You are on page 1of 91

Conceptos bsicos Resumen Tcnico de Active Directory Windows 2000 Sistema Operativo de Servidor Documentos Estratgicos Resumen

Introduccin Este documento proporciona una introduccin tcnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectnicos y caractersticas. La seccin Conceptos Importantes describe los trminos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran ms en detalle sobre lo que realiza el Active Directory, qu caractersticas trae a Windows y como est implementado. La seccin Migracin cubre modelos de dominio de migracin y estructuras de directorio de Windows NT 4.0 a Windows 2000. La ltima seccin, Preguntas Ms Frecuentes, responde preguntas sobre el Active Directory y cmo funciona. Un directorio es una fuente de informacin usada para almacenar informacin sobre objetos interesantes. Un directorio telefnico almacena informacin sobre los subscriptores. En un sistema de archivo, el directorio almacena informacin sobre los archivos. En un sistema computacional distribuido o una red computacional pblica como

Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "trminos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes pblicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de informacin del directorio como los servicios que hacen la informacin disponible y utilizable para los usuarios. Un servicio de directorio es uno de los ms importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y los administradores no saben el nombre exacto de los objetos en los cuales estn interesados. Pueden conocer uno o ms atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede:

Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes mltiples para permitir el almacenaje de un gran nmero de objetos.

Un servicio de directorio es tanto una herramienta de manejo como una herramienta de usuario final. Conforme aumenta el nmero de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido. El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Ampla las caractersticas de previos servicios de directorio basados en Windows y agrega caractersticas totalmente nuevas. El Active Directory es seguro, distribuido,

separado, y duplicado. Est diseado para funcionar bien en instalaciones de cualquier tamao, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas caractersticas nuevas que hacen fcil navegar y manejar grandes cantidades de informacin, generando ahorros de tiempo tanto para los administradores como para los usuarios finales.

Conceptos Importantes Algunos conceptos y trminos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los trminos que han existido por un tiempo son usados para que signifiquen ms que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y trminos en el contexto del Active Directory. El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de rea amplia. Tambin puede incluir varias redes de rea amplia combinadas, as es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas. El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es cualquier rea limitada en la cual puede ser incluido un nombre dado. La inclusin del nombre es el proceso de adaptar un nombre a algn objeto o informacin que representa. Un directorio telefnico forma un espacio para nombres para el cual los nombres de los subscriptores de telfono pueden ser incluidos en nmeros telefnicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo. El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo. Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicacin. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y direccin de correo electrnico.

Figura 1. Un objeto de usuario y sus atributos Un contenedor es como un objeto en que tiene atributos y es parte del espacio para nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa

algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores. Un rbol (tree) se usa en todo este documento para describir una jerarqua de objetos y contenedores. Los puntos finales en el rbol son usualmente objetos. Los nudos en el rbol (los puntos donde salen ramas) son contenedores. Un rbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es tambin un contenedor. Un subrbol colindante es cualquier camino ininterrumpido en el rbol, incluyendo todos los miembros de cualquier contenedor en ese camino.

Figura 2. Un subrbol colindante de un directorio de archivo Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres. Nombre nico Cada objeto en el Active Directory tiene un nombre nico (Distinguished Name, DN). El nombre nico identifica el dominio que conserva el objeto, as como el camino completo a travs de la jerarqua del contenedor por el cual se llega al objeto. Un tpico DN puede ser /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com

Figura 3. Una representacin grfica de un nombre nico Nombre nico Relativo El Nombre nico Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users. El Active Directory est compuesto de uno a ms contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subrbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres.

El esquema La configuracin (topologa de particin y metadatos relacionados) Uno o ms contextos para dar nombres de usuario (subrboles conteniendo los objetos reales en el directorio).

Un dominio es un solo lmite de seguridad de una red computacional de Windows NT o Windows 2000. (Para ms informacin sobre dominios, vea la documentacin de Windows). El Active Directory est compuesto de uno o ms dominios. En una sola estacin de trabajo, el dominio es la computadora misma. Un dominio puede conectar ms de una ubicacin fsica. Cada dominio tiene sus propias polticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios mltiples son conectados por relaciones de confianza y comparten un esquema comn, configuracin, y catlogo global, tienen un rbol dominio. Arboles de dominio mltiples pueden conectarse juntos en un bosque. Un rbol de dominio comprende varios dominios que comparten un esquema comn y configuracin, formando un colindante espacio para nombres. Los dominios en un rbol estn tambin vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o ms rboles. Los rboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del rbol de dominio. Visualizando las Relaciones de confianza

Puede trazar un dibujo de un rbol de dominio basado en los dominios individuales y de cmo confan uno en el otro. Windows 2000 establece las relaciones de confianza entre los dominios basndose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerrquica, si el dominio A confa en el dominio B y dominio B confa en dominio C, dominio A confa tambin en el dominio C.

Figura 4. Un rbol de dominio visto en trminos de sus relaciones de confianza. Visualizando el Espacio para nombres Tambin puede hacer un dibujo de un rbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre nico de un objeto siguiendo el camino hacia el espacio para nombres del rbol de dominio. Esta vista es til para agrupar objetos en una jerarqua lgica. La principal ventaja de un colindante espacio para nombres es que una bsqueda intensa desde la raz del espacio para nombres buscar en la jerarqua completa.

Figura 5. Viendo un rbol dominio como espacio para nombres Un bosque es un conjunto de uno o ms rboles que NO forman un espacio para nombres colindante. Todos los rboles en un bosque comparten un esquema comn, configuracin, y Catalogo Global. Todos los rboles en un bosque dado confan uno en el otro va relaciones de confianza Kerberos transitivas jerrquicas. A diferencia de un rbol, un bosque no necesita un nombre nico. Un bosque existe como un conjunto de objetos de referencia recproca y relaciones de confianza Kerberos conocidas para los rboles miembros. Los rboles en un bosque forman una jerarqua para los propsitos de

confianza Kerberos; el nombre del rbol en la raz del rbol de confianza puede ser usado para referirse a un bosque dado.

Figura 6. rboles mltiples en un bosque Un sitio (site) es una ubicacin en una red que contiene servidores de Active Directory. Un sitio se define como una o ms subredes TCP/IP bien conectadas. "Bien conectadas" significa que la conectividad de la red es altamente confiable y rpida (por ejemplo: velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir un sitio como un conjunto de subredes permite a los administradores configurar rpidamente y fcilmente el acceso al Active Directory y la topologa de replicacin para tomar ventaja de la red fsica. Cuando un usuario se conecta, el cliente del Active Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya que las mquinas en el mismo sitio estn cerca una de otra en trminos de red, la comunicacin entre las mquinas es confiable, rpida y eficiente. Determinar el sitio local en tiempo de conexin se logra fcilmente debido a que la estacin de trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se adaptan directamente a los sitios del Active Directory. Arquitectura Esta corta seccin presenta algunos de los principales componentes arquitectnicos del Active Directory. El modelo de datos del Active Directory se deriva del modelo de datos X.500. El directorio conserva objetos que representan cosas de diferentes tipos, descritos por caractersticas. El universo de objetos que pueden ser almacenados en el directorio est definido en el esquema. Para cada clase de objetos, el esquema define qu atributos debe tener un ejemplo del grupo, qu atributos adicionales puede tener y qu clase de objetos puede ser matriz de la actual clase de objetos. El esquema del Active Directory es implementado como un conjunto de instancias de clase de objeto almacenados en el directorio. Es muy diferente a muchos directorios que tienen un esquema, pero los almacena como un archivo de texto para leerse al iniciar. Por ejemplo, las aplicaciones del usuario pueden leer el esquema para descubrir qu objetos y propiedades estn disponibles. El esquema del Active Directory puede ser actualizado dinmicamente. Es decir, una aplicacin puede extender el esquema con nuevos atributos y clases, y puede usar las extensiones inmediatamente. Las actualizaciones del esquema se logran creando o modificando los objetos del esquema almacenados en el directorio. Al igual que cada objeto en el Active Directory, los objetos del esquema son protegidos por listas de control de acceso (Access Control Lists, ACLs), as es que slo los usuarios autorizados

pueden alterar el esquema. El directorio es parte del Windows 2000 Trusting Computing Base y es un total participante en la infraestructura de seguridad de Windows 2000. Los ACLs protegen a todos los objetos en el Active Directory. Las rutinas de validacin de acceso a Windows 2000 usan el ACL para validar cualquier intento de accesar un objeto o atributo en el Active Directory. Los usuarios autorizados desempean la administracin en el Active Directory. Un usuario est autorizado por una autoridad ms alta para desempear un conjunto de acciones especificadas en un conjunto de objetos especificados y clases de objetos en algn identificado subrbol del directorio. Esto se llama administracin delegada (delegated administration). La administracin delegada permite un control estricto sobre quien puede hacer qu y permite la delegacin de autoridad sin otorgar altos privilegios. El Agente del Sistema de Directorio (Directory System Agent, DSA) es el proceso que maneja el almacenaje fsico del directorio. Los clientes usan una de las interfaces apoyadas para conectarse al DSA y luego buscar, leer, y escribir objetos del directorio y sus atributos. El DSA proporciona al cliente aislamiento del formato de almacenaje fsico de los datos del directorio. Funciones de Active Directory Esta seccin describe algunas de las principales caractersticas y componentes del Active Directory. El Active Directory est integrado estrechamente con el Sistema de nombres del dominio (Domain Name System, DNS). El DNS es el espacio para nombres distribuido que se usa en Internet para incluir nombres computacionales y de servicio a las direcciones TCP/IP. La mayora de las empresas que tienen intranets usan DNS como el servicio de inclusin de nombres. El Active Directory usa DNS como el servicio de ubicacin. Los nombres de dominio de Windows 2000 son nombres de dominio DNS. Por ejemplo: "Microsoft.com" es un nombre de dominio DNS vlido y podra tambin ser el nombre de un dominio de Windows 2000. La estrecha integracin DNS significa que el Active Directory encaja naturalmente en ambientes de Internet e intranet. Los clientes encuentran los servidores de directorio rpidamente y fcilmente. Una empresa puede conectar los servidores de Active Directory directamente a la Internet para facilitar las comunicaciones seguras y el comercio electrnico con clientes y socios. Servicio de ubicacin Los servidores del Active Directory publican sus direcciones de modo que los clientes puedan encontrarlos conociendo slo el nombre de dominio. Los servidores del Active Directory son publicados por medio de los Registros de recursos de servicios (Service Resource Records, SRV RRs) en DNS. El SRV RR es un registro de DNS usado para mapear el nombre de un servicio a las direcciones de un servidor que ofrece ese servicio. El nombre de un SRV RR se da en esta forma: ..

Los servidores del Active Directory ofrecen el servicio LDAP sobre el protocolo TCP de modo que los nombres publicados se encuentren en la forma: ldap.tcp. Por lo tanto, el SRV RR para "Microsoft.com" es "ldap.tcp.microsoft.com". Informacin adicional sobre el SRV RR indica la prioridad y peso para el servidor, permitiendo que los clientes seleccionen el mejor servidor para sus necesidades. Cuando un servidor de Active Directory es instalado, se publica a s mismo va un DNS dinmico (Dynamic DNS) que se explica ms adelante. Ya que las direcciones TCP/IP estn sujetas a cambio con el tiempo, los servidores revisan peridicamente sus registros para asegurarse que estn correctos, actualizndolos si es necesario. DNS Dinmico Un DNS dinmico (Dynamic DNS) es una reciente adicin al estndar DNS. Dynamic DNS define un protocolo para actualizar dinmicamente un servidor con valores nuevos o cambiados. Antes de Dynamic DNS, los administradores necesitaban configurar manualmente los registros almacenados por servidores DNS. Un objeto tiene exactamente un nombre, el nombre nico (DN). El DN identifica originalmente el objeto y contiene suficiente informacin para que el cliente retire el objeto del directorio. El DN de un objeto puede cambiar. Ya que el DN de un objeto est compuesto del RDN del objeto mismo o cualquier predecesor cambiar el DN. Debido a que los DNs son complejos para recordar y estn sujetos a cambio, es de utilidad tener otros medios para recuperar objetos. El Active Directory apoya la consulta por caractersticas, de modo que un objeto pueda ser encontrado an que se desconozca el DN exacto o haya cambiado. Para simplificar el proceso de encontrar objetos por consulta, el esquema del Active Directory define dos propiedades tiles:

Identificador de objeto globalmente nico (Object globally unique identifier, GUID) - Un nmero de 128 bits, garantizado para ser nico. Los objetos tienen asignado un GUID cuando son creados. El GUID nunca es cambiado, an si el objeto es movido o vuelto a nombrar. Las aplicaciones pueden almacenar el GUID de un objeto y ser asegurado de recuperar ese objeto no importando cual es el DN actual. Nombre principal de usuario (User Principal Name) - Los principios de seguridad (usuarios y grupos) tienen un nombre "amigable" cada uno, el Nombre Principal de Usuario (User Principal Name, UPN), el cual es ms corto que el DN y ms fcil de recordar. El UPN est compuesto de un nombre en "taquigrafa" para el usuario y el nombre DNS para el rbol de dominio donde el usuario reside. Por ejemplo, el usuario James Smith en el rbol Microsoft.com puede tener un UPN de "JamesS@Microsoft.com".

Exclusividad de Nombres Los nombres distinguidos estn garantizados a ser exclusivos. El Active Directory no permite que dos objetos con el mismo RDN se encuentren bajo la misma matriz. Los DNs se componen de RDNs y por lo tanto son singulares. Los GUIDs son singulares

por definicin; un algoritmo que asegura la singularidad genera GUIDs. La singularidad no est reforzado por cualquier otro atributo. El acceso al Active Directory es va protocolos en lnea (wire protocols). Los protocolos en lnea definen los formatos de mensajes e interacciones del cliente y servidor. Diversas interfaces de programacin de aplicaciones (APIs) dan a los desarrolladores el acceso a estos protocolos. Apoyo a protocolos Los protocolos que son apoyados incluyen:

LDAP - El protocolo central del Active Directory es el Lightweight Directory Acces Protocol (LDAP). Las versiones 2 y 3 de LDAP son apoyadas. MAPI-RPC - El Active Directory soporta las interfaces de Remote procedure call (RPC) que apoyan las interfaces MAPI. X.500 - El modelo de informacin del Active Directory se deriva del modelo de informacin X.500. ElX.500 define varios protocolos de electrnica que el Active Directory no implementa. Estos protocolos son: o DAP- Directory Access Protocol o DSP - Directory System Protocol o DISP - Directory Information Shadowing Protocol o DOP - Directory Operational Binding Management Protocol

El Active Directory no implementa estos protocolos por las siguientes razones:


Hay muy poco inters en estos protocolos y hay unas cuantas implementaciones. Estos protocolos son dependientes de trabajaren la red OSI. OSI es una alternativa para TCP/IP, la cual no est ampliamente implementada. Trasladar OSI a travs de una red TCP/IP es menos eficiente que usar TCP/IP directamente. LDAP provee las funciones ms importantes ofrecidas por DAP y DSP y est diseado para trabajar sobre TCP/IP sin la sobrecarga de envolver OSI en TCP/IP. Hay suficiente ambigedad en las especificaciones DISP y DOP de 1993 y 1997 que implementaciones de conformar no estn garantizadas para interoperar, de ese modo reduciendo dramticamente el valor de estos protocolos.

Interfaces de Programacin de Aplicaciones Los APIs apoyados incluyen:

ADSI - Interfaces de Servicio de Active Directory (ADSI), proveen al Active Directory de una interface simple y poderosa orientada al objeto. Los desarrolladores pueden usar muchos lenguajes de programacin diferentes, incluyendo Java, sistema de programacin Visual Basic, C, C++, y otros. El ADSI es totalmente encriptable para un fcil uso de los administradores del sistema. ADSI le esconde a los usuarios los detalles de las comunicaciones LDAP. LDAP API - El LDAP C API, definido en RFC 1823, es una interface de menor

nivel disponible para los programadores C. MAPI - El Active Directory respalda a MAPI para compatibilidad en direccin contraria. Las nuevas aplicaciones deben usar ADSI o el LDAP C API.

El Active Directory le permite a otros directorios a que sean expuestos va Contenedores Virtuales (Virtual Containers). Un contenedor virtual permite que cualquier queja del directorio LDAP sea accesado transparentemente va el Active Directory. El contenedor virtual es implementado va informacin del conocimiento (knowledge information) almacenada en el Active Directory. La informacin del conocimiento describe donde en el Active Directory debe aparecer el directorio forneo, y contiene el nombre DNS de un servidor que conserva una copia del directorio forneo y el nombre nico (DN) en el cual iniciar las operaciones de bsqueda en el DS forneo. El Active Directory puede consistir de muchas separaciones o contextos para dar nombres. El nombre nico (DN) de un objeto incluye suficiente informacin para localizar una rplica de la particin que mantiene el objeto. Muchas veces, sin embargo, el usuario o la aplicacin desconoce el DN del objeto clave o cual particin puede contener el objeto. El Catlogo Global (Global Catalog, GC) permite a los usuarios y a las aplicaciones encontrar objetos en un rbol de dominio del Active Directory si el usuario o la aplicacin sabe uno o ms atributos del objeto clave. El Catlogo Global contiene una rplica parcial de cada contexto de dar nombre a los usuarios en el directorio. Tambin contiene los contextos del esquema y configuracin para asignar nombres. Esto significa que el GC mantiene una rplica de cada objeto en el Active Directory, pero slo mantiene un pequeo nmero de sus atributos. Los atributos en el GC son aquellos ms frecuentemente usados en operaciones de bsqueda (tales como el nombre y apellido del usuario, nombres de inicio de sesin, etc.) y aquellos requeridos para localizar una rplica completa del objeto. El GC le permite a los usuarios encontrar rpidamente objetos de inters sin saber que dominio los conserva y sin requerir un contiguo y extenso espacio para nombres en la empresa. El sistema para replicar del Active Directory construye automticamente el Catlogo Global y genera la topologa de replicar. Las propiedades duplicadas en el Catlogo Global incluyen un conjunto base definido por Microsoft .Los administradores pueden especificar propiedades adicionales para satisfacer las necesidades de su instalacin. Esto es slo un panorama general de seguridad en el Active Directory. Para mayor informacin sobre el modelo de seguridad de Windows 2000, consulte los documentos estratgicos de "Secure Networking Using Microsoft Windows 2000 Distributed Security". Proteccin de Objetos Todos los objetos en el Active Directory estn protegidos por listas de control de acceso (Access Control Lists, ACLs). Las ACLs determinan quien puede ver el objeto y que acciones puede efectuar cada usuario en el objeto. La existencia de un objeto nunca es revelado a un usuario a quien no se le permite verlo. Un ACL es una lista de Entradas de Control de Acceso (Access Control Entries, ACE) almacenadas con el objeto que protege. En Windows 2000, un ACL es almacenada como un valor binario que se llama un Descriptor de Seguridad (Security Descriptor).

Cada ACE contiene un Identificador de Seguridad (Security Identifier, SID),el cual identifica el principal (usuario o grupo) a quien el ACE se aplica e informacin sobre que tipo de acceso que el ACE otorga o niega. ACLs en objetos del directorio contienen ACEs que aplican al objeto en conjunto y ACEs que aplican a los atributos individuales del objeto. Esto permite a un administrador controlar no slo que los usuarios puedan ver un objeto, sino que propiedades pueden ver esos usuarios. Por ejemplo: puede otorgrseles a todos los usuarios que lean el acceso a los atributos de correo electrnico o nmero telefnico para todos los dems usuarios, pero las propiedades de seguridad de usuarios le puede ser negada a todos menos a los miembros de un grupo de administradores de seguridad. A los usuarios individuales se les puede otorgar acceso a escribir a atributos personales tales como las direcciones de telfono o correo en sus propios objetos de usuario. Delegacin La delegacin (Delegation) es una de las ms importantes caractersticas de seguridad del Active Directory. La delegacin permite una autoridad administrativa ms elevada para otorgar derechos administrativos especficos para contenedores y subrboles a individuos o grupos. Esto elimina la necesidad de "Administradores de Dominio" con autoridad arrasadora sobre grandes segmentos de la poblacin de usuarios. Los ACEs pueden otorgar derechos administrativos especficos sobre los objetos en un contenedor a un usuario o grupo. Los derechos se otorgan para operaciones especficas en clases de objetos especficos va ACEs en el contenedor de ACL. Por ejemplo, para permitir que el usuario "James Smith" sea un administrador de la unidad organizacional "Corporate Accounting", se agregaran ACEs al ACL en "Corporate Accounting" como sigue: "James Smith"; Grant;Create, Modify, Delete;Object-Class User "James Smith";Grant;Create,Modify,Delete;Object-Class Group "James Smith";Grant;Write;Object-Class User;Attribute Password Ahora James Smith puede crear nuevos usuarios y grupos en Corporate Accounting y establecer las contraseas (passwords) de usuarios existentes, pero no puede crear ningunas otras clases de objetos y no puede afectar a usuarios en cualquier otro contenedor (a menos, por supuesto, que ACEs les otorgue ese acceso en los otros contenedores). Herencia La herencia (inheritance) permite que un ACE dado se propague del contenedor donde fue aplicado a todos los descendientes del contenedor. La herencia puede ser combinada con la delegacin para otorgar derechos administrativos a un subrbol completo del directorio en una sola operacin. El Active Directory provee de replicacin multimaestra. La replicacin multimaestra significa que todos los duplicados de una particin dada se pueden escribir. Esto permite que actualizaciones sean aplicadas a cualquier duplicado de una particin dada. El sistema de replicacin del Active Directory propaga los cambios de un duplicado dado a

todos los otros duplicados. La replicacin es automtica y transparente. Propagacin de actualizaciones Algunos servicios de directorio usan etiquetas de tiempo (timestamps) para detectar y propagar cambios. En estos sistemas, es muy importante mantener sincronizados los relojes de todos los servidores de directorio. La sincronizacin del tiempo en una red es muy difcil. Aun con muy buena sincronizacin de tiempo, es posible que el tiempo en un servidor de directorio dado sea ajustado incorrectamente. Esto puede originar actualizaciones perdidas. Windows 2000 provee sincronizacin de tiempo distribuida, pero el sistema de replicacin del Active Directory no depende del tiempo para la propagacin de actualizacin. En lugar de eso, el sistema para replicar del Active Directory usa Nmeros de secuencia de actualizacin (Update Sequence Numbers, USNs). Un USN es un nmero de 64 bits conservado por cada servidor del Active Directory. Cuando el servidor escribe cualquier propiedad en el Active Directory, el USN es adelantado y almacenado con la propiedad escrita. Esta operacin es efectuada automticamente - es decir, el incremento y almacenamiento del USN y la escritura de la propiedad tiene xito o falla como una sola unidad de trabajo. Cada servidor del Active Directory tambin mantiene una tabla de USNs recibidos de socios de duplicado. El ms alto USN recibido de cada socio es almacenado en esta tabla. Cuando un socio dado notifica al Servidor de Directorio que es requerida la replicacin , ese servidor solicita todos los cambios con USNs mayor que el ltimo valor recibido. Este es un acercamiento muy simple y no depende de la exactitud de etiquetas de tiempo. Debido a que el USN almacenado en la tabla es actualizado automticamente para cada actualizacin recibida, la recuperacin despus de una falla es simple tambin. Para reiniciar la replicacin, un servidor simplemente le solicita a sus socios todos los cambios con USNs mayores que la ltima entrada vlida en la tabla. Ya que la tabla es actualizada automticamente conforme se aplican los cambios, un ciclo de replicacin ininterrumpido siempre continuar exactamente donde se qued, sin prdida o duplicado de actualizaciones. Deteccin de Colisiones - Nmeros de Versin En un sistema de duplicado multimaestro como el Active Directory, es posible que la misma propiedad sea actualizada en dos o ms rplicas diferentes. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) rplica antes de un cambio de la primera rplica ha sido completamente propagada, ocurre una colisin de duplicado. Las colisiones son detectadas a travs del uso de nmeros de versin de propiedad. A diferencia de USNs los cuales son valores especficos del servidor, un nmero de versin de propiedad es especfico a la propiedad en un objeto del Active Directory. Cuando una propiedades escrita primero a un objeto del Active Directory, el nmero de versin es inicializado. Los escritos de origen avanzan en el nmero de versin. Un escrito de origen es un escrito a una propiedad en el sistema inicializando el cambio. Escritos de propiedad

causados por replicacin no son escritos originales y no avanzan el nmero de versin. Por ejemplo, cuando un usuario actualiza su clave de acceso (password), ocurre un escrito original y el nmero de versin de la clave de acceso es adelantado. Escritos de replicacin de la clave de acceso cambiado en otros servidores no adelanta el nmero de versin. Una colisin se detecta cuando un cambio es recibido va replicacin en la cual el nmero de versin de propiedad recibido es igual al nmero de versin de propiedad almacenado localmente, y los valores recibidos y almacenados son diferentes. Cuando esto ocurre, el sistema receptor aplicar la actualizacin que tenga la ltimo etiqueta de tiempo. Esta es en la nica situacin donde el tiempo es usado en la replicacin. Cuando el nmero de versin recibido es menor que el nmero de versin almacenado localmente, la actualizacin se supone vana y es desechada. Cuando el nmero de versin recibido es mayor que el nmero de versin almacenado, la actualizacin es aceptada. Inhibidor de propagacin El sistema de replicacin del Active Directory se enlaza en la topologa de replicacin. Esto le permite al administrador configurar una topologa de replicacin con sendas mltiples entre los servidores para desempeo y disponibilidad. El sistema de replicacin del Active Directory realiza la inhibicin de progagacin para prevenir cambios de propagacin sin fin y para eliminar la transmisin redundante de cambios a rplicas que ya estn actualizadas. El sistema del Active Directory emplea vectores actualizados para reducir la propagacin. El vector actualizado es una lista pares de servidores USN mantenidos para cada servidor. El vector actualizado en cada servidor indica el ms alto USN de escritos originales recibidos del servidor en el par de servidor USN. Un vector actualizado para un servidor en un sitio dado lista a todos los dems servidores en ese sitio. Cuando se inicia un ciclo de replicacin, el servidor que lo solicita enva su vector actualizado al servidor que lo enva. El servidor que enva usa el vector actualizado para filtrar cambios enviados al servidor solicitante. Si el USN ms alto para un escritor original dado es mayor o igual al USN escrito original para una actualizacin en particular, el servidor que enva no necesita mandar el cambio; el servidor solicitante ya est actualizado con respecto al escritor original. Un rbol de dominio de Windows 2000 es una jerarqua de dominios de Windows 2000, cada uno consistiendo de una particin del Active Directory. La forma del rbol y la relacin de los miembros del rbol uno con el otro son determinados por los nombres DNS de los dominios. El dominio en un rbol debe formar un contiguo espacio para nombres, tal como a.myco.com es hijo de myco.com, y b.myco.com es hijo de a.myco.com, etc. Confianza Bidireccional Transitiva Cuando un dominio est unido a un rbol de dominio de Windows 2000, una relacin de confianza bidireccional transitiva se establece automticamente entre el dominio unido

y su matriz en el rbol. Debido a que la confianza es transitiva y bidireccional, no se requiere de relaciones de confianza adicional es entre los miembros del rbol. La jerarqua de confianza es almacenada como parte de la metadata del directorio en el contenedor de configuracin. Estos objetos requeridos son creados en el directorio cuando un dominio es unido al rbol. Espacio para nombres Los dominios en un rbol de dominio de Windows 2000 debe formar un contiguo espacio para nombres (Namespace). Por defecto, los descendientes inmediatos de cada dominio son contiguos y ya son parte de su espacio para nombres. Esto significa que el nombre nico de cada objeto en los dominios de descendientes tiene el nombre del dominio matriz como un sufijo. Arboles desunidos pueden ser unidos en un bosque.

Figura 7. El dominio padre y dominio descendiente forman un contiguo espacio para nombres debido a que el nombre del dominio descendiente es un subordinado inmediato del nombre del dominio padre Por ejemplo, un dominio padre, O=Internet/DC=COM/DC=Microsoft, y un dominio descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS, forman un rbol contiguo para designar nombres, ya que el objeto base en el dominio padre, O=Internet/DC=COM/DC=Microsoft, es el padre inmediato del objeto base en el descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS. Debido a que el padre y el descendiente forman un rbol para designar nombres, una intensa bsqueda iniciada en el padre tambin buscar automticamente al descendiente. Cundo formar un rbol de dominio El rbol de dominio de Windows es el Active Directory de la magnitud de la empresa. Todos los dominios de Windows 2000 en una empresa dada deben pertenecer al rbol de dominio de la empresa. Las empresas que necesitan apoyar los nombres DNS desunidos para su dominio necesitan formar un bosque. Cmo Formar un Arbol de Dominio o Bosque Los dominios de Windows 2000 estn unidos a un rbol de dominio durante el proceso de instalacin. Durante la instalacin de un nuevo servidor de Windows 2000 (para mejorar de una anterior versin de Windows NT), al administrador se le dan las

siguientes opciones:

Creacin del primer rbol en un bosque nuevo Creacin de un rbol en un bosque existente Creacin de una nueva rplica de un dominio existente Instalacin de un dominio descendiente

Para unir un rbol de dominio, seleccione Install a Child Domain e identifique al dominio padre para un nuevo dominio descendiente. Una futura actualizacin a Windows dar la capacidad de unir dos (o ms) rboles existentes en un slo rbol ms grande. Los dominios dentro de un rbol existente pueden ser libremente motivados a cambiar la forma total del rbol. Planear un buen rbol es muy importante, pero lo bueno es que es altamente subjetivo y basado en las necesidades especficas de su organizacin. La habilidad de reestructurar el rbol como se necesita reduce la importancia de conocer de antemano el diseo correcto. Un sitio es un rea de la red en donde la conectividad entre las mquinas se supone es muy buena. Windows 2000 define un sitio como una o ms subredes IP. Esto est basado en la suposicin de que las computadoras con la misma direccin de subred estn conectadas al mismo segmento de red, tpicamente un LAN u otro alto ambiente de ancho de banda tal como Frame Relay, ATM, u otros. Windows 2000 usa informacin de un sitio para localizar un servidor del Active Directory cerca del usuario. Cuando una estacin de trabajo de un usuario se conecta a la red, recibe una direccin TCP/IP de un servidor DHCP, el cual tambin identifica la subred a la cual la estacin de trabajo est sujeta. Las estaciones de trabajo que han configurado estticamente direcciones IP tambin han configurado estticamente informacin de subred. En cualquier caso, el localizador del controlador de dominio (DC) de Windows 2000 intentar localizar al servidor del Active Directory localizado en la misma subred que el usuario, basado en la informacin de la subred conocida para la estacin de trabajo. Sitios y Replicacin El sistema de replicacin de Windows 2000 genera automticamente una topologa de anillo para la replicacin entre los servidores del Active Directory en un sitio dado. Dentro de un sitio, la replicacin de directorio es efectuada va acceso por procedimiento remoto (Remote procedure call, RPC). Entre los sitios, la replicacin puede ser configurada selectivamente para usar RPC o enviar mensajes. Windows 2000 provee envo de mensajes SMTP simple como una caracterstica estndar. Si Microsoft Exchange se encuentra disponible, la replicacin intersitio puede ser llevada va Exchange, usando cualquiera de los muchos transportes apoyados por Exchange (esto incluye SMTP, X.400, y otros). Planeando Sitios Un sitio mnimo consiste de una sola subred IP. Windows 2000 supone que todas las mquinas localizadas en el mismo sitio comparten una red comn de alta anchura de

banda. Dado esto, un buen diseo de sitio es uno en el cual todas las subredes asignadas a un sitio dado comparten una red tal. Areas de una red que son separadas por una red de rea amplia, enrutadores mltiples, u otras ligas ms lentas deben estar en sitios separados. El esquema del Active Directory define el conjunto de todas las clases de objetos y atributos que pueden ser almacenados en el directorio. Para cada clase de objeto, el esquema define donde puede ser creado en un rbol de directorio especificando los padres legales de la clase. El contenido de una clase se define por la lista de atributos que la clase debe o puede contener. Cuando Extender el Esquema Los usuarios y aplicaciones extienden el esquema cuando no hay clases de objetos existentes que estn de acuerdo a la necesidad a mano. Extendiendo el esquema es un proceso simple y directo. Agregando Atributos Se pueden agregar nuevos atributos al esquema en cualquier momento. Una definicin de atributo consiste en un nombre, un Identificador de Objeto (Object Identifier, OID), una sintaxis que define qu clase de datos puede mantener el atributo, y limites de alcance opcionales. Para cadena de datos, los limites de valor establecen el mnimo y mximo largo de cadena de datos. Para nmeros enteros, los lmites de valor establecen el valor mnimo y mximo del nmero entero. El desempeo de consulta en el Active Directory est directamente relacionado con la disponibilidad de un ndice que pueda ser usado para optimizar una consulta dada. Cuando no hay un ndice disponible para satisfacer una consulta dada, el servidor LDAP debe leer la particin completa para satisfacer la consulta. Cuando define un atributo, tiene la opcin de crear un ndice para ese atributo. Tambin es posible crear un ndice sobre un atributo dado colocando el atributo banderas de bsqueda en el objeto esquema de atributo a 1. Debe definir un atributo como indizado cuando:

El atributo ser frecuentemente usado en consultas. Agregar un ndice consume almacenaje y afecta el desempeo de insertar (porque el ndice debe ser mantenido cuando un artculo es insertado), as es que no debe agregar un ndice si no ser usado a menudo. Los valores en el atributo deben ser altamente singulares. Los atributos Booleanos nunca deben ser indexados, porque un atributo Booleano tendr slo dos posibles valores: Falso o verdadero. Los nmeros de empleado y apellido son altamente singulares y por lo tanto hacen buenos ndices. El atributo ocurrir en objetos de inters. Indizando un atributo le permite encontrar objetos rpidamente que tengan ese atributo ejemplificado. Antes de agregar un ndice, asegrese de que el atributo que est indizando es un "debe tener" o "puede tener" en los objetos que desea recobrar.

Agregando nuevos Objetos Nuevas clases de objetos pueden ser agregadas al esquema en cualquier momento. La

definicin de un objeto consiste en un nombre, un identificador de objeto (Object Identifier, OID) , una lista de atributos "puede contener" y "debe contener", la lista de clases que pueden ser padres del objeto, la clase de donde se deriva el objeto, y una lista de cualquier clase auxiliar que aplica al objeto. Cmo Extender el Esquema Debido a que el esquema controla lo que puede ser almacenado en el directorio y describe lo que ya est almacenado, el acceso para escribir al esquema est limitado a los administradores por defecto. Un esquema de administracin snap-in para el Microsoft Management Console (MMC) se proporciona con el Windows 2000. Para extender el esquema, un usuario adecuadamente privilegiado puede crear nuevos atributos y clases. Los atributos pueden entonces ser agregados a clases nuevas o existentes. Para cada nuevo atributo o clase, se requiere de OID. Identificadores de Objetos (OIDs) Un identificador de objeto es un nmero identificando una clase de objeto o atributo en un servicio de directorio. Los OIDs son emitidos por autoridades emisoras y forman una jerarqua. Un OID es representado como una cadena de datos decimal con puntos (por ejemplo, "1,2,3,4"). Las empresas (o personas)pueden obtener un OID original de una autoridad emisora y usarlo para asignar OIDs adicionales. Por ejemplo, a Microsoft sele ha asignado el OID base de 1.2.840.113556. Microsoft maneja futuras divisiones de esta base internamente. Una de estas divisiones es usada para asignar OIDs para clases de Active Directory, otro para atributos del Active Directory, etc. Muchos pases en el mundo tienen una Autoridad de Registro Nacional (National Registration Authority , NRA) identificada responsable de emitir OIDs a las empresas. En Estados Unidos la Autoridad de Registro Nacional es el American National Standards Institute (ANSI). La Autoridad de Registro Nacional emite OIDs originales. Una empresa tambin puede registrar un nombre para el OID. Hay una cuota asociada tanto con los OIDs originales como con nombres registrados. Pngase en contacto con la Autoridad de Registro Nacional de su pas para ms detalles http://www.iso.ch. Publicar es la accin de crear objetos en el directorio que directamente contengan la informacin que quiere hacer disponible o proporcionar una referencia para la informacin que quiere hacer disponible. Por ejemplo, un objeto de usuario contiene informacin til sobre los usuarios, tales como sus nmeros telefnicos y direcciones de correo electrnico, mientras que un objeto de volumen contiene una referencia para un volumen del sistema de archivo compartido. Cundo Publicar La informacin debe ser publicada en el Active Directory cuando es til o interesante para gran parte de la comunidad de usuarios y cuando necesita ser altamente accesible. La informacin publicada en el Active Directory tiene dos caractersticas principales:

Es relativamente esttica y rara vez cambia. Los nmeros telefnicos y direcciones de correo electrnico son ejemplos de informacin relativamente esttica adecuada para ser publicadas; el mensaje de correo electrnico

actualmente seleccionado es un ejemplo de informacin altamente voltil. Es estructurado y puede ser representado como un conjunto de atributos discretos. Una direccin de negocios de un usuario es un ejemplo de informacin estructurada adecuada para publicarse; un audio clip de la voz del usuario es un ejemplo de informacin no estructurada ms adecuada para el sistema de archivo. Informacin operacional usada en aplicaciones es un excelente candidato para publicarse en el Active Directory. Esto incluye informacin de configuracin global que se aplica a todas las instancias de una aplicacin dada. Por ejemplo, un producto de la base de datos correlativo puede almacenar la configuracin default para los servidores de base de datos como un objeto en el Active Directory. Nuevas instalaciones de ese producto recolectaran la configuracin default del objeto, simplificando el proceso de instalacin e intensificando la consistencia de instalaciones en una empresa. Las aplicaciones pueden tambin publicar sus puntos de conexin en el directorio Los puntos de conexin son usados para el punto de reunin del cliente y servidor. El Active Directory define una arquitectura para la administracin de servicio integrado usando objetos del Service Administration Point y proporciona puntos de conexin estndar para aplicaciones RPC, Winsock, y COM. Las aplicaciones que no usan las interfaces RPC o Winsock para publicar sus puntos de conexin pueden explcitamente publicar objetos de Service Connection Point en el directorio. Datos de aplicacin pueden ser publicados tambin en el directorio usando objetos de aplicacin especfica. Los datos de aplicacin especfica deben cumplir el criterio discutido anteriormente. Es decir, los datos deben ser globalmente interesantes, relativamente no voltil y estructurados. Cmo Publicar Los medios para publicar informacin vara de acuerdo a la aplicacin o servicio:

RPC - Las aplicaciones RPC usan la familia RpcNs de APIs para publicar sus puntos de conexin en el directorio y para consultar para los puntos de conexin de servicios que han publicado los suyos. Windows Sockets - Las aplicaciones de Windows Sockets usan la familia de Registration y Resolution de APIs disponibles en Winsock 2.0 para publicar sus puntos de conexin y consultar para los puntos de conexin de servicios que han publicado los suyos. DCOM - Los servicios DCOM publican sus puntos de conexin va la DCOM Class Store, la cual reside en el Active Directory.

Windows 2000 introduce nuevas funciones de grupo


Los grupos pueden ser tratados como listas de distribucin si el siguiente lanzamiento principal de Exchange es instalado. Los grupos pueden contener miembros no seguros (esto es importante cuando el grupo es usado tanto para propsitos de seguridad y listas de distribucin). El uso de seguridad de grupos puede ser inhabilitado (esto es importante cuando el grupo es usado solo como una lista de distribucin).

Los grupos pueden ser anidados. Un nuevo tipo de grupo, el grupo Universal, es introducido.

Un grupo Universal es la ms simple forma de grupo. Los grupos Universales pueden aparecer en ACLs en cualquier parte del bosque, y puede contener otros grupos Universales. Grupos Globales, y usuarios de cualquier parte del bosque. Las instalaciones pequeas pueden usar grupos Universales exclusivamente y no preocuparse de grupos Globales y Locales. Un grupo Global puede aparecer en ACLs en cualquier parte del bosque. Un grupo Global puede contener usuarios y otros grupos Globales de su propio dominio. Un grupo Local de Dominio puede ser usado en ACLs slo si es su propio dominio. Un grupo Local de Dominio puede contener usuarios y grupos Globales de cualquier dominio en el bosque, Grupos Universales, y otros grupos Locales de Dominio en su propio dominio. Los tres tipos de grupo proporcionan un rico y flexible ambiente de control de acceso mientras que reducen el trfico de replicacin para el Catlogo Global causado por cambios de membresas de grupo. Un grupo Universal aparece en el GC, pero contendr principalmente grupos globales de dominios en el bosque. Una vez que los grupos Globales se establezcan, la membreca en el grupo Universal cambiar infrecuentemente. Los grupos Globales aparecen en el GC, pero sus miembros no. Los cambios de membreca en grupos Globales no son duplicados fuera del dominio donde son definidos. Los grupos Locales de Dominio son vlidos solo en el dominio donde son definidos y no aparecen en el GC. Migracin Esta seccin presenta una vista general de migracin de versiones anteriores de Windows NT. La migracin es discutido en detalle en un nmero de documentos aparte disponibles de http://www.microsoft.com/latam/ntserver/nts/. Puede mejorar los sistemas Windows NT 3.51 y 4.0 directamente a Windows 2000. Los sistemas Windows NT 3.51 y 3.5 deben ser mejorados a Windows NT 3.51 om4.0 antes de que puedan ser mejorados a Windows 2000.Una nueva instalacin de Windows 2000 puede ser efectuada en cualquier sistema listado en la lista de hardware compatibel en el sitio de Windows 2000. Los Controladores de Dominio (Domain Controlers) conservan una copia del directorio. En Windows NT 3.51 y 4.0, hay dos clases de Controladores de Dominio Controladores de Dominio Primario (Primary Domain Controllers, PDCs) y Controladores de Dominio de Respaldo (Backup Domain Controllers, BDCs). Los Controladores de Dominio Primarios conservan una copia de lea/escriba mientras que los Controladores de Dominio de Respaldo conservan una copia de leer/solamente. En Windows 2000, todos los Controladores de Dominio para un dominio dado conservan una copia que se puede escribir del directorio. No hay distincin entre el primario y el respaldo; todos los controladores de dominio son iguales.

Para emigrar un dominio de Windows NT 3.51 o 4.0 a Windows 2000, debe primero mejorar el Controlador de Dominio Primario para el dominio para Windows 2000. Esto automticamente carga a los usuarios y grupos del directorio de dominio hacia el Active Directory. Como parte del proceso de mejoramiento, usted especifica si este dominio ser:

La raz de un nuevo rbol en el bosque La raz de un nuevo rbol de dominios en un bosque existente Un descendiente de un rbol de dominios existente

En este punto el dominio es un dominio mixto. Puede emplear las herramientas de administracin de Windows 2000 para manejar el dominio, y puede crear una estructura jerrquica de carpetas Organizational Unit en el directorio para delegar la autoridad administrativa. Los Controladores de Dominio de Respaldo, servidores miembros, y clientes no se cambian y no estn conscientes de que el PDC es ahora un servidor del Active Directory. Para emigrar los Controladores de Dominio de Respaldo, mejore cada uno a Windows 2000. El proceso de mejoramiento reconoce al Controlador de Dominio de Respaldo, automticamente lo instala como una rplica del Active Directory, y lo inserta en la topologa de replicacin. Cuando todos los controladores de dominio han sido mejorados a Windows 2000, el dominio ya no es un dominio mixto, y los grupos anidados son apoyados. Para emigrar servidores miembros, mejrelos a Windows 2000. Los usuarios locales y grupos locales son almacenados en el registro de del servidor miembro y no se mueven al Active Directory. Mejorar a un servidor miembro a Windows 2000 le permite participar en la seguridad Kerberos, agrega apoyo para aplicaciones Directory-aware,y agrega la Microsoft Management Console y Active Directory-aware shell y dilogos comunes. Para emigrar a los clientes basados en la estacin de trabajo Windows NT, mejrelos a Windows 2000 Professional. Puede emigrar a clientes basados en Windows 95 instalando un paquete de servicio que contenga los componentes de software adicionales que se necesitan para hacerlos Active Directory-aware. Mejorar a un cliente le permite participar en la seguridad Kerberos, apoyo para aplicaciones Active Directory-aware, y agrega el Active Directory-aware shell y dilogos comunes. Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los usuarios son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raz del dominio. Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000 las cuentas de la mquina son emigradas al Active Directory y colocadas en un contenedor llamado "Computers" en la raz del dominio. Cuando una PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los Grupos son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raz de dominio. Grupos integrados se encuentran en un contenedor especial llamado

"Built-in" . Preguntas Ms Frecuentes Una estacin de trabajo descubre su sitio presentando su subred al primer servidor del Active Directory contactado. La estacin de trabajo determina la subred aplicando su mscara de subred a su direccin IP. La mscara de subred y direccin IPO pueden ser asignadas por DHCP o configurada estticamente. El primer Servidor contactado usa la subred presentada para localizar el Site Object para el sitio donde se localiza la estacin de trabajo. Si el actual servidor no se encuentra en ese sitio, el servidor le notifica a la estacin de trabajo un mejor servidor para usar. Una estacin de trabajo encuentra un servidor de directorio consultando DNS. Los servidores de directorio para un dominio dado publican SRV Resource Records en DNS con nombres en la forma: LDAP.TCP. Por lo tanto, una estacin de trabajo que se conecta a Microsoft.com consultar DNS para registros SRV para LDAP.TCP.Microsoft.com. Un servidor ser seleccionado de la lista y contactado. El servidor contactado usar la informacin de subred presentada por la estacin de trabajo para determinar el mejor servidor como se describi en la respuesta anterior. Un usuario puede usar una variedad de nombres en una variedad de formatos para conectarse a un Windows 2000 Professional. Estos incluyen los formatos de nombre apoyados por interfaces para programar de aplicacin Win32 DsCrackNames, los cuales son usados para convertir estas formas de nombre como sea necesario. El nombre de dominio NETBIOS y SAM-Account-Name - Este es el nombre de conexin estilo Windows NT 4.0. El nombre de dominio NETBIOS es el nombre que tena el dominio antes de emigrar. El SAM-Account-Name es el nombre de la cuenta que el usuario tena antes de emigrar. Nombre Principal de Usuario - Este se encuentra en el formato @.Si el nombre no es nico, el intento de conexin fallar con un error de usuario desconocido (Unknown User). Las listas de control de acceso no son afectadas directamente por la emigracin. Si todos los dominios de Windows NT 3.51 y Windows NT 4.0 son emigradas de lugar, nada cambia de una perspectiva ACL. Si mueve servidores de un dominio de recurso haca una unidad organizacional en dominios de cuenta emigrada y suprime el dominio de recurso, necesitar editar cualquier ACL que mantiene ACEs que refieren al ahora dominio suprimido. Esta no es una funcin de la migracin a Windows 2000; si suprime un dominio en cualquier versin de Windows NT, los identificadores de seguridad emitidos por ese dominio se vuelven invlidos. Para reducir el esfuerzo involucrado en volver a aplicar recursos ACL, si tiene un dominio de recursos Windows 3.51 o 4.0 y planea reemplazarlo con un OU y suprimirlo

en Windows 2000, no debe poner a grupos del dominio de recursos en ACLs. Ntese que esto no afecta a los grupos locales de los servidores miembros, afecta slo a aquellos de Controladores de Dominio. Como parte de Windows 2000, Microsoft proporcionar herramientas para asistir en volver a aplicar ACLs a los recursos. Cuando se crea un grupo en un dominio, tiene un Identificador de Seguridad (Security Identifier, SID) emitido por ese dominio. Cuando se coloca ese SID en un ACL, le otorga acceso a los usuarios que tengan ese SID en su indicador. Los usuarios obtienen el SID en su token conectndose a dominio que emiti el SID. Esta puede ser una conexin de red y pasar transparentemente. Cuando editas un Acl, el LookupAccountName API es llamado con el SID. Si suprime el dominio que emiti el SID, ver "Usuario Desconocido" en la lista de usuarios y grupos para el ACL. Esto sucede en Windows NT 3.51 y Windows NT 4.0 si suprime un dominio o retira una liga de confianza. Hay dos partes para esta respuesta:

Parte 1: Grupos Locales en Servidores Miembros -- Los grupos locales en un servidor miembro se quedan locales; existen slo en el SAM en el servidor miembro y no son emigrados al Active Directory. Un tpico uso de un grupo local en un servidor miembro es mantener grupos globales de dominios de cuenta. El servidor administrador coloca al grupo local en los ACLs en los recursos del servidor y agrega a los grupos globales al grupo local. Esto no cambia en Windows 2000. La nica diferencia es que los grupos globales se convierten en grupos normales y son publicados en el Active Directory. Parte 2: Grupos Locales en PDCs y BDCs - Los Controladores de Dominio de Respaldo tienen un SAM de leer/solamente. Cuando crea un grupo local en un BDC, la operacin de crear es remontado al PDC y duplicado de regreso a todos los BDCs. Semnticamente, estos grupos locales son idnticos a los grupos locales en un servidor miembro., pero existen en el PDC y en todos los BDCs. Cuando se mejora a Windows 2000,elproceso de mejoramiento crea un objeto de grupo de Dominio Local en el Active Directory para cada uno de estos.

Se inicia una bsqueda del catalogo global en una de varias formas:

Por un subrbol o bsqueda de LDAP de un nivel enraizado en el invlido DN (la raz del espacio para nombres) - esto genera una referencia para el Catlogo Global. Por una referencia directa al puerto GC en una rplica de GC (aunque no es probable que los programas de clientes tomen este acercamiento). Por una referencia explcita al proveedor GC ASDI (GC://).

No. Hay ventajas significativas en usar Microsoft DNS, pero cualquier servidor DNS compatible con RFC funcionar. Se recomienda Dynamic DNS porque, con un servidor Dynamic DNS los servidores del Active Directory pueden registrar automticamente los registros necesarios en DNS.

Los servidores Static DNS funcionan igualmente bien, pero el registro DNS para cada servidor de Directorio debe efectuarse manualmente. El servidor DNS incluido con Windows 2000 es una implementacin obediente de RFC y BIND de Dynamics DNS.Es una implementacin nativa para Windows 2000, no un puerto de la implementacin BIND de dominio pblico. El servidor DNS de Microsoft almacena las zonas DNS para la cual es autoritario en el Active Directory. Los datos de DNS son duplicados entre los servidores DNS por replicacin del Active Directory, no Transferencia de Zona (Zone Transfer). El servidor DNS de Microsoft apoya Transferencia de Zona DNS estndar para interoperabilidad con otros servidores DNS. El servidor DHCP es mayormente sin cambio para Windows 2000. El cliente de DHCP es DNS-aware y usa los servicios de Dynamic DNS para registrar direcciones emitidas por DHCP directamente en DNS. El cliente DHCP continuar registrndose con WINS si DHCP identifica a un servidor WINS. Wins no sufre cambios para Windows 2000. Los clientes de Windows 2000 (y clientes de Windows 95 con la mejora del Active Directory instalado) ya no necesitan usar el espacio para nombres de NETBIOS. An se requiere WINS para clientes de bajo nivel para encontrar servidores y viceversa. Cuando ya no hay clientes de bajo nivel en la empresa, los servidores WINS pueden ser apagados. Para mayor informacin Para la ms reciente informacin sobre el Servidor Windows 2000, revise el Technet de Microsoft o nuestro sitio en la World Wide Web en http://www.microsoft.con/latam/ntserver/nts/ o el Windows NT Server Forum en MSN, The Microsoft Network (GO WORD: MSNTS).

Arquitectura de Active Directory

Sistema operativo
Notas del producto

Resumen
Para usar el sistema operativo Microsoft Windows 2000 Server con la mxima eficacia, primero debe comprender qu es el servicio de directorio Active Directory. Active Directory, una novedad del sistema operativo Windows 2000, desempea una funcin importante en la implementacin de la red de la organizacin y, por tanto, en conseguir sus objetivos comerciales.

Este documento presenta Active Directory a los administradores de red, explica su arquitectura y describe cmo interacta con las aplicaciones y con otros servicios de directorio. El presente documento se basa en la informacin disponible en el momento de publicarse la versin Beta 3 de Windows 2000. La informacin proporcionada aqu est sujeta a cambios antes de la versin final de Windows 2000 Server.

Introduccin
Comprender el servicio de directorio Active Directory es el primer paso para entender cmo funciona el sistema operativo Windows 2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos empresariales. En este documento se examina Active Directory desde estas tres perspectivas:

Almacn. Active Directory, el servicio de directorio de Windows 2000 Server, almacena de forma jerrquica la informacin acerca de los objetos de la red, y la pone a disposicin de administradores, usuarios y aplicaciones. En la primera seccin de este documento se explica lo que es un servicio de directorio, la integracin del servicio Active Directory con el Sistema de nombres de dominio (DNS) de Internet y cmo se actualiza Active Directory cuando se designa un servidor como controlador de dominio1. Estructura. Con Active Directory, la red y sus objetos se organizan mediante elementos como dominios, rboles, bosques, relaciones de confianza, unidades organizativas (OU) y sitios. En la prxima seccin de este documento se describe la estructura y la funcin de estos componentes de Active Directory, y cmo esta estructura permite a los administradores controlar la red de modo que los usuarios puedan alcanzar sus objetivos empresariales. Intercomunicacin. Puesto que Active Directory se basa en los protocolos estndar de acceso a directorios, puede interoperar con otros servicios de directorio y otras aplicaciones de terceros que sigan estos protocolos pueden tener acceso a l. En la ltima seccin se describe cmo Active Directory puede comunicarse con numerosas tecnologas.

Ventajas de Active Directory


La inclusin de Active Directory en el sistema operativo Windows 2000 proporciona las siguientes ventajas:

Integracin con DNS. Active Directory utiliza el Sistema de nombres de dominio (DNS). DNS es un servicio estndar de Internet que traduce los nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en

direcciones numricas (cuatro nmeros separados por puntos) de Protocolo de Internet (IP) legibles por los equipos. De esta forma, los procesos que se ejecutan en equipos que estn en redes TCP/IP pueden identificarse y conectarse entre s. Consultas flexibles. Los usuarios y los administradores pueden utilizar el comando Buscar del men Inicio, el icono Mis sitios de red del escritorio o el complemento Usuarios y equipos de Active Directory para buscar rpidamente un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un usuario por nombre, apellido, nombre de correo electrnico, ubicacin en la oficina u otras propiedades de su cuenta de usuario. La bsqueda de informacin est optimizada gracias al uso del catlogo global. Capacidad de ampliacin. Active Directory es ampliable, lo que significa que los administradores pueden agregar nuevas clases de objetos al esquema y nuevos atributos a las clases existentes de objetos. El esquema contiene una definicin de cada clase de objeto y los atributos de las mismas, que se pueden almacenar en el directorio. Por ejemplo, podra agregar un atributo Autorizacin de compra al objeto Usuario y despus almacenar el lmite de autorizacin de compra de cada usuario como parte de su cuenta. Administracin basada en polticas. Las polticas de grupo son valores de configuracin que se aplican a equipos o usuarios cuando se inicializan. Todos los valores de Poltica de grupo estn contenidos en los Objetos de poltica de grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de Active Directory. Los valores de GPO determinan el acceso a objetos de directorios y recursos de dominios, a qu recursos de dominios (como las aplicaciones) tienen acceso los usuarios y cmo estn configurados dichos recursos. Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los cuales tiene uno o varios controladores, lo que permite escalar el directorio para satisfacer cualquier requisito de red. Es posible combinar varios dominios en un rbol de dominios y varios rboles en un bosque. En la estructura ms simple, una red con un nico dominio es a la vez un nico rbol y un nico bosque. Replicacin de la informacin. Active Directory utiliza la replicacin de mltiples maestros, que permite actualizar el directorio en cualquier controlador de dominio. Al distribuir varios controladores de dominio en un nico dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento, se detiene o produce un error, otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio, ya que contienen los mismos datos. Seguridad de la informacin. La administracin de la autenticacin de usuarios y el control de acceso, ambos integrados plenamente en Active Directory, son caractersticas de seguridad clave del sistema operativo Windows 2000. Active Directory centraliza la autenticacin. El control de acceso puede definirse no slo para cada objeto del directorio, sino tambin para todas las propiedades de cada objeto. Adems, Active Directory proporciona el almacn y el mbito de aplicacin de las polticas de seguridad. (Para obtener ms informacin acerca de la autenticacin de inicio de sesin y el control de acceso de Active Directory, consulte la seccin "Para obtener ms informacin" al final de este documento.) Interoperabilidad. Puesto que Active Directory se basa en protocolos estndar de acceso a directorios, como el Protocolo compacto de acceso a directorios

(LDAP), puede interoperar con otros servicios de directorio que empleen estos protocolos. Varias interfaces de programacin de aplicaciones (API), como las Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores acceso a estos protocolos. El final de este documento, en "Apndice A: Herramientas", se proporciona una breve introduccin a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.

Servicio de directorio Active Directory


Antes de pasar a las secciones principales de este documento, la arquitectura e interoperabilidad de Active Directory, en esta seccin preliminar se examina brevemente Active Directory desde dos puntos de vista muy diferentes:

El primero es el lado ms abstracto de Active Directory, es decir, como un espacio de nombres que est integrado con el Sistema de nombres de dominio (DNS) de Internet. El segundo es el lado ms cotidiano de Active Directory, es decir, como el software que convierte a un servidor en un controlador de dominio.

En el contexto de una red de equipos, un directorio (tambin denominado almacn de datos) es una estructura jerrquica que almacena informacin acerca de los objetos de la red. Los objetos incluyen recursos compartidos como servidores, volmenes compartidos e impresoras, cuentas de usuarios y equipos, as como dominios, aplicaciones, servicios, polticas de seguridad y cualquier elemento de la red. Un ejemplo de los tipos especficos de informacin que un directorio de red puede almacenar acerca de un determinado tipo de objeto es aqul en el que un directorio normalmente almacena un nombre de usuario, una clave de acceso, una direccin de correo electrnico, un nmero de telfono, etc. de una cuenta de usuario. La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al origen de informacin del directorio como a los servicios que posibilitan que la informacin est disponible y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones. En una situacin ideal, un servicio de directorio hace que la topologa de la red fsica y los protocolos (formatos para transmitir datos entre dos dispositivos) sean transparentes, de

modo que un usuario pueda tener acceso a cualquier recurso sin saber dnde ni cmo est conectado fsicamente. Siguiendo con el ejemplo de la cuenta de usuario, es el servicio de directorio el que permite que otros usuarios autorizados de la misma red tengan acceso a la informacin de directorio almacenada (como una direccin de correo electrnico) acerca del objeto de cuenta de usuario. Los servicios de directorio admiten numerosas capacidades. Algunos servicios de directorio estn integrados en un sistema operativo y otros son aplicaciones, como los directorios de correo electrnico. Los servicios de directorio del sistema operativo, como Active Directory, proporcionan administracin de usuarios, equipos y recursos compartidos. Los servicios de directorio que administran el correo electrnico, como Microsoft Exchange, permiten que los usuarios busquen a otros usuarios y enven correo electrnico. Active Directory, el nuevo centro de servicios de directorio para el sistema operativo Windows 2000 Server, slo se ejecuta en controladores de dominio. Active Directory, adems de proporcionar un lugar para almacenar datos y servicios para que estn disponibles dichos datos, tambin protege los objetos de la red frente al acceso no autorizado y los replica a travs de una red para que no se pierdan datos si se produce un error en un controlador de dominio.

Active Directory incorpora DNS


Tanto Active Directory como DNS son espacios de nombres. Un espacio de

nombres es cualquier rea limitada donde se puede resolver un nombre dado.


La resolucin de nombres es el proceso de traducir un nombre en algn objeto o informacin que representa dicho nombre. Una libreta de telfonos forma un espacio de nombres en el que los nombres de los abonados telefnicos pueden resolverse a nmeros de telfono. El sistema de archivos NTFS de Windows 2000 forma un espacio de nombres en el que el nombre de un archivo puede resolverse al archivo propiamente dicho.

DNS e Internet

Entender cmo Windows 2000 trata los espacios de nombres de Active Directory y DNS requiere comprender algunos conceptos bsicos acerca del propio DNS y su relacin con Internet y TCP/IP. Internet es una red TCP/IP. Los protocolos de comunicaciones TCP/IP conectan equipos y les permiten transmitir datos a travs de las redes. Todos los equipos de Internet o de cualquier otra red TCP/IP (como muchas redes de Windows) tienen una direccin IP. DNS encuentra los hosts TCP/IP (equipos) mediante la resolucin de los nombres de equipo que los usuarios finales entienden a las direcciones IP que los equipos entienden. Las direcciones IP de Internet se administran mediante la base de datos de DNS distribuida globalmente, pero tambin es posible implementar DNS localmente para administrar direcciones de redes TCP/IP privadas. DNS, que est organizado en una jerarqua de dominios, convierte toda la red Internet en un nico espacio de nombres. DNS tiene varios dominios de nivel superior que, a su vez, se subdividen en dominios de segundo nivel. Una autoridad de Internet (actualmente, Internet Network Information Center, o InterNIC) administra la raz del espacio de nombres de dominios de Internet; esta autoridad delega la responsabilidad administrativa de los dominios de nivel superior del espacio de nombres de DNS y registra los nombres de dominio de segundo nivel. Los dominios de nivel superior son las categoras de dominios conocidas: comercial (.com), educacin (.edu), gobierno (.gov), etc. Fuera de los Estados Unidos se utilizan cdigos de regin o de pas de dos letras, como .mx para Mxico o .es para Espaa. Los dominios de segundo nivel representan espacios de nombres que se registran formalmente a nombre de instituciones (e individuos) para proporcionarles una presencia en Internet. En la figura 1 se muestra cmo se conecta la red de una organizacin al espacio de nombres DNS de Internet.

Figura 1. Cmo encaja Microsoft en el espacio de nombres DNS de Internet

Integracin de los espacios de nombres de DNS y de Active Directory


La integracin de DNS y Active Directory es una caracterstica fundamental del sistema operativo Windows 2000 Server. Los dominios de DNS y los dominios de Active Directory usan nombres de dominio idnticos para espacios de nombres distintos. Puesto que los dos espacios de nombres comparten una estructura de dominios idntica, es importante comprende que no se trata del mismo espacio de nombres. Cada uno almacena datos diferentes y, por tanto, administra objetos distintos. DNS almacena sus zonas2 y registros de recursos, mientras que Active Directory almacena sus dominios y objetos de dominio. Los nombres de dominio de DNS se basan en la estructura de nomenclatura jerrquica de DNS, que es una estructura de rbol invertido: un nico dominio raz, bajo el cual estn los dominios principales y secundarios (ramas y hojas). Por ejemplo, un nombre de dominio de Windows 2000 como secundario.principal.microsoft.com identifica un dominio denominado

secundario, que es un dominio secundario del dominio llamado principal que, a


su vez, es secundario del dominio microsoft.com.

Cada equipo de un dominio DNS se identifica de manera nica mediante su nombre de dominio completo (FQDN). El FQDN de un equipo que se encuentra en el dominio secundario.principal.microsoft.com es

nombreEquipo.secundario.principal.microsoft.com.
Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo, NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre DNS (por ejemplo, ServidorCuentas.NombreOrg.com). As, los dominios y los equipos se representan como objetos de Active Directory y como nodos de DNS (un nodo en la jerarqua DNS representa un dominio o un equipo). Tanto DNS como Active Directory utilizan una base de datos para resolver nombres:

DNS es un servicio de resolucin de nombres. DNS resuelve los nombres de dominio y de equipo a direcciones IP mediante solicitudes que hacen los servidores DNS en forma de consultas a la base de datos. En concreto, los clientes DNS envan consultas de nombres a su servidor DNS configurado. El servidor DNS recibe la consulta de nombre y la resuelve mediante archivos almacenados localmente o consulta a otro servidor DNS para que la resuelva. DNS no requiere Active Directory para funcionar. Active Directory es un servicio de directorio. Active Directory resuelve los objetos de nombre de dominio a registros de objeto mediante las solicitudes que hacen los controladores de dominio, como una bsqueda del Protocolo compacto de acceso a directorios (LDAP)3 o solicitudes de modificacin de la base de datos de Active Directory. Especficamente, los clientes de Active Directory utilizan LDAP para enviar consultas a los servidores de Active Directory. Para buscar un servidor de Active Directory, un cliente de Active Directory consulta a DNS. Es decir, Active Directory usa DNS como servicio de bsqueda para resolver nombres de dominios, sitios y servicios de Active Directory a una direccin IP. Por ejemplo, para iniciar la sesin en un dominio de Active Directory, un cliente de Active Directory consulta a su servidor DNS configurado la direccin IP del servicio LDAP que se ejecuta en un controlador de un dominio especificado. Active Directory requiere DNS para funcionar.

En la prctica, para comprender que los espacios de nombres de DNS y de Active Directory en un entorno Windows 2000 son diferentes, es necesario entender que un registro de host de DNS, que representa un equipo especfico en una zona de DNS, se encuentra en un espacio de nombres diferente del objeto de cuenta de equipo de dominio de Active Directory que representa el

mismo equipo.
En resumen, Active Directory est integrado con DNS de las siguientes formas:

Los dominios de Active Directory y los dominios de DNS tienen la misma estructura jerrquica. Aunque son independientes y se implementan de forma diferente para propsitos distintos, los espacios de nombres de una organizacin para dominios de DNS y de Active Directory tienen una estructura idntica. Por ejemplo, microsoft.com es un dominio de DNS y un dominio de Active Directory. Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el servicio DNS de Windows 2000, es posible almacenar las zonas principales en Active Directory para replicarlas en otros controladores de dominio de Active Directory y proporcionar seguridad mejorada al servicio DNS. Los clientes de Active Directory utilizan DNS para buscar controladores de dominio. Para buscar el controlador de un dominio especfico, los clientes de Active Directory consultan su servidor DNS configurado en busca de registros de recursos especficos.

Active Directory y el espacio de nombres global de DNS


Active Directory est diseado de forma que pueda existir en el mbito del espacio de nombres global de DNS de Internet. Cuando una organizacin que utiliza Windows 2000 Server como sistema operativo de red requiere presencia en Internet, el espacio de nombres de Active Directory se mantiene como uno o varios dominios jerrquicos de Windows 2000 bajo un dominio raz que est registrado como un espacio de nombres de DNS. (Una organizacin puede decidir no formar parte del espacio de nombres global de DNS de Internet, pero si lo hace, sigue siendo necesario el servicio DNS para buscar equipos basados en Windows 2000.) Segn las convenciones de nomenclatura de DNS, cada parte de un nombre DNS separado por un punto (.) representa un nodo en la estructura jerrquica en rbol de DNS y un nombre de dominio de Active Directory potencial en la estructura jerrquica en rbol de dominios de Windows 2000. Tal como se muestra en la figura 2, la raz de la jerarqua DNS es un nodo que tiene una etiqueta nula (" "). La raz del espacio de nombres de Active Directory (la raz del bosque) no tiene principal y proporciona el punto de entrada de LDAP a Active Directory. Figura 2. Comparacin de las races de los espacios de nombres de DNS y de Active Directory

Registros de recursos SRV y actualizaciones dinmicas

DNS existe independientemente de Active Directory, mientras que Active Directory est diseado especficamente para trabajar con DNS. Para que Active Directory funcione correctamente, los servidores DNS deben admitir registros de recursos de ubicacin de servicio (SRV)4. Los registros de recursos SRV asignan el nombre de un servicio al nombre de un servidor que ofrece dicho servicio. Los controladores de dominio y los clientes de Active Directory utilizan los registros de recursos SRV para averiguar las direcciones IP de los controladores de dominio. Nota Para obtener ms informacin acerca de cmo planear la distribucin de servidores DNS como apoyo a los dominios de Active Directory, as como otras cuestiones relacionadas con la distribucin, consulte la Gua de diseo de la

distribucin de Microsoft Windows 2000 Server en la seccin "Para obtener


ms informacin" de este documento. Adems del requisito de que los servidores DNS de una red de Windows 2000 admitan registros de recursos SRV, Microsoft tambin recomienda que los servidores DNS admitan las actualizaciones dinmicas de DNS5. Las actualizaciones dinmicas de DNS definen un protocolo para actualizar dinmicamente un servidor DNS con valores nuevos o modificados. Sin el protocolo de actualizacin dinmica de DNS, los administradores deben configurar manualmente los registros creados por los controladores de dominio y almacenados por los servidores DNS. El nuevo servicio DNS de Windows 2000 admite tanto los registros de recursos SRV como las actualizaciones dinmicas. Si decide utilizar un servidor DNS que no est basado en Windows 2000, debe comprobar que admite los registros de recursos SRV o actualizarlo a una versin que los admita. En el caso de un servidor DNS heredado que admita registros de recursos SRV pero no admita actualizaciones dinmicas, se deben actualizar manualmente sus registros de recursos cuando se promueva un equipo con Windows 2000 Server a controlador de dominio. Esto se realiza mediante el archivo Netlogon.dns (que se encuentra en la carpeta %systemroot%\System32\config), creado por el Asistente para instalacin de Active Directory.

Active Directory crea controladores de dominio


La implementacin y la administracin de una red son actividades tangibles. Para entender cmo encaja Active Directory en la situacin en la prctica, lo primero que necesita saber es que la instalacin de Active Directory en un equipo que ejecute el sistema operativo Windows 2000 Server es el acto que transforma el servidor en un controlador de dominio. Un controlador de dominio slo puede alojar un dominio. En concreto, un controlador de dominio es un equipo que ejecuta Windows 2000 Server y que se ha configurado con el Asistente para instalacin de Active Directory, que instala y configura los componentes que proporcionan los servicios de directorio de Active Directory a los usuarios y los equipos de la red. Los controladores de dominio almacenan datos de directorio de todo el dominio (como las polticas de seguridad del sistema y datos de autenticacin de usuarios) y administran las interacciones de usuarios y dominios, incluidos los procesos de inicio de sesin, autenticacin y bsquedas en el directorio. Al promover un servidor a controlador de dominio con el Asistente para instalacin de Active Directory tambin se crea un dominio de Windows 2000 o se agregan controladores adicionales a un dominio existente. En esta seccin se describe qu es un controlador de dominio de Active Directory y algunas de las funciones principales que desempea en la red. Con la presentacin de Active Directory, los controladores de dominio de Windows 2000 funcionan como homlogos. Esto representa un cambio con respecto a las funciones de principal-subordinado que desempeaban los controladores principales de dominio (PDC) y los controladores de reserva (BDC) de Windows NT Server. Los controladores de dominio homlogos admiten la replicacin de mltiples maestros, con lo que se replica la informacin de Active Directory en todos los controladores de dominio. La presentacin de la replicacin de mltiples maestros significa que los administradores pueden efectuar actualizaciones de Active Directory en cualquier controlador de dominio de Windows 2000 del dominio. En el sistema operativo Windows NT Server, slo el PDC tiene una copia de lectura y escritura del directorio; el PDC replica a los BDC una copia de slo lectura de la

informacin del directorio. (Para obtener ms informacin acerca de la replicacin de mltiples maestros, consulte la seccin "Replicacin de mltiples maestros".) Si realiza la actualizacin al sistema operativo Windows 2000 desde un dominio existente, puede realizar la actualizacin por etapas y segn le convenga. Si va a crear el primer controlador de dominio para una instalacin nueva, se materializan algunas entidades automticamente al mismo tiempo que se carga Active Directory. Las dos subsecciones siguientes explican estos aspectos relacionados con la instalacin de un controlador de dominio de Active Directory en una red nueva:

El primer controlador de dominio es un servidor de catlogo global. El primer controlador de dominio contiene las funciones de maestro de operaciones.

Catlogo global
El sistema operativo Windows 2000 presenta el catlogo global, una base de datos que se mantiene en uno o varios controladores de dominio. El catlogo global desempea las funciones principales en los inicios de sesin de los usuarios y en las consultas. De forma predeterminada, se crea automticamente un catlogo global en el controlador de dominio inicial del bosque de Windows 2000 y cada bosque debe tener al menos un catlogo global. Si utiliza varios sitios, es recomendable que asigne un controlador de dominio de cada sitio como catlogo global, ya que es necesario tener un catlogo global (que determina la pertenencia a grupos de una cuenta) para llevar a cabo el proceso de autenticacin del inicio de sesin. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catlogo global para realizar el inicio de sesin. Despus de instalar controladores de dominio adicionales en el bosque, puede cambiar la ubicacin predeterminada del catlogo global a otro controlador de dominio mediante la herramienta Sitios y servicios de Active Directory. Opcionalmente puede configurar cualquier controlador de dominio para que aloje un catlogo global, segn los requisitos de la organizacin para atender

las solicitudes de inicio de sesin y las consultas de bsqueda. Cuantos ms servidores de catlogo global haya, ms rpidas sern las respuestas a las consultas de los usuarios; el inconveniente es que habilitar muchos controladores de dominio como servidores de catlogo global aumenta el trfico de replicacin en la red. El catlogo global desempea dos funciones clave de Active Directory, inicio de sesin y consultas:

Inicio de sesin. En un dominio de modo nativo, el catlogo global permite el inicio de sesin de los clientes de Active Directory al proporcionar informacin universal de pertenencia a grupos6 para la cuenta que enva la solicitud de inicio de sesin a un controlador de dominio. De hecho, no slo los usuarios sino cualquier objeto que se autentique en Active Directory debe hacer consultar el servidor de catlogo global, incluidos todos los equipos que se inicien. En una configuracin de varios dominios, al menos un controlador de dominio que contenga el catlogo global debe estar en funcionamiento y disponible para que los usuarios puedan iniciar una sesin. Tambin debe haber disponible un servidor de catlogo global cuando un usuario inicie la sesin con un nombre principal de usuario (UPN) no predeterminado. (Para obtener ms informacin acerca del inicio de sesin, consulte la seccin "Nombres de inicio de sesin: UPN y nombres de cuentas SAM".) Si no hay disponible un catlogo global cuando un usuario inicia un proceso de inicio de sesin en la red, el usuario slo podr iniciar la sesin en el equipo local y no en la red. La nica excepcin es la de los usuarios que son miembros del grupo de administradores de dominios (Administrador del dominio), que pueden iniciar la sesin en la red incluso aunque no haya disponible un catlogo global.

Consultas. En un bosque que contiene muchos dominios, el catlogo global permite que los usuarios efecten bsquedas en todos los dominios de forma rpida y sencilla, sin tener que buscar en cada dominio individualmente. El catlogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan informacin. La mayor parte del trfico de red de Active Directory est relacionado con las consultas: usuarios, administradores y programas que solicitan informacin acerca de objetos del directorio. Las consultas son mucho ms frecuentes que las actualizaciones del directorio. Asignar varios controladores de dominio como servidores de catlogo global mejora el tiempo de respuesta a los usuarios que buscan informacin del directorio, pero debe sopesar esta ventaja frente al hecho de que tambin puede aumentar el trfico de replicacin de la red.

Funciones de maestro de operaciones

La replicacin de mltiples maestros en controladores de dominio homlogos no resulta prctica para algunos tipos de cambios, por lo que slo un controlador de dominio, denominado maestro de operaciones, acepta solicitudes para dichos cambios. Como la replicacin de mltiples maestros desempea una funcin fundamental en una red basada en Active Directory, es importante saber cules son estas excepciones. En cualquier bosque de Active Directory, al menos las ltimas cinco funciones de maestro de operaciones se asignan al controlador de dominio inicial durante la instalacin. Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del nico maestro de operaciones se asignan automticamente al primer controlador de dicho dominio. En un bosque pequeo de Active Directory con slo un dominio y un controlador de dominio, dicho controlador sigue teniendo todas las funciones del maestro de operaciones. En una red mayor, con uno o varios dominios, se pueden asignar estas funciones a uno o varios controladores de dominio. Algunas funciones deben aparecer en todos los bosques. Otras funciones deben aparecer en cada dominio del bosque. Las dos funciones siguientes de maestro de operaciones en todo el bosque deben ser nicas en el bosque; es decir, slo puede haber una de ellas en todo el bosque:

Maestro de esquema. El controlador de dominio que tiene la funcin de maestro de esquema controla todas las actualizaciones y modificaciones del esquema. El esquema define todos los objetos (y sus atributos) que pueden almacenarse en el directorio. Para actualizar el esquema de un bosque, debe disponer de acceso al maestro de esquema. Maestro de nombres de dominio. El controlador de dominio que tiene la funcin de maestro de nombres de dominio controla la incorporacin o eliminacin de dominios en el bosque.

Las tres funciones siguientes de maestro de operaciones en todo el dominio deben ser nicas en cada dominio y slo puede haber una en cada dominio del bosque:

Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a cada controlador de su dominio. Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) nico. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es

nico para cada Id. de seguridad creado en el dominio). Cuando el controlador de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID. Emulador de controlador principal de dominio (PDC). Si el dominio contiene equipos que no ejecutan el software cliente de Windows 2000, o si contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC acta como controlador principal de dominio (PDC) de Windows NT. Procesa los cambios de clave de acceso de los clientes y replica las actualizaciones en los BDC. El emulador de PCD recibe replicacin preferente de los cambios de clave de acceso realizados por otros controladores del dominio. Si se produce un error en una autenticacin de inicio de sesin en otro controlador de dominio debido a una clave de acceso incorrecta, dicho controlador reenva la solicitud de autenticacin al emulador de PDC antes de rechazar el intento de inicio de sesin. Maestro de infraestructuras. El maestro de infraestructuras es el encargado de actualizar todas las referencias entre dominios siempre que se mueve un objeto al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el nombre o se cambian los miembros de los grupos, el maestro de infraestructuras actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto del grupo), es posible que parezca temporalmente que el grupo no contiene a ese miembro. El maestro de infraestructuras del dominio del grupo es el encargado de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva ubicacin del miembro. El maestro de infraestructuras distribuye la actualizacin mediante la replicacin de mltiples maestros. A menos que slo haya un nico controlador en el dominio, no asigne la funcin de maestro de infraestructuras al controlador de dominio que aloja el catlogo global. Si lo hace, no funcionar el maestro de infraestructuras. Si todos los controladores de un dominio tambin alojan el catlogo global (incluido el caso donde slo exista un controlador de dominio), todos los controladores de dominio tienen datos actualizados y, por tanto, no es necesario el maestro de infraestructuras.

Arquitectura
Una vez instalado un controlador de dominio de Active Directory, se ha creado a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo controlador a un dominio existente. Cmo encajan el controlador y el dominio en la arquitectura global de la red?

En esta seccin se explican los componentes de una red basada en Active Directory y cmo estn organizados. Adems, describe cmo puede delegar la responsabilidad administrativa de las unidades organizativas (OU), dominios o sitios a los usuarios adecuados y cmo asignar valores de configuracin a estos tres mismos contenedores de Active Directory. Se tratan los siguientes temas:

Objetos (incluido el esquema). Convenciones de nomenclatura de objetos (incluyendo nombres de principales de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres de inicio de sesin). Publicacin de objetos. Dominios (incluyendo rboles, bosques, confianzas y unidades organizativas). Sitios (incluida la replicacin). Cmo se aplican la delegacin y Poltica de grupo a unidades organizativas, dominios y sitios.

Objetos
Los objetos de Active Directory son las entidades que componen una red. Un objeto es un conjunto diferenciado con nombre de atributos que representa algo concreto, como un usuario, una impresora o una aplicacin. Cuando crea un objeto de Active Directory, ste genera valores para algunas propiedades del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario, Active Directory asigna el identificador nico global (GUID) y usted debe proporcionar valores para atributos como el nombre, el apellido, el identificador de inicio de sesin, etc. del usuario.

El esquema
El esquema es una descripcin de las clases de objeto (los distintos tipos de objetos) y los atributos de dichas clases. Para cada clase de objeto, el esquema define qu atributos debe tener, qu atributos adicionales puede tener y qu clase de objeto puede ser su objeto primario. Cada objeto de Active Directory es una instancia de una clase de objeto. Cada atributo slo se define una vez y puede utilizarse en varias clases. Por ejemplo, el atributo Descripcin se define una vez pero se utiliza en muchas clases distintas.

El esquema se almacena en Active Directory. Las definiciones de esquema tambin se almacenan como objetos: Esquema de clase y Esquema de atributos. De esta forma, Active Directory administra los objetos de clase y de atributos de la misma manera en que administra otros objetos del directorio. Las aplicaciones que crean o modifican objetos de Active Directory utilizan el esquema para determinar los atributos que debe o podra tener el objeto y cmo deben ser esos atributos en lo que respecta a estructuras de datos y restricciones de sintaxis. Los objetos pueden ser objetos contenedor u objetos hoja (tambin denominados objetos no contenedor). Un objeto contenedor almacena otros objetos, pero los objetos hoja no. Por ejemplo, una carpeta es un objeto contenedor de archivos, que son objetos hoja. Cada clase de objetos del esquema de Active Directory tiene atributos que aseguran:

Identificacin nica de cada objeto en un almacn de datos del directorio. Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad con los identificadores de seguridad (SID) utilizados en el sistema operativo Windows NT 4.0 y anteriores. Compatibilidad con los estndares LDAP para nombres de objetos de directorio.

Consultas y atributos de esquema


Con la herramienta Esquema de Active Directory puede marcar un atributo como indizado. Al hacerlo, se agregan al ndice todas las instancias de dicho atributo, no slo las instancias que son miembros de una clase determinada. Al indizar un atributo podr encontrar ms rpidamente los objetos que tengan ese atributo. Tambin puede incluir atributos en el catlogo global. El catlogo global contiene un conjunto predeterminado de atributos para cada objeto del bosque y puede agregarles los que desee. Los usuarios y las aplicaciones utilizan el catlogo global para buscar objetos en el bosque. Incluya slo los atributos que tengan las siguientes caractersticas:

til globalmente. El atributo debe ser necesario para buscar objetos (incluso aunque slo sea para acceso de lectura) que pueda haber en cualquier lugar del bosque.

No voltil. El atributo deber ser invariable o cambiar con muy poca frecuencia. Los atributos de un catlogo global se replican a todos los dems catlogos globales del bosque. Si el atributo cambia con frecuencia, genera mucho trfico de replicacin. Pequeo. Los atributos de un catlogo global se replican a todos los catlogos globales del bosque. Cuanto menor sea el atributo, menor ser el impacto de la replicacin.

Nombres de objetos de esquema


Como se ha indicado anteriormente, las clases y los atributos son objetos de esquema. Se puede hacer referencia a cualquier objeto de esquema mediante los siguientes tipos de nombres:

Nombre LDAP para mostrar. El nombre LDAP para mostrar es nico globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta de una o varias palabras combinadas, con la letra inicial de cada palabra en maysculas despus de la primera palabra. Por ejemplo, mailAddress y machinePasswordChangeInterval son los nombres LDAP para mostrar de dos atributos de esquema. Esquema de Active Directory y otras herramientas administrativas de Windows 2000 muestran el nombre LDAP para mostrar de los objetos, y los programadores y administradores utilizan este nombre para hacer referencia al objeto mediante programa. Consulte la prxima subseccin para obtener informacin acerca de cmo ampliar el esquema mediante programa; consulte la seccin "Protocolo compacto de acceso a directorios" para obtener ms informacin acerca de LDAP. Nombre comn. Los nombres comunes de los objetos de esquema tambin son nicos globalmente. El nombre comn se especifica cuando se crea una nueva clase o atributo de objeto en el esquema; se trata del nombre en referencia relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para obtener ms informacin acerca de los RDN, consulte la seccin "Nombres DN y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos mencionados en el prrafo anterior son SMTP-Mail-Address y MachinePassword-Change-Interval. Identificador de objeto (OID). El identificador de un objeto de esquema es un nmero emitido por una entidad como Organizacin internacional de normalizacin (ISO) y American National Standards Institute (ANSI). Por ejemplo, el OID para el atributo SMTP-Mail-Address es 1.2.840.113556.1.4.786. Se garantiza que los OID son nicos en todas las redes de todo el mundo. Una vez que obtenga un OID raz de una entidad emisora, puede utilizarlo para asignar OID adicionales. Los OID forman una jerarqua. Por ejemplo, Microsoft ha emitido el OID raz 1.2.840.113556. Microsoft administra internamente otras ramas adicionales desde esta raz. Una de las ramas se utiliza para asignar OID a las clases de esquema de Active Directory y otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es 1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede analizarse como se muestra en la tabla 1.

Tabla 1. Identificador de objeto Nmero de Id. de objeto 1 2 840 113556 1 5 4 Identifica ISO (entidad emisora "raz") emiti 1.2 para ANSI, ANSI emiti 1.2.840 para EE.UU., EE.UU. emiti 1.2.840.113556 para Microsoft, Microsoft administra internamente varias ramas de identificadores de objeto bajo 1.2.840.113556, que incluyen: una rama denominada Active Directory que incluye una rama denominada clases que incluye una rama denominada Dominio integrado

Para obtener ms informacin acerca de los OID y cmo obtenerlos, consulte "Para obtener ms informacin" al final de este documento.

Ampliar el esquema
El sistema operativo Windows 2000 Server proporciona un conjunto predeterminado de clases y atributos de objeto que son suficientes para muchas organizaciones. Aunque no puede eliminar objetos del esquema, puede marcarlos como desactivados. Los programadores y los administradores de redes con experiencia pueden ampliar dinmicamente el esquema si definen nuevas clases y nuevos atributos para las clases existentes. La forma recomendada de ampliar el esquema de Active Directory es mediante programa, a travs de las Interfaces de servicio de Active Directory (ADSI). Tambin puede emplear la utilidad Formato de intercambio de datos LDAP (LDIFDE). (Para obtener ms informacin acerca de ADSI y LDIFDE, consulte las secciones "Interfaz de servicio de Active Directory" y "Active Directory y LDIFDE".) Para propsitos de desarrollo y de pruebas, tambin puede ver y modificar el esquema de Active Directory con la herramienta Esquema de Active Directory. Cuando se plantee cambiar el esquema, recuerde estos puntos clave:

Los cambios del esquema son globales en todo el bosque. Las ampliaciones del esquema no son reversibles (aunque puede modificar algunos atributos). Microsoft requiere que no se ample el esquema para adherirse a las reglas de nomenclatura (descritas en la subseccin anterior), tanto para el nombre LDAP para mostrar como para el nombre comn. El programa del logotipo Certificado

para Windows7 exige el cumplimiento. Visite el sitio Web Microsoft Developer Network para obtener ms informacin al respecto. Todas las clases del esquema derivan de la clase especial Top. A excepcin de Top, todas las clases son subclases derivadas de otra clase. La herencia de atributos permite crear nuevas clases a partir de las ya existentes. La nueva subclase hereda los atributos de su superclase (clase principal).

La ampliacin del esquema es una operacin avanzada. Para obtener informacin detallada acerca de cmo ampliar el esquema mediante programa, consulte la seccin "Para obtener ms informacin" al final de este documento.

Convenciones de nomenclatura de objetos


Active Directory admite varios formatos de nombres de objeto para admitir las distintas formas que puede adoptar un nombre, dependiendo del contexto en que se utilice (algunos nombres tienen formato numrico). En las siguientes subsecciones se describen estos tipos de convenciones de nomenclatura para los objetos de Active Directory:

Nombres de principales de seguridad. Identificadores de seguridad (tambin denominados Id. de seguridad o SID). Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y nombres cannicos). GUID de objeto. Nombres de inicio de sesin (incluidos UPN y nombres de cuentas SAM).

Si la organizacin tiene varios dominios, es posible utilizar el mismo nombre de usuario o de equipo en diferentes dominios. El Id. de seguridad, el GUID, el nombre completo LDAP y el nombre cannico generados por Active Directory identifican de forma nica a cada usuario o equipo del directorio. Si se cambia el nombre del objeto de usuario o de equipo, o se mueve a otro dominio, el Id. de seguridad, el nombre en referencia relativa LDAP, el nombre completo y el nombre cannico cambian, pero el GUID generado por Active Directory no cambia.

Nombres de principales de seguridad


Un principal de seguridad es un objeto de Windows 2000 administrado por Active Directory al que se asigna automticamente un identificador de

seguridad (SID) para la autenticacin de inicio de sesin y el acceso a los recursos. Un principal de seguridad puede ser una cuenta de usuario, una cuenta de equipo o un grupo, de modo que un nombre de principal de seguridad identifica de forma nica a un usuario, un equipo o un grupo dentro de un nico dominio. Un objeto de principal de seguridad debe estar autenticado por un controlador del dominio en el que se encuentra el objeto y se le puede conceder o denegar el acceso a los recursos de la red. Un nombre de principal de seguridad no es nico entre dominios pero, por compatibilidad con versiones anteriores, debe ser nico en su propio dominio. Se puede cambiar el nombre de los objetos de principales de seguridad , se pueden mover o pueden estar dentro de una jerarqua de dominios anidados. Los nombres de los objetos de principales de seguridad deben ajustarse a las siguientes directrices:

El nombre no puede ser idntico a otro nombre de usuario, equipo o grupo del dominio. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: " / \ [ ] : ; | = , + * ? <> Un nombre de usuario, equipo o grupo no puede contener slo puntos (.) o espacios en blanco.

Id. de seguridad (SID)


Un identificador de seguridad (SID) es un nombre nico creado por el subsistema de seguridad del sistema operativo Windows 2000 y se asigna a objetos de principales de seguridad; es decir, a cuentas de usuario, grupo y equipo. A cada cuenta de la red se le asigna un SID nico cuando se crea por primera vez. Los procesos internos del sistema operativo Windows 2000 hacen referencia al SID de las cuentas en vez de a los nombres de usuario o de grupo de las cuentas. Cada objeto de Active Directory est protegido mediante entradas de control de acceso (ACE) que identifican los usuarios o grupos que pueden tener acceso al objeto. Cada ACE contiene el SID de cada usuario o grupo con permiso de acceso a dicho objeto y define el nivel de acceso permitido. Por ejemplo, un usuario podra tener acceso de slo lectura a determinados archivos, acceso de lectura y escritura a otros y no tener acceso a otros archivos.

Si crea una cuenta, la elimina y despus crea otra cuenta con el mismo nombre de usuario, la nueva cuenta no tendr los derechos o permisos concedidos anteriormente a la cuenta antigua, ya que los SID correspondientes a las cuentas son diferentes.

Nombres relacionados con LDAP


Active Directory es un servicio de directorio compatible con el Protocolo compacto de acceso a directorios (LDAP). En el sistema operativo Windows 2000, todos los accesos a los objetos de Active Directory se producen a travs de LDAP. LDAP define las operaciones que se pueden realizar para consultar y modificar informacin en un directorio, y cmo se puede tener acceso de forma segura a la informacin de un directorio. Por tanto, se utiliza LDAP para buscar o enumerar objetos del directorio y para consultar o administrar Active Directory. (Para obtener ms informacin acerca de LDAP, consulte la seccin "Protocolo compacto de acceso a directorios".) Es posible consultar mediante el nombre completo LDAP (que es un atributo del objeto), pero como resulta difcil de recordar, LDAP tambin admite la consulta por otros atributos (por ejemplo, color para buscar las impresoras en color). De esta forma puede buscar un objeto sin tener que saber su nombre completo. En las tres subsecciones siguientes se describen los formatos de nomenclatura de objetos admitidos por Active Directory, que se basan todos en el nombre completo LDAP:

Nombres DN y RDN de LDAP. Direcciones URL de LDAP. Nombres cannicos basados en LDAP.

Nombres DN y RDN de LDAP LDAP proporciona nombres completos (DN) y nombres en referencia relativa (RDN) para los objetos8. Active Directory implementa estas convenciones de nomenclatura LDAP con las variaciones que se muestran en la tabla 2. Tabla 2. Convenciones de nomenclatura de LDAP y sus correspondientes en Active Directory

Convencin de nomenclatura DN y RDN de LDAP cn=nombre comn ou=unidad organizativa o=organizacin c=pas

Convencin de nomenclatura correspondiente en Active Directory cn=nombre comn ou=unidad organizativa dc=componente de dominio (no se admite)

Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se utiliza para describir el RDN de un objeto se denomina atributo de nomenclatura. Los atributos de nomenclatura de Active Directory, que se muestran en la columna derecha, corresponden a las siguientes clases de objetos de Active Directory:

cn se utiliza para la clase de objeto usuario ou se utiliza para la clase de objeto unidad organizativa (OU) dc se utiliza para la clase de objeto DnsDominio

Todos los objetos de Active Directory tienen un DN de LDAP. Los objetos se encuentran dentro de dominios de Active Directory segn una ruta de acceso jerrquica, que incluye las etiquetas del nombre de dominio de Active Directory y cada nivel de los objetos contenedores. La ruta de acceso completa al objeto la define el DN. El RDN define el nombre del objeto. El RDN es el segmento del DN de un objeto que es un atributo del propio objeto. Al usar la ruta de acceso completa a un objeto, incluido el nombre de objeto y todos los objetos principales hasta la raz del dominio, el DN identifica un objeto nico dentro de la jerarqua de dominios. Cada RDN se almacena en la base de datos de Active Directory y contiene una referencia a su principal. Durante una operacin LDAP, se construye todo el DN siguiendo las referencias hasta la raz. En un DN de LDAP completo, el RDN del objeto que se va a identificar aparece a la izquierda con el nombre de la rama y termina a la derecha con el nombre de la raz, segn se muestra en este ejemplo:
cn=JDoe,ou=Componentes,ou=Fabricacin,dc=ReginEEUU ,dcNombreOrganizacin.dc=com

El RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente (el objeto principal de JDoe) es ou=Componentes, etc. Las herramientas de Active Directory no muestran las abreviaturas de LDAP para los atributos de nomenclatura (dc=, ou= o cn=). Estas abreviaturas slo se muestran para ilustrar la forma en que LDAP reconoce las partes del DN. La mayora de las herramientas de Active Directory muestran los nombres de

objeto en formato cannico (descrito ms adelante). El sistema operativo Windows 2000 utiliza el DN para permitir que un cliente LDAP recupere la informacin de un objeto del directorio, pero ninguna interfaz de usuario de Windows 2000 requiere escribir los DN. El uso explcito de DN, RDN y atributos de nomenclatura slo es necesario al escribir programas o secuencias de comandos compatibles con LDAP. Nombres de direcciones URL de LDAP Active Directory admite el acceso mediante el protocolo LDAP desde cualquier cliente habilitado para LDAP. En RFC 1959 se describe un formato para el Localizador de recursos universal (direccin URL) de LDAP que permite que los clientes de Internet tengan acceso directo al protocolo LDAP. Las direcciones URL de LDAP tambin se utilizan en secuencias de comandos. Una direccin URL de LDAP empieza con el prefijo "LDAP" y despus contiene el nombre del servidor que aloja los servicios de Active Directory, seguido del nombre de atributo del objeto (el nombre completo). Por ejemplo:
LDAP://servidor1.ReginEEUU.nombreOrg.com/cn=JDoe, ou=Componentes,ou=Fabricacin,dc=ReginEEUU,dcNombreOrg,dc=com

Nombres cannicos de Active Directory basados en LDAP De forma predeterminada, las herramientas administrativas de Active Directory muestran los nombres de objeto con el formato de nombre cannico, que enumera los RDN desde la raz hacia abajo y sin los descriptores de atributos de nomenclatura de RFC 1779 (dc=, ou= o cn=). El nombre cannico utiliza el formato de nombres de dominio de DNS; es decir, los constituyentes de la seccin de etiquetas de dominio estn separados por puntos: ReginEEUU.NombreOrg.com. En la tabla 3 se muestran las diferencias entre el DN de LDAP y el mismo nombre en formato cannico. Tabla 3. Diferencias entre el formato de DN de LDAP y el formato de nombre cannico El mismo nombre en dos formatos Nombre cn=JDoe,ou=Componentes,ou=Fabricacin,dc=ReginEEUU,dcNombreOrg.d DN de c=com LDAP:

Nombre cannico ReginEEUU.NombreOrg.com/Fabricacin/Componentes/JDoe :

GUID de objeto
Adems de su DN de LDAP, cada objeto de Active Directory tiene un

identificador nico global (GUID), un nmero de 128 bits que asigna el Agente
del sistema del directorio cuando se crea el objeto. El GUID, que no se puede modificar ni mover, se almacena en un atributo, objectGUID, que es necesario para cada objeto. A diferencia de un DN o un RDN, que se puede modificar, el GUID nunca cambia. Cuando se almacena una referencia a un objeto de Active Directory en un almacn externo (por ejemplo, una base de datos de Microsoft SQL Server), debe utilizarse el valor de objectGUID.

Nombres de inicio de sesin: UPN y nombres de cuentas SAM


Como se ha descrito anteriormente, los principales de seguridad son objetos a los se aplica la seguridad basada en Windows tanto para la autenticacin de inicio de sesin como para la autorizacin de acceso a los recursos. Los usuarios son un tipo de principal de seguridad. En el sistema operativo Windows 2000, los principales de seguridad de usuario requieren un nombre nico de inicio de sesin para obtener acceso a un dominio y sus recursos. En las dos subsecciones siguientes se describen los dos tipos de nombres de inicio de sesin: UPN y nombres de cuentas SAM. Nombre de principal de usuario En Active Directory, cada cuenta de usuario tiene un nombre de principal de

usuario (UPN) con el formato <usuario>@<nombreDominioDNS>. Un UPN es


un nombre descriptivo asignado por un administrador que es ms corto que el nombre completo LDAP utilizado el sistema y ms fcil de recordar. El UPN es independiente del DN del objeto de usuario, por lo que el objeto de usuario se puede mover o cambiar de nombre sin que ello afecte al nombre de inicio de sesin del usuario. Cuando se inicia una sesin con un UPN, los usuarios ya no

tienen que elegir un dominio de una lista en el cuadro de dilogo de inicio de sesin. Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesin del usuario), el carcter @ y el sufijo UPN (normalmente un nombre de dominio). El sufijo UPN predeterminado de una cuenta de usuario es el nombre DNS del dominio de Active Directory en el que se encuentra la cuenta de usuario9. Por ejemplo, el UPN del usuario John Doe, que tiene una cuenta de usuario en el dominio NombreOrg.com (si NombreOrg.com es el nico dominio del rbol), es JDoe@NombreOrg.com. El UPN es un atributo (userPrincipalName) del objeto de principal de seguridad. Si el atributo userPrincipalName de un objeto de usuario no tiene valor, el objeto tiene como UPN predeterminado nombreUsuario@nombreDominioDns. Si la organizacin tiene muchos dominios que forman un rbol de dominios profundo, organizado por departamentos y regiones, los nombres UPN predeterminados pueden llegar a ser bastante farragosos. Por ejemplo, el UPN predeterminado de un usuario podra ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesin para un usuario de dicho dominio es

usuario@ventas.costaoeste.microsoft.com. En vez de aceptar el nombre de


dominio DNS predeterminado como el sufijo UPN, puede simplificar los procesos de administracin y de inicio de sesin de usuario si proporciona un nico sufijo UPN a todos los usuarios. (El sufijo UPN slo se utiliza dentro del dominio de Windows 2000 y no es necesario que sea un nombre vlido de dominio DNS.) Puede utilizar su nombre de dominio de correo electrnico como sufijo UPN: nombreUsuario@nombreOrganizacin.com. As, el usuario del ejemplo tendra el nombre UPN usuario@microsoft.com. En el caso de un inicio de sesin basado en UPN, quizs sea necesario un catlogo global, dependiendo del usuario que inicie la sesin y la pertenencia al dominio del equipo del usuario. Se necesita un catlogo global si el usuario inicia la sesin con un nombre UPN que no sea el predeterminado y la cuenta de equipo del usuario se encuentra en un dominio distinto que la cuenta del usuario. Es decir, si en lugar de aceptar el nombre de dominio DNS predeterminado como sufijo UPN (como en el ejemplo anterior,

usuario@ventas.costaoeste.microsoft.com), proporciona un nico sufijo UPN

para todos los usuarios (de forma que el usuario sea usuario@microsoft.com), se necesita un catlogo global para el inicio de sesin. La herramienta Dominios y confianza de Active Directory se utiliza para administrar los sufijos UPN de un dominio. Los UPN se asignan en el momento de crear un usuario. Si ha creado sufijos adicionales para el dominio, puede elegir uno en la lista de sufijos disponibles al crear la cuenta de usuario o de grupo. Los sufijos aparecen en la lista en el siguiente orden:

Sufijos alternativos (si hay alguno, el ltimo que se ha creado aparecer en primer lugar). Dominio raz. Dominio actual.

Nombre de cuenta SAM Un nombre de cuenta del Administrador de cuentas de seguridad (SAM) es necesario por compatibilidad con los dominios de Windows NT 3.x y Windows NT 4.0. La interfaz de usuario de Windows 2000 se refiere al nombre de cuenta SAM como "Nombre de inicio de sesin de usuario (anterior a Windows 2000)". Los nombres de cuentas SAM a veces se denominan nombres planos ya que, a diferencia de los nombres DNS, los nombres de cuentas SAM no utilizan una nomenclatura jerrquica. Como los nombres SAM son planos, cada uno debe ser nico en el dominio.

Publicacin de objetos
Publicar es el acto de crear objetos en el directorio que contengan directamente
la informacin que desea que est disponible o que proporcionen una referencia a dicha informacin. Por ejemplo, un objeto de usuario contiene informacin til acerca de los usuarios, como sus nmeros de telfono y sus direcciones de correo electrnico, y un objeto de volumen contiene una referencia a un volumen compartido de un sistema de archivos. A continuacin se ofrecen dos ejemplos: publicar objetos de archivo e impresin en Active Directory:

Publicacin de recursos compartidos. Puede publicar una carpeta compartida como un objeto de volumen (tambin denominado objeto de carpeta compartida)

en Active Directory con el complemento Usuarios y grupos de Active Directory. Esto significa que los usuarios ahora pueden consultar fcil y rpidamente dicha carpeta compartida en Active Directory. Publicacin de impresoras. En un dominio de Windows 2000, la forma ms sencilla de administrar, buscar y conectarse a impresoras es mediante Active Directory. De forma predeterminada10, cuando agrega una impresora con el Asistente para agregar impresoras y decide compartirla, Windows 2000 Server la publica en el dominio como un objeto de Active Directory. Publicar (enumerar) impresoras en Active Directory permite a los usuarios encontrar la impresora ms adecuada. Ahora los usuarios pueden consultar fcilmente cualquiera de estas impresoras en Active Directory y buscar por atributos de impresora como tipo (PostScript, color, papel de tamao oficio, etc.) y ubicacin. Cuando se quita una impresora del servidor, ste anula la publicacin. Tambin puede publicar en Active Directory impresoras que no estn basadas en Windows 2000 (es decir, impresoras que estn servidores de impresin no basados en Windows 2000). Para ello, utilice la herramienta Usuarios y equipos de Active Directory para escribir la ruta de acceso a la impresora segn la convencin de nomenclatura universal (UNC). De forma alternativa, utilice la secuencia de comandos Pubprn.vbs que se encuentra en la carpeta System32. La poltica de grupo Eliminacin de impresora de bajo nivel determina cmo el servicio de eliminacin (eliminacin automtica de impresoras) trata las impresoras que estn en servidores de impresin no basados en Windows 2000 cuando una impresora no est disponible.

Cundo publicar
Debe publicar la informacin en Active Directory cuando sea til o interesante para una gran parte de la comunidad de usuarios y cuando sea necesario que est fcilmente accesible. La informacin publicada en Active Directory tiene dos caractersticas principales:

Relativamente esttica. Slo se publica la informacin que cambia con poca frecuencia. Los nmeros de telfono y las direcciones de correo electrnico son ejemplos de informacin relativamente esttica adecuada para publicar. El mensaje de correo electrnico seleccionado actualmente del usuario es un ejemplo de informacin que cambia con mucha frecuencia. Estructurada. Publicar informacin estructurada y que puede representarse como un conjunto de atributos discretos. La direccin comercial de un usuario es

un ejemplo de informacin estructurada adecuada para publicar. Un clip de audio con la voz del usuario es un ejemplo de informacin sin estructurar ms adecuada para el sistema de archivos. La informacin operativa utilizada por las aplicaciones es un candidato excelente para su publicacin en Active Directory. Esto incluye informacin de configuracin global que se aplica a todas las instancias de una aplicacin dada. Por ejemplo, un producto de base de datos relacional podra almacenar como un objeto de Active Directory la configuracin predeterminada de los servidores de bases de datos. Las nuevas instalaciones de ese producto podran recopilar la configuracin predeterminada de ese objeto, lo que simplifica el proceso de instalacin y mejora la coherencia de las instalaciones en una organizacin. Las aplicaciones tambin pueden publicar sus puntos de conexin en Active Directory. Los puntos de conexin se utilizan en los encuentros cliente-servidor. Active Directory define una arquitectura para la administracin de servicios integrados mediante objetos de Punto de administracin de servicios y proporciona puntos de conexin estndar para aplicaciones basadas en Llamada a procedimiento remoto (RPC), Winsock y Modelo de objetos componentes (COM). Las aplicaciones que no utilizan las interfaces RPC o Winsock para publicar sus puntos de conexin pueden publicar explcitamente en Active Directory objetos de Punto de conexin de servicios. Tambin es posible publicar en el directorio los datos de aplicaciones utilizando objetos especficos de la aplicacin. Los datos especficos de una aplicacin deben cumplir los criterios descritos anteriormente. Es decir, la informacin debe ser de inters global, relativamente no voltil y estructurada.

Cmo publicar
Los mtodos de publicar informacin varan dependiendo de la aplicacin o el servicio:

Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la familia RpcNs* de API para publicar sus puntos de conexin en el directorio y para consultar los puntos de conexin de servicios que han publicado los suyos. Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API Registration and Resolution (Registro y resolucin) disponibles en Winsock 2.0

para publicar sus puntos de conexin y para consultar los puntos de conexin de servicios que han publicado los suyos. Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM publican sus puntos de conexin mediante DCOM Class Store, que reside en Active Directory. DCOM es la especificacin del Modelo de objetos componentes (COM) de Microsoft que define cmo se comunican los componentes a travs de redes basadas en Windows. Utilice la herramienta Configuracin de DCOM para integrar aplicaciones cliente-servidor en varios equipos. DCOM tambin puede utilizarse para integrar aplicaciones robustas de explorador Web.

Dominios: rboles, bosques, confianzas y unidades organizativas


Active Directory consta de uno o varios dominios. Al crear el controlador de dominio inicial en una red tambin se crea el dominio; no puede haber un dominio sin que haya al menos un controlador de dominio. Cada dominio del directorio se identifica mediante un nombre de dominio DNS. La herramienta Dominios y confianza de Active Directory se utiliza para administrar dominios. Los dominios se utilizan para llevar a cabo los siguientes objetivos de administracin de red:

Delimitar la seguridad. Un dominio de Windows 2000 define un lmite de seguridad: Las polticas y la configuracin de seguridad (como los derechos administrativos y las listas de control de acceso) no cruzan de un dominio a otro. Active Directory puede incluir uno o varios dominios, cada uno con sus propias polticas de seguridad. Informacin de replicacin. Un dominio es una particin del directorio de Windows 2000 (tambin denominado un contexto de nombres). Estas particiones del directorio son las unidades de replicacin. Cada dominio slo almacena la informacin acerca de los objetos que se encuentran en dicho dominio. Todos los controladores de un dominio pueden recibir cambios efectuados en los objetos y pueden replicar esos cambios a todos los dems controladores de dicho dominio. Aplicar Poltica de grupo. Un dominio define un mbito posible para la poltica (la configuracin de Poltica de grupo tambin puede aplicarse a unidades organizativas o a sitios). Al aplicar un objeto de poltica de grupo (GPO) al dominio se establece cmo se pueden configurar y utilizar los recursos del dominio. Por ejemplo, puede utilizar Poltica de grupo para controlar la configuracin del escritorio, como el bloqueo del escritorio y la distribucin de aplicaciones. Estas polticas slo se aplican dentro del dominio, no entre varios dominios. Estructurar la red. Como un dominio de Active Directory puede abarcar varios sitios y contener millones de objetos11, la mayora de las organizaciones no

necesitan crear dominios independientes para reflejar las divisiones y los departamentos de la organizacin. Nunca debe ser necesario crear dominios adicionales para administrar objetos adicionales. Sin embargo, algunas organizaciones requieren varios dominios para incorporar, por ejemplo, unidades de negocio independientes o completamente autnomas que no desean que nadie externo a la unidad tenga autorizacin sobre sus objetos. Dichas organizaciones pueden crear dominios adicionales y organizarlos en un bosque de Active Directory. Otro motivo para dividir la red en dominios independientes es si dos partes de la red estn separadas por un vnculo tan lento que nunca se desea que tenga trfico de replicacin completa. (En el caso de los vnculos lentos que an pueden tratar trfico de replicacin con menos frecuencia, puede configurar un nico dominio con varios sitios.) Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000 puede delegar restrictivamente la autoridad administrativa tanto de unidades organizativas como de dominios individuales, lo que reduce el nmero de administradores necesarios con autoridad administrativa amplia. Como un dominio es un lmite de seguridad, los permisos administrativos de un dominio estn limitados al dominio de forma predeterminada. Por ejemplo, a un administrador con permisos para establecer polticas de seguridad en un dominio no se le concede automticamente autoridad para establecer polticas de seguridad en otro dominio del directorio.

Comprender los dominios incluye entender los rboles, bosques, confianzas y unidades organizativas, y cmo se relaciona cada una de estas estructuras con los dominios. En las siguientes subsecciones se describen cada uno de estos componentes de dominio:

rboles Bosques Relaciones de confianza Unidades organizativas

El sistema operativo Windows 2000 tambin presenta el concepto relacionado de sitios, pero la estructura de sitio y la estructura de dominio son independientes, con el fin de proporcionar administracin flexible, por lo que los sitios se tratarn en una seccin posterior. Este documento presenta los conceptos bsicos acerca de los dominios y los sitios basados en Windows 2000. Para obtener informacin detallada acerca de cmo planear su estructura y distribucin, consulte la Gua de diseo de la distribucin de Microsoft

Windows 2000 Server en la seccin "Para obtener ms informacin", al final de


este documento.

Cuando lea las prximas subsecciones en las que se describen posibles estructuras de dominio, tenga en cuenta que, para muchas organizaciones, una estructura que conste de un nico dominio que sea a la vez un bosque con un nico rbol no slo es posible, sino que es la forma ptima de organizar la red. Empiece siempre con la estructura ms sencilla y aumente su complejidad slo cuando pueda justificarlo.

rboles
En el sistema operativo Windows 2000, un rbol es un conjunto de uno o varios dominios con nombres contiguos. Si hay varios dominios, puede combinarlos en estructuras jerrquicas de rbol. Un posible motivo para tener varios rboles en el bosque es si una divisin de la organizacin tiene su propio nombre DNS registrado y ejecuta sus propios servidores DNS. El primer dominio creado es el dominio raz del primer rbol. Los dominios adicionales del mismo rbol son dominios secundarios. Un dominio situado inmediatamente por encima de otro dominio en el mismo rbol es su principal. Todos los dominios que tienen un dominio raz comn se dice que forman un

espacio de nombres contiguos. Los dominios de un espacio de nombres


contiguos (es decir, en un nico rbol) tiene nombres de dominio DNS contiguos que se forman de la siguiente manera: El nombre del dominio secundario aparece a la izquierda, separado del nombre de su dominio principal a la derecha por un punto. Cuando hay ms de dos dominios, cada uno tiene su principal a la derecha del nombre de dominio, tal como se muestra en la figura 3. Los dominios basados en Windows 2000 que forman un rbol estn vinculados mediante relaciones de confianza bidireccionales y transitivas. Estas relaciones de confianza se describen ms adelante.

Figura 3. Dominios principales y secundarios en un rbol de dominios. Las flechas de dos puntas indican relaciones de confianza bidireccionales transitivas La relacin principal-secundario entre dominios de un rbol slo es una relacin de nomenclatura y una relacin de confianza. Los administradores de un dominio principal no lo son automticamente de un dominio secundario y las polticas establecidas en un dominio principal no se aplican automticamente a los dominios secundarios.

Bosques
Un bosque de Active Directory es una base de datos distribuida, que est compuesta de varias bases de datos parciales repartidas en varios equipos. La distribucin de la base de datos aumenta la eficacia de la red, ya que permite ubicar los datos donde ms se utilizan. Los dominios definen las particiones de la base de datos del bosque; es decir, un bosque consta de uno o varios dominios. Todos los controladores de dominio de un bosque contienen una copia de los contenedores Configuracin y Esquema del bosque, adems de una base de datos del dominio. Una base de datos del dominio es una parte de una base de datos del bosque. Cada base de datos del dominio contiene objetos de directorio, como los objetos de principales de seguridad (usuarios, equipos y grupos) a los que puede conceder o denegar acceso a los recursos de la red. Con frecuencia, un nico bosque, que resulta fcil de crear y mantener, puede satisfacer las necesidades de una organizacin. Con un nico bosque no es necesario que los usuarios conozcan la estructura del directorio, ya que todos ven un nico directorio a travs del catlogo global. Cuando se agrega un dominio nuevo al bosque, no se requiere ninguna configuracin adicional de la confianza, ya que todos los dominios de un bosque estn conectados por una confianza bidireccional transitiva. En un bosque con varios dominios, slo es necesario aplicar una vez los cambios a la configuracin para que afecten a todos los dominios. No debe crear bosques adicionales a menos que tenga necesidad evidente de hacerlo, ya que cada bosque que cree supondr una carga adicional de

administracin12. Un motivo posible para crear varios bosques es si la administracin de la red est distribuida entre varias divisiones autnomas que no estn de acuerdo en la administracin comn del esquema y los contenedores de configuracin. Otro motivo para crear un bosque independiente es asegurarse de que a determinados usuarios nunca se les conceder acceso a ciertos recursos (en un bosque nico, todos los usuarios pueden incluirse en cualquier grupo o pueden aparecer en una lista de control de acceso discrecional, o DACL13, en cualquier equipo del bosque). Con bosques independientes, es posible definir relaciones de confianza explcita para conceder a los usuarios de un bosque acceso a determinados recursos del otro bosque. (Para ver un ejemplo de dos bosques, consulte la figura 7 en la seccin "Ejemplo: entorno mixto de dos bosques y una extranet".) Varios rboles de dominio dentro de un nico bosque no constituyen un espacio de nombres contiguos; es decir, tienen nombres de dominio DNS que no son contiguos. Aunque los rboles de un bosque no comparten un espacio de nombres, un bosque tiene un nico dominio raz, denominado dominio raz

del bosque. El dominio raz del bosque es, por definicin, el primer dominio
creado en el bosque. Los dos grupos predefinidos para todo el bosque, Administradores de empresa y Administradores del esquema, residen en este dominio. Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de los tres rboles de dominios (RRHH-Raz.com, RazEuropa.com y RazAsia.com) tiene un dominio secundario para Contabilidad denominado "Contab", los nombres DNS de estos dominios secundarios son Contab.OfC-Raz.com, Contab.RazEuropa.com y Contab.RazAsia.com, respectivamente. No hay ningn espacio de nombres compartido. Figura 4. Un bosque con tres rboles de dominios. Los tres dominios raz no son contiguos, pero RazEuropa.com y RazAsia.com son dominios secundarios de OfC-Raz.com. El dominio raz de cada rbol de dominios del bosque establece una relacin de confianza transitiva (que se explica con ms detalle en la prxima seccin) con el dominio raz del bosque. En la figura 4, OfC-Raz.com es el dominio raz del bosque. Los dominios raz de los dems rboles de dominios,

RazEuropa.com y RazAsia.com, tienen relaciones de confianza transitiva con OfC-Raz.com, que establece la confianza entre todos los rboles de dominios del bosque. Todos los dominios de Windows 2000 en todos los rboles de dominios de un bosque tienen las siguientes caractersticas:

Tienen relaciones de confianza transitiva entre los dominios de cada rbol. Tienen relaciones de confianza transitiva entre los rboles de dominios de un bosque. Comparten informacin de configuracin comn. Comparten un esquema comn. Comparten un catlogo global comn.

Importante Es fcil agregar nuevos dominios a un bosque. Sin embargo, no puede mover dominios existentes de Active Directory de Windows 2000 de un bosque a otro. Slo puede quitar un dominio del bosque si no tiene dominios secundarios. Despus de establecer un dominio raz del rbol no puede agregar un dominio con un nombre nivel superior al bosque. No puede crear un dominio principal de uno ya existente; slo puede crear uno secundario. La implementacin de rboles de dominios y de bosques permite utilizar convenciones de nomenclatura tanto contiguas como no contiguas. Esta flexibilidad puede resultar til, por ejemplo, en organizaciones con divisiones independientes cada una de las cuales desee mantener su propio nombre DNS, como Microsoft.com y MSNBC.com.

Relaciones de confianza
Una relacin de confianza es una relacin que se establece entre dos dominios y permite que un controlador del otro dominio reconozca los usuarios de un dominio. Las confianzas permiten que los usuarios tengan acceso a los recursos del otro dominio y tambin permite que los administradores controlen los derechos de los usuarios del otro dominio. Para los equipos que ejecutan Windows 2000, la autenticacin de cuentas entre dominios se habilita mediante relaciones de confianza transitivas bidireccionales. Todas las confianzas de dominio en un bosque basado en Windows 2000 son bidireccionales y transitivas, definidas de la siguiente forma:

Bidireccional. Cuando crea un nuevo dominio secundario, ste confa automticamente en el dominio principal y viceversa. En la prctica, esto significa que las solicitudes de autenticacin pueden pasarse entre los dos dominios en ambas direcciones. Transitiva. Una confianza transitiva va ms all de los dos dominios de la relacin de confianza inicial. Funciona del siguiente modo: Si el dominio A y el dominio B (principal y secundario) confan el uno en el otro y si el dominio B y el dominio C (tambin principal y secundario) confan el uno en el otro, entonces el dominio A y el dominio C confan entre s (implcitamente), incluso aunque no exista una relacin de confianza directa entre ellos. En el nivel del bosque, se crea automticamente una relacin de confianza entre el dominio raz del bosque y el dominio raz de cada rbol de dominios agregado al bosque, con lo que existe una confianza completa entre todos los dominios de un bosque de Active Directory. En la prctica, como las relaciones de confianza son transitivas, un proceso de inicio de sesin nico permite que el sistema autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este proceso de inicio de sesin nico permite que la cuenta tenga acceso a los recursos de cualquier dominio del bosque.

Sin embargo, tenga en cuenta que el inicio de sesin nico habilitado mediante confianzas no implica necesariamente que el usuario autenticado tenga derechos y permisos en todos los dominios del bosque. Adems de las confianzas bidireccionales transitivas en todo el bosque generadas automticamente en el sistema operativo Windows 2000, puede crear explcitamente los dos tipos siguientes de relaciones de confianza adicionales: No hay una conexin necesaria entre espacios de nombres de sitios y dominios.

No hay una correlacin necesaria entre la estructura fsica de la red y su estructura de dominios. Sin embargo, en muchas organizaciones los dominios se configuran para reflejar la estructura fsica de la red. Esto se debe a que los dominios son particiones y este hecho influye en la replicacin: al dividir el bosque en varios dominios ms pequeos se puede reducir el trfico de replicacin. Active Directory permite que aparezcan varios dominios en un nico sitio y que un nico dominio aparezca en varios sitios.

Cmo utiliza Active Directory la informacin de sitios


La informacin de sitios se especifica mediante Sitios y servicios de Active Directory; a continuacin, Active Directory usa esta informacin para determinar

cmo utilizar mejor los recursos de red disponibles. Usar sitios hace que los siguientes tipos de operaciones sean ms eficaces:

Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio de un controlador de dominio, ste dirige la solicitud a un controlador del mismo sitio, si hay alguno disponible. Seleccionar un controlador de dominio que est bien conectado al cliente que realiz la solicitud hace que el tratamiento de la solicitud sea ms eficaz. Por ejemplo, cuando un cliente inicia la sesin mediante una cuenta de dominio, el mecanismo de inicio de sesin busca primero controladores de dominio que se encuentren en el mismo sitio que el cliente. Si se intenta usar primero los controladores de dominio en el sitio del cliente se delimita el trfico de red, con lo que se aumenta la eficacia del proceso de autenticacin. Replicar datos del directorio. Los sitios permiten la replicacin de los datos del directorio tanto dentro como entre sitios. Active Directory replica la informacin dentro de un sitio con ms frecuencia que entre sitios, lo que significa que los controladores de dominio mejor conectados, aqullos que con ms probabilidad de necesitan determinada informacin de directorio, reciben las rplicas en primer lugar. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menos frecuencia, con lo que se reduce el consumo del ancho de banda de la red. Replicar datos de Active Directory entre controladores de dominio proporciona disponibilidad de la informacin, tolerancia a errores, equilibrio de la carga y ventajas de rendimiento. (Para obtener una explicacin de cmo implementa la replicacin el sistema operativo Windows 2000, consulte la subseccin "Replicacin de mltiples maestros", al final de esta seccin acerca de los sitios.)

Controladores de dominio, catlogos globales y datos replicados


La informacin almacenada en Active Directory en cada controlador de dominio (independientemente de si se trata de un servidor de catlogo global o no) se divide en tres categoras: datos de dominio, esquema y configuracin. Cada una de estas categoras es una particin independiente del directorio, denominada tambin un contexto de nombres. Estas particiones del directorio son las unidades de replicacin. Las tres particiones del directorio que cada servidor de Active Directory contiene se definen a continuacin:

Particin del directorio con datos de dominios. Contiene todos los objetos del directorio para este dominio. Los datos de cada dominio se replican a todos los controladores de dicho dominio, pero no salen de l. Particin del directorio con datos del esquema. Contiene todos los tipos de objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son comunes a todos los dominios del rbol de dominios o del bosque. Los datos del esquema se replican en todos los controladores de dominio del bosque.

Particin del directorio con datos de configuracin. Contiene la topologa de replicacin y los metadatos relacionados. Las aplicaciones compatibles con Active Directory almacenan la informacin en la particin del directorio de configuracin. Estos datos son comunes a todos los dominios del rbol de dominios o del bosque. Los datos de configuracin se replican en todos los controladores de dominio del bosque.

Si el controlador de dominio es un servidor de catlogo global, tambin contiene una cuarta categora de informacin:

Rplica parcial de la particin del directorio con datos de dominios para todos los dominios. Adems de almacenar y replicar un conjunto completo de todos los objetos del directorio para su propio dominio host, un servidor de catlogo global almacena y replica una rplica parcial de la particin del directorio de dominios para todos los dems dominios del bosque. Esta rplica parcial, por definicin, contiene un subconjunto de las propiedades para todos los objetos de todos los dominios del bosque. (Una rplica parcial es de slo lectura, mientras que una rplica completa es de lectura y escritura.) Si un dominio contiene un catlogo global, otros controladores de dominio replican todos los objetos de dicho dominio (con un subconjunto de sus propiedades) en el catlogo global y, despus, la replicacin de rplicas parciales se efecta entre catlogos globales. Si un dominio no tiene catlogo global, un controlador de dominio normal sirve de origen de la rplica parcial. De forma predeterminada, el conjunto parcial de atributos almacenados en el catlogo global incluye los atributos que se utilizan con ms frecuencia en las operaciones de bsqueda, ya que una de las funciones principales del catlogo global es ofrecer soporte a los clientes que consultan el directorio. El uso de catlogos globales para realizar la replicacin parcial de dominios en lugar de efectuar la replicacin completa reduce el trfico de WAN.

Replicacin dentro de un sitio


Si la red consta de una nica red de rea local (LAN) o un conjunto de LAN conectadas mediante una red troncal de alta velocidad, toda la red puede ser un nico sitio. El primer controlador de dominio que instala crea automticamente el primer sitio, denominado

NombrePredeterminadoPrimerSitio. Despus de instalar el primer controlador


de dominio, todos los controladores adicionales se agregan automticamente al mismo sitio que el controlador de dominio original. (Ms adelante, si lo desea, puede moverlos a otros sitios.) La nica excepcin es la siguiente: Si en el momento de instalar un controlador de dominio su direccin IP est dentro de la subred especificada anteriormente en un sitio alternativo, el controlador de dominio se agregar a este sitio. La informacin de directorio dentro de un sitio se replica con frecuencia y automticamente. La replicacin dentro del sitio est optimizada para reducir al mnimo la latencia, es decir, para mantener los datos lo ms actualizados posible. Las actualizaciones de directorio dentro del sitio no se comprimen. Los intercambios sin comprimir utilizan ms recursos de red pero requieren menos capacidad de procesamiento de los controladores de dominio. En la figura 9 se ilustra la replicacin dentro de un sitio. Tres controladores de dominio (uno de los cuales es un catlogo global) replican los datos de esquema y de configuracin del bosque, as como todos los objetos del directorio (con un conjunto completo de los atributos de cada objeto).

Figura 9. Replicacin dentro del sitio con un nico dominio El servicio Comprobador de coherencia de rplica (KCC) de Active Directory genera automticamente la configuracin que forman las conexiones utilizadas

para replicar la informacin de directorio entre los controladores de dominio, denominada topologa de replicacin. La topologa de sitios de Active Directory es una representacin lgica de una red fsica y se define para cada bosque. Active Directory intenta establecer una topologa que permita al menos dos conexiones a cada controlador de dominio, de modo que si un controlador no est disponible, la informacin del directorio pueda seguir llegando a todos los controladores de dominio conectados a travs de la otra conexin. Active Directory evala y ajusta automticamente la topologa de replicacin para adaptarse al estado cambiante de la red. Por ejemplo, cuando se agrega un controlador de dominio a un sitio, la topologa de replicacin se ajusta para incorporar esta adicin de una forma eficaz. Los clientes y servidores de Active Directory usan la topologa de sitios del bosque para enrutar el trfico de consultas y replicacin de forma eficaz. Si ampla la distribucin desde el primer controlador de dominio en un dominio a varios controladores en varios dominios (dentro de un nico sitio), la informacin de directorio que se replica cambia para incluir la replicacin de la rplica parcial entre los catlogos globales en dominios diferentes. En la figura 10 se muestran dos dominios, cada uno de los cuales contiene tres controladores de dominio. Uno de los controladores de cada sitio tambin es un servidor de catlogo global. Dentro de cada dominio, los controladores de dominio replican los datos de esquema y de configuracin del bosque, as como todos los objetos del directorio (con un conjunto completo de los atributos de cada objeto), tal como se muestra en la figura 9. Adems, cada catlogo global replica los objetos del directorio (slo con un subconjunto de sus atributos) de su propio dominio al otro catlogo global. Figura 10. Replicacin dentro del sitio con dos dominios y dos catlogos globales

Replicacin entre sitios


Cree varios sitios para optimizar el trfico de servidor a servidor y de cliente a servidor a travs de vnculos WAN. En el sistema operativo Windows 2000, la replicacin entre sitios reduce automticamente el consumo de ancho de banda entre sitios.

Se recomienda tener en cuenta lo siguiente al configurar varios sitios:

Geografa. Establezca como un sitio cada rea geogrfica que requiera acceso rpido a la informacin de directorio ms reciente. Al establecer como sitios independientes reas que requieren acceso inmediato a la informacin actualizada de Active Directory se proporcionan los recursos necesarios para satisfacer las necesidades de los usuarios. Controladores de dominio y catlogos globales. Coloque al menos un controlador de dominio en cada sitio y convierta al menos un controlador de dominio de cada sitio en un catlogo global. Los sitios que no tienen sus propios controladores de dominio y al menos un catlogo global dependen de otros sitos para obtener la informacin del directorio y son menos eficaces.

Cmo se conectan los sitios Las conexiones de red entre los sitios se representan mediante vnculos a

sitios. Un vnculo a sitios es una conexin de ancho de banda bajo o no


confiable entre dos o varios sitios. Una WAN que conecta dos redes rpidas es un ejemplo de un vnculo a sitios. En general, se considera que dos redes cualesquiera unidas por un vnculo que es ms lento que una red de rea local estn conectadas por un vnculo a sitios. Adems, un vnculo rpido que est casi al lmite de su capacidad tiene poco ancho de banda eficaz y se considera tambin un vnculo a sitios. Cuando hay varios sitios, los que estn conectados mediante vnculos a sitios forman parte de la topologa de replicacin. En una red basada en Windows 2000, los vnculos a sitios no se generan automticamente; debe crearlos mediante Sitios y servicios de Active Directory. Al crear los vnculos a sitios y configurar su disponibilidad de replicacin, costo relativo y frecuencia de replicacin, se proporciona informacin a Active Directory acerca de qu objetos de conexin debe crear para replicar los datos de directorio. Active Directory utiliza vnculos a sitios como indicadores de que debe crear objetos de conexin y stos utilizan las conexiones de red reales para intercambiar informacin de directorio. Un vnculo a sitios tiene una programacin asociada que indica a qu horas del da est disponible el vnculo para llevar trfico de replicacin. De forma predeterminada, los vnculos a sitios son transitivos, lo que significa que un controlador de dominio de un sitio puede efectuar conexiones de replicacin con los controladores de dominio de cualquier otro sitio. Es decir, si

el sitio A est conectado al sitio B y ste lo est al sitio C, los controladores de dominio del sitio A pueden comunicarse con los controladores del sitio C. Cuando cree un sitio, quizs desee crear vnculos adicionales para habilitar conexiones especficas entre sitios y personalizar los vnculos existentes que conectan los sitios. En la figura 11 se muestran dos sitios conectados mediante un vnculo a sitios. De los seis controladores de dominio de la ilustracin, dos son servidores cabeza de puente (el sistema asigna automticamente esta funcin). Figura 11. Dos sitios conectados mediante un vnculo a sitios. El servidor cabeza de puente preferido de cada sitio se utiliza principalmente para el intercambio de informacin entre sitios. Los servidores cabeza de puente son los preferidos para la replicacin, pero tambin puede configurar los dems controladores de dominio del sitio para replicar los cambios del directorio entre sitios. Una vez replicadas las actualizaciones de un sitio al servidor cabeza de puente del otro sitio, stas se replican a otros controladores de dominio del mismo sitio mediante la replicacin dentro del sitio. Aunque un nico controlador de dominio recibe la actualizacin inicial de directorio entre sitios, todos los controladores de dominio atienden las solicitudes de los clientes.

Protocolos de replicacin
La informacin de directorio puede intercambiarse mediante los siguientes protocolos de red:

Replicacin IP. La replicacin IP utiliza llamadas a procedimiento remoto (RPC) para la replicacin dentro de un sitio y a travs de vnculos a sitios (entre sitios). De forma predeterminada, la replicacin IP entre sitios se ajusta a las programaciones de replicacin. La replicacin IP no requiere una entidad emisora de certificados (CA). Replicacin SMTP. Si tiene un sitio que no dispone de conexin fsica con el resto de la red pero al que se puede llegar a travs del Protocolo simple de transferencia de correo (SMTP), dicho sitio slo tiene conectividad basada en correo. La replicacin SMTP slo se utiliza para la replicacin entre sitios. No puede utilizar la replicacin SMTP para replicar entre controladores de dominio del mismo dominio; slo se admite la replicacin entre dominios a travs de SMTP (es decir, SMTP slo puede utilizarse para la replicacin entre sitios y entre dominios). La replicacin SMTP slo puede utilizarse para la replicacin de rplicas parciales del esquema, la configuracin y el catlogo global. La

replicacin SMTP tiene en cuenta la programacin de replicacin generada automticamente. Si decide utilizar SMTP a travs de vnculos a sitios, debe instalar y configurar una entidad emisora de certificados (CA) de empresa. Los controladores de dominio obtienen certificados de la entidad emisora y los utilizan para firmar y cifrar los mensajes de correo que contienen la informacin de replicacin de directorio, con lo que se asegura la autenticidad de las actualizaciones. La replicacin SMTP usa cifrado de 56 bits.

Replicacin de mltiples maestros


Los controladores de dominio de Active Directory admiten la replicacin de mltiples maestros, con lo que se sincronizan los datos en cada controlador y se asegura la coherencia de la informacin con el paso del tiempo. La replicacin de mltiples maestros replica la informacin de Active Directory entre controladores de dominio homlogos, cada uno de los cuales contiene una copia de lectura y escritura del directorio. Esto representa un cambio con relacin al sistema operativo Windows NT Server, en el que slo el PDC tena una copia de lectura y escritura del directorio (los BDC reciban copias de slo lectura del PDC). Una vez configurada, la replicacin es automtica y transparente. Propagacin de actualizaciones y nmeros de secuencia de actualizacin Algunos servicios de directorio utilizan marcas temporales para detectar y propagar los cambios. En estos sistemas es esencial mantener sincronizados los relojes de todos los servidores de directorio. La sincronizacin temporal de una red es muy difcil. Incluso con una sincronizacin temporal de la red excelente, es posible que la hora de un servidor de directorio dado sea incorrecta. Esto puede dar como resultado la prdida de actualizaciones. El sistema de replicacin de Active Directory no depende de la hora para propagar las actualizaciones. En su lugar, utiliza Nmeros de secuencia de actualizacin (USN). Un USN es un nmero de 64 bits que mantiene cada

controlador de dominio de Active Directory para realizar un seguimiento de las actualizaciones. Cuando el servidor escribe en un atributo o en una propiedad de un objeto de Active Directory (incluida la modificacin de origen o una modificacin replicada), se incrementa el USN y se almacena con la propiedad actualizada y con una propiedad que es especfica del controlador de dominio. Esta operacin se realiza de manera atmica; es decir, el incremento y almacenamiento del USN y la escritura del valor de la propiedad se realizan correctamente o fracasan como una unidad. Cada servidor de Active Directory tambin mantiene una tabla de los USN recibidos de los asociados de replicacin. En esta tabla se almacena el mayor USN recibido de cada asociado. Cuando un asociado dado notifica al servidor de directorio que es necesario hacer una replicacin, ese servidor pide todos los cambios cuyos USN sean mayores que el ltimo valor recibido. Este enfoque simple no depende de la precisin de las marcas de tiempo. Puesto que el USN almacenado en la tabla se actualiza de forma atmica con cada actualizacin recibida, si se produce un error en un servidor tambin es sencillo recuperarlo. Para reiniciar la replicacin, un servidor nicamente debe pedir a sus asociados todos los cambios cuyos USN sean mayores que la ltima entrada vlida de la tabla. Como la tabla se actualiza de forma atmica a medida que se aplican los cambios, un ciclo de replicacin interrumpido siempre se reiniciar exactamente donde se detuvo, sin que haya prdida ni duplicacin de actualizaciones. Deteccin de colisiones y nmeros de versin de propiedad En un sistema de replicacin de mltiples maestros como Active Directory, es posible que dos o ms rplicas diferentes actualicen la misma propiedad. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) rplica antes de que se haya propagado totalmente un cambio de la primera rplica, se produce una colisin de replicacin. Las colisiones se detectan mediante los nmeros de versin de propiedad. A diferencia de los USN, que son valores especficos del servidor, los nmeros de versin de propiedad son especficos de la propiedad de un objeto de Active Directory. Cuando se

escribe por primera vez una propiedad en un objeto de Active Directory, se inicializa su nmero de versin. Las modificaciones de origen incrementan el nmero de versin de propiedad. Las modificaciones de origen son modificaciones de una propiedad del sistema que producen un cambio. Las modificaciones de propiedades producidas por una replicacin no son modificaciones de origen y no incrementan el nmero de versin. Por ejemplo, cuando un usuario actualiza su clave de acceso se produce una modificacin de origen y se incrementa el nmero de versin de propiedad de la clave de acceso. Replicar la modificacin de la clave de acceso en otros servidores no hace que se incremente el nmero de versin de propiedad. Se detecta una colisin cuando se recibe un cambio a travs de una replicacin cuyo nmero de versin de propiedad es igual al nmero de versin de propiedad almacenado localmente, y los valores recibido y almacenado son diferentes. Cuando esto ocurre, el sistema receptor aplicar la actualizacin que tenga la marca de tiempo posterior. Esta es la nica situacin en la que se utiliza la hora en la replicacin. Cuando el nmero de versin de propiedad recibido es inferior al almacenado localmente, se considera que la actualizacin est anticuada y se descarta. Cuando el nmero de versin de propiedad recibido es superior al almacenado localmente, se acepta la actualizacin. Disminucin de la propagacin El sistema de replicacin de Active Directory permite realizar bucles en la topologa de replicacin. Esto permite al administrador configurar una topologa de replicacin con mltiples rutas entre los servidores para conseguir un mejor rendimiento y disponibilidad. El sistema de replicacin de Active Directory se encarga de disminuir la propagacin para evitar que los cambios se propaguen indefinidamente y para eliminar la transmisin redundante de cambios a rplicas que ya estn actualizadas. El sistema de replicacin de Active Directory utiliza vectores de actualizacin para disminuir la propagacin. El vector de actualizacin es una lista de pares de servidor y USN que cada servidor mantiene. El vector de actualizacin de

cada servidor indica el mayor USN de las modificaciones de origen recibidas de los servidores en el par servidorUSN. Un vector de actualizacin para un servidor de un sitio determinado enumera todos los dems servidores de ese sitio15. Cuando se inicia un ciclo de replicacin, el servidor solicitante enva su vector de actualizacin al servidor remitente. El servidor remitente utiliza el vector de actualizacin para filtrar los cambios enviados al servidor solicitante. Si el mayor USN de una modificacin de origen dada es mayor o igual al USN de una modificacin de origen para una actualizacin determinada, el servidor remitente no necesita enviar el cambio; el servidor solicitante ya est actualizado con respecto al de origen.

Usar delegacin y Poltica de grupo con unidades organizativas, dominios y sitios


Puede delegar los permisos administrativos y asociar Poltica de grupo con los siguientes contenedores de Active Directory:

Unidades organizativas Dominios Sitios

Una unidad organizativa es el menor contenedor de Windows 2000 al que puede delegar autoridad o aplicar Poltica de grupo16. Tanto la delegacin como Poltica de grupo son caractersticas de seguridad del sistema operativo Windows 2000. En este documento se describen brevemente en el contexto limitado de la arquitectura para mostrar que la estructura de Active Directory determina la forma de usar la delegacin de contenedores y Poltica de grupo. Asignar la autoridad administrativa sobre unidades organizativas, dominios o sitios permite delegar la administracin de usuarios y recursos. Asignar objetos de poltica de grupo (GPO) a cualquiera de estos tres tipos de contenedores permite definir configuraciones de escritorio y polticas de seguridad para los usuarios y los equipos del contenedor. En las dos subsecciones siguientes se describen estos temas con ms detalle.

Delegacin de contenedores
En el sistema operativo Windows 2000, la delegacin permite que una autoridad administrativa superior conceda derechos administrativos especficos a unidades organizativas, dominios o sitios a grupos (o usuarios). De esta forma se reduce considerablemente el nmero de administradores necesarios con la autoridad buscada en grandes segmentos de usuarios. Delegar el control de un contenedor permite especificar quin dispone de permisos para tener acceso o modificar dicho objeto o sus objetos secundarios. La delegacin es una de las caractersticas de seguridad ms importantes de Active Directory. Delegacin de dominios y unidades organizativas En el sistema operativo Windows NT 4.0, los administradores a veces delegan la administracin mediante la creacin de varios dominios con el fin de tener conjuntos distintos de administradores de dominio. En el sistema operativo Windows 2000, las unidades organizativas son ms sencillas de crear, eliminar, mover y modificar que los dominios y, por tanto, son ms adecuadas para la funcin de delegacin. Para delegar la autoridad administrativa (distinta de la autoridad sobre sitios, que se trata ms adelante), se concede a un grupo derechos especficos sobre un dominio o unidad organizativa mediante la modificacin de la lista de control de acceso discrecional (DACL)17 del contenedor. De forma predeterminada, los miembros del grupo de seguridad Administradores del dominio tienen autoridad sobre todo el dominio, pero puede restringir la pertenencia a este grupo a un nmero limitado de administradores de confianza. Para establecer administradores con menor mbito, puede delegar la autoridad al nivel ms bajo de la organizacin; para ello, cree un rbol de unidades organizativas dentro de cada dominio y delegue la autoridad a partes del subrbol de unidades organizativas. Los administradores de dominio tienen un control total sobre cada objeto de su dominio. Sin embargo, no tienen derechos administrativos sobre los objetos de otros dominios18.

Para delegar la administracin de un dominio o una unidad organizativa se utiliza el Asistente para delegacin de control, que est disponible en el complemento Usuarios y equipos de Active Directory. Haga clic con el botn secundario del mouse (ratn) en el dominio o en la unidad organizativa, seleccione Delegar control, agregue los grupos (o usuarios) a los que desee delegar el control y, a continuacin, delegue las tareas comunes enumeradas o cree una tarea personalizada para delegar. En la tabla siguiente se enumeran las tareas comunes que puede delegar. Tareas comunes de dominio que puede delegar Tareas comunes de unidades organizativas que puede delegar Crear, eliminar y administrar cuentas de usuario Restablecer claves de acceso de cuentas de usuario Leer toda la informacin de usuario Crear, eliminar y administrar grupos Modificar la pertenencia a un grupo Administrar impresoras Crear y eliminar impresoras Administrar vnculos de Poltica de grupo

Unir un equipo a un dominio Administrar vnculos de Poltica de grupo

Mediante una combinacin de unidades organizativas, grupos y permisos, es posible definir el mbito administrativo ms apropiado para un grupo determinado: un dominio entero, un subrbol de unidades organizativas o una nica unidad organizativa. Por ejemplo, puede crear una unidad organizativa que le permita conceder control administrativo para todas las cuentas de usuarios y equipos en todas las divisiones de un departamento, como el departamento de contabilidad. Por otra parte, puede conceder control administrativo slo a algunos recursos dentro del departamento, como las cuentas de equipo. Un tercer ejemplo es conceder control administrativo a la unidad organizativa de contabilidad, pero no a ninguna unidad organizativa contenida dentro de ella. Puesto que las unidades organizativas se utilizan para la delegacin administrativa y no son principales de seguridad por s mismas, la unidad organizativa principal de un objeto de usuario indica quin administra el objeto de usuario. No indica a qu recursos puede tener acceso dicho usuario. Delegacin de sitios

Sitios y servicios de Active Directory se utiliza para delegar el control de sitios, contenedores de servidor, transportes entre sitios (IP o SMTP) o subredes. Delegar el control de una de estas entidades ofrece al administrador delegado la capacidad de manipular dicha entidad, pero no de administrar los usuarios o los equipos que se encuentran en ella. Por ejemplo, cuando delega el control de un sitio puede elegir entre delegar el control de todos los objetos o delegar el control de uno o varios objetos que se encuentran en dicho sitio. Los objetos para los que puede delegar el control son: usuarios, equipos, grupos, impresoras, unidades organizativas, carpetas compartidas, sitios, vnculos a sitios, puentes de vnculos a sitios, etc. A continuacin, se le pedir que seleccione el mbito de los permisos que desea delegar (general, especfico de propiedades o simplemente la creacin o eliminacin de determinados objetos secundarios). Si especifica general, se le pedir que conceda uno o varios de los permisos siguientes: Control total, Lectura, Escritura, Crear todos los objeto secundarios, Eliminar todos los objetos secundarios, Leer todas las propiedades o Escribir todas las propiedades.

Poltica de grupo
En Windows NT 4.0 se utiliza el Editor de polticas del sistema para definir las configuraciones de usuarios, grupos y equipos almacenadas en la base de datos del Registro de Windows NT. En el sistema operativo Windows 2000, Poltica de grupo define ms componentes en el entorno del usuario que los administradores pueden controlar. Estos componentes incluyen opciones para las polticas basadas en el Registro, opciones de seguridad, opciones de distribucin de software, secuencias de comandos (para iniciar y apagar el equipo, y para el inicio y cierre de sesin de usuarios) y la redireccin de carpetas especiales19. El sistema aplica los valores de configuracin de Poltica de grupo a los equipos durante el inicio o a los usuarios cuando inician la sesin. Los valores de Poltica de grupo se aplican a los usuarios o equipos en sitios, dominios y unidades organizativas mediante la vinculacin del GPO al contenedor de Active Directory donde residen los usuarios o los equipos.

De forma predeterminada, Poltica de grupo afecta a todos los usuarios y equipos del contenedor vinculado. La pertenencia a grupos de seguridad se utiliza para filtrar los GPO que afectan a los usuarios y equipos de una unidad organizativa, un dominio o un sitio. Esto permite aplicar la poltica en un nivel ms granular; es decir, el uso de grupos de seguridad permite aplicar la poltica a grupos especficos de objetos de un contenedor. Para filtrar la poltica de grupo de esta forma se utiliza la ficha Seguridad en la pgina Propiedades de un GPO para controlar quin puede leerlo. A los usuarios que no tengan Aplicar poltica de grupo y Leer establecidos a Permitir como miembros de un grupo de seguridad no se les aplicar dicho GPO. Sin embargo, puesto que los usuarios normales tienen estos permisos de forma predeterminada, Poltica de grupo afecta a todos los usuarios y equipos del contenedor vinculado a menos que cambie estos permisos explcitamente. La ubicacin de un grupo de seguridad en Active Directory no tiene importancia para Poltica de grupo. Para el contenedor especfico al que se aplica el GPO, los valores del GPO determinan lo siguiente:

Qu recursos del dominio (como las aplicaciones) estn disponibles para los usuarios. Cmo est configurado el uso de estos recursos del dominio.

Por ejemplo, un GPO puede determinar qu aplicaciones tienen disponibles los usuarios en su equipo cuando inician la sesin, cuntos usuarios pueden conectarse a Microsoft SQL Server cuando se inicie en un servidor o a qu servicios tienen acceso los usuarios cuando se mueven a otros departamentos o grupos. Poltica de grupo permite administrar un nmero pequeo de GPO en lugar de un gran nmero de usuarios y equipos. Los sitios, los dominios y las unidades organizativas, a diferencia de los grupos de seguridad, no confieren la pertenencia. En su lugar, contienen y organizan objetos del directorio. Utilice los grupos de seguridad para conceder derechos y permisos a los usuarios y, a continuacin, utilice los tres tipos de contenedores de Active Directory para alojar los usuarios y los equipos, y para asignar valores de Poltica de grupo. Como el acceso a los recursos se concede mediante grupos de seguridad, ver que es ms eficaz utilizar grupos de seguridad para representar la estructura

organizativa de su empresa que usar dominios o unidades organizativas para reflejar la estructura de la organizacin. De forma predeterminada, los contenedores secundarios heredan los valores de la poltica que afectan a todo el dominio o que se aplican a una unidad organizativa que contiene otras unidades organizativas, a menos que el administrador especifique explcitamente que la herencia no se aplica a uno o varios contenedores secundarios. Delegar el control de Poltica de grupo Los administradores de la red (miembros del grupo Administradores de empresa o Administradores del dominio) pueden utilizar la ficha Seguridad de la pgina Propiedades del GPO para averiguar qu grupos de administradores pueden modificar los valores de la poltica en los GPO. Para ello, un administrador de la red define primero los grupos de administradores (por ejemplo, administradores de mercadotecnia) y, a continuacin, les proporciona acceso de lectura y escritura a los GPO seleccionados. Tener control total de un GPO no permite a un administrador vincularlo a un sitio, dominio o unidad organizativa. Sin embargo, los administradores de la red tambin pueden conceder esta posibilidad mediante el Asistente para delegacin de control. En el sistema operativo Windows 2000 puede delegar independientemente las tres tareas siguientes de Poltica de grupo:

Administrar los vnculos de Poltica de grupo de un sitio, un dominio o una unidad organizativa. Crear objetos de Poltica de grupo. Modificar los objetos de Poltica de grupo.

Poltica de grupo, al igual que la mayora de las dems herramientas administrativas de Windows 2000, se encuentra en las consolas de MMC. Por tanto, los derechos para crear, configurar y utilizar consolas de MMC tienen implicaciones sobre la poltica. Puede controlar estos derechos mediante Poltica de grupo en
<Nombre

de objeto de poltica de grupo>/Configuracin de

usuario/Plantillas administrativas/Componentes de Windows/Microsoft Management Console/

y sus subcarpetas. En la tabla 4 se enumeran los valores de los permisos de seguridad para un objeto de poltica de grupo. Tabla 4. Valores de permisos de seguridad para un GPO Grupos (o usuarios) Usuario autenticado Administradores de dominio Administradores de empresa Creador propietario del sistema local Permiso de seguridad Lectura con ACE Aplicar Poltica de grupo Control total sin ACE Aplicar Poltica de grupo

Nota De forma predeterminada, los administradores tambin son usuarios autenticados, lo que significa que tienen configurado el atributo Aplicar Poltica de grupo. Para obtener ms informacin acerca de Poltica de grupo, consulte la seccin "Para obtener ms informacin" al final de este documento.

Interoperabilidad
Muchas organizaciones dependen de un conjunto variado de tecnologas que deben funcionar conjuntamente. Active Directory admite una serie de estndares para garantizar la interoperabilidad del entorno Windows 2000 con otros productos de Microsoft y una amplia variedad de productos de otros proveedores. En esta seccin se describen los siguientes tipos de interoperabilidad admitidos por Active Directory:

Protocolo LDAP. Interfaces de programacin de aplicaciones. Sincronizar Active Directory con otros servicios de directorio. Funcin de contenedores virtuales y ajenos en interoperabilidad. Funcin Kerberos en interoperabilidad. Compatibilidad con el sistema operativo Windows NT.

Protocolo compacto de acceso a directorios


El Protocolo compacto de acceso a directorios (LDAP) es el estndar para el acceso a directorios. Internet Engineering Task Force (IETF) desea convertir LDAP en el estndar de Internet.

Active Directory y LDAP


LDAP es el principal protocolo de acceso a directorios que se utiliza para agregar, modificar y eliminar informacin almacenada en Active Directory, as como para consultar y recuperar datos de Active Directory. El sistema operativo Windows 2000 admite las versiones 2 y 3 de LDAP20. LDAP define cmo un cliente de directorio puede tener acceso a un servidor de directorio y cmo el cliente puede realizar operaciones y compartir datos del directorio. Es decir, los clientes de Active Directory deben utilizar LDAP para obtener o mantener la informacin en Active Directory. Active Directory utiliza LDAP para permitir la interoperabilidad con otras aplicaciones cliente compatibles con LDAP. Con el permiso adecuado, puede utilizar cualquier aplicacin cliente compatible con LDAP para examinar, consultar, agregar, modificar o eliminar informacin en Active Directory.

Interfaces de programacin de aplicaciones


Puede utilizar las siguientes interfaces de programacin de aplicaciones (API) para tener acceso a la informacin de Active Directory:

Interfaz de servicio de Active Directory (ADSI). API C de LDAP.

Estas API se describen en las dos subsecciones siguientes.

Interfaz de servicio de Active Directory


La Interfaz de servicio de Active Directory (ADSI) permite el acceso a Active Directory mediante la exposicin de objetos almacenados en el directorio como

objetos del Modelo de objetos componentes (COM). Un objeto de directorio se manipula mediante los mtodos disponibles en una o varias interfaces COM. ADSI tiene una arquitectura de proveedor que permite que COM tenga acceso a diferentes tipos de directorios para los que existe un proveedor. Actualmente, Microsoft suministra proveedores ADSI para Servicios de directorio de Novell NetWare (NDS) y NetWare 3, Windows NT, LDAP y la metabase de Servicios de Internet Information Server (IIS). (La metabase de IIS contiene los valores de configuracin de IIS.) El proveedor LDAP puede utilizarse con cualquier directorio LDAP, incluido Active Directory, Microsoft Exchange 5.5 o Netscape. Puede utilizar ADSI desde muchas herramientas, que van desde aplicaciones de Microsoft Office hasta C/C++. ADSI es extensible, con lo que puede agregar funcionalidad a un objeto ADSI para admitir propiedades y mtodos nuevos. Por ejemplo, puede agregar un mtodo al objeto de usuario que crea un buzn de Exchange para un usuario cuando se invoque el mtodo. ADSI tiene un modelo de programacin muy sencillo. Simplifica la carga de administracin de datos que es caracterstica de las interfaces que no son COM, como las API C de LDAP. Como ADSI puede utilizarse en secuencias de comandos, resulta fcil desarrollar aplicaciones Web completas. ADSI admite ActiveX Data Objects (ADO) y la base de datos de vinculacin e incrustacin de objetos (OLE DB) para realizar consultas. Los programadores y los administradores pueden agregar objetos y atributos a Active Directory mediante la creacin de secuencias de comandos basadas en ADSI (as como secuencias de comandos basadas en LDIFDE, que se describe ms adelante en este documento).

API C de LDAP
La API C de LDAP, definida en el estndar de Internet RFC 1823, es un conjunto de API de bajo nivel del lenguaje C para el protocolo LDAP. Microsoft admite las API C de LDAP en todas las plataformas Windows. Los programadores pueden escribir aplicaciones compatibles con Active Directory mediante las API C de LDAP o ADSI. Las API C de LDAP son las que suelen utilizarse para facilitar el transporte de las aplicaciones de directorio a la

plataforma Windows. Por otra parte, ADSI es un lenguaje ms eficaz y ms adecuado para los programadores que escriben cdigo de directorio en la plataforma Windows.

Sincronizar Active Directory con otros servicios de directorio


Microsoft proporciona servicios de sincronizacin de directorios que permiten sincronizar la informacin de Active Directory con Microsoft Exchange 5.5, Novell NDS y NetWare, Lotus Notes y GroupWise. Adems, las utilidades de la lnea de comandos permiten importar y exportar informacin de directorio desde otros servicios de directorio.

Active Directory y Microsoft Exchange


El sistema operativo Windows 2000 contiene un servicio denominado Active Directory Connector que ofrece sincronizacin bidireccional con Microsoft Exchange 5.5. Active Directory Connector proporciona una asignacin rica de objetos y atributos cuando sincroniza los datos entre los dos directorios. Para obtener ms informacin acerca de Active Directory Connector, consulte la seccin "Para obtener ms informacin" al final de este documento.

Active Directory y Novell NDS y NetWare


Como parte de Servicios para NetWare 5.0, Microsoft pretende distribuir un servicio de sincronizacin de directorios que efecte la sincronizacin bidireccional con Novell NDS y NetWare.

Active Directory y Lotus Notes


Como parte de Platinum, el nombre en cdigo de la prxima versin de Microsoft Exchange, Microsoft va a incluir un servicio de sincronizacin de directorios que efecte la sincronizacin bidireccional con Lotus Notes para sincronizar el correo electrnico y otros atributos comunes.

Active Directory y GroupWise


Como parte de Platinum, el nombre en cdigo de la prxima versin de Microsoft Exchange, Microsoft va a incluir un servicio de sincronizacin de directorios que efecte la sincronizacin bidireccional con GroupWise para sincronizar el correo electrnico y otros atributos comunes.

Active Directory y LDIFDE


El sistema operativo Windows 2000 proporciona la utilidad de lnea de comandos Formato de intercambio de datos LDAP (LDIFDE) para permitir la importacin y exportacin de informacin de directorio. Formato de intercambio de datos LDAP (LDIF) es un borrador de Internet que es un estndar en el que se define el formato de archivo utilizado para intercambiar informacin de directorio. La utilidad de Windows 2000 que admite importar y exportar al directorio mediante LDIF se denomina LDIFDE. LDIFDE permite exportar informacin de Active Directory en formato LDIF, de forma que se pueda importar posteriormente a otro directorio. Tambin puede utilizar LDIFDE para importar informacin desde otro directorio. Puede emplear LDIFDE para realizar operaciones por lotes, como agregar, eliminar, cambiar el nombre o modificar. Tambin puede llenar Active Directory con informacin obtenida de otros orgenes, como otros servicios de directorio. Adems, puesto que el esquema de Active Directory se almacena en el propio directorio, puede utilizar LDIFDE para realizar una copia de seguridad o ampliar el esquema. Para obtener una lista de los parmetros de LDIFDE y su funcin, consulte la Ayuda de Windows 2000. Para obtener informacin acerca de cmo utilizar LDIFDE en operaciones por lotes con Active Directory, consulte la seccin "Para obtener ms informacin" al final de este documento.

Referencias internas y externas


Un administrador puede crear un objeto de referencia cruzada que seale a un servidor de un directorio externo al bosque. Cuando un usuario busca en un subrbol que contiene este objeto de referencia cruzada, Active Directory

devuelve una referencia a dicho servidor como parte del conjunto de resultados y el cliente LDAP sigue la referencia para obtener los datos solicitados por el usuario. Dichas referencias son objetos contenedores de Active Directory que hacen referencia a un directorio externo al bosque. La diferencia estriba en que una referencia interna se refiere a un directorio externo que aparece en el espacio de nombres de Active Directory como secundario de un objeto existente de Active Directory, mientras que una referencia externa se refiere a un directorio externo que no aparece en el espacio de nombres de Active Directory como secundario. Para las referencias internas y externas, Active Directory contiene el nombre DNS de un servidor que tiene una copia del directorio externo y el nombre completo de la raz del mismo en la que empiezan las operaciones de bsqueda en el directorio externo.

Funcin Kerberos en interoperabilidad


. El sistema operativo Windows 2000 admite varias configuraciones para la interoperabilidad multiplataforma:

Clientes. Un controlador de dominio de Windows 2000 puede proporcionar autenticacin para los sistemas cliente que ejecuten implementaciones de Kerberos RFC-1510, incluidos los clientes que ejecuten un sistema operativo distinto de Windows 2000. Las cuentas de usuarios y equipos de Windows 2000 pueden utilizarse como principales de Kerberos para servicios de Unix. Clientes y servicios Unix. En un dominio de Windows 2000, los clientes y servicios Unix pueden tener cuentas de Active Directory y, por tanto, pueden obtener la autenticacin de un controlador de dominio. En este escenario, un principal de Kerberos se asigna a una cuenta de usuario o equipo de Windows 2000. Aplicaciones y sistemas operativos. Las aplicaciones cliente para Win32 y los sistemas operativos distintos de Windows 2000 que se basan en la Interfaz de programacin de aplicaciones de servicios de seguridad generales (API GSS) pueden obtener vales de sesin para los servicios dentro de un dominio de Windows 2000.

En un entorno que ya utiliza un territorio Kerberos, el sistema operativo Windows 2000 admite interoperabilidad con los servicios Kerberos:

Territorio Kerberos. Los sistemas basados en Windows 2000 Professional pueden autenticar un servidor Kerberos RFC-1510 dentro de un territorio con un inicio de sesin nico en el servidor y una cuenta local de Windows 2000 Professional. Relaciones de confianza con territorios Kerberos. Se puede establecer una relacin de confianza entre un dominio y un territorio Kerberos. Esto significa que un cliente de un territorio Kerberos puede autenticarse en un dominio de Active Directory para tener acceso a los recursos de red de dicho dominio.

Compatibilidad con el sistema operativo Windows NT


Un tipo especial de interoperabilidad consiste en mantener la compatibilidad con versiones anteriores del sistema operativo actual. De forma predeterminada, el sistema operativo Windows 2000 se instala en una configuracin de red de modo mixto. Un dominio de modo mixto es un conjunto de equipos en red que ejecutan controladores de dominio de Windows NT y Windows 2000. Puesto que Active Directory admite el modo mixto, puede actualizar los dominios y los equipos a la velocidad que desee, dependiendo de las necesidades de la organizacin. Active Directory admite el protocolo de autenticacin LAN Manager de Windows NT (NTLM) utilizado por el sistema operativo Windows NT, lo que significa que los usuarios y equipos de Windows NT autorizados pueden iniciar la sesin y tener acceso a los recursos de un dominio de Windows 2000. Para los clientes de Windows NT y los clientes de Windows 95 o 98 que no ejecuten software cliente de Active Directory, un dominio de Windows 2000 aparece como un dominio de Windows NT Server 4.0.

Resumen
Entre las muchas mejoras que ofrece el sistema operativo Windows 2000 Server, la ms importante es la presentacin del servicio de directorio Active Directory. Active Directory ayuda a centralizar y simplificar la administracin de la red y, de este modo, mejora la capacidad de la red para respaldar los objetivos de la organizacin.

Active Directory almacena informacin acerca de los objetos de la red y pone esta informacin a disposicin de los administradores, los usuarios y las aplicaciones. Se trata de un espacio de nombres integrado con el Sistema de nombres de dominio (DNS) de Internet y, al mismo tiempo, es el software que define un servidor como controlador de dominio. Los dominios, los rboles, los bosques, las relaciones de confianza, las unidades organizativas y los sitios se utilizan para estructurar la red de Active Directory y sus objetos. Puede delegar la responsabilidad administrativa de las unidades organizativas, dominios o sitios a los usuarios o grupos adecuados y puede asignar valores de configuracin a estos tres mismos contenedores de Active Directory. Esta estructura permite que los administradores controlen la red de modo que los usuarios puedan concentrarse en alcanzar sus objetivos empresariales. Actualmente, la norma es que las organizaciones dependan de tecnologas diversas que necesitan funcionar conjuntamente. Active Directory se ha creado a partir de protocolos estndar de acceso a directorios, lo cual, junto con varias API, permite que Active Directory interopere con otros servicios de directorio y una amplia variedad de aplicaciones de terceros. Adems, Active Directory puede sincronizar datos con Microsoft Exchange y proporciona utilidades de la lnea de comandos para importar y exportar datos a y desde otros servicios de directorio.

Para obtener ms informacin


Para obtener la informacin ms reciente acerca del sistema operativo Windows 2000, consulte Microsoft TechNet o el sitio Web de Microsoft Windows 2000 Server (http://www.microsoft.com/latam/windows2000/2/producto/servidor/resumen/), el foro de Windows NT Server en MSN y el servicio en lnea The Microsoft Network (GO WORD: MSNTS). Adems, puede consultar los vnculos siguientes para obtener ms informacin:

Ayuda del producto Windows 2000 (http://windows.microsoft.com/windows2000/en/server/help/): cmo obtener un Id. de objeto de esquema (OID). Kit de desarrollo de software de la plataforma Windows 2000 (http://msdn.microsoft.com/developer/sdk/Platform.asp): cmo utilizar ADSI para ampliar el esquema mediante programa.

"Notas del producto "Introduccin a Poltica de grupo de Windows 2000" (http://www.microsoft.com/windows/server/Technical/management/GroupPolicyI ntro.asp): Detalles de Poltica de grupo de Windows 2000.

Ayuda del producto Windows 2000 (http://www.microsoft.com/windows2000/en/server/help/) para Active Directory Connector: cmo sincroniza Active Directory Connector los datos entre Active Directory y Microsoft Exchange. Novedades tcnicas de Beta 3, "Importacin y exportacin masiva a Active Directory" (http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp): cmo utilizar LDIFDE para operaciones por lotes con Active Directory. Sitio Web de Internet Engineering Task Force (IETF) (http://www.ietf.org/): para obtener RFC de IETF y borradores de Internet.

La Gua de diseo de la distribucin de Microsoft Windows 2000 Server, que describe cmo planear la estructura y la distribucin de los dominios y los sitios de Windows 2000, se pondr a la venta a principios del ao 2000. Tambin se encuentra en los CD de Windows 2000 Server y Windows 2000 Advanced Server como parte de las herramientas auxiliares.

Apndice A: Herramientas
En este apndice se proporciona una breve introduccin a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.

Microsoft Management Console


En el sistema operativo Windows 2000 Server, Microsoft Management Console (MMC) proporciona interfaces coherentes para permitir que los administradores examinen las funciones de la red y utilicen las herramientas administrativas.

Los administradores utilizan la misma consola tanto si son responsables de una nica estacin de trabajo como de una red completa de equipos. MMC contiene programas denominados complementos y cada uno de ellos trata tareas especficas de administracin de la red. Cuatro de estos complementos son herramientas de Active Directory.

Complementos de Active Directory


Las herramientas administrativas de Active Directory que se incluyen con el sistema operativo Windows 2000 Server simplifican la administracin de los servicios de directorio. Puede utilizar las herramientas estndar o MMC para crear herramientas personalizadas centradas en tareas de administracin nicas. Puede combinar varias herramientas en una nica consola. Tambin puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas especficas. Los siguientes complementos de Active Directory estn disponibles en el men Herramientas administrativas de Windows 2000 Server de todos los controladores de dominio de Windows 2000:

Usuarios y equipos de Active Directory Dominios y confianza de Active Directory Sitios y servicios de Active Directory

El cuarto complemento de Active Directory es:

Esquema de Active Directory

La forma recomendada para ampliar el esquema de Active Directory es mediante programa, a travs de las Interfaces de servicio de Active Directory (ADSI) o la utilidad Formato de intercambio de datos LDAP (LDIFDE). Sin embargo, para propsitos de desarrollo y de pruebas, tambin puede ver y modificar el esquema de Active Directory con el complemento Esquema de Active Directory. Esquema de Active Directory no est disponible en el men Herramientas administrativas de Windows 2000 Server. Debe instalar las Herramientas de

administracin de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlas a una consola de MMC. Un quinto complemento, que est relacionado con las tareas de Active Directory, es:

Complemento Poltica de grupo

Configurar las polticas de grupo es una tarea relacionada con la administracin de usuarios, equipos y grupos de Active Directory. Los objetos de poltica de grupo (GPO), que contienen valores de polticas, controlan la configuracin de usuarios y equipos en sitios, dominios y unidades organizativas. Para crear o modificar GPO, utilice el complemento Poltica de grupo, al que se tiene acceso a travs de Usuarios y equipos de Active Directory o mediante Sitios y servicios de Active Directory (dependiendo de la tarea que desee realizar). Para utilizar las herramientas administrativas de Active Directory de forma remota, desde un equipo que no sea un controlador de dominio (por ejemplo, uno que ejecute Windows 2000 Professional), debe instalar las herramientas administrativas de Windows 2000.

Formas nuevas de realizar tareas conocidas


En la tabla 5 se enumeran las tareas comunes que puede realizar mediante los complementos de Active Directory y las herramientas administrativas relacionadas. Para los usuarios del sistema operativo Windows NT Server, en la tabla tambin se muestra dnde se realizan estas tareas cuando se utilizan las herramientas de administracin proporcionadas por Windows NT Server 4.0. Tabla 5. Tareas realizadas con las herramientas de Active Directory y Poltica de grupo En Windows NT En Windows 2000, utilice: 4.0, utilice: Instalar un Asistente para instalacin de Active Instalacin de controlador de Directory (al que se tiene acceso desde Windows dominio Configurar el servidor). Administrar cuentas Administrador de Usuarios y equipos de Active Directory de usuario usuarios Administrar grupos Administrador de Usuarios y equipos de Active Directory Si desea:

usuarios Administrar cuentas Administrador de de equipo servidores Agregar un equipo a Administrador de un dominio servidores Crear o administrar Administrador de relaciones de usuarios confianza Administrar Administrador de polticas de cuentas usuarios

Usuarios y equipos de Active Directory Usuarios y equipos de Active Directory Dominios y confianza de Active Directory. Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory: Modifique el objeto de poltica de Administrar Administrador de grupo para el dominio o la unidad derechos de usuario usuarios organizativa que contenga los equipos a los que se aplican los derechos de usuario. Usuarios y equipos de Active Directory: Administrar Administrador de Modifique el objeto de poltica de polticas de usuarios grupo asignado a la unidad auditora organizativa Controladores de dominio. Configurar polticas Poltica de grupo, al que se tiene Editor de polticas para usuarios y acceso a travs de Sitios y servicios de del sistema equipos de un sitio Active Directory Configurar polticas Poltica de grupo, al que se tiene para usuarios y Editor de polticas acceso a travs de Usuarios y equipos equipos de un del sistema de Active Directory dominio Configurar polticas Poltica de grupo, al que se tiene para usuarios y No aplicable acceso a travs de Usuarios y equipos equipos de un de Active Directory unidad organizativa Usar grupos de Modificar la entrada de permiso para seguridad para Aplicar Poltica de grupo en la ficha No aplicable filtrar el mbito de Seguridad de la hoja de propiedades la poltica del objeto de poltica de grupo.

Herramientas de la lnea de comandos de Active Directory


Los administradores avanzados y los especialistas de soporte tcnico de redes tambin pueden utilizar diversas herramientas de la lnea de comandos para configurar, administrar y solucionar problemas de Active Directory. Estas

herramientas se denominan herramientas auxiliares y estn disponibles en el disco compacto de Windows 2000 Server en la carpeta \SUPPORT\RESKIT. Se describen en la tabla 6. Tabla 6. Herramientas de la lnea de comandos relacionadas con Active Directory Herramienta Descripcin MoveTree Mover objetos de un dominio a otro. Configurar las listas de control de acceso para objetos que SIDWalker pertenecan anteriormente a cuentas que se han movido, han quedado hurfanas o se han eliminado. Permite realizar operaciones LDAP en Active Directory. Esta LDP herramienta tiene una interfaz grfica de usuario. Comprobar el registro dinmico de registros de recursos DNS, DNSCMD incluida la actualizacin segura de DNS, as como la anulacin del registro de los registros de recursos. Ver o modificar las listas de control de acceso de los objetos del DSACLS directorio. Administracin por lotes de confianzas, unin de equipos a NETDOM dominios, comprobacin de confianzas y canales seguros. Comprobar de un extremo a otro la red y las funciones de NETDIAG servicios distribuidos. Comprobar que el ubicador y el canal seguro estn funcionando. NLTest Comprobar la coherencia de replicacin entre asociados de replicacin, supervisar el estado de replicacin, mostrar los REPAdmin metadatos de replicacin, forzar los eventos de replicacin y actualizar el Comprobador de coherencia de rplica (KCC). Mostrar la topologa de replicacin, supervisar el estado de replicacin (incluidas las polticas de grupo), forzar los eventos REPLMon de replicacin y actualizar el Comprobador de coherencia de rplica. Esta herramienta tiene una interfaz grfica de usuario. Comparar la informacin de directorio en controladores de DSAStat dominio y detectar las diferencias. Complemento de Microsoft Management Console (MMC) que se utiliza para ver todos los objetos del directorio (incluida la ADSIEdit informacin de esquema y de configuracin), modificar objetos y configurar listas de control de acceso para los objetos. Comprobar la propagacin y la replicacin de las listas de control de acceso de los objetos especificados del directorio. Esta herramienta permite que un administrador determine si las listas SDCheck de control de acceso se heredan correctamente y si los cambios de las mismas se replican de un controlador de dominio a otro. Determinar si a un usuario se le ha concedido o denegado el acceso a un objeto del directorio. Tambin puede utilizarse para ACLDiag restablecer las listas de control de acceso a su estado predeterminado. DFSCheck Utilidad de la lnea de comandos para administrar todos los

aspectos del Sistema de archivos distribuido (Dfs), comprobar la simultaneidad de configuracin de los servidores Dfs y mostrar la topologa Dfs.

Pgina de referencia de comandos de Windows 2000


En la Ayuda de Windows 2000 encontrar una lista completa de los comandos de Windows 2000, con informacin acerca de cmo utilizar cada uno. Escriba "referencia de comandos" en la ficha ndice o en la ficha Buscar.

Interfaz de servicio de Active Directory


Puede utilizar las Interfaces de servicio de Active Directory (ADSI) para crear secuencias de comandos para diversos propsitos. El CD de Windows 2000 Server contiene varias secuencias de comandos ADSI de ejemplo. Para obtener ms informacin acerca de ADSI, consulte las secciones "Interfaz de servicio de Active Directory" y "Para obtener ms informacin". 1999 Microsoft Corporation. Reservados todos los derechos. La informacin contenida en este documento representa la visin actual de Microsoft Corporation acerca de los asuntos abordados en la fecha de su publicacin. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisin de la informacin que se presenta despus de la fecha de publicacin. Este documento se proporciona con propsito informativo nicamente. MICROSOFT NO OTORGA NINGUNA GARANTA, NI IMPLCITA NI EXPLCITA, EN ESTE DOCUMENTO. Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows y Windows NT son marcas o marcas registradas de Microsoft Corporation en EE.UU. y/o en otros pases. Los nombres de otras compaas y productos aqu mencionados pueden ser marcas comerciales de sus respectivos propietarios. Microsoft Corporation One Microsoft Way Redmond, WA 98052-6399 USA

0x99 1 En un dominio de Windows 2000 Server, un controlador de dominio es un equipo que ejecuta el sistema operativo Windows 2000 Server que administra el acceso de los usuarios a una red (esto incluye el inicio de sesin, la autenticacin y el acceso al directorio y a recursos compartidos). 2 Una zona DNS es una particin contigua del espacio de nombres DNS que contiene los registros de recursos para los dominios DNS de dicha zona. 3 LDAP es un protocolo que se utilizar para tener acceso a un servicio de directorio; consulte las secciones "Nombres relacionados con LDAP" y "Protocolo compacto de acceso a directorios". 4 Descrito en el borrador de Internet del Internet Engineering Task Force (IETF) denominado draft-ietf-dnsind-rfc2052bis-02.txt, "A DNS RR for specifying the location of services (DNS SRV)". (Los borradores de Internet son documentos de trabajo del Internet Engineering Task Force (IETF), sus reas y sus grupos de trabajo.) 5 Descrito en RFC 2136, Observations on the use of Components of the Class A Address Space within the Internet. 6 Los grupos de Windows 2000 se definen de forma diferente a Windows NT. Windows 2000 incluye dos tipos de grupos: 1, grupos de seguridad (para administrar el acceso de usuarios y equipos a recursos compartidos y para filtrar los valores de poltica de grupo) y 2, grupos de distribucin (para crear listas de distribucin de correo electrnico). Windows 2000 tambin incluye tres

mbitos de grupo: 1, grupos con mbito local de dominio (para definir y


administrar el acceso a los recursos dentro de un nico dominio); 2, grupos con mbito global (para administrar objetos de directorio que precisan mantenimiento diario, como las cuentas de usuario y equipo; el mbito global se utiliza para agrupar cuentas dentro de un dominio); y 3, grupos con mbito universal (para consolidar grupos que abarcan dominios; puede agregar cuentas de usuario a grupos con mbito global y, a continuacin, anidar estos grupos dentro de grupos que tengan mbito universal). (Para obtener ms informacin acerca de los grupos de Windows 2000, incluido el nuevo tipo de grupo universal, consulte la seccin "Para obtener ms informacin" al final de este documento.)

7 Para poder obtener el logotipo Certificado para Windows, VeriTest debe probar la aplicacin con el fin de comprobar que cumpla la Especificacin de aplicaciones para Windows 2000. Puede elegir cualquier combinacin de plataformas, siempre y cuando se incluya al menos un sistema operativo Windows 2000. Las aplicaciones pueden llevar el logotipo "Certificado para Microsoft Windows" una vez hayan superado las pruebas de conformidad y se haya establecido un contrato de licencia de logotipo con Microsoft. El logotipo que se obtiene indica las versiones de Windows para las que est certificado el producto. Consulte 8 Active Directory admite LDAP v2 y LDAP v3, que reconocen las convenciones de nomenclatura de RFC 1779 y RFC 2247. 9 Si no se ha agregado ningn UPN, los usuarios pueden iniciar la sesin explcitamente si proporcionan su nombre de usuario y el nombre DNS del dominio raz. 10 Las polticas de grupo que controlan los valores predeterminados de las impresoras de publicacin son Publicar automticamente impresoras nuevas en Active Directory y Permitir que se publiquen impresoras (esta ltima controla si se pueden publicar o no las impresoras de ese equipo). 11 En comparacin con versiones anteriores de Windows NT Server, la base de datos de SAM tena un lmite de unos 40000 objetos por dominio. 12 Para obtener una descripcin de esta sobrecarga adicional, consulte la "Gua de diseo de la distribucin de Windows 2000 Server", que describe cmo planear la estructura y la distribucin de dominios y sitios de Windows 2000, en la seccin "Para obtener ms informacin" al final de este documento. 13 Una DACL concede o deniega permisos para un objeto a determinados usuarios o grupos. 14 Para obtener ms informacin acerca de la interoperabilidad con territorios Kerberos, consulte la seccin "Funcin Kerberos en interoperabilidad". 15 Los vectores de actualizacin no son especficos del sitio. Un vector de actualizacin contiene una entrada por cada servidor en el que se puede escribir en la particin del directorio (contexto de nombres). 16 Adems de delegar la autoridad en contenedores, puede conceder permisos (como lectura y escritura) hasta el nivel de atributo de un objeto.

17 Las entradas de control de acceso (ACE) de la DACL de un objeto determinan quin tiene acceso a dicho objeto y qu tipo de acceso tiene. Cuando se crea un objeto en el directorio, se le aplica una DACL predeterminada (definida en el esquema). 18 De forma predeterminada, al grupo Administradores de empresa se concede Control total sobre todos los objetos de un bosque. 19 La extensin Redireccin de carpetas se utiliza para redirigir cualquier carpeta especial de un perfil de usuario a una ubicacin alternativa (por ejemplo, un recurso compartido de red): Datos de programa, Escritorio, Mis documentos (y/o Mis imgenes), Men Inicio. 20 LDAP versin 2 se describe en RFC 1777; LDAP versin 3 se describe en RFC 2251.