aislamiento de datos y que la
autonomía de datos no es suficiente para ellos. Asegúrese de que los diversos grupos de la
organización entienden con claridad los conceptos de aislamiento y autonomía.
• La negociación del diseño puede ser un proceso largo. Puede que los grupos tengan dificultades
para ponerse de acuerdo sobre la propiedad y los usos de los recursos disponibles. Asegúrese de
que los grupos de la organización tengan tiempo suficiente para realizar una investigación adecuada
que les permita identificar sus necesidades. Establezca plazos estrictos para tomar las decisiones de
diseño y obtenga el consenso de todas las partes respecto de los mismos.
• La determinación del número de bosques que se van a implementar conlleva equilibrar costos y
beneficios. Un modelo de bosque único es la opción más rentable y la que menos sobrecarga
administrativa supone. Si bien algún grupo de la organización podría preferir un funcionamiento
autónomo de los servicios, quizá sea más rentable para la organización suscribirse a un grupo de
servicios centralizados de tecnologías de la información (TI) de confianza. Esto permite al grupo ser
dueño de la administración de los datos sin incurrir en los costos añadidos de la administración de
servicios. El equilibrio entre costos y beneficios podría requerir la intervención del patrocinador
ejecutivo.
• Todos los objetos de un bosque único se incluyen en el catálogo global. Por lo tanto, no es
necesaria ninguna sincronización entre bosques.
• Sólo debe haber una instancia de un dominio de Active Directory en cada momento. Microsoft no
permite clonar, dividir o copiar los controladores de dominio de un dominio para intentar establecer
una segunda instancia del mismo dominio. Para obtener más información sobre esta limitación,
consulte la siguiente sección.
Limitaciones de reestructuración
Cuando una empresa adquiere otra empresa, unidad de negocio o línea de productos, puede que desee
adquirir también los correspondientes activos de TI al vendedor. Concretamente, el comprador podría desear
adquirir la totalidad o parte de los controladores de dominio que hospedan las cuentas de usuario, cuentas
de equipo y grupos de seguridad correspondientes a los activos comerciales que se van a comprar. Los
únicos métodos que se admiten para que el comprador adquiera los activos de TI almacenados en el bosque
de Active Directory del vendedor son los siguientes:
1. Adquirir la única instancia del bosque, incluidos todos los controladores de dominio y datos del
directorio del bosque entero del vendedor.
2. Migrar los datos del directorio necesarios desde los dominios o el bosque del vendedor a uno o más
dominios del comprador. El destino de dicha migración podría ser un bosque totalmente nuevo o
uno o más dominios existentes que ya estén implementados en el bosque del comprador.
• A cada dominio de un bosque de Active Directory se le asigna una identidad única durante la
creación del bosque. Copiar controladores de dominio de un dominio original en un dominio clonado
pone en peligro la seguridad tanto de los dominios como del bosque. Entre las amenazas al dominio
original y el dominio clonado se incluyen las siguientes:
• Uso compartido de contraseñas que se pueden usar para obtener acceso a los recursos
• Los dominios clonados comparten una misma identidad de seguridad; por lo tanto, no pueden
establecerse entre ellos relaciones de confianza, aun cuando se haya cambiado el nombre de uno o
de los dos dominios.
El propietario del bosque es responsable de crear el diseño de un dominio para el bosque. Crear el diseño de
un dominio conlleva examinar los requisitos de replicación y la capacidad de la infraestructura de red y, a
continuación, crear una estructura de dominio que permita a los Servicios de dominio de Active Directory
(AD DS) funcionar de la forma más eficiente. Los dominios se usan para crear una partición del directorio de
manera que la información del mismo se pueda distribuir y administrar de forma eficiente en toda la
empresa. El objetivo a la hora de diseñar un dominio es maximizar la eficacia de la topología de replicación
de Active Directory y garantizar, al mismo tiempo, que la replicación no consuma demasiado ancho de banda
y no interfiera en el funcionamiento diario de la red.
En esta sección
• Revisión de los modelos de dominio
Los siguientes factores repercuten en el modelo de diseño del dominio que elija:
• Capacidad disponible en la red que desea asignar a los Servicios de dominio de Active Directory
(AD DS). El objetivo es seleccionar un modelo que proporcione una replicación eficaz de la
información con una mínima repercusión sobre el ancho de banda disponible de la red.
El diseño de dominio más sencillo es el dominio único. En un diseño de dominio único, toda la información se
replica para la totalidad de los controladores del dominio. No obstante, en caso necesario es posible
implementar dominios regionales adicionales. Esto podría ocurrir si partes de la infraestructura de red están
conectadas por vínculos de baja velocidad y el propietario del bosque desea asegurarse de que el tráfico de
replicación no sobrepasa la capacidad asignada a AD DS.
Es mejor minimizar el número de dominios que se implementan en el bosque. Así se reduce la complejidad
general de la implementación y, como resultado, se reduce el costo total de propiedad. En la siguiente tabla
se relacionan los costos administrativos asociados a la adición de dominios regionales.
Costo Implicaciones
Administración de varios grupos de Cada dominio tiene sus propios grupos de administradores de
administradores de servicios servicios que es preciso administrar de forma independiente.
La pertenencia de estos grupos de administradores de
servicios debe controlarse cuidadosamente.
Mantenimiento de la coherencia entre La aplicación de las opciones de directiva de grupo que deban
opciones de directiva de grupo que aplicarse en todo el bosque deberá realizarse por separado a
son comunes a varios dominios cada dominio individual del bosque.
Aumento de las probabilidades de que A mayor número de dominios, mayor es la probabilidad de que
se muevan objetos entre dominios los usuarios necesiten moverse de un dominio a otro. Este
movimiento puede afectar a los usuarios finales.
Nota
Las directivas de bloqueo de cuenta y contraseña específica de Windows Server 2008 pueden repercutir
también en el modelo de diseño del dominio que se seleccione. Antes de la aparición de esta versión de
Windows Server 2008, sólo se podía aplicar una directiva de bloqueo de cuenta y contraseña,
especificada en la directiva predeterminada de dominio del dominio, a todos los usuarios del dominio.
Como resultado, si quería disponer de una configuración de bloqueo de cuenta y contraseña distinta
para varios conjuntos de usuarios, tenía que crear un filtro de contraseña, o bien implementar varios
dominios. Ahora se pueden usar directivas de contraseña específica para establecer varias directivas de
contraseña y para aplicar diversas restricciones de contraseña y directivas de bloqueo de cuenta a
grupos de usuarios diferentes dentro de un solo dominio. Para obtener más información acerca de las
directivas de bloqueo de cuenta y contraseña específica, consulte la Guía paso a paso de configuración
de directivas de bloqueo de cuentas y contraseñas específicas en http://go.microsoft.com/fwlink/?
LinkID=91477 (puede estar en inglés).
El modelo de bosque de dominio único reduce la complejidad administrativa y ofrece las siguientes ventajas:
• Cualquier controlador del dominio puede autenticar a cualquier usuario del bosque.
• Todos los controladores de dominio pueden ser catálogos globales, por lo que no es necesario
planear la ubicación de un servidor de catálogo global.
En un bosque de dominio único, todos los datos del directorio se replican en todas las ubicaciones
geográficas que hospedan controladores de dominio. Si bien este modelo es el más fácil de administrar,
también crea el mayor volumen de tráfico de replicación de los dos modelos de dominio. La partición del
directorio en varios dominios limita la replicación de objetos a regiones geográficas específicas, pero da lugar
a una mayor sobrecarga administrativa.
El modelo de dominio regional permite mantener un entorno estable a lo largo del tiempo. Base las regiones
usadas para definir los dominios del modelo en elementos estables, como límites continentales. Los dominios
basados en otros factores, como los grupos de la organización, pueden cambiar con frecuencia y podrían
requerir la reestructuración del entorno.
El modelo de dominio regional consiste en un dominio raíz del bosque y uno o más dominios regionales.
Crear el diseño de un modelo de dominio regional conlleva identificar el dominio raíz del bosque y
determinar el número de dominios adicionales que se necesitan para satisfacer los requisitos de replicación.
Si la organización incluye grupos que requieren el aislamiento de datos o de servicios frente a otros grupos
de la organización, cree un bosque independiente para dichos grupos. Los dominios no proporcionan
aislamiento de datos ni aislamiento de servicios.
Todos los bosques tienen al principio un único dominio. El número máximo de usuarios que puede contener
un bosque de un solo dominio se basa en el vínculo de menor velocidad que debe dar cabida a la replicación
entre los controladores de dominio y el ancho de banda disponible que se desea asignar a los Servicios de
dominio de Active Directory (AD DS). En la tabla siguiente se indica el número máximo recomendado de
usuarios que un dominio puede contener en función del bosque de un único dominio, la velocidad del vínculo
más lento y el porcentaje de ancho de banda que se desea reservar para la replicación. Esta información se
aplica a bosques que contienen un máximo de 100.000 usuarios y una conectividad igual o superior a
28,8 kilobits por segundo (Kbps). Consulte a un diseñador de Active Directory experimentado para que le
indique las recomendaciones aplicables a los bosques que contienen más de 100.000 usuarios o una
conectividad inferior a 28,8 Kbps. Los valores de la tabla siguiente se basan en el tráfico de replicación que
se genera en un entorno con las siguientes características:
• Cada año se une al bosque un 20% de nuevos usuarios.
Nota
Las cifras indicadas en la tabla siguiente son aproximaciones. La cantidad de tráfico de replicación
depende en gran medida en el número de cambios realizados en el directorio en un tiempo
determinado. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un
laboratorio la cantidad y frecuencia estimadas de los cambios en el diseño antes de implementar los
dominios.
el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS se replicará en
el dominio.
2. En la fila correspondiente a la velocidad del vínculo más lento, busque la columna que representa el
porcentaje de ancho de banda que desea asignar a AD DS. El valor en dicha ubicación es el número
máximo de usuarios que puede contener el dominio de un bosque de un único dominio.
Si determina que el número total de usuarios del bosque es inferior al número máximo de usuarios que
puede contener el dominio, puede usar un dominio único. Asegúrese de tener en cuenta el crecimiento
futuro planeado al tomar esta decisión. Si determina que el número total de usuarios del bosque es superior
al número máximo de usuarios que puede contener el dominio, necesitará reservar un porcentaje mayor de
ancho de banda para la replicación, aumentar la velocidad del vínculo o dividir la organización en dominios
regionales.
Tenga en cuenta que, puesto que necesita crear un dominio de Active Directory para cada región que
establezca, es recomendable minimizar el número de regiones que se van a definir para AD DS. Si bien es
posible incluir un número ilimitado de dominios en un bosque, para facilitar la administración se recomienda
que un boque no contenga más de 10 dominios. Al dividir la organización en dominios regionales deberá
alcanzar el adecuado equilibrio entre optimizar el ancho de banda de replicación y minimizar la complejidad
administrativa.
En primer lugar, determine el número máximo de usuarios que puede hospedar el bosque. Base esta
decisión en el vínculo más lento del bosque a través del cual se replicarán los controladores de dominio y en
la cantidad media de ancho de banda que desea asignar a la replicación de Active Directory. En la siguiente
tabla se indica el número máximo recomendado de usuarios que puede contener un bosque. Este número se
basa en la velocidad del vínculo más lento y en el porcentaje de ancho de banda que se desea reservar para
la replicación. Esta información se aplica a bosques que contienen un máximo de 100.000 usuarios y una
conectividad igual o superior a 28,8 Kbps. Los valores de la tabla se basan en las siguientes suposiciones:
• Los usuarios son miembros de cinco grupos globales y cinco grupos universales.
Nota
Las cifras indicadas en la tabla siguiente son aproximaciones. La cantidad de tráfico de replicación
depende en gran medida en el número de cambios realizados en el directorio en un tiempo
determinado. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un
laboratorio la cantidad y frecuencia estimadas de los cambios en el diseño antes de implementar los
dominios.
el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS se replicará en
el bosque.
2. En la fila correspondiente a la velocidad del vínculo más lento, busque la columna que representa el
porcentaje de ancho de banda que desea asignar a AD DS. El valor que aparece ahí es el número
máximo de usuarios que el bosque puede hospedar.
Si el número máximo de usuarios que el bosque puede hospedar es superior al número de usuarios que
necesita hospedar, un único bosque funcionará para su diseño. Si necesita hospedar más usuarios que el
número máximo identificado, necesita aumentar la velocidad mínima del vínculo, asignar un mayor
porcentaje de ancho de banda para AD DS o implementar bosques adicionales.
Si determina que un único bosque dará cabida al número de usuarios que necesita hospedar, el siguiente
paso es determinar el número máximo de usuarios que puede admitir cada región basándose en el vínculo
más lento de dicha región. Divida los bosques en regiones que tengan sentido desde su punto de vista.
Asegúrese de que su decisión se basa en factores que no es probable que cambien. Por ejemplo, use
continentes en lugar de regiones de ventas. Estas regiones serán la base de la estructura del dominio
cuando haya identificado el número máximo de usuarios.
Determine el número de usuarios que necesita hospedar en cada región y, a continuación, compruebe que
no sobrepasa el máximo permitido conforme a la velocidad del vínculo más lento y el ancho de banda
asignado a AD DS en dicha región. En la siguiente tabla se indica el número máximo recomendado de
usuarios que puede contener un dominio regional. Este número se basa en la velocidad del vínculo más lento
y en el porcentaje de ancho de banda que se desea reservar para la replicación. Esta información se aplica a
bosques que contienen un máximo de 100.000 usuarios y una conectividad igual o superior a 28,8 Kbps. Los
valores de la tabla se basan en las siguientes suposiciones:
• Los usuarios son miembros de cinco grupos globales y cinco grupos universales.
Nota
Las cifras indicadas en la tabla siguiente son aproximaciones. La cantidad de tráfico de replicación
depende en gran medida en el número de cambios realizados en el directorio en un tiempo
determinado. Confirme que la red puede dar cabida al tráfico de replicación comprobando en un
laboratorio la cantidad y frecuencia estimadas de los cambios en el diseño antes de implementar los
dominios.
el valor que coincida con la velocidad del vínculo más lento a través del cual AD DS se replicará en
la región.
2. En la fila correspondiente a la velocidad del vínculo más lento, busque la columna que representa el
porcentaje de ancho de banda que desea asignar a AD DS. Ese valor representa el número máximo
de usuarios que la región puede hospedar.
Evalúe cada una de las regiones propuestas y determine si el número máximo de usuarios de cada región es
inferior al número máximo recomendado de usuarios que puede contener un dominio. Si determina que la
región puede hospedar el número de usuarios que necesita, puede crear un dominio para dicha región. Si
determina que no puede hospedar a tantos usuarios, considere la posibilidad de dividir el diseño en regiones
más pequeñas y vuelva a calcular el número máximo de usuarios que se puede hospedar en cada una. Las
otras alternativas son asignar más ancho de banda o aumentar la velocidad del vínculo.
Si bien el número total de usuarios que se puede incluir en un dominio de un bosque con varios dominios es
menor que el número de usuarios del dominio de un bosque de dominio único, el número global de usuarios
de un bosque con varios dominios puede ser más elevado. El número más pequeño de usuarios por dominio
de un bosque con varios dominios se adapta a la sobrecarga de replicación adicional que se crea al mantener
el catálogo global en dicho entorno. Consulte a un diseñador de Active Directory experimentado para que le
indique las recomendaciones aplicables a los bosques que contienen más de 100.000 usuarios o una
conectividad inferior a 28,8 Kbps.
Para ver una hoja de trabajo que le ayude a documentar las regiones identificadas, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de
implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 (puede estar
en inglés) y abra "Identifying Regions" (DSSLOGI_4.doc).
• Determinación de si hay que actualizar los dominios existentes o
implementar otros nuevos
Los dominios del diseño pueden ser dominios nuevos o actualizaciones de dominios existentes. Los usuarios
de dominios existentes que no actualice deberán moverse a dominios nuevos.
Mover cuentas de un dominio a otro puede afectar a los usuarios finales. Antes de elegir entre mover los
usuarios a un dominio nuevo o actualizar los dominios existentes, evalúe las ventajas administrativas a largo
plazo de contar con un dominio de AD DS nuevo frente a los costos de mover a los usuarios al dominio.
Para obtener más información sobre la actualización de dominios de Active Directory a Windows
Server 2008, consulte el tema que trata acerca de la actualización de dominios de AD DS a Windows
Server 2008 en http://go.microsoft.com/fwlink/?LinkId=89032.
Para obtener más información acerca de la reestructuración de los dominios de AD DS dentro de los bosques
y entre bosques, consulte la guía de migración de la herramienta de migración de Active Directory versión
3.1 en http://go.microsoft.com/fwlink/?LinkId=82740 (puede estar en inglés).
Para ver una hoja de trabajo que le ayude a documentar los planes de dominios nuevos y actualizados,
descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de
implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 (puede estar
en inglés) y abra "Domain Planning" (DSSLOGI_5.doc).
Regla Explicación
Seleccione un prefijo que no tenga Evite nombres como los de una línea de productos o un
probabilidades de quedarse obsoleto. sistema operativo que pudieran cambiar en el futuro. Se
recomienda usar nombres geográficos.
Seleccione un prefijo que incluya A-Z, a-z, 0-9 y (-), pero no enteramente numérico.
únicamente caracteres estándar de
Internet.
• Para obtener más información, consulte todo lo relativo a las convenciones de nomenclatura de
Active Directory para equipos, dominios, sitios y unidades organizativas (OU) en
http://go.microsoft.com/fwlink/?LinkId=106629 (puede estar en inglés).
• Si el nombre NetBIOS actual del dominio no es adecuado para representar la región o no satisface
las reglas de nomenclatura de prefijos, seleccione otro prefijo. En este caso, el nombre NetBIOS del
dominio será diferente al prefijo DNS del dominio.
• Para cada dominio nuevo que implemente, seleccione un prefijo que sea apropiado a la región y que
satisfaga las reglas de nomenclatura de prefijos. Se recomienda que el nombre NetBIOS del
dominio sea el mismo que el prefijo DNS.
• Documente el prefijo DNS y los nombres NetBIOS que seleccione para cada dominio del bosque.
Puede agregar la información del nombre NetBIOS y DNS a la hoja de trabajo "Domain Planning"
que creó para documentar el plan de los dominios nuevos y actualizados. Para abrirla, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de
implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558
(puede estar en inglés) y abra "Domain Planning" (DSSLOGI_5.doc).
El primer dominio que se implementa en un bosque de Active Directory se denomina dominio raíz del
bosque. Este dominio permanece como dominio raíz del bosque durante el ciclo de vida de la
implementación de AD DS.
El dominio raíz del bosque contiene los grupos Administradores de organización y Administradores de
esquema. Estos grupos de administradores de servicios se usan para administrar operaciones en el nivel del
bosque, como la adición o eliminación de dominios y la implementación de cambios en el esquema.
Seleccionar el dominio raíz del bosque implica determinar si uno de los dominios de Active Directory del
diseño puede funcionar como dominio raíz del bosque o si es necesario implementar uno dedicado.
Para obtener información sobre la implementación de un dominio raíz del bosque, consulte el tema que trata
acerca de la implementación de un dominio raíz del bosque de Windows Server 2008 en
http://go.microsoft.com/fwlink/?LinkId=89028 (puede estar en inglés).
Usar una raíz del bosque dedicada ofrece las siguientes ventajas:
• Separación operativa de los administradores de servicios del bosque de los administradores de
servicios del dominio. En un entorno de dominio único, los miembros de los grupos Administradores
del dominio y Administradores integrado pueden usar procedimientos y herramientas estándar para
convertirse a sí mismos en miembros de los grupos Administradores de organización y
Administradores de esquema. En un bosque que usa un dominio raíz del bosque dedicado, los
miembros de los grupos Administradores del dominio y Administradores integrado de los dominios
regionales no se pueden convertir en miembros de los grupos de administradores de servicios del
nivel del bosque usando procedimientos y herramientas estándar.
• Protección frente a cambios operativos en otros dominios. Un dominio raíz del bosque dedicado no
representa a ninguna región concreta en la estructura del dominio. Por este motivo, no se ve
afectado por reorganizaciones u otros cambios que den lugar al cambio de nombre o
reestructuración de los dominios.
• Funciona como raíz neutral, por lo que ninguna región aparece subordinada a otra. Algunas
organizaciones podrían preferir evitar que un país o región aparecieran subordinados a otros en el
espacio de nombres. Cuando se usa un dominio raíz del bosque dedicado, todos los dominios
regionales pueden encontrarse en el mismo nivel dentro de la jerarquía del dominio.
En un entorno de dominio regional múltiple en el que se usa una raíz del bosque dedicada, la replicación del
dominio raíz del bosque tiene una repercusión mínima sobre la infraestructura de red. Esto es así porque la
raíz del bosque sólo alberga cuentas de administradores de servicios. La mayoría de las cuentas de usuario
del bosque y otros datos específicos del dominio se almacenan en los dominios regionales.
Una desventaja de usar un dominio raíz del bosque dedicado es que crea más carga administrativa para
admitir el dominio adicional.
La ventaja de seleccionar un dominio regional para que funcione como el dominio raíz del bosque es que no
crea la carga administrativa adicional que conlleva mantener un dominio adicional. Seleccione un dominio
regional adecuado para que sea la raíz del bosque, como el dominio que representa a sus oficinas centrales o
la región que tiene las conexiones de red más rápidas. Si a su organización le resulta difícil seleccionar un
dominio regional para que sea el dominio raíz del bosque, puede elegir en su lugar usar un modelo de raíz
del bosque dedicado.
Seleccione el sufijo de una lista de nombres existente en la red. Para el prefijo, seleccione un nombre nuevo
que no se haya usado en la red con anterioridad. Agregando un prefijo nuevo a un sufijo existente se crea
un espacio de nombres único. La creación de un espacio de nombres nuevo para los Servicios de dominio de
Active Directory (AD DS) garantiza que cualquier infraestructura DNS existente no tenga que modificarse
para acomodar a AD DS.
Selección de un sufijo
Para seleccionar un sufijo para el dominio raíz del bosque:
1. Póngase en contacto con el propietario de DNS de la organización para obtener una lista de los
sufijos de DNS registrados que se usan en la red que albergará a AD DS. Tenga en cuenta que los
sufijos usados en la red interna pueden ser diferentes de los que se usan externamente. Por
ejemplo, una organización podría usar contosopharma.com en Internet y contoso.com en la red
corporativa interna.
2. Consulte al propietario de DNS para seleccionar un sufijo que se pueda usar con AD DS. Si no
existen sufijos adecuados, registre un nombre nuevo en una entidad de nomenclatura de Internet.
Se recomienda usar nombres DNS que estén registrados en una entidad de Internet en el espacio de
nombres de Active Directory. Sólo los nombres registrados tienen garantías de ser únicos globalmente. Si
otra organización registra posteriormente el mismo nombre de dominio DNS (o si su organización se fusiona
con, adquiere o es adquirida por otra empresa que usa el mismo nombre DNS), las dos infraestructuras no
podrán interactuar entre sí.
Precaución
No use nombres DNS de etiqueta única. Para obtener más información, consulte todo lo relativo a la
configuración de Windows para dominios con nombres DNS de etiqueta única en
http://go.microsoft.com/fwlink/?LinkId=106631 (puede estar en inglés). Tampoco se recomienda usar
sufijos no registrados, como .local.
Selección de un prefijo
Si elige un sufijo registrado que ya se esté usando en la red, seleccione un prefijo para el nombre del
dominio raíz del bosque usando las reglas para prefijos de la tabla siguiente. Agregue un prefijo que no se
encuentre en uso actualmente para crear un nuevo nombre subordinado. Por ejemplo, si el nombre raíz de
DNS es contoso.com, puede crear el nombre del dominio raíz del bosque de Active Directory
concorp.contoso.com, siempre que el espacio de nombres concorp.contoso.com no se esté usando ya en la
red. Esta nueva rama del espacio de nombres estará dedicará a AD DS y puede integrarse fácilmente con la
implementación de DNS existente.
Si ha seleccionado un dominio regional para que funcione como dominio raíz del bosque, podría ser
necesario seleccionar un nuevo prefijo para el dominio. Puesto que el nombre del dominio raíz del bosque
afecta a todos los demás nombres de dominio del bosque, un nombre basado en una región podría no ser
adecuado. Si usa un sufijo nuevo que no se está usando actualmente en la red, puede utilizarlo como
nombre del dominio raíz del bosque sin elegir ningún prefijo adicional.
En la siguiente tabla se enumeran las reglas de selección de prefijos para nombres DNS registrados.
Regla Explicación
Seleccione un prefijo que no tenga Evite nombres como los de una línea de productos o un sistema
probabilidades de quedarse operativo que pudieran cambiar en el futuro. Se recomienda
obsoleto. usar nombres genéricos, como corp o ds.
Seleccione un prefijo que incluya A-Z, a-z, 0-9 y (-), pero no sólo números.
únicamente caracteres estándar de
Internet.
Incluya 15 caracteres o menos en el Si elige un prefijo de longitud igual o inferior a 15 caracteres, el
prefijo. nombre NetBIOS será igual al prefijo.
Es importante que el propietario de DNS de Active Directory y el propietario de DNS trabajen juntos para
que la organización obtenga la propiedad del nombre que se usará para el espacio de nombres de
Active Directory. Para obtener más información sobre cómo diseñar una infraestructura de DNS para admitir
AD DS, consulte Creación del diseño de una infraestructura DNS.
Una vez creados los diseños del dominio y el bosque de Active Directory, es preciso diseñar una
infraestructura de Sistema de nombres de dominio (DNS) que sea compatible con la estructura lógica de
Active Directory. DNS permite a los usuarios usar nombres descriptivos fáciles de recordar para conectarse a
los equipos y otros recursos de las redes IP. Los Servicios de dominio de Active Directory (AD DS) de
Windows Server 2008 requieren DNS.
El proceso para diseñar un DNS que admita AD DS varía dependiendo de si en la organización existe ya un
servicio Servidor DNS o si se está implementando un nuevo servicio Servidor DNS:
• Si ya existe una infraestructura DNS, se debe integrar el espacio de nombres de Active Directory en
ese entorno. Para obtener más información, consulte Integración de AD DS en una infraestructura
DNS existente.
• Si no tiene una infraestructura DNS, debe diseñar e implementar una nueva infraestructura DNS
para que sea compatible con AD DS. Para obtener más información, consulte el tema que trata
acerca de la implementación del Sistema de nombres de dominio (DNS) en
http://go.microsoft.com/fwlink/?LinkId=93656 (puede estar en inglés).
Si en la organización ya existe una infraestructura DNS, debe asegurarse de que comprende la forma en que
ésta interactuará con el espacio de nombres de Active Directory. Para ver una hoja de trabajo que le ayude a
documentar el diseño de la infraestructura DNS existente, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de
implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 (puede estar
en inglés) y abra "DNS Inventory" (DSSLOGI_8.doc).
Nota
Además de con las direcciones IP versión 4 (IPv4), Windows Server 2008 es compatible también con
las direcciones IP versión 6 (IPv6). Para ver una hoja de trabajo que le ayude a realizar una lista de las
direcciones IPv6 mientras documenta el método de resolución de nombres recursivos de la estructura
DNS actual, consulte Apéndice A: Inventario de DNS.
Antes de diseñar la infraestructura DNS compatible con AD DS, puede ser útil leer información acerca de la
jerarquía de DNS, el proceso de resolución de nombres de DNS y la compatibilidad de DNS con AD DS. Para
obtener más información acerca del proceso de resolución de nombres y la jerarquía de DNS, consulte la
referencia técnica de DNS en http://go.microsoft.com/fwlink/?LinkID=48145 (puede estar en inglés). Para
obtener más información acerca de la compatibilidad de DNS y AD DS, consulte la referencia técnica de
compatibilidad entre DNS y AD DS en http://go.microsoft.com/fwlink/?LinkID=48147 (puede estar en
inglés).
En esta sección
• Revisión de los conceptos de DNS
• DNS y AD DS
Los propietarios del bosque son los responsables de la creación de diseños de unidad organizativa (OU) para
sus dominios. Crear un diseño de unidad organizativa implica diseñar la estructura de la unidad organizativa,
asignar la función de propietario de la misma y crear unidades organizativas de recursos y cuentas.
En principio, diseñe la estructura de la unidad organizativa para habilitar la delegación de las tareas
administrativas. Cuando haya terminado el diseño de la unidad organizativa, puede crear estructuras de
unidad organizativa adicionales para aplicar la directiva de grupo a los usuarios y equipos y limitar la
visibilidad de los objetos. Para obtener más información, consulte lo relativo al diseño de una infraestructura
de directiva de grupo en http://go.microsoft.com/fwlink/?LinkId=106655 (puede estar en inglés).
Puesto que los propietarios de una unidad organizativa no poseen ni controlan el funcionamiento del servicio
de directorio, es posible separar la propiedad y la administración del servicio de directorio de la propiedad y
la administración de los objetos, lo que reducirá el número de administradores de servicios que tienen
niveles elevados de acceso.
Las unidades organizativas proporcionan autonomía administrativa y los medios para controlar la visibilidad
de los objetos del directorio. Las unidades organizativas ofrecen aislamiento respecto de otros
administradores de datos, pero no respecto de los administradores de servicios. Si bien los propietarios de
una unidad organizativa tienen el control sobre un subárbol de objetos, el propietario del bosque conserva
pleno control sobre todos los subárboles. Esto permite al propietario del bosque corregir errores, como un
error en una lista de control de acceso (ACL), y recuperar subárboles delegados cuando los administradores
de datos finalicen.
Las unidades organizativas de recursos contienen recursos y las cuentas que son responsables de
administrar dichos recursos. El propietario del bosque es responsable también de crear una estructura de
unidad organizativa para administrar esos recursos y para delegar el control de dicha estructura en el
propietario de la unidad organizativa. Cree las unidades organizativas de recursos que sean necesarias de
acuerdo con los requisitos de cada grupo de la organización en materia de autonomía para la administración
de datos y equipos.
Es importante documentar el diseño de la unidad organizativa. Haga una lista con los nombres de las
unidades organizativas que planea crear. Y, para cada unidad organizativa, documente el tipo, propietario y
origen de la unidad organizativa, así como la unidad organizativa principal (si procede).
Para ver una hoja de trabajo que le ayude a documentar el diseño de la unidad organizativa, descargue
Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de
implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 (puede estar
en inglés) y abra "Identifying OUs for Each Domain" (DSSLOGI_9.doc).
En esta sección
• Revisión de los conceptos de diseño de la unidad organizativa
• Una lista de usuarios o grupos que tienen control sobre la unidad organizativa o los objetos de la
misma
• El tipo de control que los usuarios y grupos tienen sobre los objetos de la unidad organizativa
La jerarquía de la unidad organizativa no tiene por qué reflejar la jerarquía de los departamentos de la
organización o grupo. Las unidades organizativas se crean para una finalidad específica, como la delegación
de tareas de administración o la aplicación de una directiva de grupo, o bien para limitar la visibilidad de los
objetos.
Es posible diseñar una estructura de unidad organizativa propia con el fin de delegar la administración en
individuos o grupos de la organización que requieran autonomía para administrar sus propios datos y
recursos. Las unidades organizativas representan límites administrativos y permiten controlar el ámbito de
autoridad de los administradores de datos.
Por ejemplo, puede crearse una unidad organizativa denominada OURecursos y usarla para almacenar todas
las cuentas del equipo que pertenecen a los servidores de impresión y archivo administrados por un grupo.
Posteriormente es posible configurar la seguridad de la unidad organizativa para que sólo los
administradores del grupo tengan acceso a la misma. De esta manera se impide que los administradores de
datos de otros grupos manipulen las cuentas del servidor de impresión y archivo.
La estructura de la unidad organizativa puede refinarse aun más mediante la creación de subárboles de
unidades organizativas para fines concretos, como la aplicación de una directiva de grupo, o para limitar la
visibilidad de los objetos protegidos de manera que sólo puedan verlos usuarios determinados. Por ejemplo,
si necesita aplicar una directiva de grupo a un grupo seleccionado de usuarios o recursos, puede agregar
dichos usuarios o recursos a una unidad organizativa y, a continuación, aplicarle a la misma la citada
directiva de grupo. También se puede usar la jerarquía de la unidad organizativa para habilitar una mayor
delegación del control administrativo.
Si bien, desde el punto de vista técnico, no existe límite en el número de niveles que puede tener la
estructura de una unidad organizativa, por razones de capacidad de administración se recomienda que no
supere los 10 niveles. Técnicamente, el número de unidades organizativas de cada nivel no tiene límite.
Tenga en cuenta que las aplicaciones habilitadas para Servicios de dominio de Active Directory (AD DS)
pueden imponer restricciones al número de caracteres usados en el nombre distintivo, es decir, la ruta LDAP
(Protocolo ligero de acceso a directorios) completa al objeto del directorio o al número de niveles de la
unidad organizativa dentro de la jerarquía.
No se pretende que la estructura de la unidad organizativa en AD DS sea visible para los usuarios finales. La
estructura de la unidad organizativa es una herramienta administrativa para los administradores de datos y
del servicios, y es fácil cambiarla. Siga revisando y actualizando el diseño de la estructura de la unidad
organizativa para reflejar los cambios en la estructura administrativa y admitir la administración basada en
directiva.
Las unidades organizativas pueden usarse para delegar la administración de los objetos, como usuarios o
equipos, de la unidad organizativa en el individuo o grupo que se haya designado. Para delegar la
administración usando una unidad organizativa, coloque al individuo o grupo en el que desee delegar los
derechos administrativos dentro de un grupo, coloque el conjunto de objetos que desee controlar dentro de
una unidad organizativa y, a continuación, delegue las tareas administrativas de la unidad organizativa a
dicho grupo.
Servicios de dominio de Active Directory (AD DS) permite controlar las tareas administrativas que pueden
delegarse en un nivel muy detallado. Por ejemplo, es posible asignar a un grupo el control total de todos los
objetos de una unidad organizativa, asignar a otro grupo únicamente los derechos para crear, eliminar y
administrar cuentas de usuario dentro de la unidad organizativa y, finalmente, asignar a un tercer grupo el
derecho a restablecer contraseñas de cuentas de usuario. Estos permisos pueden hacerse heredables de
manera que se apliquen a cualquier unidad organizativa que se coloque en subárboles de la unidad
organizativa original.
En esta sección
• Delegación de la administración de unidades organizativas (OU) y contenedores predeterminados
Todos los dominios de Active Directory contienen un conjunto estándar de contenedores y unidades
organizativas (OU) que se crean durante la instalación de los Servicios de dominio de Active Directory (AD
DS). A continuación se enumeran algunas:
• Contenedor de dominio, que sirve de contenedor raíz para la jerarquía
• Contenedor de usuarios, que la ubicación predeterminada para las nuevas cuentas de usuario y
grupos creados en el dominio
• Contenedor de equipos, que la ubicación predeterminada para las nuevas cuentas de equipo
creados en el dominio
• Unidad organizativa (OU) Controladores de dominio, que es la ubicación predeterminada para las
cuentas de equipo de las cuentas de equipo de controladores de dominio
Contenedor de dominio
El contenedor de dominio es el contenedor raíz de la jerarquía de un dominio. Los cambios que se realicen
en las directivas o la lista de control de acceso (ACL) de este contenedor pueden repercutir en todo el
dominio. No delegue el control de este contenedor, que debe estar en manos de los administradores de
servicios.
Importante
Si necesita delegar el control sobre los usuarios o equipos, no modifique la configuración
predeterminada de los contenedores de equipos y usuarios. En lugar de ello, cree una nueva unidad
organizativa (en caso necesario) y mueva los objetos de equipo y de usuario desde sus contenedores
predeterminados a las nuevas unidades organizativas (OU). Delegue el control sobre las nuevas
unidades organizativas, en caso necesario. Se recomienda no modificar quién controla los contenedores
predeterminados.
Tampoco pueden aplicarse las opciones de la directiva de grupo a los contenedores de equipos y usuarios
predeterminados. Para aplicar la directiva de grupo a los usuarios y equipos, cree nuevas unidades
organizativas y mueva los objetos de equipo y usuario a las mismas. Aplique las opciones de la directiva de
grupo a las nuevas unidades organizativas.
Si lo desea, también puede redirigir la creación de los objetos que se colocan en los contenedores
predeterminados para que se sitúen en los contenedores de su elección.
• En la siguiente tabla se enumeran y describen las posibles unidades organizativas secundarias que
se pueden crear en una estructura de unidad organizativa de cuenta.
OU Propósito
Cuentas de Algunos servicios que requieren acceso a los recursos de red se ejecutan como cuentas
servicio de usuario. Esta unidad organizativa se crea para separar las cuentas de usuarios de
servicios de las cuentas de usuario incluidas en la unidad organizativa de los usuarios. Así
mismo, colocar los distintos tipos de cuentas de usuario en unidades organizativas
independientes permite administrarlas conforme a sus requisitos administrativos
específicos.
Admins Contiene cuentas de grupo y usuario para los administradores de datos de la estructura
de la unidad organizativa de cuenta, a fin de poder administrarlos de forma independiente
a los usuarios regulares. Habilite la auditoría para esta unidad organizativa con el fin de
que pueda realizar un seguimiento de los cambios en los grupos y usuarios
administrativos.
• A los grupos que administran las unidades organizativas secundarias se les concede control total
únicamente sobre la clase específica de objetos de cuya administración son responsables.
• Los tipos de grupos que se usan para delegar el control dentro de una estructura de unidad
organizativa se basan en la ubicación de las cuentas con respecto a la estructura de unidad
organizativa que se va a administrar. Si las cuentas de usuarios administrativos y la estructura de
la unidad organizativa existen en un único dominio, los grupos que se creen para delegación deben
ser grupos globales. Si la organización tiene un departamento que administra sus propias cuentas
de usuario y está presente en más de una región, podría tener un grupo de administradores de
datos responsables de administrar unidades organizativas de cuenta en más de un dominio. Si las
cuentas de los administradores de datos existen todas en un dominio único y tiene estructuras de
unidades organizativas en varios dominios en los que necesita delegar el control, convierta a dichas
cuentas administrativas en miembros de grupos globales y delegue el control de las estructuras de
unidad organizativa de cada dominio en dichos grupos globales. Si las cuentas de administradores
de datos en las que delegue el control de una estructura de unidad organizativa proceden de varios
dominios, debe usar un grupo universal. Los grupos universales pueden contener usuarios de
diferentes dominios y, por tanto, se pueden usar para delegar el control en varios dominios.
• La unidad organizativa de recursos puede encontrarse en la raíz del dominio o como una unidad
organizativa secundaria de la unidad organizativa de cuenta correspondiente en la jerarquía
administrativa de la unidad organizativa. Las unidades organizativas de recursos no tienen ninguna
unidad organizativa secundaria estándar. Los equipos y grupos se colocan directamente en la
unidad organizativa de recursos.
• El propietario de la unidad organizativa de recursos posee los objetos de la unidad organizativa,
pero no el contenedor de la unidad organizativa en sí. Los propietarios de unidades organizativas de
recursos administran únicamente objetos de grupo y equipo; no pueden crear otras clases de
objetos dentro de la unidad organizativa, ni tampoco crear unidades organizativas secundarias.
Nota
El creador o propietario de un objeto tiene la capacidad de definir la lista de control de acceso (ACL) del
objeto, con independencia de los permisos que se hereden del contenedor primario. Si el propietario de
una unidad organizativa de recursos puede restablecer la ACL de una unidad organizativa, también
puede crear cualquier clase de objeto en la unidad organizativa, incluidos usuarios. Por este motivo, los
propietarios de unidades organizativas de recursos no tienen permiso para crear unidades
organizativas.
• Para cada unidad organizativa de recursos del dominio, cree un grupo global que represente a los
administradores de datos responsables de administrar el contenido de la unidad organizativa. Este
grupo tiene control total sobre los objetos de equipo y grupo de la unidad organizativa, pero no
sobre el contenedor de la unidad organizativa en sí.
• En la siguiente ilustración se muestra el diseño de grupo administrativo para una unidad
organizativa de recursos.
•
• Colocar las cuentas de equipo en una unidad organizativa de recursos otorga al propietario de la
misma el control sobre los objetos de cuenta, pero no le convierte en administrador de los equipos.
En un dominio de Active Directory, el grupo Admins. del dominio se coloca, de forma
predeterminada, en el grupo Administradores local de todos los equipos. Es decir, los
administradores de servicios tienen el control sobre dichos equipos. Si los propietarios de unidades
organizativas de recursos requieren el control administrativo sobre los equipos de sus unidades
organizativas, el propietario del bosque puede aplicar una directiva de grupo de grupos restringidos
para convertir al propietario de la unidad organizativa de recursos en miembro del grupo
Administradores en los equipos de dicha unidad organizativa.
WINS y DNS son los servicios de resolución de nombres para TCP / IP. Mientras WINS resuelve
nombres en el espacio de nombres NetBIOS, DNS resuelve nombres en el espacio de nombres de
dominio DNS. WINS apoya sobre todo los clientes que ejecutan versiones anteriores de Windows y
las aplicaciones que utilizan NetBIOS. Windows 2000, Windows XP y Windows Server 2003 utilizan
nombres DNS, además de los nombres NetBIOS. Entornos que incluyen algunos equipos que
utilizan nombres NetBIOS y otros equipos que utilizan los nombres de dominio deben incluir tanto
los servidores WINS y servidores DNS.
Enviar