Академический Документы
Профессиональный Документы
Культура Документы
Este documento proporciona una introduccin tcnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectnicos y caractersticas. La seccin Conceptos Importantes describe los trminos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran ms en detalle sobre lo que realiza el Active Directory, qu caractersticas trae a Windows y como est implementado. La seccin Migracin cubre modelos de dominio de migracin y estructuras de directorio de Windows NT 4.0 a Windows 2000. La ltima seccin, Preguntas Ms Frecuentes, responde preguntas sobre el Active Directory y cmo funciona. Un directorio es una fuente de informacin usada para almacenar informacin sobre objetos interesantes. Un directorio telefnico almacena informacin sobre los subscriptores. En un sistema de archivo, el directorio almacena informacin sobre los archivos. En un sistema computacional distribuido o una red computacional pblica como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "trminos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes pblicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de informacin del directorio como los servicios que hacen la informacin disponible y utilizable para los usuarios. Un servicio de directorio es uno de los ms importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y
los administradores no saben el nombre exacto de los objetos en los cuales estn interesados. Pueden conocer uno o ms atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede:
Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes mltiples para permitir el almacenaje de un gran nmero de objetos.
Un servicio de directorio es tanto una herramienta de manejo como una herramienta de usuario final. Conforme aumenta el nmero de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido. El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Ampla las caractersticas de previos servicios de directorio basados en Windows y agrega caractersticas totalmente nuevas. El Active Directory es seguro, distribuido, separado, y duplicado. Est diseado para funcionar bien en instalaciones de cualquier tamao, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas caractersticas nuevas que hacen fcil navegar y manejar grandes cantidades de informacin, generando ahorros de tiempo tanto para los administradores como para los usuarios finales. Conceptos Importantes Algunos conceptos y trminos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los trminos que han existido por un tiempo son usados para que signifiquen ms que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y trminos en el contexto del Active Directory.
El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de rea amplia. Tambin puede incluir varias redes de rea amplia combinadas, as es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas. El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es cualquier rea limitada en la cual puede ser incluido un nombre dado. La inclusin del nombre es el proceso de adaptar un nombre a algn objeto o informacin que representa. Un directorio telefnico forma un espacio para nombres para el cual los nombres de los subscriptores de telfono pueden ser incluidos en nmeros telefnicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo. El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo. Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicacin. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y direccin de correo electrnico.
Figura
1.
Un
objeto
de
usuario
sus
atributos
como un objeto en que tiene atributos y es parte nombres del Active Directory. Sin embargo, a objeto, no representa algo en concreto. Es un un grupo de objetos y otros contenedores.
Un rbol (tree) se usa en todo este documento para describir una jerarqua de objetos y contenedores. Los puntos finales en el rbol son usualmente objetos. Los nudos en el rbol (los puntos donde salen ramas) son contenedores. Un rbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es
tambin un contenedor. Un subrbol colindante es cualquier camino ininterrumpido en el rbol, incluyendo todos los miembros de cualquier contenedor en ese camino.
Figura 2. Un subrbol colindante de un directorio de archivo Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres. Nombre nico Cada objeto en el Active Directory tiene un nombre nico (Distinguished Name, DN). El nombre nico identifica el dominio que conserva el objeto, as como el camino completo a travs de la jerarqua del contenedor por el cual se llega al objeto. Un tpico DN puede ser /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmit h Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com
Figura 3. Una representacin grfica de un nombre nico Nombre nico Relativo El Nombre nico Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users. El Active Directory est compuesto de uno a ms contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subrbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres.
El esquema La configuracin (topologa de particin y metadatos relacionados) Uno o ms contextos para dar nombres de usuario (subrboles conteniendo los objetos reales en el directorio).
Un dominio es un solo lmite de seguridad de una red computacional de Windows NT o Windows 2000. (Para ms informacin sobre dominios, vea la documentacin de Windows). El Active Directory est compuesto de uno o ms dominios. En una sola estacin de trabajo, el dominio es la computadora misma. Un dominio puede conectar ms de una ubicacin fsica. Cada dominio tiene sus propias polticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios mltiples son conectados por relaciones de confianza y comparten un esquema comn, configuracin, y catlogo global, tienen un rbol dominio. Arboles de dominio mltiples pueden conectarse juntos en un bosque. Un rbol de dominio comprende varios dominios que comparten un esquema comn y configuracin, formando un colindante espacio para nombres. Los dominios en un rbol estn tambin vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o ms rboles. Los rboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del rbol de dominio. Visualizando las Relaciones de confianza Puede trazar un dibujo de un rbol de dominio basado en los dominios individuales y de cmo confan uno en el otro. Windows 2000 establece las relaciones de confianza entre los
dominios basndose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerrquica, si el dominio A confa en el dominio B y dominio B confa en dominio C, dominio A confa tambin en el dominio C.
Figura 4. Un rbol de dominio visto en trminos de sus relaciones de confianza. Visualizando el Espacio para nombres Tambin puede hacer un dibujo de un rbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre nico de un objeto siguiendo el camino hacia el espacio para nombres del rbol de dominio. Esta vista es til para agrupar objetos en una jerarqua lgica. La principal ventaja de un colindante espacio para nombres es que una bsqueda intensa desde la raz del espacio para nombres buscar en la jerarqua completa.
Figura 5. Viendo un rbol dominio como espacio para nombres Un bosque es un conjunto de uno o ms rboles que NO forman un espacio para nombres colindante. Todos los rboles en un bosque comparten un esquema comn, configuracin, y Catalogo Global. Todos los rboles en un bosque dado confan uno en el otro va relaciones de confianza Kerberos transitivas jerrquicas. A diferencia de un rbol, un bosque no necesita un nombre nico. Un bosque existe como un conjunto de objetos de referencia recproca y relaciones de confianza Kerberos conocidas para los rboles miembros. Los rboles en un bosque forman una jerarqua para los
Resumen
Para usar el sistema operativo Microsoft Windows 2000 Server con la mxima eficacia, primero debe comprender qu es el servicio de directorio Active Directory. Active Directory, una novedad del sistema operativo Windows 2000, desempea una funcin importante en la implementacin de la red de la organizacin y, por tanto, en conseguir sus objetivos comerciales. Este documento presenta Active Directory a los administradores de red, explica su arquitectura y describe cmo interacta con las aplicaciones y con otros servicios de directorio. El presente documento se basa en la informacin disponible en el momento de publicarse la versin Beta 3 de Windows 2000. La informacin proporcionada aqu est sujeta a cambios antes de la versin final de Windows 2000 Server.
Introduccin
Comprender el servicio de directorio Active Directory es el primer paso para entender cmo funciona el sistema operativo Windows 2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos empresariales. En este documento se examina Active Directory desde estas tres perspectivas:
Almacn. Active Directory, el servicio de directorio de Windows 2000 Server, almacena de forma jerrquica la informacin acerca de los objetos de la red, y la pone a disposicin de administradores, usuarios y aplicaciones. En la primera seccin de este documento se explica lo que es un servicio de directorio, la integracin del servicio Active Directory con el Sistema de nombres de dominio (DNS) de Internet y cmo se actualiza Active Directory cuando se designa un servidor como controlador de dominio1. Estructura. Con Active Directory, la red y sus objetos se organizan mediante elementos como dominios, rboles, bosques, relaciones de confianza, unidades organizativas (OU) y sitios. En la prxima seccin de este documento se describe la estructura y la funcin de estos componentes de Active Directory, y cmo esta estructura permite a los administradores
controlar la red de modo que los usuarios puedan alcanzar sus objetivos empresariales. Intercomunicacin. Puesto que Active Directory se basa en los protocolos estndar de acceso a directorios, puede interoperar con otros servicios de directorio y otras aplicaciones de terceros que sigan estos protocolos pueden tener acceso a l. En la ltima seccin se describe cmo Active Directory puede comunicarse con numerosas tecnologas.
Integracin con DNS. Active Directory utiliza el Sistema de nombres de dominio (DNS). DNS es un servicio estndar de Internet que traduce los nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en direcciones numricas (cuatro nmeros separados por puntos) de Protocolo de Internet (IP) legibles por los equipos. De esta forma, los procesos que se ejecutan en equipos que estn en redes TCP/IP pueden identificarse y conectarse entre s. Consultas flexibles. Los usuarios y los administradores pueden utilizar el comando Buscar del men Inicio, el icono Mis sitios de red del escritorio o el complemento Usuarios y equipos de Active Directory para buscar rpidamente un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un usuario por nombre, apellido, nombre de correo electrnico, ubicacin en la oficina u otras propiedades de su cuenta de usuario. La bsqueda de informacin est optimizada gracias al uso del catlogo global. Capacidad de ampliacin. Active Directory es ampliable, lo que significa que los administradores pueden agregar nuevas clases de objetos al esquema y nuevos atributos a las clases existentes de objetos. El esquema contiene una definicin de cada clase de objeto y los atributos de las mismas, que se pueden almacenar en el directorio. Por ejemplo, podra agregar un atributo Autorizacin de compra al objeto Usuario y despus almacenar el lmite de autorizacin de compra de cada usuario como parte de su cuenta. Administracin basada en polticas. Las polticas de grupo son valores de configuracin que se aplican a equipos o usuarios cuando se inicializan. Todos los valores de Poltica de grupo estn contenidos en los Objetos de poltica de grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de Active Directory. Los valores de GPO determinan el acceso a objetos de directorios y recursos de dominios, a qu recursos de dominios (como las aplicaciones) tienen acceso los usuarios y cmo estn configurados dichos recursos.
Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los cuales tiene uno o varios controladores, lo que permite escalar el directorio para satisfacer cualquier requisito de red. Es posible combinar varios dominios en un rbol de dominios y varios rboles en un bosque. En la estructura ms simple, una red con un nico dominio es a la vez un nico rbol y un nico bosque. Replicacin de la informacin. Active Directory utiliza la replicacin de mltiples maestros, que permite actualizar el directorio en cualquier controlador de dominio. Al distribuir varios controladores de dominio en un nico dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento, se detiene o produce un error, otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio, ya que contienen los mismos datos. Seguridad de la informacin. La administracin de la autenticacin de usuarios y el control de acceso, ambos integrados plenamente en Active Directory, son caractersticas de seguridad clave del sistema operativo Windows 2000. Active Directory centraliza la autenticacin. El control de acceso puede definirse no slo para cada objeto del directorio, sino tambin para todas las propiedades de cada objeto. Adems, Active Directory proporciona el almacn y el mbito de aplicacin de las polticas de seguridad. (Para obtener ms informacin acerca de la autenticacin de inicio de sesin y el control de acceso de Active Directory, consulte la seccin "Para obtener ms informacin" al final de este documento.) Interoperabilidad. Puesto que Active Directory se basa en protocolos estndar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP), puede interoperar con otros servicios de directorio que empleen estos protocolos. Varias interfaces de programacin de aplicaciones (API), como las Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores acceso a estos protocolos.
El final de este documento, en "Apndice A: Herramientas", se proporciona una breve introduccin a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.
El primero es el lado ms abstracto de Active Directory, es decir, como un espacio de nombres que est integrado con el Sistema de nombres de dominio (DNS) de Internet. El segundo es el lado ms cotidiano de Active Directory, es decir, como el software que convierte a un servidor en un controlador de dominio.
En el contexto de una red de equipos, un directorio (tambin denominado almacn de datos) es una estructura jerrquica que almacena informacin acerca de los objetos de la red. Los objetos incluyen recursos compartidos como servidores, volmenes compartidos e impresoras, cuentas de usuarios y equipos, as como dominios, aplicaciones, servicios, polticas de seguridad y cualquier elemento de la red. Un ejemplo de los tipos especficos de informacin que un directorio de red puede almacenar acerca de un determinado tipo de objeto es aqul en el que un directorio normalmente almacena un nombre de usuario, una clave de acceso, una direccin de correo electrnico, un nmero de telfono, etc. de una cuenta de usuario. La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al origen de informacin del directorio como a los servicios que posibilitan que la informacin est disponible y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones. En una situacin ideal, un servicio de directorio hace que la topologa de la red fsica y los protocolos (formatos para transmitir datos entre dos dispositivos) sean transparentes, de modo que un usuario pueda tener acceso a cualquier recurso sin saber dnde ni cmo est conectado fsicamente. Siguiendo con el ejemplo de la cuenta de usuario, es el servicio de directorio el que permite que otros usuarios autorizados de la misma red tengan acceso a la informacin de directorio almacenada (como una direccin de correo electrnico) acerca del objeto de cuenta de usuario. Los servicios de directorio admiten numerosas capacidades. Algunos servicios de directorio estn integrados en un sistema operativo y otros son aplicaciones, como los directorios de correo electrnico. Los servicios de directorio del sistema operativo, como Active Directory, proporcionan administracin de usuarios, equipos y recursos compartidos. Los servicios de directorio que administran el correo electrnico, como Microsoft Exchange, permiten que los usuarios busquen a otros usuarios y enven correo electrnico. Active Directory, el nuevo centro de servicios de directorio para el sistema operativo Windows 2000 Server, slo se ejecuta en controladores de dominio. Active Directory, adems de proporcionar un lugar para almacenar datos y servicios para que estn disponibles dichos datos, tambin protege los objetos de la red frente al acceso no autorizado y los replica a travs de una red para que no se pierdan datos si se produce un error en un controlador de dominio.
Tanto Active Directory como DNS son espacios de nombres. Un espacio de nombres es cualquier rea limitada donde se puede resolver un nombre dado. La resolucin de nombres es el proceso de traducir un nombre en algn objeto o informacin que representa dicho nombre. Una libreta de telfonos forma un espacio de nombres en el que los nombres de los abonados telefnicos pueden resolverse a nmeros de telfono. El sistema de archivos NTFS de Windows 2000 forma un espacio de nombres en el que el nombre de un archivo puede resolverse al archivo propiamente dicho.
DNS e Internet
Entender cmo Windows 2000 trata los espacios de nombres de Active Directory y DNS requiere comprender algunos conceptos bsicos acerca del propio DNS y su relacin con Internet y TCP/IP. Internet es una red TCP/IP. Los protocolos de comunicaciones TCP/IP conectan equipos y les permiten transmitir datos a travs de las redes. Todos los equipos de Internet o de cualquier otra red TCP/IP (como muchas redes de Windows) tienen una direccin IP. DNS encuentra los hosts TCP/IP (equipos) mediante la resolucin de los nombres de equipo que los usuarios finales entienden a las direcciones IP que los equipos entienden. Las direcciones IP de Internet se administran mediante la base de datos de DNS distribuida globalmente, pero tambin es posible implementar DNS localmente para administrar direcciones de redes TCP/IP privadas. DNS, que est organizado en una jerarqua de dominios, convierte toda la red Internet en un nico espacio de nombres. DNS tiene varios dominios de nivel superior que, a su vez, se subdividen en dominios de segundo nivel. Una autoridad de Internet (actualmente, Internet Network Information Center, o InterNIC) administra la raz del espacio de nombres de dominios de Internet; esta autoridad delega la responsabilidad administrativa de los dominios de nivel superior del espacio de nombres de DNS y registra los nombres de dominio de segundo nivel. Los dominios de nivel superior son las categoras de dominios conocidas: comercial (.com), educacin (.edu), gobierno (.gov), etc. Fuera de los Estados Unidos se utilizan cdigos de regin o de pas de dos letras, como .mx para Mxico o .es para Espaa. Los dominios de segundo nivel representan espacios de nombres que se registran formalmente a nombre de instituciones (e individuos) para proporcionarles una presencia en Internet. En la figura 1 se muestra cmo se conecta la red de una organizacin al espacio de nombres DNS de Internet.
secundario.principal.microsoft.com es nombreEquipo.secundario.principal.microsoft.com. Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo, NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre DNS (por ejemplo, ServidorCuentas.NombreOrg.com). As, los dominios y los equipos se representan como objetos de Active Directory y como nodos de DNS (un nodo en la jerarqua DNS representa un dominio o un equipo). Tanto DNS como Active Directory utilizan una base de datos para resolver nombres:
DNS es un servicio de resolucin de nombres. DNS resuelve los nombres de dominio y de equipo a direcciones IP mediante solicitudes que hacen los servidores DNS en forma de consultas a la base de datos. En concreto, los clientes DNS envan consultas de nombres a su servidor DNS configurado. El servidor DNS recibe la consulta de nombre y la resuelve mediante archivos almacenados localmente o consulta a otro servidor DNS para que la resuelva. DNS no requiere Active Directory para funcionar. Active Directory es un servicio de directorio. Active Directory resuelve los objetos de nombre de dominio a registros de objeto mediante las solicitudes que hacen los controladores de dominio, como una bsqueda del Protocolo compacto de acceso a directorios (LDAP)3 o solicitudes de modificacin de la base de datos de Active Directory. Especficamente, los clientes de Active Directory utilizan LDAP para enviar consultas a los servidores de Active Directory. Para buscar un servidor de Active Directory, un cliente de Active Directory consulta a DNS. Es decir, Active Directory usa DNS como servicio de bsqueda para resolver nombres de dominios, sitios y servicios de Active Directory a una direccin IP. Por ejemplo, para iniciar la sesin en un dominio de Active Directory, un cliente de Active Directory consulta a su servidor DNS configurado la direccin IP del servicio LDAP que se ejecuta en un controlador de un dominio especificado. Active Directory requiere DNS para funcionar.
En la prctica, para comprender que los espacios de nombres de DNS y de Active Directory en un entorno Windows 2000 son diferentes, es necesario entender que un registro de host de DNS, que representa un equipo especfico en una zona de DNS, se encuentra en un espacio de nombres diferente del objeto de cuenta de equipo de dominio de Active Directory que representa el mismo equipo. En resumen, Active Directory est integrado con DNS de las siguientes formas:
Los dominios de Active Directory y los dominios de DNS tienen la misma estructura jerrquica. Aunque son independientes y se implementan de forma diferente para
propsitos distintos, los espacios de nombres de una organizacin para dominios de DNS y de Active Directory tienen una estructura idntica. Por ejemplo, microsoft.com es un dominio de DNS y un dominio de Active Directory. Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el servicio DNS de Windows 2000, es posible almacenar las zonas principales en Active Directory para replicarlas en otros controladores de dominio de Active Directory y proporcionar seguridad mejorada al servicio DNS. Los clientes de Active Directory utilizan DNS para buscar controladores de dominio. Para buscar el controlador de un dominio especfico, los clientes de Active Directory consultan su servidor DNS configurado en busca de registros de recursos especficos.
registros de recursos SRV para averiguar las direcciones IP de los controladores de dominio. Nota Para obtener ms informacin acerca de cmo planear la distribucin de servidores DNS como apoyo a los dominios de Active Directory, as como otras cuestiones relacionadas con la distribucin, consulte la Gua de diseo de la distribucin de Microsoft Windows 2000 Server en la seccin "Para obtener ms informacin" de este documento. Adems del requisito de que los servidores DNS de una red de Windows 2000 admitan registros de recursos SRV, Microsoft tambin recomienda que los servidores DNS admitan las actualizaciones dinmicas de DNS5. Las actualizaciones dinmicas de DNS definen un protocolo para actualizar dinmicamente un servidor DNS con valores nuevos o modificados. Sin el protocolo de actualizacin dinmica de DNS, los administradores deben configurar manualmente los registros creados por los controladores de dominio y almacenados por los servidores DNS. El nuevo servicio DNS de Windows 2000 admite tanto los registros de recursos SRV como las actualizaciones dinmicas. Si decide utilizar un servidor DNS que no est basado en Windows 2000, debe comprobar que admite los registros de recursos SRV o actualizarlo a una versin que los admita. En el caso de un servidor DNS heredado que admita registros de recursos SRV pero no admita actualizaciones dinmicas, se deben actualizar manualmente sus registros de recursos cuando se promueva un equipo con Windows 2000 Server a controlador de dominio. Esto se realiza mediante el archivo Netlogon.dns (que se encuentra en la carpeta %systemroot%\System32\config), creado por el Asistente para instalacin de Active Directory.
Al promover un servidor a controlador de dominio con el Asistente para instalacin de Active Directory tambin se crea un dominio de Windows 2000 o se agregan controladores adicionales a un dominio existente. En esta seccin se describe qu es un controlador de dominio de Active Directory y algunas de las funciones principales que desempea en la red. Con la presentacin de Active Directory, los controladores de dominio de Windows 2000 funcionan como homlogos. Esto representa un cambio con respecto a las funciones de principal-subordinado que desempeaban los controladores principales de dominio (PDC) y los controladores de reserva (BDC) de Windows NT Server. Los controladores de dominio homlogos admiten la replicacin de mltiples maestros, con lo que se replica la informacin de Active Directory en todos los controladores de dominio. La presentacin de la replicacin de mltiples maestros significa que los administradores pueden efectuar actualizaciones de Active Directory en cualquier controlador de dominio de Windows 2000 del dominio. En el sistema operativo Windows NT Server, slo el PDC tiene una copia de lectura y escritura del directorio; el PDC replica a los BDC una copia de slo lectura de la informacin del directorio. (Para obtener ms informacin acerca de la replicacin de mltiples maestros, consulte la seccin "Replicacin de mltiples maestros".) Si realiza la actualizacin al sistema operativo Windows 2000 desde un dominio existente, puede realizar la actualizacin por etapas y segn le convenga. Si va a crear el primer controlador de dominio para una instalacin nueva, se materializan algunas entidades automticamente al mismo tiempo que se carga Active Directory. Las dos subsecciones siguientes explican estos aspectos relacionados con la instalacin de un controlador de dominio de Active Directory en una red nueva:
El primer controlador de dominio es un servidor de catlogo global. El primer controlador de dominio contiene las funciones de maestro de operaciones.
Catlogo global
El sistema operativo Windows 2000 presenta el catlogo global, una base de datos que se mantiene en uno o varios controladores de dominio. El catlogo global desempea las funciones principales en los inicios de sesin de los usuarios y en las consultas. De forma predeterminada, se crea automticamente un catlogo global en el controlador de dominio inicial del bosque de Windows 2000 y cada bosque debe tener al menos un catlogo global. Si utiliza varios sitios, es recomendable que asigne un controlador de dominio de cada sitio como catlogo global, ya que es necesario tener un catlogo global (que determina la pertenencia a grupos de una
cuenta) para llevar a cabo el proceso de autenticacin del inicio de sesin. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catlogo global para realizar el inicio de sesin. Despus de instalar controladores de dominio adicionales en el bosque, puede cambiar la ubicacin predeterminada del catlogo global a otro controlador de dominio mediante la herramienta Sitios y servicios de Active Directory. Opcionalmente puede configurar cualquier controlador de dominio para que aloje un catlogo global, segn los requisitos de la organizacin para atender las solicitudes de inicio de sesin y las consultas de bsqueda. Cuantos ms servidores de catlogo global haya, ms rpidas sern las respuestas a las consultas de los usuarios; el inconveniente es que habilitar muchos controladores de dominio como servidores de catlogo global aumenta el trfico de replicacin en la red. El catlogo global desempea dos funciones clave de Active Directory, inicio de sesin y consultas:
Inicio de sesin. En un dominio de modo nativo, el catlogo global permite el inicio de sesin de los clientes de Active Directory al proporcionar informacin universal de pertenencia a grupos6 para la cuenta que enva la solicitud de inicio de sesin a un controlador de dominio. De hecho, no slo los usuarios sino cualquier objeto que se autentique en Active Directory debe hacer consultar el servidor de catlogo global, incluidos todos los equipos que se inicien. En una configuracin de varios dominios, al menos un controlador de dominio que contenga el catlogo global debe estar en funcionamiento y disponible para que los usuarios puedan iniciar una sesin. Tambin debe haber disponible un servidor de catlogo global cuando un usuario inicie la sesin con un nombre principal de usuario (UPN) no predeterminado. (Para obtener ms informacin acerca del inicio de sesin, consulte la seccin "Nombres de inicio de sesin: UPN y nombres de cuentas SAM".) Si no hay disponible un catlogo global cuando un usuario inicia un proceso de inicio de sesin en la red, el usuario slo podr iniciar la sesin en el equipo local y no en la red. La nica excepcin es la de los usuarios que son miembros del grupo de administradores de dominios (Administrador del dominio), que pueden iniciar la sesin en la red incluso aunque no haya disponible un catlogo global.
Consultas. En un bosque que contiene muchos dominios, el catlogo global permite que los usuarios efecten bsquedas en todos los dominios de forma rpida y sencilla, sin tener que buscar en cada dominio individualmente. El catlogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan
informacin. La mayor parte del trfico de red de Active Directory est relacionado con las consultas: usuarios, administradores y programas que solicitan informacin acerca de objetos del directorio. Las consultas son mucho ms frecuentes que las actualizaciones del directorio. Asignar varios controladores de dominio como servidores de catlogo global mejora el tiempo de respuesta a los usuarios que buscan informacin del directorio, pero debe sopesar esta ventaja frente al hecho de que tambin puede aumentar el trfico de replicacin de la red.
Maestro de esquema. El controlador de dominio que tiene la funcin de maestro de esquema controla todas las actualizaciones y modificaciones del esquema. El esquema define todos los objetos (y sus atributos) que pueden almacenarse en el directorio. Para actualizar el esquema de un bosque, debe disponer de acceso al maestro de esquema. Maestro de nombres de dominio. El controlador de dominio que tiene la funcin de maestro de nombres de dominio controla la incorporacin o eliminacin de dominios en el bosque.
Las tres funciones siguientes de maestro de operaciones en todo el dominio deben ser nicas en cada dominio y slo puede haber una en cada dominio del bosque:
Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a cada controlador de su dominio. Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) nico. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es nico para cada Id. de seguridad creado en el dominio). Cuando el controlador de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID. Emulador de controlador principal de dominio (PDC). Si el dominio contiene equipos que no ejecutan el software cliente de Windows 2000, o si contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC acta como controlador principal de dominio (PDC) de Windows NT. Procesa los cambios de clave de acceso de los clientes y replica las actualizaciones en los BDC. El emulador de PCD recibe replicacin preferente de los cambios de clave de acceso realizados por otros controladores del dominio. Si se produce un error en una autenticacin de inicio de sesin en otro controlador de dominio debido a una clave de acceso incorrecta, dicho controlador reenva la solicitud de autenticacin al emulador de PDC antes de rechazar el intento de inicio de sesin. Maestro de infraestructuras. El maestro de infraestructuras es el encargado de actualizar todas las referencias entre dominios siempre que se mueve un objeto al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el nombre o se cambian los miembros de los grupos, el maestro de infraestructuras actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto del grupo), es posible que parezca temporalmente que el grupo no contiene a ese miembro. El maestro de infraestructuras del dominio del grupo es el encargado de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva ubicacin del miembro. El maestro de infraestructuras distribuye la actualizacin mediante la replicacin de mltiples maestros. A menos que slo haya un nico controlador en el dominio, no asigne la funcin de maestro de infraestructuras al controlador de dominio que aloja el catlogo global. Si lo hace, no funcionar el maestro de infraestructuras. Si todos los controladores de un dominio tambin alojan el catlogo global (incluido el caso donde slo exista un controlador de dominio), todos los controladores de dominio tienen datos actualizados y, por tanto, no es necesario el maestro de infraestructuras.
Arquitectura
Una vez instalado un controlador de dominio de Active Directory, se ha creado a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo controlador a un dominio existente. Cmo encajan el controlador y el dominio en la arquitectura global de la red? En esta seccin se explican los componentes de una red basada en Active Directory y cmo estn organizados. Adems, describe cmo puede delegar la responsabilidad administrativa de las unidades organizativas (OU), dominios o sitios a los usuarios adecuados y cmo asignar valores de configuracin a estos tres mismos contenedores de Active Directory. Se tratan los siguientes temas:
Objetos (incluido el esquema). Convenciones de nomenclatura de objetos (incluyendo nombres de principales de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres de inicio de sesin). Publicacin de objetos. Dominios (incluyendo rboles, bosques, confianzas y unidades organizativas). Sitios (incluida la replicacin). Cmo se aplican la delegacin y Poltica de grupo a unidades organizativas, dominios y sitios.
Objetos
Los objetos de Active Directory son las entidades que componen una red. Un objeto es un conjunto diferenciado con nombre de atributos que representa algo concreto, como un usuario, una impresora o una aplicacin. Cuando crea un objeto de Active Directory, ste genera valores para algunas propiedades del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario, Active Directory asigna el identificador nico global (GUID) y usted debe proporcionar valores para atributos como el nombre, el apellido, el identificador de inicio de sesin, etc. del usuario.
El esquema
El esquema es una descripcin de las clases de objeto (los distintos tipos de objetos) y los atributos de dichas clases. Para cada clase de objeto, el esquema define qu atributos debe tener, qu atributos adicionales puede tener y qu clase de objeto puede ser su objeto primario. Cada objeto de Active Directory es una instancia de una clase de objeto. Cada atributo slo se define una vez y puede utilizarse en varias clases. Por ejemplo, el atributo Descripcin se define una vez pero se utiliza en muchas clases distintas.
El esquema se almacena en Active Directory. Las definiciones de esquema tambin se almacenan como objetos: Esquema de clase y Esquema de atributos. De esta forma, Active Directory administra los objetos de clase y de atributos de la misma manera en que administra otros objetos del directorio. Las aplicaciones que crean o modifican objetos de Active Directory utilizan el esquema para determinar los atributos que debe o podra tener el objeto y cmo deben ser esos atributos en lo que respecta a estructuras de datos y restricciones de sintaxis. Los objetos pueden ser objetos contenedor u objetos hoja (tambin denominados objetos no contenedor). Un objeto contenedor almacena otros objetos, pero los objetos hoja no. Por ejemplo, una carpeta es un objeto contenedor de archivos, que son objetos hoja. Cada clase de objetos del esquema de Active Directory tiene atributos que aseguran:
Identificacin nica de cada objeto en un almacn de datos del directorio. Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad con los identificadores de seguridad (SID) utilizados en el sistema operativo Windows NT 4.0 y anteriores. Compatibilidad con los estndares LDAP para nombres de objetos de directorio.
til globalmente. El atributo debe ser necesario para buscar objetos (incluso aunque slo sea para acceso de lectura) que pueda haber en cualquier lugar del bosque. No voltil. El atributo deber ser invariable o cambiar con muy poca frecuencia. Los atributos de un catlogo global se replican a todos los dems catlogos globales del bosque. Si el atributo cambia con frecuencia, genera mucho trfico de replicacin. Pequeo. Los atributos de un catlogo global se replican a todos los catlogos globales del bosque. Cuanto menor sea el atributo, menor ser el impacto de la replicacin.
Nombre LDAP para mostrar. El nombre LDAP para mostrar es nico globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta de una o varias palabras combinadas, con la letra inicial de cada palabra en maysculas despus de la primera palabra. Por ejemplo, mailAddress y machinePasswordChangeInterval son los nombres LDAP para mostrar de dos atributos de esquema. Esquema de Active Directory y otras herramientas administrativas de Windows 2000 muestran el nombre LDAP para mostrar de los objetos, y los programadores y administradores utilizan este nombre para hacer referencia al objeto mediante programa. Consulte la prxima subseccin para obtener informacin acerca de cmo ampliar el esquema mediante programa; consulte la seccin "Protocolo compacto de acceso a directorios" para obtener ms informacin acerca de LDAP. Nombre comn. Los nombres comunes de los objetos de esquema tambin son nicos globalmente. El nombre comn se especifica cuando se crea una nueva clase o atributo de objeto en el esquema; se trata del nombre en referencia relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para obtener ms informacin acerca de los RDN, consulte la seccin "Nombres DN y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos mencionados en el prrafo anterior son SMTP-Mail-Address y Machine-PasswordChange-Interval. Identificador de objeto (OID). El identificador de un objeto de esquema es un nmero emitido por una entidad como Organizacin internacional de normalizacin (ISO) y American National Standards Institute (ANSI). Por ejemplo, el OID para el atributo SMTP-Mail-Address es 1.2.840.113556.1.4.786. Se garantiza que los OID son nicos en todas las redes de todo el mundo. Una vez que obtenga un OID raz de una entidad emisora, puede utilizarlo para asignar OID adicionales. Los OID forman una jerarqua. Por ejemplo, Microsoft ha emitido el OID raz 1.2.840.113556. Microsoft administra internamente otras ramas adicionales desde esta raz. Una de las ramas se utiliza para asignar OID a las clases de esquema de Active Directory y otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es 1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede analizarse como se muestra en la tabla 1.
de deIdentifica
ISO (entidad emisora "raz") emiti 1.2 para ANSI, ANSI emiti 1.2.840 para EE.UU., EE.UU. emiti 1.2.840.113556 para Microsoft, Microsoft administra internamente varias ramas 113556 de identificadores de objeto bajo 1.2.840.113556, que incluyen: una rama denominada Active Directory que 1 incluye 5 una rama denominada clases que incluye 4 una rama denominada Dominio integrado Para obtener ms informacin acerca de los OID y cmo obtenerlos, consulte "Para obtener ms informacin" al final de este documento.
Ampliar el esquema
El sistema operativo Windows 2000 Server proporciona un conjunto predeterminado de clases y atributos de objeto que son suficientes para muchas organizaciones. Aunque no puede eliminar objetos del esquema, puede marcarlos como desactivados. Los programadores y los administradores de redes con experiencia pueden ampliar dinmicamente el esquema si definen nuevas clases y nuevos atributos para las clases existentes. La forma recomendada de ampliar el esquema de Active Directory es mediante programa, a travs de las Interfaces de servicio de Active Directory (ADSI). Tambin puede emplear la utilidad Formato de intercambio de datos LDAP (LDIFDE). (Para obtener ms informacin acerca de ADSI y LDIFDE, consulte las secciones "Interfaz de servicio de Active Directory" y "Active Directory y LDIFDE".) Para propsitos de desarrollo y de pruebas, tambin puede ver y modificar el esquema de Active Directory con la herramienta Esquema de Active Directory. Cuando se plantee cambiar el esquema, recuerde estos puntos clave:
Los cambios del esquema son globales en todo el bosque. Las ampliaciones del esquema no son reversibles (aunque puede modificar algunos atributos). Microsoft requiere que no se ample el esquema para adherirse a las reglas de nomenclatura (descritas en la subseccin anterior), tanto para el nombre LDAP para mostrar como para el nombre comn. El programa del logotipo Certificado para Windows7 exige el cumplimiento. Visite el sitio Web Microsoft Developer Network para obtener ms informacin al respecto. Todas las clases del esquema derivan de la clase especial Top. A excepcin de Top, todas las clases son subclases derivadas de otra clase. La herencia de atributos permite crear nuevas
clases a partir de las ya existentes. La nueva subclase hereda los atributos de su superclase (clase principal). La ampliacin del esquema es una operacin avanzada. Para obtener informacin detallada acerca de cmo ampliar el esquema mediante programa, consulte la seccin "Para obtener ms informacin" al final de este documento.
Convenciones objetos
de
nomenclatura
de
Active Directory admite varios formatos de nombres de objeto para admitir las distintas formas que puede adoptar un nombre, dependiendo del contexto en que se utilice (algunos nombres tienen formato numrico). En las siguientes subsecciones se describen estos tipos de convenciones de nomenclatura para los objetos de Active Directory:
Nombres de principales de seguridad. Identificadores de seguridad (tambin denominados Id. de seguridad o SID). Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y nombres cannicos). GUID de objeto. Nombres de inicio de sesin (incluidos UPN y nombres de cuentas SAM).
Si la organizacin tiene varios dominios, es posible utilizar el mismo nombre de usuario o de equipo en diferentes dominios. El Id. de seguridad, el GUID, el nombre completo LDAP y el nombre cannico generados por Active Directory identifican de forma nica a cada usuario o equipo del directorio. Si se cambia el nombre del objeto de usuario o de equipo, o se mueve a otro dominio, el Id. de seguridad, el nombre en referencia relativa LDAP, el nombre completo y el nombre cannico cambian, pero el GUID generado por Active Directory no cambia.
controlador del dominio en el que se encuentra el objeto y se le puede conceder o denegar el acceso a los recursos de la red. Un nombre de principal de seguridad no es nico entre dominios pero, por compatibilidad con versiones anteriores, debe ser nico en su propio dominio. Se puede cambiar el nombre de los objetos de principales de seguridad , se pueden mover o pueden estar dentro de una jerarqua de dominios anidados. Los nombres de los objetos de principales de seguridad deben ajustarse a las siguientes directrices:
El nombre no puede ser idntico a otro nombre de usuario, equipo o grupo del dominio. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: " / \ [ ] : ; | = , + * ? <> Un nombre de usuario, equipo o grupo no puede contener slo puntos (.) o espacios en blanco.
Directory. (Para obtener ms informacin acerca de LDAP, consulte la seccin "Protocolo compacto de acceso a directorios".) Es posible consultar mediante el nombre completo LDAP (que es un atributo del objeto), pero como resulta difcil de recordar, LDAP tambin admite la consulta por otros atributos (por ejemplo, color para buscar las impresoras en color). De esta forma puede buscar un objeto sin tener que saber su nombre completo. En las tres subsecciones siguientes se describen los formatos de nomenclatura de objetos admitidos por Active Directory, que se basan todos en el nombre completo LDAP:
Nombres DN y RDN de LDAP. Direcciones URL de LDAP. Nombres cannicos basados en LDAP.
Nombres DN y RDN de LDAP LDAP proporciona nombres completos (DN) y nombres en referencia relativa (RDN) para los objetos8. Active Directory implementa estas convenciones de nomenclatura LDAP con las variaciones que se muestran en la tabla 2. Tabla 2. Convenciones de nomenclatura de LDAP y sus correspondientes en Active Directory Convencin de Convencin de nomenclatura nomenclatura correspondiente en Active DN y RDN de LDAP Directory cn=nombre comn cn=nombre comn ou=unidad organizativa ou=unidad organizativa o=organizacin dc=componente de dominio c=pas (no se admite) Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se utiliza para describir el RDN de un objeto se denomina atributo de nomenclatura. Los atributos de nomenclatura de Active Directory, que se muestran en la columna derecha, corresponden a las siguientes clases de objetos de Active Directory:
cn se utiliza para la clase de objeto usuario ou se utiliza para la clase de objeto unidad organizativa (OU) dc se utiliza para la clase de objeto DnsDominio
Todos los objetos de Active Directory tienen un DN de LDAP. Los objetos se encuentran dentro de dominios de Active Directory segn una ruta de acceso jerrquica, que incluye las etiquetas del nombre de dominio de Active Directory y cada nivel de los objetos contenedores. La ruta de acceso completa al objeto la define el DN. El RDN define el nombre del objeto. El RDN es el segmento del DN de un objeto que es un atributo del propio objeto.
Al usar la ruta de acceso completa a un objeto, incluido el nombre de objeto y todos los objetos principales hasta la raz del dominio, el DN identifica un objeto nico dentro de la jerarqua de dominios. Cada RDN se almacena en la base de datos de Active Directory y contiene una referencia a su principal. Durante una operacin LDAP, se construye todo el DN siguiendo las referencias hasta la raz. En un DN de LDAP completo, el RDN del objeto que se va a identificar aparece a la izquierda con el nombre de la rama y termina a la derecha con el nombre de la raz, segn se muestra en este ejemplo:
cn=JDoe,ou=Componentes,ou=Fabricacin,dc=ReginEEUU ,dcNombreOrganizacin.dc=com
El RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente (el objeto principal de JDoe) es ou=Componentes, etc. Las herramientas de Active Directory no muestran las abreviaturas de LDAP para los atributos de nomenclatura (dc=, ou= o cn=). Estas abreviaturas slo se muestran para ilustrar la forma en que LDAP reconoce las partes del DN. La mayora de las herramientas de Active Directory muestran los nombres de objeto en formato cannico (descrito ms adelante). El sistema operativo Windows 2000 utiliza el DN para permitir que un cliente LDAP recupere la informacin de un objeto del directorio, pero ninguna interfaz de usuario de Windows 2000 requiere escribir los DN. El uso explcito de DN, RDN y atributos de nomenclatura slo es necesario al escribir programas o secuencias de comandos compatibles con LDAP. Nombres de direcciones URL de LDAP Active Directory admite el acceso mediante el protocolo LDAP desde cualquier cliente habilitado para LDAP. En RFC 1959 se describe un formato para el Localizador de recursos universal (direccin URL) de LDAP que permite que los clientes de Internet tengan acceso directo al protocolo LDAP. Las direcciones URL de LDAP tambin se utilizan en secuencias de comandos. Una direccin URL de LDAP empieza con el prefijo "LDAP" y despus contiene el nombre del servidor que aloja los servicios de Active Directory, seguido del nombre de atributo del objeto (el nombre completo). Por ejemplo:
LDAP://servidor1.ReginEEUU.nombreOrg.com/cn=JDoe, ou=Componentes,ou=Fabricacin,dc=ReginEEUU,dcNombreOrg,dc=com
Nombres cannicos de Active Directory basados en LDAP De forma predeterminada, las herramientas administrativas de Active Directory muestran los nombres de objeto con el formato de nombre cannico, que enumera los RDN desde la raz hacia abajo y sin los descriptores de atributos de nomenclatura de RFC 1779 (dc=, ou= o cn=). El nombre cannico utiliza el formato de nombres de dominio de DNS; es decir, los constituyentes de la seccin de etiquetas de dominio estn separados por puntos: ReginEEUU.NombreOrg.com. En la tabla 3 se muestran las diferencias entre el DN de LDAP y el mismo nombre en formato cannico.
Tabla 3. Diferencias entre el formato de DN de LDAP y el formato de nombre cannico El mismo nombre en dos formatos Nombr e DNcn=JDoe,ou=Componentes,ou=Fabricacin,dc=ReginEEUU,dcNombreOrg de .dc=com LDAP: Nombr e ReginEEUU.NombreOrg.com/Fabricacin/Componentes/JDoe cannic o:
GUID de objeto
Adems de su DN de LDAP, cada objeto de Active Directory tiene un identificador nico global (GUID), un nmero de 128 bits que asigna el Agente del sistema del directorio cuando se crea el objeto. El GUID, que no se puede modificar ni mover, se almacena en un atributo, objectGUID, que es necesario para cada objeto. A diferencia de un DN o un RDN, que se puede modificar, el GUID nunca cambia. Cuando se almacena una referencia a un objeto de Active Directory en un almacn externo (por ejemplo, una base de datos de Microsoft SQL Server), debe utilizarse el valor de objectGUID.
sesin con un UPN, los usuarios ya no tienen que elegir un dominio de una lista en el cuadro de dilogo de inicio de sesin. Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesin del usuario), el carcter @ y el sufijo UPN (normalmente un nombre de dominio). El sufijo UPN predeterminado de una cuenta de usuario es el nombre DNS del dominio de Active Directory en el que se encuentra la cuenta de usuario9. Por ejemplo, el UPN del usuario John Doe, que tiene una cuenta de usuario en el dominio NombreOrg.com (si NombreOrg.com es el nico dominio del rbol), es JDoe@NombreOrg.com. El UPN es un atributo (userPrincipalName) del objeto de principal de seguridad. Si el atributo userPrincipalName de un objeto de usuario no tiene valor, el objeto tiene como UPN predeterminado nombreUsuario@nombreDominioDns. Si la organizacin tiene muchos dominios que forman un rbol de dominios profundo, organizado por departamentos y regiones, los nombres UPN predeterminados pueden llegar a ser bastante farragosos. Por ejemplo, el UPN predeterminado de un usuario podra ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesin para un usuario de dicho dominio es usuario@ventas.costaoeste.microsoft.com. En vez de aceptar el nombre de dominio DNS predeterminado como el sufijo UPN, puede simplificar los procesos de administracin y de inicio de sesin de usuario si proporciona un nico sufijo UPN a todos los usuarios. (El sufijo UPN slo se utiliza dentro del dominio de Windows 2000 y no es necesario que sea un nombre vlido de dominio DNS.) Puede utilizar su nombre de dominio de correo electrnico como sufijo UPN: nombreUsuario@nombreOrganizacin.com. As, el usuario del ejemplo tendra el nombre UPN usuario@microsoft.com. En el caso de un inicio de sesin basado en UPN, quizs sea necesario un catlogo global, dependiendo del usuario que inicie la sesin y la pertenencia al dominio del equipo del usuario. Se necesita un catlogo global si el usuario inicia la sesin con un nombre UPN que no sea el predeterminado y la cuenta de equipo del usuario se encuentra en un dominio distinto que la cuenta del usuario. Es decir, si en lugar de aceptar el nombre de dominio DNS predeterminado como sufijo UPN (como en el ejemplo anterior, usuario@ventas.costaoeste.microsoft.com), proporciona un nico sufijo UPN para todos los usuarios (de forma que el usuario sea usuario@microsoft.com), se necesita un catlogo global para el inicio de sesin. La herramienta Dominios y confianza de Active Directory se utiliza para administrar los sufijos UPN de un dominio. Los UPN se asignan en el momento de crear un usuario. Si ha creado sufijos adicionales para el dominio, puede elegir uno en la lista de sufijos disponibles al crear la cuenta de usuario o de grupo. Los sufijos aparecen en la lista en el siguiente orden:
Sufijos alternativos (si hay alguno, el ltimo que se ha creado aparecer en primer lugar). Dominio raz.
Dominio actual.
Nombre de cuenta SAM Un nombre de cuenta del Administrador de cuentas de seguridad (SAM) es necesario por compatibilidad con los dominios de Windows NT 3.x y Windows NT 4.0. La interfaz de usuario de Windows 2000 se refiere al nombre de cuenta SAM como "Nombre de inicio de sesin de usuario (anterior a Windows 2000)". Los nombres de cuentas SAM a veces se denominan nombres planos ya que, a diferencia de los nombres DNS, los nombres de cuentas SAM no utilizan una nomenclatura jerrquica. Como los nombres SAM son planos, cada uno debe ser nico en el dominio.
Publicacin de objetos
Publicar es el acto de crear objetos en el directorio que contengan directamente la informacin que desea que est disponible o que proporcionen una referencia a dicha informacin. Por ejemplo, un objeto de usuario contiene informacin til acerca de los usuarios, como sus nmeros de telfono y sus direcciones de correo electrnico, y un objeto de volumen contiene una referencia a un volumen compartido de un sistema de archivos. A continuacin se ofrecen dos ejemplos: publicar objetos de archivo e impresin en Active Directory:
Publicacin de recursos compartidos. Puede publicar una carpeta compartida como un objeto de volumen (tambin denominado objeto de carpeta compartida) en Active Directory con el complemento Usuarios y grupos de Active Directory. Esto significa que los usuarios ahora pueden consultar fcil y rpidamente dicha carpeta compartida en Active Directory. Publicacin de impresoras. En un dominio de Windows 2000, la forma ms sencilla de administrar, buscar y conectarse a impresoras es mediante Active Directory. De forma predeterminada10, cuando agrega una impresora con el Asistente para agregar impresoras y decide compartirla, Windows 2000 Server la publica en el dominio como un objeto de Active Directory. Publicar (enumerar) impresoras en Active Directory permite a los usuarios encontrar la impresora ms adecuada. Ahora los usuarios pueden consultar fcilmente cualquiera de estas impresoras en Active Directory y buscar por atributos de impresora como tipo (PostScript, color, papel de tamao oficio, etc.) y ubicacin. Cuando se quita una impresora del servidor, ste anula la publicacin. Tambin puede publicar en Active Directory impresoras que no estn basadas en Windows 2000 (es decir, impresoras que estn servidores de impresin no basados en Windows 2000).
Para ello, utilice la herramienta Usuarios y equipos de Active Directory para escribir la ruta de acceso a la impresora segn la convencin de nomenclatura universal (UNC). De forma alternativa, utilice la secuencia de comandos Pubprn.vbs que se encuentra en la carpeta System32. La poltica de grupo Eliminacin de impresora de bajo nivel determina cmo el servicio de eliminacin (eliminacin automtica de impresoras) trata las impresoras que estn en servidores de impresin no basados en Windows 2000 cuando una impresora no est disponible.
Cundo publicar
Debe publicar la informacin en Active Directory cuando sea til o interesante para una gran parte de la comunidad de usuarios y cuando sea necesario que est fcilmente accesible. La informacin publicada en Active Directory tiene dos caractersticas principales:
Relativamente esttica. Slo se publica la informacin que cambia con poca frecuencia. Los nmeros de telfono y las direcciones de correo electrnico son ejemplos de informacin relativamente esttica adecuada para publicar. El mensaje de correo electrnico seleccionado actualmente del usuario es un ejemplo de informacin que cambia con mucha frecuencia. Estructurada. Publicar informacin estructurada y que puede representarse como un conjunto de atributos discretos. La direccin comercial de un usuario es un ejemplo de informacin estructurada adecuada para publicar. Un clip de audio con la voz del usuario es un ejemplo de informacin sin estructurar ms adecuada para el sistema de archivos.
La informacin operativa utilizada por las aplicaciones es un candidato excelente para su publicacin en Active Directory. Esto incluye informacin de configuracin global que se aplica a todas las instancias de una aplicacin dada. Por ejemplo, un producto de base de datos relacional podra almacenar como un objeto de Active Directory la configuracin predeterminada de los servidores de bases de datos. Las nuevas instalaciones de ese producto podran recopilar la configuracin predeterminada de ese objeto, lo que simplifica el proceso de instalacin y mejora la coherencia de las instalaciones en una organizacin. Las aplicaciones tambin pueden publicar sus puntos de conexin en Active Directory. Los puntos de conexin se utilizan en los encuentros cliente-servidor. Active Directory define una arquitectura para la administracin de servicios integrados mediante objetos de Punto de administracin de servicios y proporciona puntos de conexin estndar para aplicaciones basadas en Llamada a procedimiento remoto (RPC), Winsock y Modelo de objetos componentes (COM). Las
aplicaciones que no utilizan las interfaces RPC o Winsock para publicar sus puntos de conexin pueden publicar explcitamente en Active Directory objetos de Punto de conexin de servicios. Tambin es posible publicar en el directorio los datos de aplicaciones utilizando objetos especficos de la aplicacin. Los datos especficos de una aplicacin deben cumplir los criterios descritos anteriormente. Es decir, la informacin debe ser de inters global, relativamente no voltil y estructurada.
Cmo publicar
Los mtodos de publicar informacin varan dependiendo de la aplicacin o el servicio:
Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la familia RpcNs* de API para publicar sus puntos de conexin en el directorio y para consultar los puntos de conexin de servicios que han publicado los suyos. Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API Registration and Resolution (Registro y resolucin) disponibles en Winsock 2.0 para publicar sus puntos de conexin y para consultar los puntos de conexin de servicios que han publicado los suyos. Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM publican sus puntos de conexin mediante DCOM Class Store, que reside en Active Directory. DCOM es la especificacin del Modelo de objetos componentes (COM) de Microsoft que define cmo se comunican los componentes a travs de redes basadas en Windows. Utilice la herramienta Configuracin de DCOM para integrar aplicaciones clienteservidor en varios equipos. DCOM tambin puede utilizarse para integrar aplicaciones robustas de explorador Web.
Delimitar la seguridad. Un dominio de Windows 2000 define un lmite de seguridad: Las polticas y la configuracin de seguridad (como los derechos administrativos y las listas de
control de acceso) no cruzan de un dominio a otro. Active Directory puede incluir uno o varios dominios, cada uno con sus propias polticas de seguridad. Informacin de replicacin. Un dominio es una particin del directorio de Windows 2000 (tambin denominado un contexto de nombres). Estas particiones del directorio son las unidades de replicacin. Cada dominio slo almacena la informacin acerca de los objetos que se encuentran en dicho dominio. Todos los controladores de un dominio pueden recibir cambios efectuados en los objetos y pueden replicar esos cambios a todos los dems controladores de dicho dominio. Aplicar Poltica de grupo. Un dominio define un mbito posible para la poltica (la configuracin de Poltica de grupo tambin puede aplicarse a unidades organizativas o a sitios). Al aplicar un objeto de poltica de grupo (GPO) al dominio se establece cmo se pueden configurar y utilizar los recursos del dominio. Por ejemplo, puede utilizar Poltica de grupo para controlar la configuracin del escritorio, como el bloqueo del escritorio y la distribucin de aplicaciones. Estas polticas slo se aplican dentro del dominio, no entre varios dominios. Estructurar la red. Como un dominio de Active Directory puede abarcar varios sitios y contener millones de objetos11, la mayora de las organizaciones no necesitan crear dominios independientes para reflejar las divisiones y los departamentos de la organizacin. Nunca debe ser necesario crear dominios adicionales para administrar objetos adicionales. Sin embargo, algunas organizaciones requieren varios dominios para incorporar, por ejemplo, unidades de negocio independientes o completamente autnomas que no desean que nadie externo a la unidad tenga autorizacin sobre sus objetos. Dichas organizaciones pueden crear dominios adicionales y organizarlos en un bosque de Active Directory. Otro motivo para dividir la red en dominios independientes es si dos partes de la red estn separadas por un vnculo tan lento que nunca se desea que tenga trfico de replicacin completa. (En el caso de los vnculos lentos que an pueden tratar trfico de replicacin con menos frecuencia, puede configurar un nico dominio con varios sitios.) Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000 puede delegar restrictivamente la autoridad administrativa tanto de unidades organizativas como de dominios individuales, lo que reduce el nmero de administradores necesarios con autoridad administrativa amplia. Como un dominio es un lmite de seguridad, los permisos administrativos de un dominio estn limitados al dominio de forma predeterminada. Por ejemplo, a un administrador con permisos para establecer polticas de seguridad en un dominio no se le concede automticamente autoridad para establecer polticas de seguridad en otro dominio del directorio.
Comprender los dominios incluye entender los rboles, bosques, confianzas y unidades organizativas, y cmo se relaciona cada una de estas estructuras con los dominios. En las siguientes subsecciones se describen cada uno de estos componentes de dominio:
El sistema operativo Windows 2000 tambin presenta el concepto relacionado de sitios, pero la estructura de sitio y la estructura de dominio son independientes, con el fin de proporcionar administracin flexible, por lo que los sitios se tratarn en una seccin posterior. Este documento presenta los conceptos bsicos acerca de los dominios y los sitios basados en Windows 2000. Para obtener informacin detallada acerca de cmo planear su estructura y distribucin, consulte la Gua de diseo de la distribucin de Microsoft Windows 2000 Server en la seccin "Para obtener ms informacin", al final de este documento. Cuando lea las prximas subsecciones en las que se describen posibles estructuras de dominio, tenga en cuenta que, para muchas organizaciones, una estructura que conste de un nico dominio que sea a la vez un bosque con un nico rbol no slo es posible, sino que es la forma ptima de organizar la red. Empiece siempre con la estructura ms sencilla y aumente su complejidad slo cuando pueda justificarlo.
rboles
En el sistema operativo Windows 2000, un rbol es un conjunto de uno o varios dominios con nombres contiguos. Si hay varios dominios, puede combinarlos en estructuras jerrquicas de rbol. Un posible motivo para tener varios rboles en el bosque es si una divisin de la organizacin tiene su propio nombre DNS registrado y ejecuta sus propios servidores DNS. El primer dominio creado es el dominio raz del primer rbol. Los dominios adicionales del mismo rbol son dominios secundarios. Un dominio situado inmediatamente por encima de otro dominio en el mismo rbol es su principal. Todos los dominios que tienen un dominio raz comn se dice que forman un espacio de nombres contiguos. Los dominios de un espacio de nombres contiguos (es decir, en un nico rbol) tiene nombres de dominio DNS contiguos que se forman de la siguiente manera: El nombre del dominio secundario aparece a la izquierda, separado del nombre de su dominio principal a la derecha por un punto. Cuando hay ms de dos dominios, cada uno tiene su principal a la derecha del nombre de dominio, tal como se muestra en la figura 3. Los dominios basados en Windows 2000 que forman un rbol estn vinculados
mediante relaciones de confianza bidireccionales y transitivas. Estas relaciones de confianza se describen ms adelante.
Figura 3. Dominios principales y secundarios en un rbol de dominios. Las flechas de dos puntas indican relaciones de confianza bidireccionales transitivas La relacin principal-secundario entre dominios de un rbol slo es una relacin de nomenclatura y una relacin de confianza. Los administradores de un dominio principal no lo son automticamente de un dominio secundario y las polticas establecidas en un dominio principal no se aplican automticamente a los dominios secundarios.
Bosques
Un bosque de Active Directory es una base de datos distribuida, que est compuesta de varias bases de datos parciales repartidas en varios equipos. La distribucin de la base de datos aumenta la eficacia de la red, ya que permite ubicar los datos donde ms se utilizan. Los dominios definen las particiones de la base de datos del bosque; es decir, un bosque consta de uno o varios dominios. Todos los controladores de dominio de un bosque contienen una copia de los contenedores Configuracin y Esquema del bosque, adems de una base de datos del dominio. Una base de datos del dominio es una parte de una base de datos del bosque. Cada base de datos del dominio contiene objetos de directorio, como los objetos de principales de seguridad (usuarios, equipos y grupos) a los que puede conceder o denegar acceso a los recursos de la red. Con frecuencia, un nico bosque, que resulta fcil de crear y mantener, puede satisfacer las necesidades de una organizacin. Con un nico bosque no es necesario que los usuarios conozcan la estructura del directorio, ya que todos ven un nico directorio a travs del catlogo global. Cuando se agrega un dominio nuevo al bosque, no se requiere ninguna configuracin adicional de la confianza, ya que todos los dominios de un bosque estn conectados por una confianza bidireccional transitiva. En un bosque con varios dominios, slo es necesario aplicar una vez los cambios a la configuracin para que afecten a todos los dominios. No debe crear bosques adicionales a menos que tenga necesidad evidente de hacerlo, ya que cada bosque que cree supondr una carga adicional de administracin12. Un motivo posible para crear varios bosques es si la administracin de la red est distribuida entre varias divisiones autnomas que no estn de acuerdo en la administracin comn del esquema y los contenedores de
configuracin. Otro motivo para crear un bosque independiente es asegurarse de que a determinados usuarios nunca se les conceder acceso a ciertos recursos (en un bosque nico, todos los usuarios pueden incluirse en cualquier grupo o pueden aparecer en una lista de control de acceso discrecional, o DACL13, en cualquier equipo del bosque). Con bosques independientes, es posible definir relaciones de confianza explcita para conceder a los usuarios de un bosque acceso a determinados recursos del otro bosque. (Para ver un ejemplo de dos bosques, consulte la figura 7 en la seccin "Ejemplo: entorno mixto de dos bosques y una extranet".) Varios rboles de dominio dentro de un nico bosque no constituyen un espacio de nombres contiguos; es decir, tienen nombres de dominio DNS que no son contiguos. Aunque los rboles de un bosque no comparten un espacio de nombres, un bosque tiene un nico dominio raz, denominado dominio raz del bosque. El dominio raz del bosque es, por definicin, el primer dominio creado en el bosque. Los dos grupos predefinidos para todo el bosque, Administradores de empresa y Administradores del esquema, residen en este dominio. Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de los tres rboles de dominios (RRHH-Raz.com, RazEuropa.com y RazAsia.com) tiene un dominio secundario para Contabilidad denominado "Contab", los nombres DNS de estos dominios secundarios son Contab.OfC-Raz.com, Contab.RazEuropa.com y Contab.RazAsia.com, respectivamente. No hay ningn espacio de nombres compartido. Figura 4. Un bosque con tres rboles de dominios. Los tres dominios raz no son contiguos, pero RazEuropa.com y RazAsia.com son dominios secundarios de OfC-Raz.com. El dominio raz de cada rbol de dominios del bosque establece una relacin de confianza transitiva (que se explica con ms detalle en la prxima seccin) con el dominio raz del bosque. En la figura 4, OfCRaz.com es el dominio raz del bosque. Los dominios raz de los dems rboles de dominios, RazEuropa.com y RazAsia.com, tienen relaciones de confianza transitiva con OfC-Raz.com, que establece la confianza entre todos los rboles de dominios del bosque. Todos los dominios de Windows 2000 en todos los rboles de dominios de un bosque tienen las siguientes caractersticas:
Tienen relaciones de confianza transitiva entre los dominios de cada rbol. Tienen relaciones de confianza transitiva entre los rboles de dominios de un bosque. Comparten informacin de configuracin comn. Comparten un esquema comn. Comparten un catlogo global comn.
Importante Es fcil agregar nuevos dominios a un bosque. Sin embargo, no puede mover dominios existentes de Active Directory de Windows 2000 de un bosque a otro. Slo puede quitar un dominio del bosque si no tiene dominios secundarios. Despus de establecer un
dominio raz del rbol no puede agregar un dominio con un nombre nivel superior al bosque. No puede crear un dominio principal de uno ya existente; slo puede crear uno secundario. La implementacin de rboles de dominios y de bosques permite utilizar convenciones de nomenclatura tanto contiguas como no contiguas. Esta flexibilidad puede resultar til, por ejemplo, en organizaciones con divisiones independientes cada una de las cuales desee mantener su propio nombre DNS, como Microsoft.com y MSNBC.com.
Relaciones de confianza
Una relacin de confianza es una relacin que se establece entre dos dominios y permite que un controlador del otro dominio reconozca los usuarios de un dominio. Las confianzas permiten que los usuarios tengan acceso a los recursos del otro dominio y tambin permite que los administradores controlen los derechos de los usuarios del otro dominio. Para los equipos que ejecutan Windows 2000, la autenticacin de cuentas entre dominios se habilita mediante relaciones de confianza transitivas bidireccionales. Todas las confianzas de dominio en un bosque basado en Windows 2000 son bidireccionales y transitivas, definidas de la siguiente forma:
Bidireccional. Cuando crea un nuevo dominio secundario, ste confa automticamente en el dominio principal y viceversa. En la prctica, esto significa que las solicitudes de autenticacin pueden pasarse entre los dos dominios en ambas direcciones. Transitiva. Una confianza transitiva va ms all de los dos dominios de la relacin de confianza inicial. Funciona del siguiente modo: Si el dominio A y el dominio B (principal y secundario) confan el uno en el otro y si el dominio B y el dominio C (tambin principal y secundario) confan el uno en el otro, entonces el dominio A y el dominio C confan entre s (implcitamente), incluso aunque no exista una relacin de confianza directa entre ellos. En el nivel del bosque, se crea automticamente una relacin de confianza entre el dominio raz del bosque y el dominio raz de cada rbol de dominios agregado al bosque, con lo que existe una confianza completa entre todos los dominios de un bosque de Active Directory. En la prctica, como las relaciones de confianza son transitivas, un proceso de inicio de sesin nico permite que el sistema autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este proceso de inicio de sesin nico permite que la cuenta tenga acceso a los recursos de cualquier dominio del bosque.
Sin embargo, tenga en cuenta que el inicio de sesin nico habilitado mediante confianzas no implica necesariamente que el usuario
autenticado tenga derechos y permisos en todos los dominios del bosque. Adems de las confianzas bidireccionales transitivas en todo el bosque generadas automticamente en el sistema operativo Windows 2000, puede crear explcitamente los dos tipos siguientes de relaciones de confianza adicionales: No hay una conexin necesaria entre espacios de nombres de sitios y dominios.
No hay una correlacin necesaria entre la estructura fsica de la red y su estructura de dominios. Sin embargo, en muchas organizaciones los dominios se configuran para reflejar la estructura fsica de la red. Esto se debe a que los dominios son particiones y este hecho influye en la replicacin: al dividir el bosque en varios dominios ms pequeos se puede reducir el trfico de replicacin. Active Directory permite que aparezcan varios dominios en un nico sitio y que un nico dominio aparezca en varios sitios.
Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio de un controlador de dominio, ste dirige la solicitud a un controlador del mismo sitio, si hay alguno disponible. Seleccionar un controlador de dominio que est bien conectado al cliente que realiz la solicitud hace que el tratamiento de la solicitud sea ms eficaz. Por ejemplo, cuando un cliente inicia la sesin mediante una cuenta de dominio, el mecanismo de inicio de sesin busca primero controladores de dominio que se encuentren en el mismo sitio que el cliente. Si se intenta usar primero los controladores de dominio en el sitio del cliente se delimita el trfico de red, con lo que se aumenta la eficacia del proceso de autenticacin. Replicar datos del directorio. Los sitios permiten la replicacin de los datos del directorio tanto dentro como entre sitios. Active Directory replica la informacin dentro de un sitio con ms frecuencia que entre sitios, lo que significa que los controladores de dominio mejor conectados, aqullos que con ms probabilidad de necesitan determinada informacin de directorio, reciben las rplicas en primer lugar. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menos frecuencia, con lo que se reduce el consumo del ancho de
banda de la red. Replicar datos de Active Directory entre controladores de dominio proporciona disponibilidad de la informacin, tolerancia a errores, equilibrio de la carga y ventajas de rendimiento. (Para obtener una explicacin de cmo implementa la replicacin el sistema operativo Windows 2000, consulte la subseccin "Replicacin de mltiples maestros", al final de esta seccin acerca de los sitios.)
Particin del directorio con datos de dominios. Contiene todos los objetos del directorio para este dominio. Los datos de cada dominio se replican a todos los controladores de dicho dominio, pero no salen de l. Particin del directorio con datos del esquema. Contiene todos los tipos de objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son comunes a todos los dominios del rbol de dominios o del bosque. Los datos del esquema se replican en todos los controladores de dominio del bosque. Particin del directorio con datos de configuracin. Contiene la topologa de replicacin y los metadatos relacionados. Las aplicaciones compatibles con Active Directory almacenan la informacin en la particin del directorio de configuracin. Estos datos son comunes a todos los dominios del rbol de dominios o del bosque. Los datos de configuracin se replican en todos los controladores de dominio del bosque.
Si el controlador de dominio es un servidor de catlogo global, tambin contiene una cuarta categora de informacin:
Rplica parcial de la particin del directorio con datos de dominios para todos los dominios. Adems de almacenar y replicar un conjunto completo de todos los objetos del directorio para su propio dominio host, un servidor de catlogo global almacena y replica una rplica parcial de la particin del directorio de dominios para todos los dems dominios del bosque. Esta rplica parcial, por definicin, contiene un subconjunto de las propiedades para todos los objetos de todos
los dominios del bosque. (Una rplica parcial es de slo lectura, mientras que una rplica completa es de lectura y escritura.) Si un dominio contiene un catlogo global, otros controladores de dominio replican todos los objetos de dicho dominio (con un subconjunto de sus propiedades) en el catlogo global y, despus, la replicacin de rplicas parciales se efecta entre catlogos globales. Si un dominio no tiene catlogo global, un controlador de dominio normal sirve de origen de la rplica parcial. De forma predeterminada, el conjunto parcial de atributos almacenados en el catlogo global incluye los atributos que se utilizan con ms frecuencia en las operaciones de bsqueda, ya que una de las funciones principales del catlogo global es ofrecer soporte a los clientes que consultan el directorio. El uso de catlogos globales para realizar la replicacin parcial de dominios en lugar de efectuar la replicacin completa reduce el trfico de WAN.
Figura 9. Replicacin dentro del sitio con un nico dominio El servicio Comprobador de coherencia de rplica (KCC) de Active Directory genera automticamente la configuracin que forman las conexiones utilizadas para replicar la informacin de directorio entre los controladores de dominio, denominada topologa de replicacin. La topologa de sitios de Active Directory es una representacin lgica de una red fsica y se define para cada bosque. Active Directory intenta establecer una topologa que permita al menos dos conexiones a cada controlador de dominio, de modo que si un controlador no est disponible, la informacin del directorio pueda seguir llegando a todos los controladores de dominio conectados a travs de la otra conexin. Active Directory evala y ajusta automticamente la topologa de replicacin para adaptarse al estado cambiante de la red. Por ejemplo, cuando se agrega un controlador de dominio a un sitio, la topologa de replicacin se ajusta para incorporar esta adicin de una forma eficaz. Los clientes y servidores de Active Directory usan la topologa de sitios del bosque para enrutar el trfico de consultas y replicacin de forma eficaz. Si ampla la distribucin desde el primer controlador de dominio en un dominio a varios controladores en varios dominios (dentro de un nico sitio), la informacin de directorio que se replica cambia para incluir la replicacin de la rplica parcial entre los catlogos globales en dominios diferentes. En la figura 10 se muestran dos dominios, cada uno de los cuales contiene tres controladores de dominio. Uno de los controladores de cada sitio tambin es un servidor de catlogo global. Dentro de cada dominio, los controladores de dominio replican los datos de esquema y de configuracin del bosque, as como todos los objetos del directorio (con un conjunto completo de los atributos de cada objeto), tal como se muestra en la figura 9. Adems, cada catlogo global replica los objetos del directorio (slo con un
subconjunto de sus atributos) de su propio dominio al otro catlogo global. Figura 10. Replicacin dentro del sitio con dos dominios y dos catlogos globales
Geografa. Establezca como un sitio cada rea geogrfica que requiera acceso rpido a la informacin de directorio ms reciente. Al establecer como sitios independientes reas que requieren acceso inmediato a la informacin actualizada de Active Directory se proporcionan los recursos necesarios para satisfacer las necesidades de los usuarios. Controladores de dominio y catlogos globales. Coloque al menos un controlador de dominio en cada sitio y convierta al menos un controlador de dominio de cada sitio en un catlogo global. Los sitios que no tienen sus propios controladores de dominio y al menos un catlogo global dependen de otros sitos para obtener la informacin del directorio y son menos eficaces.
Cmo se conectan los sitios Las conexiones de red entre los sitios se representan mediante vnculos a sitios. Un vnculo a sitios es una conexin de ancho de banda bajo o no confiable entre dos o varios sitios. Una WAN que conecta dos redes rpidas es un ejemplo de un vnculo a sitios. En general, se considera que dos redes cualesquiera unidas por un vnculo que es ms lento que una red de rea local estn conectadas por un vnculo a sitios. Adems, un vnculo rpido que est casi al lmite de su capacidad tiene poco ancho de banda eficaz y se considera tambin un vnculo a sitios. Cuando hay varios sitios, los que estn conectados mediante vnculos a sitios forman parte de la topologa de replicacin. En una red basada en Windows 2000, los vnculos a sitios no se generan automticamente; debe crearlos mediante Sitios y servicios de Active Directory. Al crear los vnculos a sitios y configurar su disponibilidad de replicacin, costo relativo y frecuencia de replicacin, se proporciona informacin a Active Directory acerca de qu objetos de conexin debe crear para replicar los datos de directorio. Active Directory utiliza vnculos a sitios como indicadores de que debe crear objetos de conexin y stos utilizan las conexiones de red reales para intercambiar informacin de directorio.
Un vnculo a sitios tiene una programacin asociada que indica a qu horas del da est disponible el vnculo para llevar trfico de replicacin. De forma predeterminada, los vnculos a sitios son transitivos, lo que significa que un controlador de dominio de un sitio puede efectuar conexiones de replicacin con los controladores de dominio de cualquier otro sitio. Es decir, si el sitio A est conectado al sitio B y ste lo est al sitio C, los controladores de dominio del sitio A pueden comunicarse con los controladores del sitio C. Cuando cree un sitio, quizs desee crear vnculos adicionales para habilitar conexiones especficas entre sitios y personalizar los vnculos existentes que conectan los sitios. En la figura 11 se muestran dos sitios conectados mediante un vnculo a sitios. De los seis controladores de dominio de la ilustracin, dos son servidores cabeza de puente (el sistema asigna automticamente esta funcin). Figura 11. Dos sitios conectados mediante un vnculo a sitios. El servidor cabeza de puente preferido de cada sitio se utiliza principalmente para el intercambio de informacin entre sitios. Los servidores cabeza de puente son los preferidos para la replicacin, pero tambin puede configurar los dems controladores de dominio del sitio para replicar los cambios del directorio entre sitios. Una vez replicadas las actualizaciones de un sitio al servidor cabeza de puente del otro sitio, stas se replican a otros controladores de dominio del mismo sitio mediante la replicacin dentro del sitio. Aunque un nico controlador de dominio recibe la actualizacin inicial de directorio entre sitios, todos los controladores de dominio atienden las solicitudes de los clientes.
Protocolos de replicacin
La informacin de directorio puede intercambiarse mediante los siguientes protocolos de red:
Replicacin IP. La replicacin IP utiliza llamadas a procedimiento remoto (RPC) para la replicacin dentro de un sitio y a travs de vnculos a sitios (entre sitios). De forma predeterminada, la replicacin IP entre sitios se ajusta a las programaciones de replicacin. La replicacin IP no requiere una entidad emisora de certificados (CA). Replicacin SMTP. Si tiene un sitio que no dispone de conexin fsica con el resto de la red pero al que se puede llegar a travs del Protocolo simple de transferencia de correo (SMTP), dicho sitio slo tiene conectividad basada en correo. La replicacin SMTP slo se utiliza para la replicacin entre sitios. No puede utilizar la replicacin SMTP para replicar entre controladores de dominio del mismo dominio; slo se admite la
replicacin entre dominios a travs de SMTP (es decir, SMTP slo puede utilizarse para la replicacin entre sitios y entre dominios). La replicacin SMTP slo puede utilizarse para la replicacin de rplicas parciales del esquema, la configuracin y el catlogo global. La replicacin SMTP tiene en cuenta la programacin de replicacin generada automticamente. Si decide utilizar SMTP a travs de vnculos a sitios, debe instalar y configurar una entidad emisora de certificados (CA) de empresa. Los controladores de dominio obtienen certificados de la entidad emisora y los utilizan para firmar y cifrar los mensajes de correo que contienen la informacin de replicacin de directorio, con lo que se asegura la autenticidad de las actualizaciones. La replicacin SMTP usa cifrado de 56 bits.
incremento y almacenamiento del USN y la escritura del valor de la propiedad se realizan correctamente o fracasan como una unidad. Cada servidor de Active Directory tambin mantiene una tabla de los USN recibidos de los asociados de replicacin. En esta tabla se almacena el mayor USN recibido de cada asociado. Cuando un asociado dado notifica al servidor de directorio que es necesario hacer una replicacin, ese servidor pide todos los cambios cuyos USN sean mayores que el ltimo valor recibido. Este enfoque simple no depende de la precisin de las marcas de tiempo. Puesto que el USN almacenado en la tabla se actualiza de forma atmica con cada actualizacin recibida, si se produce un error en un servidor tambin es sencillo recuperarlo. Para reiniciar la replicacin, un servidor nicamente debe pedir a sus asociados todos los cambios cuyos USN sean mayores que la ltima entrada vlida de la tabla. Como la tabla se actualiza de forma atmica a medida que se aplican los cambios, un ciclo de replicacin interrumpido siempre se reiniciar exactamente donde se detuvo, sin que haya prdida ni duplicacin de actualizaciones. Deteccin de colisiones y nmeros de versin de propiedad En un sistema de replicacin de mltiples maestros como Active Directory, es posible que dos o ms rplicas diferentes actualicen la misma propiedad. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) rplica antes de que se haya propagado totalmente un cambio de la primera rplica, se produce una colisin de replicacin. Las colisiones se detectan mediante los nmeros de versin de propiedad. A diferencia de los USN, que son valores especficos del servidor, los nmeros de versin de propiedad son especficos de la propiedad de un objeto de Active Directory. Cuando se escribe por primera vez una propiedad en un objeto de Active Directory, se inicializa su nmero de versin. Las modificaciones de origen incrementan el nmero de versin de propiedad. Las modificaciones de origen son modificaciones de una propiedad del sistema que producen un cambio. Las modificaciones de propiedades producidas por una replicacin no son modificaciones de origen y no incrementan el nmero de versin. Por ejemplo, cuando un usuario actualiza su clave de acceso se produce una modificacin de origen y se incrementa el nmero de versin de propiedad de la clave de acceso. Replicar la modificacin de la clave de acceso en otros servidores no hace que se incremente el nmero de versin de propiedad. Se detecta una colisin cuando se recibe un cambio a travs de una replicacin cuyo nmero de versin de propiedad es igual al nmero de versin de propiedad almacenado localmente, y los valores recibido y almacenado son diferentes. Cuando esto ocurre, el sistema receptor aplicar la actualizacin que tenga la marca de tiempo posterior. Esta es la nica situacin en la que se utiliza la hora en la replicacin.
Cuando el nmero de versin de propiedad recibido es inferior al almacenado localmente, se considera que la actualizacin est anticuada y se descarta. Cuando el nmero de versin de propiedad recibido es superior al almacenado localmente, se acepta la actualizacin. Disminucin de la propagacin El sistema de replicacin de Active Directory permite realizar bucles en la topologa de replicacin. Esto permite al administrador configurar una topologa de replicacin con mltiples rutas entre los servidores para conseguir un mejor rendimiento y disponibilidad. El sistema de replicacin de Active Directory se encarga de disminuir la propagacin para evitar que los cambios se propaguen indefinidamente y para eliminar la transmisin redundante de cambios a rplicas que ya estn actualizadas. El sistema de replicacin de Active Directory utiliza vectores de actualizacin para disminuir la propagacin. El vector de actualizacin es una lista de pares de servidor y USN que cada servidor mantiene. El vector de actualizacin de cada servidor indica el mayor USN de las modificaciones de origen recibidas de los servidores en el par servidorUSN. Un vector de actualizacin para un servidor de un sitio determinado enumera todos los dems servidores de ese sitio15. Cuando se inicia un ciclo de replicacin, el servidor solicitante enva su vector de actualizacin al servidor remitente. El servidor remitente utiliza el vector de actualizacin para filtrar los cambios enviados al servidor solicitante. Si el mayor USN de una modificacin de origen dada es mayor o igual al USN de una modificacin de origen para una actualizacin determinada, el servidor remitente no necesita enviar el cambio; el servidor solicitante ya est actualizado con respecto al de origen.
Una unidad organizativa es el menor contenedor de Windows 2000 al que puede delegar autoridad o aplicar Poltica de grupo 16. Tanto la delegacin como Poltica de grupo son caractersticas de seguridad del sistema operativo Windows 2000. En este documento se describen brevemente en el contexto limitado de la arquitectura para
mostrar que la estructura de Active Directory determina la forma de usar la delegacin de contenedores y Poltica de grupo. Asignar la autoridad administrativa sobre unidades organizativas, dominios o sitios permite delegar la administracin de usuarios y recursos. Asignar objetos de poltica de grupo (GPO) a cualquiera de estos tres tipos de contenedores permite definir configuraciones de escritorio y polticas de seguridad para los usuarios y los equipos del contenedor. En las dos subsecciones siguientes se describen estos temas con ms detalle.
Delegacin de contenedores
En el sistema operativo Windows 2000, la delegacin permite que una autoridad administrativa superior conceda derechos administrativos especficos a unidades organizativas, dominios o sitios a grupos (o usuarios). De esta forma se reduce considerablemente el nmero de administradores necesarios con la autoridad buscada en grandes segmentos de usuarios. Delegar el control de un contenedor permite especificar quin dispone de permisos para tener acceso o modificar dicho objeto o sus objetos secundarios. La delegacin es una de las caractersticas de seguridad ms importantes de Active Directory. Delegacin de dominios y unidades organizativas En el sistema operativo Windows NT 4.0, los administradores a veces delegan la administracin mediante la creacin de varios dominios con el fin de tener conjuntos distintos de administradores de dominio. En el sistema operativo Windows 2000, las unidades organizativas son ms sencillas de crear, eliminar, mover y modificar que los dominios y, por tanto, son ms adecuadas para la funcin de delegacin. Para delegar la autoridad administrativa (distinta de la autoridad sobre sitios, que se trata ms adelante), se concede a un grupo derechos especficos sobre un dominio o unidad organizativa mediante la modificacin de la lista de control de acceso discrecional (DACL)17 del contenedor. De forma predeterminada, los miembros del grupo de seguridad Administradores del dominio tienen autoridad sobre todo el dominio, pero puede restringir la pertenencia a este grupo a un nmero limitado de administradores de confianza. Para establecer administradores con menor mbito, puede delegar la autoridad al nivel ms bajo de la organizacin; para ello, cree un rbol de unidades organizativas dentro de cada dominio y delegue la autoridad a partes del subrbol de unidades organizativas. Los administradores de dominio tienen un control total sobre cada objeto de su dominio. Sin embargo, no tienen derechos administrativos sobre los objetos de otros dominios18. Para delegar la administracin de un dominio o una unidad organizativa se utiliza el Asistente para delegacin de control, que est disponible en el complemento Usuarios y equipos de Active
Directory. Haga clic con el botn secundario del mouse (ratn) en el dominio o en la unidad organizativa, seleccione Delegar control, agregue los grupos (o usuarios) a los que desee delegar el control y, a continuacin, delegue las tareas comunes enumeradas o cree una tarea personalizada para delegar. En la tabla siguiente se enumeran las tareas comunes que puede delegar. Tareas comunes de Tareas comunes de dominio unidades organizativas que que puede delegar puede delegar Crear, eliminar y administrar cuentas de usuario Restablecer claves de acceso de cuentas de usuario Leer toda la informacin de usuario Unir un equipo a un dominio Crear, eliminar y administrar Administrar vnculos de grupos Poltica de grupo Modificar la pertenencia a un grupo Administrar impresoras Crear y eliminar impresoras Administrar vnculos de Poltica de grupo Mediante una combinacin de unidades organizativas, grupos y permisos, es posible definir el mbito administrativo ms apropiado para un grupo determinado: un dominio entero, un subrbol de unidades organizativas o una nica unidad organizativa. Por ejemplo, puede crear una unidad organizativa que le permita conceder control administrativo para todas las cuentas de usuarios y equipos en todas las divisiones de un departamento, como el departamento de contabilidad. Por otra parte, puede conceder control administrativo slo a algunos recursos dentro del departamento, como las cuentas de equipo. Un tercer ejemplo es conceder control administrativo a la unidad organizativa de contabilidad, pero no a ninguna unidad organizativa contenida dentro de ella. Puesto que las unidades organizativas se utilizan para la delegacin administrativa y no son principales de seguridad por s mismas, la unidad organizativa principal de un objeto de usuario indica quin administra el objeto de usuario. No indica a qu recursos puede tener acceso dicho usuario. Delegacin de sitios Sitios y servicios de Active Directory se utiliza para delegar el control de sitios, contenedores de servidor, transportes entre sitios (IP o SMTP) o subredes. Delegar el control de una de estas entidades ofrece al administrador delegado la capacidad de manipular dicha entidad, pero no de administrar los usuarios o los equipos que se encuentran en ella.
Por ejemplo, cuando delega el control de un sitio puede elegir entre delegar el control de todos los objetos o delegar el control de uno o varios objetos que se encuentran en dicho sitio. Los objetos para los que puede delegar el control son: usuarios, equipos, grupos, impresoras, unidades organizativas, carpetas compartidas, sitios, vnculos a sitios, puentes de vnculos a sitios, etc. A continuacin, se le pedir que seleccione el mbito de los permisos que desea delegar (general, especfico de propiedades o simplemente la creacin o eliminacin de determinados objetos secundarios). Si especifica general, se le pedir que conceda uno o varios de los permisos siguientes: Control total, Lectura, Escritura, Crear todos los objeto secundarios, Eliminar todos los objetos secundarios, Leer todas las propiedades o Escribir todas las propiedades.
Poltica de grupo
En Windows NT 4.0 se utiliza el Editor de polticas del sistema para definir las configuraciones de usuarios, grupos y equipos almacenadas en la base de datos del Registro de Windows NT. En el sistema operativo Windows 2000, Poltica de grupo define ms componentes en el entorno del usuario que los administradores pueden controlar. Estos componentes incluyen opciones para las polticas basadas en el Registro, opciones de seguridad, opciones de distribucin de software, secuencias de comandos (para iniciar y apagar el equipo, y para el inicio y cierre de sesin de usuarios) y la redireccin de carpetas especiales19. El sistema aplica los valores de configuracin de Poltica de grupo a los equipos durante el inicio o a los usuarios cuando inician la sesin. Los valores de Poltica de grupo se aplican a los usuarios o equipos en sitios, dominios y unidades organizativas mediante la vinculacin del GPO al contenedor de Active Directory donde residen los usuarios o los equipos. De forma predeterminada, Poltica de grupo afecta a todos los usuarios y equipos del contenedor vinculado. La pertenencia a grupos de seguridad se utiliza para filtrar los GPO que afectan a los usuarios y equipos de una unidad organizativa, un dominio o un sitio. Esto permite aplicar la poltica en un nivel ms granular; es decir, el uso de grupos de seguridad permite aplicar la poltica a grupos especficos de objetos de un contenedor. Para filtrar la poltica de grupo de esta forma se utiliza la ficha Seguridad en la pgina Propiedades de un GPO para controlar quin puede leerlo. A los usuarios que no tengan Aplicar poltica de grupo y Leer establecidos a Permitir como miembros de un grupo de seguridad no se les aplicar dicho GPO. Sin embargo, puesto que los usuarios normales tienen estos permisos de forma predeterminada, Poltica de grupo afecta a todos los usuarios y equipos del contenedor vinculado a menos que cambie estos permisos explcitamente.
La ubicacin de un grupo de seguridad en Active Directory no tiene importancia para Poltica de grupo. Para el contenedor especfico al que se aplica el GPO, los valores del GPO determinan lo siguiente:
Qu recursos del dominio (como las aplicaciones) estn disponibles para los usuarios. Cmo est configurado el uso de estos recursos del dominio.
Por ejemplo, un GPO puede determinar qu aplicaciones tienen disponibles los usuarios en su equipo cuando inician la sesin, cuntos usuarios pueden conectarse a Microsoft SQL Server cuando se inicie en un servidor o a qu servicios tienen acceso los usuarios cuando se mueven a otros departamentos o grupos. Poltica de grupo permite administrar un nmero pequeo de GPO en lugar de un gran nmero de usuarios y equipos. Los sitios, los dominios y las unidades organizativas, a diferencia de los grupos de seguridad, no confieren la pertenencia. En su lugar, contienen y organizan objetos del directorio. Utilice los grupos de seguridad para conceder derechos y permisos a los usuarios y, a continuacin, utilice los tres tipos de contenedores de Active Directory para alojar los usuarios y los equipos, y para asignar valores de Poltica de grupo. Como el acceso a los recursos se concede mediante grupos de seguridad, ver que es ms eficaz utilizar grupos de seguridad para representar la estructura organizativa de su empresa que usar dominios o unidades organizativas para reflejar la estructura de la organizacin. De forma predeterminada, los contenedores secundarios heredan los valores de la poltica que afectan a todo el dominio o que se aplican a una unidad organizativa que contiene otras unidades organizativas, a menos que el administrador especifique explcitamente que la herencia no se aplica a uno o varios contenedores secundarios. Delegar el control de Poltica de grupo Los administradores de la red (miembros del grupo Administradores de empresa o Administradores del dominio) pueden utilizar la ficha Seguridad de la pgina Propiedades del GPO para averiguar qu grupos de administradores pueden modificar los valores de la poltica en los GPO. Para ello, un administrador de la red define primero los grupos de administradores (por ejemplo, administradores de mercadotecnia) y, a continuacin, les proporciona acceso de lectura y escritura a los GPO seleccionados. Tener control total de un GPO no permite a un administrador vincularlo a un sitio, dominio o unidad organizativa. Sin embargo, los administradores de la red tambin pueden conceder esta posibilidad mediante el Asistente para delegacin de control. En el sistema operativo Windows 2000 puede delegar independientemente las tres tareas siguientes de Poltica de grupo:
Administrar los vnculos de Poltica de grupo de un sitio, un dominio o una unidad organizativa. Crear objetos de Poltica de grupo. Modificar los objetos de Poltica de grupo.
Poltica de grupo, al igual que la mayora de las dems herramientas administrativas de Windows 2000, se encuentra en las consolas de MMC. Por tanto, los derechos para crear, configurar y utilizar consolas de MMC tienen implicaciones sobre la poltica. Puede controlar estos derechos mediante Poltica de grupo en
<Nombre de objeto de poltica de grupo>/Configuracin de usuario/Plantillas
y sus subcarpetas. En la tabla 4 se enumeran los valores de los permisos de seguridad para un objeto de poltica de grupo. Tabla 4. Valores de permisos de seguridad para un GPO Grupos (o usuarios) Permiso de seguridad Lectura con ACE Aplicar Poltica Usuario autenticado de grupo Administradores de dominio Administradores de empresaControl total sin ACE Aplicar Creador propietario del sistemaPoltica de grupo local Nota De forma predeterminada, los administradores tambin son usuarios autenticados, lo que significa que tienen configurado el atributo Aplicar Poltica de grupo. Para obtener ms informacin acerca de Poltica de grupo, consulte la seccin "Para obtener ms informacin" al final de este documento.
Interoperabilidad
Muchas organizaciones dependen de un conjunto variado de tecnologas que deben funcionar conjuntamente. Active Directory admite una serie de estndares para garantizar la interoperabilidad del entorno Windows 2000 con otros productos de Microsoft y una amplia variedad de productos de otros proveedores. En esta seccin se describen los siguientes tipos de interoperabilidad admitidos por Active Directory:
Protocolo LDAP. Interfaces de programacin de aplicaciones. Sincronizar Active Directory con otros servicios de directorio. Funcin de contenedores virtuales y ajenos en interoperabilidad.
de
acceso
El Protocolo compacto de acceso a directorios (LDAP) es el estndar para el acceso a directorios. Internet Engineering Task Force (IETF) desea convertir LDAP en el estndar de Internet.
Interfaces de aplicaciones
programacin
de
Puede utilizar las siguientes interfaces de programacin de aplicaciones (API) para tener acceso a la informacin de Active Directory:
proveedor que permite que COM tenga acceso a diferentes tipos de directorios para los que existe un proveedor. Actualmente, Microsoft suministra proveedores ADSI para Servicios de directorio de Novell NetWare (NDS) y NetWare 3, Windows NT, LDAP y la metabase de Servicios de Internet Information Server (IIS). (La metabase de IIS contiene los valores de configuracin de IIS.) El proveedor LDAP puede utilizarse con cualquier directorio LDAP, incluido Active Directory, Microsoft Exchange 5.5 o Netscape. Puede utilizar ADSI desde muchas herramientas, que van desde aplicaciones de Microsoft Office hasta C/C++. ADSI es extensible, con lo que puede agregar funcionalidad a un objeto ADSI para admitir propiedades y mtodos nuevos. Por ejemplo, puede agregar un mtodo al objeto de usuario que crea un buzn de Exchange para un usuario cuando se invoque el mtodo. ADSI tiene un modelo de programacin muy sencillo. Simplifica la carga de administracin de datos que es caracterstica de las interfaces que no son COM, como las API C de LDAP. Como ADSI puede utilizarse en secuencias de comandos, resulta fcil desarrollar aplicaciones Web completas. ADSI admite ActiveX Data Objects (ADO) y la base de datos de vinculacin e incrustacin de objetos (OLE DB) para realizar consultas. Los programadores y los administradores pueden agregar objetos y atributos a Active Directory mediante la creacin de secuencias de comandos basadas en ADSI (as como secuencias de comandos basadas en LDIFDE, que se describe ms adelante en este documento).
API C de LDAP
La API C de LDAP, definida en el estndar de Internet RFC 1823, es un conjunto de API de bajo nivel del lenguaje C para el protocolo LDAP. Microsoft admite las API C de LDAP en todas las plataformas Windows. Los programadores pueden escribir aplicaciones compatibles con Active Directory mediante las API C de LDAP o ADSI. Las API C de LDAP son las que suelen utilizarse para facilitar el transporte de las aplicaciones de directorio a la plataforma Windows. Por otra parte, ADSI es un lenguaje ms eficaz y ms adecuado para los programadores que escriben cdigo de directorio en la plataforma Windows.
de Active Directory se almacena en el propio directorio, puede utilizar LDIFDE para realizar una copia de seguridad o ampliar el esquema. Para obtener una lista de los parmetros de LDIFDE y su funcin, consulte la Ayuda de Windows 2000. Para obtener informacin acerca de cmo utilizar LDIFDE en operaciones por lotes con Active Directory, consulte la seccin "Para obtener ms informacin" al final de este documento.
Clientes. Un controlador de dominio de Windows 2000 puede proporcionar autenticacin para los sistemas cliente que ejecuten implementaciones de Kerberos RFC-1510, incluidos los clientes que ejecuten un sistema operativo distinto de Windows 2000. Las cuentas de usuarios y equipos de Windows 2000 pueden utilizarse como principales de Kerberos para servicios de Unix. Clientes y servicios Unix. En un dominio de Windows 2000, los clientes y servicios Unix pueden tener cuentas de Active Directory y, por tanto, pueden obtener la autenticacin de un controlador de dominio. En este escenario, un principal de Kerberos se asigna a una cuenta de usuario o equipo de Windows 2000.
Aplicaciones y sistemas operativos. Las aplicaciones cliente para Win32 y los sistemas operativos distintos de Windows 2000 que se basan en la Interfaz de programacin de aplicaciones de servicios de seguridad generales (API GSS) pueden obtener vales de sesin para los servicios dentro de un dominio de Windows 2000.
En un entorno que ya utiliza un territorio Kerberos, el sistema operativo Windows 2000 admite interoperabilidad con los servicios Kerberos:
Territorio Kerberos. Los sistemas basados en Windows 2000 Professional pueden autenticar un servidor Kerberos RFC-1510 dentro de un territorio con un inicio de sesin nico en el servidor y una cuenta local de Windows 2000 Professional. Relaciones de confianza con territorios Kerberos. Se puede establecer una relacin de confianza entre un dominio y un territorio Kerberos. Esto significa que un cliente de un territorio Kerberos puede autenticarse en un dominio de Active Directory para tener acceso a los recursos de red de dicho dominio.
Resumen
Entre las muchas mejoras que ofrece el sistema operativo Windows 2000 Server, la ms importante es la presentacin del servicio de directorio Active Directory. Active Directory ayuda a centralizar y
simplificar la administracin de la red y, de este modo, mejora la capacidad de la red para respaldar los objetivos de la organizacin. Active Directory almacena informacin acerca de los objetos de la red y pone esta informacin a disposicin de los administradores, los usuarios y las aplicaciones. Se trata de un espacio de nombres integrado con el Sistema de nombres de dominio (DNS) de Internet y, al mismo tiempo, es el software que define un servidor como controlador de dominio. Los dominios, los rboles, los bosques, las relaciones de confianza, las unidades organizativas y los sitios se utilizan para estructurar la red de Active Directory y sus objetos. Puede delegar la responsabilidad administrativa de las unidades organizativas, dominios o sitios a los usuarios o grupos adecuados y puede asignar valores de configuracin a estos tres mismos contenedores de Active Directory. Esta estructura permite que los administradores controlen la red de modo que los usuarios puedan concentrarse en alcanzar sus objetivos empresariales. Actualmente, la norma es que las organizaciones dependan de tecnologas diversas que necesitan funcionar conjuntamente. Active Directory se ha creado a partir de protocolos estndar de acceso a directorios, lo cual, junto con varias API, permite que Active Directory interopere con otros servicios de directorio y una amplia variedad de aplicaciones de terceros. Adems, Active Directory puede sincronizar datos con Microsoft Exchange y proporciona utilidades de la lnea de comandos para importar y exportar datos a y desde otros servicios de directorio.
Ayuda del producto Windows 2000 (http://windows.microsoft.com/windows2000/en/server/help/): cmo obtener un Id. de objeto de esquema (OID). Kit de desarrollo de software de la plataforma Windows 2000 (http://msdn.microsoft.com/developer/sdk/Platform.asp): cmo utilizar ADSI para ampliar el esquema mediante programa.
"Notas del producto "Introduccin a Poltica de grupo de Windows 2000" (http://www.microsoft.com/windows/server/Technical/management/Gr oupPolicyIntro.asp): Detalles de Poltica de grupo de Windows 2000.
Ayuda del producto Windows 2000 (http://www.microsoft.com/windows2000/en/server/help/) para Active Directory Connector: cmo sincroniza Active Directory Connector los datos entre Active Directory y Microsoft Exchange. Novedades tcnicas de Beta 3, "Importacin y exportacin masiva a Active Directory" (http://www.microsoft.com/Windows/server/Deploy/directory/Blk impt.asp): cmo utilizar LDIFDE para operaciones por lotes con Active Directory. Sitio Web de Internet Engineering Task Force (IETF) (http://www.ietf.org/): para obtener RFC de IETF y borradores de Internet.
La Gua de diseo de la distribucin de Microsoft Windows 2000 Server, que describe cmo planear la estructura y la distribucin de los dominios y los sitios de Windows 2000, se pondr a la venta a principios del ao 2000. Tambin se encuentra en los CD de Windows 2000 Server y Windows 2000 Advanced Server como parte de las herramientas auxiliares.
Apndice A: Herramientas
En este apndice se proporciona una breve introduccin a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.
asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas especficas. Los siguientes complementos de Active Directory estn disponibles en el men Herramientas administrativas de Windows 2000 Server de todos los controladores de dominio de Windows 2000:
Usuarios y equipos de Active Directory Dominios y confianza de Active Directory Sitios y servicios de Active Directory
La forma recomendada para ampliar el esquema de Active Directory es mediante programa, a travs de las Interfaces de servicio de Active Directory (ADSI) o la utilidad Formato de intercambio de datos LDAP (LDIFDE). Sin embargo, para propsitos de desarrollo y de pruebas, tambin puede ver y modificar el esquema de Active Directory con el complemento Esquema de Active Directory. Esquema de Active Directory no est disponible en el men Herramientas administrativas de Windows 2000 Server. Debe instalar las Herramientas de administracin de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlas a una consola de MMC. Un quinto complemento, que est relacionado con las tareas de Active Directory, es:
Configurar las polticas de grupo es una tarea relacionada con la administracin de usuarios, equipos y grupos de Active Directory. Los objetos de poltica de grupo (GPO), que contienen valores de polticas, controlan la configuracin de usuarios y equipos en sitios, dominios y unidades organizativas. Para crear o modificar GPO, utilice el complemento Poltica de grupo, al que se tiene acceso a travs de Usuarios y equipos de Active Directory o mediante Sitios y servicios de Active Directory (dependiendo de la tarea que desee realizar). Para utilizar las herramientas administrativas de Active Directory de forma remota, desde un equipo que no sea un controlador de dominio (por ejemplo, uno que ejecute Windows 2000 Professional), debe instalar las herramientas administrativas de Windows 2000.
de
realizar
tareas
En la tabla 5 se enumeran las tareas comunes que puede realizar mediante los complementos de Active Directory y las herramientas administrativas relacionadas. Para los usuarios del sistema operativo
Windows NT Server, en la tabla tambin se muestra dnde se realizan estas tareas cuando se utilizan las herramientas de administracin proporcionadas por Windows NT Server 4.0. Tabla 5. Tareas realizadas con las herramientas de Active Directory y Poltica de grupo En Windows Si desea: NT 4.0,En Windows 2000, utilice: utilice: Asistente para instalacin de Instalar un Instalacin deActive Directory (al que se tiene controlador de Windows acceso desde Configurar el dominio servidor). Administrar Administrador Usuarios y equipos de Active cuentas de de usuarios Directory usuario Administrar Administrador Usuarios y equipos de Active grupos de usuarios Directory Administrar Administrador Usuarios y equipos de Active cuentas de de servidores Directory equipo Agregar un Administrador Usuarios y equipos de Active equipo a un de servidores Directory dominio Crear o administrar Administrador Dominios y confianza de Active relaciones dede usuarios Directory. confianza Administrar Administrador Usuarios y equipos de Active polticas de de usuarios Directory cuentas Usuarios y equipos de Active Directory: Modifique el objeto de poltica Administrar Administrador de grupo para el dominio o la derechos de de usuarios unidad organizativa que usuario contenga los equipos a los que se aplican los derechos de usuario. Usuarios y equipos de Active Directory: Administrar Administrador Modifique el objeto de poltica polticas de de usuarios de grupo asignado a la unidad auditora organizativa Controladores de dominio. Configurar Editor dePoltica de grupo, al que se polticas parapolticas deltiene acceso a travs de Sitios y usuarios ysistema servicios de Active Directory
equipos de un sitio Configurar Poltica de grupo, al que se polticas paraEditor de tiene acceso a travs de usuarios ypolticas del Usuarios y equipos de Active equipos de unsistema Directory dominio Configurar polticas para Poltica de grupo, al que se usuarios y tiene acceso a travs de No aplicable equipos de un Usuarios y equipos de Active unidad Directory organizativa Modificar la entrada de permiso Usar grupos de para Aplicar Poltica de seguridad para No aplicable grupo en la ficha Seguridad de filtrar el mbito la hoja de propiedades del de la poltica objeto de poltica de grupo.
Administracin por lotes de confianzas, unin de NETDOM equipos a dominios, comprobacin de confianzas y canales seguros. Comprobar de un extremo a otro la red y las NETDIAG funciones de servicios distribuidos. Comprobar que el ubicador y el canal seguro estn NLTest funcionando. Comprobar la coherencia de replicacin entre asociados de replicacin, supervisar el estado de REPAdmi replicacin, mostrar los metadatos de replicacin, n forzar los eventos de replicacin y actualizar el Comprobador de coherencia de rplica (KCC). Mostrar la topologa de replicacin, supervisar el estado de replicacin (incluidas las polticas de REPLMon grupo), forzar los eventos de replicacin y actualizar el Comprobador de coherencia de rplica. Esta herramienta tiene una interfaz grfica de usuario. Comparar la informacin de directorio en DSAStat controladores de dominio y detectar las diferencias. Complemento de Microsoft Management Console (MMC) que se utiliza para ver todos los objetos del ADSIEdit directorio (incluida la informacin de esquema y de configuracin), modificar objetos y configurar listas de control de acceso para los objetos. Comprobar la propagacin y la replicacin de las listas de control de acceso de los objetos especificados del directorio. Esta herramienta SDCheck permite que un administrador determine si las listas de control de acceso se heredan correctamente y si los cambios de las mismas se replican de un controlador de dominio a otro. Determinar si a un usuario se le ha concedido o denegado el acceso a un objeto del directorio. ACLDiag Tambin puede utilizarse para restablecer las listas de control de acceso a su estado predeterminado. Utilidad de la lnea de comandos para administrar todos los aspectos del Sistema de archivos DFSCheckdistribuido (Dfs), comprobar la simultaneidad de configuracin de los servidores Dfs y mostrar la topologa Dfs.
6 Los grupos de Windows 2000 se definen de forma diferente a Windows NT. Windows 2000 incluye dos tipos de grupos: 1, grupos de seguridad (para administrar el acceso de usuarios y equipos a recursos compartidos y para filtrar los valores de poltica de grupo) y 2, grupos de distribucin (para crear listas de distribucin de correo electrnico). Windows 2000 tambin incluye tres mbitos de grupo: 1, grupos con mbito local de dominio (para definir y administrar el acceso a los recursos dentro de un nico dominio); 2, grupos con mbito global (para administrar objetos de directorio que precisan mantenimiento diario, como las cuentas de usuario y equipo; el mbito global se utiliza para agrupar cuentas dentro de un dominio); y 3, grupos con mbito universal (para consolidar grupos que abarcan dominios; puede agregar cuentas de usuario a grupos con mbito global y, a continuacin, anidar estos grupos dentro de grupos que tengan mbito universal). (Para obtener ms informacin acerca de los grupos de Windows 2000, incluido el nuevo tipo de grupo universal, consulte la seccin "Para obtener ms informacin" al final de este documento.) 7 Para poder obtener el logotipo Certificado para Windows, VeriTest debe probar la aplicacin con el fin de comprobar que cumpla la Especificacin de aplicaciones para Windows 2000. Puede elegir cualquier combinacin de plataformas, siempre y cuando se incluya al menos un sistema operativo Windows 2000. Las aplicaciones pueden llevar el logotipo "Certificado para Microsoft Windows" una vez hayan superado las pruebas de conformidad y se haya establecido un contrato de licencia de logotipo con Microsoft. El logotipo que se obtiene indica las versiones de Windows para las que est certificado el producto. Consulte 8 Active Directory admite LDAP v2 y LDAP v3, que reconocen las convenciones de nomenclatura de RFC 1779 y RFC 2247. 9 Si no se ha agregado ningn UPN, los usuarios pueden iniciar la sesin explcitamente si proporcionan su nombre de usuario y el nombre DNS del dominio raz. 10 Las polticas de grupo que controlan los valores predeterminados de las impresoras de publicacin son Publicar automticamente impresoras nuevas en Active Directory y Permitir que se publiquen impresoras (esta ltima controla si se pueden publicar o no las impresoras de ese equipo). 11 En comparacin con versiones anteriores de Windows NT Server, la base de datos de SAM tena un lmite de unos 40000 objetos por dominio. 12 Para obtener una descripcin de esta sobrecarga adicional, consulte la "Gua de diseo de la distribucin de Windows 2000 Server", que describe cmo planear la estructura y la distribucin de dominios y sitios de Windows 2000, en la seccin "Para obtener ms informacin" al final de este documento. 13 Una DACL concede o deniega permisos para un objeto a determinados usuarios o grupos.
14 Para obtener ms informacin acerca de la interoperabilidad con territorios Kerberos, consulte la seccin "Funcin Kerberos en interoperabilidad". 15 Los vectores de actualizacin no son especficos del sitio. Un vector de actualizacin contiene una entrada por cada servidor en el que se puede escribir en la particin del directorio (contexto de nombres). 16 Adems de delegar la autoridad en contenedores, puede conceder permisos (como lectura y escritura) hasta el nivel de atributo de un objeto. 17 Las entradas de control de acceso (ACE) de la DACL de un objeto determinan quin tiene acceso a dicho objeto y qu tipo de acceso tiene. Cuando se crea un objeto en el directorio, se le aplica una DACL predeterminada (definida en el esquema). 18 De forma predeterminada, al grupo Administradores de empresa se concede Control total sobre todos los objetos de un bosque. 19 La extensin Redireccin de carpetas se utiliza para redirigir cualquier carpeta especial de un perfil de usuario a una ubicacin alternativa (por ejemplo, un recurso compartido de red): Datos de programa, Escritorio, Mis documentos (y/o Mis imgenes), Men Inicio. 20 LDAP versin 2 se describe en RFC 1777; LDAP versin 3 se describe en RFC 2251.