active directory
TRANSCRIPT
Conceptos bsicos Resumen Tcnico de Active Directory Windows 2000 Sistema Operativo de Servidor Documentos Estratgicos Resumen Introduccin Este documento proporciona una introduccin tcnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectnicos y caractersticas. La seccin Conceptos Importantes describe los trminos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran ms en detalle sobre lo que realiza el Active Directory, qu caractersticas trae a Windows y como est implementado. La seccin Migracin cubre modelos de dominio de migracin y estructuras de directorio de Windows NT 4.0 a Windows 2000. La ltima seccin, Preguntas Ms Frecuentes, responde preguntas sobre el Active Directory y cmo funciona. Un directorio es una fuente de informacin usada para almacenar informacin sobre objetos interesantes. Un directorio telefnico almacena informacin sobre los subscriptores. En un sistema de archivo, el directorio almacena informacin sobre los archivos. En un sistema computacional distribuido o una red computacional pblica como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "trminos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes pblicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de informacin del directorio como los servicios que hacen la informacin disponible y utilizable para los usuarios. Un servicio de directorio es uno de los ms importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y
los administradores no saben el nombre exacto de los objetos en los cuales estn interesados. Pueden conocer uno o ms atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede:
Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes mltiples para permitir el almacenaje de un gran nmero de objetos.
Un servicio de directorio es tanto una herramienta de manejo como una herramienta de usuario final. Conforme aumenta el nmero de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido. El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Ampla las caractersticas de previos servicios de directorio basados en Windows y agrega caractersticas totalmente nuevas. El Active Directory es seguro, distribuido, separado, y duplicado. Est diseado para funcionar bien en instalaciones de cualquier tamao, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas caractersticas nuevas que hacen fcil navegar y manejar grandes cantidades de informacin, generando ahorros de tiempo tanto para los administradores como para los usuarios finales. Conceptos Importantes Algunos conceptos y trminos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los trminos que han existido por un tiempo son usados para que signifiquen ms que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y trminos en el contexto del Active Directory.
El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de rea amplia. Tambin puede incluir varias redes de rea amplia combinadas, as es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas. El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es cualquier rea limitada en la cual puede ser incluido un nombre dado. La inclusin del nombre es el proceso de adaptar un nombre a algn objeto o informacin que representa. Un directorio telefnico forma un espacio para nombres para el cual los nombres de los subscriptores de telfono pueden ser incluidos en nmeros telefnicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo. El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo. Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicacin. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y direccin de correo electrnico.
Figura
1.
Un
objeto
de
usuario
y
sus
atributos
Un contenedor es del espacio para diferencia de un contenedor para
como un objeto en que tiene atributos y es parte nombres del Active Directory. Sin embargo, a objeto, no representa algo en concreto. Es un un grupo de objetos y otros contenedores.
Un rbol (tree) se usa en todo este documento para describir una jerarqua de objetos y contenedores. Los puntos finales en el rbol son usualmente objetos. Los nudos en el rbol (los puntos donde salen ramas) son contenedores. Un rbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es
tambin un contenedor. Un subrbol colindante es cualquier camino ininterrumpido en el rbol, incluyendo todos los miembros de cualquier contenedor en ese camino.
Figura 2. Un subrbol colindante de un directorio de archivo Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres. Nombre nico Cada objeto en el Active Directory tiene un nombre nico (Distinguished Name, DN). El nombre nico identifica el dominio que conserva el objeto, as como el camino completo a travs de la jerarqua del contenedor por el cual se llega al objeto. Un tpico DN puede ser /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmit h Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com
Figura 3. Una representacin grfica de un nombre nico Nombre nico Relativo El Nombre nico Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users. El Active Directory est compuesto de uno a ms contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subrbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres.
El esquema La configuracin (topologa de particin y metadatos relacionados) Uno o ms contextos para dar nombres de usuario (subrboles conteniendo los objetos reales en el directorio).
Un dominio es un solo lmite de seguridad de una red computacional de Windows NT o Windows 2000. (Para ms informacin sobre dominios, vea la documentacin de Windows). El Active Directory est compuesto de uno o ms dominios. En una sola estacin de trabajo, el dominio es la computadora misma. Un dominio puede conectar ms de una ubicacin fsica. Cada dominio tiene sus propias polticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios mltiples son conectados por relaciones de confianza y comparten un esquema comn, configuracin, y catlogo global, tienen un rbol dominio. Arboles de dominio mltiples pueden conectarse juntos en un bosque. Un rbol de dominio comprende varios dominios que comparten un esquema comn y configuracin, formando un colindante espacio para nombres. Los dominios en un rbol estn tambin vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o ms rboles. Los rboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del rbol de dominio. Visualizando las Relaciones de confianza Puede trazar un dibujo de un rbol de dominio basado en los dominios individuales y de cmo confan uno en el otro. Windows 2000 establece las relaciones de confianza entre los
dominios basndose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerrquica, si el dominio A confa en el dominio B y dominio B confa en dominio C, dominio A confa tambin en el dominio C.
Figura 4. Un rbol de dominio visto en trminos de sus relaciones de confianza. Visualizando el Espacio para nombres Tambin puede hacer un dibujo de un rbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre nico de un objeto siguiendo el camino hacia el espacio para nombres del rbol de dominio. Esta vista es til para agrupar objetos en una jerarqua lgica. La principal ventaja de un colindante espacio para nombres es que una bsqueda intensa desde la raz del espacio para nombres buscar en la jerarqua completa.
Figura 5. Viendo un rbol dominio como espacio para nombres Un bosque es un conjunto de uno o ms rboles que NO forman un espacio para nombres colindante. Todos los rboles en un bosque comparten un esquema comn, configuracin, y Catalogo Global. Todos los rboles en un bosque dado confan uno en el otro va relaciones de confianza Kerberos transitivas jerrquicas. A diferencia de un rbol, un bosque no necesita un nombre nico. Un bosque existe como un conjunto de objetos de referencia recproca y relaciones de confianza Kerberos conocidas para los rboles miembros. Los rboles en un bosque forman una jerarqua para los
Arquitectura de Active Directory Sistema operativo Notas del producto
ResumenPara usar el sistema operativo Microsoft Windows 2000 Server con la mxima eficacia, primero debe comprender qu es el servicio de directorio Active Directory. Active Directory, una novedad del sistema operativo Windows 2000, desempea una funcin importante en la implementacin de la red de la organizacin y, por tanto, en conseguir sus objetivos comerciales. Este documento presenta Active Directory a los administradores de red, explica su arquitectura y describe cmo interacta con las aplicaciones y con otros servicios de directorio. El presente documento se basa en la informacin disponible en el momento de publicarse la versin Beta 3 de Windows 2000. La informacin proporcionada aqu est sujeta a cambios antes de la versin final de Windows 2000 Server.
IntroduccinComprender el servicio de directorio Active Directory es el primer paso para entender cmo funciona el sistema operativo Windows 2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos empresariales. En este documento se examina Active Directory desde estas tres perspectivas:
Almacn. Active Directory, el servicio de directorio de Windows 2000 Server, almacena de forma jerrquica la informacin acerca de los objetos de la red, y la pone a disposicin de administradores, usuarios y aplicaciones. En la primera seccin de este documento se explica lo que es un servicio de directorio, la integracin del servicio Active Directory con el Sistema de nombres de dominio (DNS) de Internet y cmo se actualiza Active Directory cuando se designa un servidor como controlador de dominio1. Estructura. Con Active Directory, la red y sus objetos se organizan mediante elementos como dominios, rboles, bosques, relaciones de confianza, unidades organizativas (OU) y sitios. En la prxima seccin de este documento se describe la estructura y la funcin de estos componentes de Active Directory, y cmo esta estructura permite a los administradores
controlar la red de modo que los usuarios puedan alcanzar sus objetivos empresariales. Intercomunicacin. Puesto que Active Directory se basa en los protocolos estndar de acceso a directorios, puede interoperar con otros servicios de directorio y otras aplicaciones de terceros que sigan estos protocolos pueden tener acceso a l. En la ltima seccin se describe cmo Active Directory puede comunicarse con numerosas tecnologas.
Ventajas de Active DirectoryLa inclusin de Active Directory en el sistema operativo Windows 2000 proporciona las siguientes ventajas:
Integracin con DNS. Active Directory utiliza el Sistema de nombres de dominio (DNS). DNS es un servicio estndar de Internet que traduce los nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en direcciones numricas (cuatro nmeros separados por puntos) de Protocolo de Internet (IP) legibles por los equipos. De esta forma, los procesos que se ejecutan en equipos que estn en redes TCP/IP pueden identificarse y conectarse entre s. Consultas flexibles. Los usuarios y los administradores pueden utilizar el comando Buscar del men Inicio, el icono Mis sitios de red del escritorio o el complemento Usuarios y equipos de Active Directory para buscar rpidamente un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un usuario por nombre, apellido, nombre de correo electrnico, ubicacin en la oficina u otras propiedades de su cuenta de usuario. La bsqueda de informacin est optimizada gracias al uso del catlogo global. Capacidad de ampliacin. Active Directory es ampliable, lo que significa que los administradores pueden agregar nuevas clases de objetos al esquema y nuevos atributos a las clases existentes de objetos. El esquema contiene una definicin de cada clase de objeto y los atributos de las mismas, que se pueden almacenar en el directorio. Por ejemplo, podra agregar un atributo Autorizacin de compra al objeto Usuario y despus almacenar el lmite de autorizacin de compra de cada usuario como parte de su cuenta. Administracin basada en polticas. Las polticas de grupo son valores de configuracin que se aplican a equipos o usuarios cuando se inicializan. Todos los valores de Poltica de grupo estn contenidos en los Objetos de poltica de grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de Active Directory. Los valores de GPO determinan el acceso a objetos de directorios y recursos de dominios, a qu recursos de dominios (como las aplicaciones) tienen acceso los usuarios y cmo estn configurados dichos recursos.
Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los cuales tiene uno o varios controladores, lo que permite escalar el directorio para satisfacer cualquier requisito de red. Es posible combinar varios dominios en un rbol de dominios y varios rboles en un bosque. En la estructura ms simple, una red con un nico dominio es a la vez un nico rbol y un nico bosque. Replicacin de la informacin. Active Directory utiliza la replicacin de mltiples maestros, que permite actualizar el directorio en cualquier controlador de dominio. Al distribuir varios controladores de dominio en un nico dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento, se detiene o produce un error, otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio, ya que contienen los mismos datos. Seguridad de la informacin. La administracin de la autenticacin de usuarios y el control de acceso, ambos integrados plenamente en Active Directory, son caractersticas de seguridad clave del sistema operativo Windows 2000. Active Directory centraliza la autenticacin. El control de acceso puede definirse no slo para cada objeto del directorio, sino tambin para todas las propiedades de cada objeto. Adems, Active Directory proporciona el almacn y el mbito de aplicacin de las polticas de seguridad. (Para obtener ms informacin acerca de la autenticacin de inicio de sesin y el control de acceso de Active Directory, consulte la seccin "Para obtener ms informacin" al final de este documento.) Interoperabilidad. Puesto que Active Directory se basa en protocolos estndar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP), puede interoperar con otros servicios de directorio que empleen estos protocolos. Varias interfaces de programacin de aplicaciones (API), como las Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores acceso a estos protocolos.
El final de este documento, en "Apndice A: Herramientas", se proporciona una breve introduccin a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.
Servicio de directorio Active DirectoryAntes de pasar a las secciones principales de este documento, la arquitectura e interoperabilidad de Active Directory, en esta seccin preliminar se examina brevemente Active Directory desde dos puntos de vista muy diferentes:
El primero es el lado ms abstracto de Active Directory, es decir, como un espacio de nombres que est integrado con el Sistema de nombres de dominio (DNS) de Internet. El segundo es el lado ms cotidiano de Active Directory, es decir, como el software que convierte a un servidor en un controlador de dominio.
En el contexto de una red de equipos, un directorio (tambin denominado almacn de datos) es una estructura jerrquica que almacena informacin acerca de los objetos de la red. Los objetos incluyen recursos compartidos como servidores, volmenes compartidos e impresoras, cuentas de usuarios y equipos, as como dominios, aplicaciones, servicios, polticas de seguridad y cualquier elemento de la red. Un ejemplo de los tipos especficos de informacin que un directorio de red puede almacenar acerca de un determinado tipo de objeto es aqul en el que un directorio normalmente almacena un nombre de usuario, una clave de acceso, una direccin de correo electrnico, un nmero de telfono, etc. de una cuenta de usuario. La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al origen de informacin del directorio como a los servicios que posibilitan que la informacin est disponible y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones. En una situacin ideal, un servicio de directorio hace que la topologa de la red fsica y los protocolos (formatos para transmitir datos entre dos dispositivos) sean transparentes, de modo que un usuario pueda tener acceso a cualquier recurso sin saber dnde ni cmo est conectado fsicamente. Siguiendo con el ejemplo de la cuenta de usuario, es el servicio de directorio el que permite que otros usuarios autorizados de la misma red tengan acceso a la informacin de directorio almacenada (como una direccin de correo electrnico) acerca del objeto de cuenta de usuario. Los servicios de directorio admiten numerosas capacidades. Algunos servicios de directorio estn integrados en un sistema operativo y otros son aplicaciones, como los directorios de correo electrnico. Los servicios de directorio del sistema operativo, como Active Directory, proporcionan administracin de usuarios, equipos y recursos compartidos. Los servicios de directorio que administran el correo electrnico, como Microsoft Exchange, permiten que los usuarios busquen a otros usuarios y enven correo electrnico. Active Directory, el nuevo centro de servicios de directorio para el sistema operativo Windows 2000 Server, slo se ejecuta en controladores de dominio. Active Directory, adems de proporcionar un lugar para almacenar datos y servicios para que estn disponibles dichos datos, tambin protege los objetos de la red frente al acceso no autorizado y los replica a travs de una red para que no se pierdan datos si se produce un error en un controlador de dominio.
Active Directory incorpora DNS
Tanto Active Directory como DNS son espacios de nombres. Un espacio de nombres es cualquier rea limitada donde se puede resolver un nombre dado. La resolucin de nombres es el proceso de traducir un nombre en algn objeto o informacin que representa dicho nombre. Una libreta de telfonos forma un espacio de nombres en el que los nombres de los abonados telefnicos pueden resolverse a nmeros de telfono. El sistema de archivos NTFS de Windows 2000 forma un espacio de nombres en el que el nombre de un archivo puede resolverse al archivo propiamente dicho.
DNS e InternetEntender cmo Windows 2000 trata los espacios de nombres de Active Directory y DNS requiere comprender algunos conceptos bsicos acerca del propio DNS y su relacin con Internet y TCP/IP. Internet es una red TCP/IP. Los protocolos de comunicaciones TCP/IP conectan equipos y les permiten transmitir datos a travs de las redes. Todos los equipos de Internet o de cualquier otra red TCP/IP (como muchas redes de Windows) tienen una direccin IP. DNS encuentra los hosts TCP/IP (equipos) mediante la resolucin de los nombres de equipo que los usuarios finales entienden a las direcciones IP que los equipos entienden. Las direcciones IP de Internet se administran mediante la base de datos de DNS distribuida globalmente, pero tambin es posible implementar DNS localmente para administrar direcciones de redes TCP/IP privadas. DNS, que est organizado en una jerarqua de dominios, convierte toda la red Internet en un nico espacio de nombres. DNS tiene varios dominios de nivel superior que, a su vez, se subdividen en dominios de segundo nivel. Una autoridad de Internet (actualmente, Internet Network Information Center, o InterNIC) administra la raz del espacio de nombres de dominios de Internet; esta autoridad delega la responsabilidad administrativa de los dominios de nivel superior del espacio de nombres de DNS y registra los nombres de dominio de segundo nivel. Los dominios de nivel superior son las categoras de dominios conocidas: comercial (.com), educacin (.edu), gobierno (.gov), etc. Fuera de los Estados Unidos se utilizan cdigos de regin o de pas de dos letras, como .mx para Mxico o .es para Espaa. Los dominios de segundo nivel representan espacios de nombres que se registran formalmente a nombre de instituciones (e individuos) para proporcionarles una presencia en Internet. En la figura 1 se muestra cmo se conecta la red de una organizacin al espacio de nombres DNS de Internet.
Figura 1. Cmo encaja Microsoft en el espacio de nombres DNS de Internet
Integracin de los espacios de nombres de DNS y de Active DirectoryLa integracin de DNS y Active Directory es una caracterstica fundamental del sistema operativo Windows 2000 Server. Los dominios de DNS y los dominios de Active Directory usan nombres de dominio idnticos para espacios de nombres distintos. Puesto que los dos espacios de nombres comparten una estructura de dominios idntica, es importante comprende que no se trata del mismo espacio de nombres. Cada uno almacena datos diferentes y, por tanto, administra objetos distintos. DNS almacena sus zonas2 y registros de recursos, mientras que Active Directory almacena sus dominios y objetos de dominio. Los nombres de dominio de DNS se basan en la estructura de nomenclatura jerrquica de DNS, que es una estructura de rbol invertido: un nico dominio raz, bajo el cual estn los dominios principales y secundarios (ramas y hojas). Por ejemplo, un nombre de dominio de Windows 2000 como secundario.principal.microsoft.com identifica un dominio denominado secundario, que es un dominio secundario del dominio llamado principal que, a su vez, es secundario del dominio microsoft.com. Cada equipo de un dominio DNS se identifica de manera nica mediante su nombre de dominio completo (FQDN). El FQDN de un equipo que se encuentra en el dominio
secundario.principal.microsoft.com es nombreEquipo.secundario.principal.microsoft.com. Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo, NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre DNS (por ejemplo, ServidorCuentas.NombreOrg.com). As, los dominios y los equipos se representan como objetos de Active Directory y como nodos de DNS (un nodo en la jerarqua DNS representa un dominio o un equipo). Tanto DNS como Active Directory utilizan una base de datos para resolver nombres:
DNS es un servicio de resolucin de nombres. DNS resuelve los nombres de dominio y de equipo a direcciones IP mediante solicitudes que hacen los servidores DNS en forma de consultas a la base de datos. En concreto, los clientes DNS envan consultas de nombres a su servidor DNS configurado. El servidor DNS recibe la consulta de nombre y la resuelve mediante archivos almacenados localmente o consulta a otro servidor DNS para que la resuelva. DNS no requiere Active Directory para funcionar. Active Directory es un servicio de directorio. Active Directory resuelve los objetos de nombre de dominio a registros de objeto mediante las solicitudes que hacen los controladores de dominio, como una bsqueda del Protocolo compacto de acceso a directorios (LDAP)3 o solicitudes de modificacin de la base de datos de Active Directory. Especficamente, los clientes de Active Directory utilizan LDAP para enviar consultas a los servidores de Active Directory. Para buscar un servidor de Active Directory, un cliente de Active Directory consulta a DNS. Es decir, Active Directory usa DNS como servicio de bsqueda para resolver nombres de dominios, sitios y servicios de Active Directory a una direccin IP. Por ejemplo, para iniciar la sesin en un dominio de Active Directory, un cliente de Active Directory consulta a su servidor DNS configurado la direccin IP del servicio LDAP que se ejecuta en un controlador de un dominio especificado. Active Directory requiere DNS para funcionar.
En la prctica, para comprender que los espacios de nombres de DNS y de Active Directory en un entorno Windows 2000 son diferentes, es necesario entender que un registro de host de DNS, que representa un equipo especfico en una zona de DNS, se encuentra en un espacio de nombres diferente del objeto de cuenta de equipo de dominio de Active Directory que representa el mismo equipo. En resumen, Active Directory est integrado con DNS de las siguientes formas:
Los dominios de Active Directory y los dominios de DNS tienen la misma estructura jerrquica. Aunque son independientes y se implementan de forma diferente para
propsitos distintos, los espacios de nombres de una organizacin para dominios de DNS y de Active Directory tienen una estructura idntica. Por ejemplo, microsoft.com es un dominio de DNS y un dominio de Active Directory. Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el servicio DNS de Windows 2000, es posible almacenar las zonas principales en Active Directory para replicarlas en otros controladores de dominio de Active Directory y proporcionar seguridad mejorada al servicio DNS. Los clientes de Active Directory utilizan DNS para buscar controladores de dominio. Para buscar el controlador de un dominio especfico, los clientes de Active Directory consultan su servidor DNS configurado en busca de registros de recursos especficos.
Active Directory y el espacio de nombres global de DNSActive Directory est diseado de forma que pueda existir en el mbito del espacio de nombres global de DNS de Internet. Cuando una organizacin que utiliza Windows 2000 Server como sistema operativo de red requiere presencia en Internet, el espacio de nombres de Active Directory se mantiene como uno o varios dominios jerrquicos de Windows 2000 bajo un dominio raz que est registrado como un espacio de nombres de DNS. (Una organizacin puede decidir no formar parte del espacio de nombres global de DNS de Internet, pero si lo hace, sigue siendo necesario el servicio DNS para buscar equipos basados en Windows 2000.) Segn las convenciones de nomenclatura de DNS, cada parte de un nombre DNS separado por un punto (.) representa un nodo en la estructura jerrquica en rbol de DNS y un nombre de dominio de Active Directory potencial en la estructura jerrquica en rbol de dominios de Windows 2000. Tal como se muestra en la figura 2, la raz de la jerarqua DNS es un nodo que tiene una etiqueta nula (" "). La raz del espacio de nombres de Active Directory (la raz del bosque) no tiene principal y proporciona el punto de entrada de LDAP a Active Directory. Figura 2. Comparacin de las races de los espacios de nombres de DNS y de Active Directory
Registros de recursos SRV y actualizaciones dinmicasDNS existe independientemente de Active Directory, mientras que Active Directory est diseado especficamente para trabajar con DNS. Para que Active Directory funcione correctamente, los servidores DNS deben admitir registros de recursos de ubicacin de servicio (SRV)4. Los registros de recursos SRV asignan el nombre de un servicio al nombre de un servidor que ofrece dicho servicio. Los controladores de dominio y los clientes de Active Directory utilizan los
registros de recursos SRV para averiguar las direcciones IP de los controladores de dominio. Nota Para obtener ms informacin acerca de cmo planear la distribucin de servidores DNS como apoyo a los dominios de Active Directory, as como otras cuestiones relacionadas con la distribucin, consulte la Gua de diseo de la distribucin de Microsoft Windows 2000 Server en la seccin "Para obtener ms informacin" de este documento. Adems del requisito de que los servidores DNS de una red de Windows 2000 admitan registros de recursos SRV, Microsoft tambin recomienda que los servidores DNS admitan las actualizaciones dinmicas de DNS5. Las actualizaciones dinmicas de DNS definen un protocolo para actualizar dinmicamente un servidor DNS con valores nuevos o modificados. Sin el protocolo de actualizacin dinmica de DNS, los administradores deben configurar manualmente los registros creados por los controladores de dominio y almacenados por los servidores DNS. El nuevo servicio DNS de Windows 2000 admite tanto los registros de recursos SRV como las actualizaciones dinmicas. Si decide utilizar un servidor DNS que no est basado en Windows 2000, debe comprobar que admite los registros de recursos SRV o actualizarlo a una versin que los admita. En el caso de un servidor DNS heredado que admita registros de recursos SRV pero no admita actualizaciones dinmicas, se deben actualizar manualmente sus registros de recursos cuando se promueva un equipo con Windows 2000 Server a controlador de dominio. Esto se realiza mediante el archivo Netlogon.dns (que se encuentra en la carpeta %systemroot%\System32\config), creado por el Asistente para instalacin de Active Directory.
Active Directory crea controladores de dominioLa implementacin y la administracin de una red son actividades tangibles. Para entender cmo encaja Active Directory en la situacin en la prctica, lo primero que necesita saber es que la instalacin de Active Directory en un equipo que ejecute el sistema operativo Windows 2000 Server es el acto que transforma el servidor en un controlador de dominio. Un controlador de dominio slo puede alojar un dominio. En concreto, un controlador de dominio es un equipo que ejecuta Windows 2000 Server y que se ha configurado con el Asistente para instalacin de Active Directory, que instala y configura los componentes que proporcionan los servicios de directorio de Active Directory a los usuarios y los equipos de la red. Los controladores de dominio almacenan datos de directorio de todo el dominio (como las polticas de seguridad del sistema y datos de autenticacin de usuarios) y administran las interacciones de usuarios y dominios, incluidos los procesos de inicio de sesin, autenticacin y bsquedas en el directorio.
Al promover un servidor a controlador de dominio con el Asistente para instalacin de Active Directory tambin se crea un dominio de Windows 2000 o se agregan controladores adicionales a un dominio existente. En esta seccin se describe qu es un controlador de dominio de Active Directory y algunas de las funciones principales que desempea en la red. Con la presentacin de Active Directory, los controladores de dominio de Windows 2000 funcionan como homlogos. Esto representa un cambio con respecto a las funciones de principal-subordinado que desempeaban los controladores principales de dominio (PDC) y los controladores de reserva (BDC) de Windows NT Server. Los controladores de dominio homlogos admiten la replicacin de mltiples maestros, con lo que se replica la informacin de Active Directory en todos los controladores de dominio. La presentacin de la replicacin de mltiples maestros significa que los administradores pueden efectuar actualizaciones de Active Directory en cualquier controlador de dominio de Windows 2000 del dominio. En el sistema operativo Windows NT Server, slo el PDC tiene una copia de lectura y escritura del directorio; el PDC replica a los BDC una copia de slo lectura de la informacin del directorio. (Para obtener ms informacin acerca de la replicacin de mltiples maestros, consulte la seccin "Replicacin de mltiples maestros".) Si realiza la actualizacin al sistema operativo Windows 2000 desde un dominio existente, puede realizar la actualizacin por etapas y segn le convenga. Si va a crear el primer controlador de dominio para una instalacin nueva, se materializan algunas entidades automticamente al mismo tiempo que se carga Active Directory. Las dos subsecciones siguientes explican estos aspectos relacionados con la instalacin de un controlador de dominio de Active Directory en una red nueva:
El primer controlador de dominio es un servidor de catlogo global. El primer controlador de dominio contiene las funciones de maestro de operaciones.
Catlogo globalEl sistema operativo Windows 2000 presenta el catlogo global, una base de datos que se mantiene en uno o varios controladores de dominio. El catlogo global desempea las funciones principales en los inicios de sesin de los usuarios y en las consultas. De forma predeterminada, se crea automticamente un catlogo global en el controlador de dominio inicial del bosque de Windows 2000 y cada bosque debe tener al menos un catlogo global. Si utiliza varios sitios, es recomendable que asigne un controlador de dominio de cada sitio como catlogo global, ya que es necesario tener un catlogo global (que determina la pertenencia a grupos de una
cuenta) para llevar a cabo el proceso de autenticacin del inicio de sesin. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catlogo global para realizar el inicio de sesin. Despus de instalar controladores de dominio adicionales en el bosque, puede cambiar la ubicacin predeterminada del catlogo global a otro controlador de dominio mediante la herramienta Sitios y servicios de Active Directory. Opcionalmente puede configurar cualquier controlador de dominio para que aloje un catlogo global, segn los requisitos de la organizacin para atender las solicitudes de inicio de sesin y las consultas de bsqueda. Cuantos ms servidores de catlogo global haya, ms rpidas sern las respuestas a las consultas de los usuarios; el inconveniente es que habilitar muchos controladores de dominio como servidores de catlogo global aumenta el trfico de replicacin en la red. El catlogo global desempea dos funciones clave de Active Directory, inicio de sesin y consultas:
Inicio de sesin. En un dominio de modo nativo, el catlogo global permite el inicio de sesin de los clientes de Active Directory al proporcionar informacin universal de pertenencia a grupos6 para la cuenta que enva la solicitud de inicio de sesin a un controlador de dominio. De hecho, no slo los usuarios sino cualquier objeto que se autentique en Active Directory debe hacer consultar el servidor de catlogo global, incluidos todos los equipos que se inicien. En una configuracin de varios dominios, al menos un controlador de dominio que contenga el catlogo global debe estar en funcionamiento y disponible para que los usuarios puedan iniciar una sesin. Tambin debe haber disponible un servidor de catlogo global cuando un usuario inicie la sesin con un nombre principal de usuario (UPN) no predeterminado. (Para obtener ms informacin acerca del inicio de sesin, consulte la seccin "Nombres de inicio de sesin: UPN y nombres de cuentas SAM".) Si no hay disponible un catlogo global cuando un usuario inicia un proceso de inicio de sesin en la red, el usuario slo podr iniciar la sesin en el equipo local y no en la red. La nica excepcin es la de los usuarios que son miembros del grupo de administradores de dominios (Administrador del dominio), que pueden iniciar la sesin en la red incluso aunque no haya disponible un catlogo global.
Consultas. En un bosque que contiene muchos dominios, el catlogo global permite que los usuarios efecten bsquedas en todos los dominios de forma rpida y sencilla, sin tener que buscar en cada dominio individualmente. El catlogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan
informacin. La mayor parte del trfico de red de Active Directory est relacionado con las consultas: usuarios, administradores y programas que solicitan informacin acerca de objetos del directorio. Las consultas son mucho ms frecuentes que las actualizaciones del directorio. Asignar varios controladores de dominio como servidores de catlogo global mejora el tiempo de respuesta a los usuarios que buscan informacin del directorio, pero debe sopesar esta ventaja frente al hecho de que tambin puede aumentar el trfico de replicacin de la red.
Funciones de maestro de operacionesLa replicacin de mltiples maestros en controladores de dominio homlogos no resulta prctica para algunos tipos de cambios, por lo que slo un controlador de dominio, denominado maestro de operaciones, acepta solicitudes para dichos cambios. Como la replicacin de mltiples maestros desempea una funcin fundamental en una red basada en Active Directory, es importante saber cules son estas excepciones. En cualquier bosque de Active Directory, al menos las ltimas cinco funciones de maestro de operaciones se asignan al controlador de dominio inicial durante la instalacin. Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del nico maestro de operaciones se asignan automticamente al primer controlador de dicho dominio. En un bosque pequeo de Active Directory con slo un dominio y un controlador de dominio, dicho controlador sigue teniendo todas las funciones del maestro de operaciones. En una red mayor, con uno o varios dominios, se pueden asignar estas funciones a uno o varios controladores de dominio. Algunas funciones deben aparecer en todos los bosques. Otras funciones deben aparecer en cada dominio del bosque. Las dos funciones siguientes de maestro de operaciones en todo el bosque deben ser nicas en el bosque; es decir, slo puede haber una de ellas en todo el bosque:
Maestro de esquema. El controlador de dominio que tiene la funcin de maestro de esquema controla todas las actualizaciones y modificaciones del esquema. El esquema define todos los objetos (y sus atributos) que pueden almacenarse en el directorio. Para actualizar el esquema de un bosque, debe disponer de acceso al maestro de esquema. Maestro de nombres de dominio. El controlador de dominio que tiene la funcin de maestro de nombres de dominio controla la incorporacin o eliminacin de dominios en el bosque.
Las tres funciones siguientes de maestro de operaciones en todo el dominio deben ser nicas en cada dominio y slo puede haber una en cada dominio del bosque:
Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a cada controlador de su dominio. Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) nico. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es nico para cada Id. de seguridad creado en el dominio). Cuando el controlador de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID. Emulador de controlador principal de dominio (PDC). Si el dominio contiene equipos que no ejecutan el software cliente de Windows 2000, o si contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC acta como controlador principal de dominio (PDC) de Windows NT. Procesa los cambios de clave de acceso de los clientes y replica las actualizaciones en los BDC. El emulador de PCD recibe replicacin preferente de los cambios de clave de acceso realizados por otros controladores del dominio. Si se produce un error en una autenticacin de inicio de sesin en otro controlador de dominio debido a una clave de acceso incorrecta, dicho controlador reenva la solicitud de autenticacin al emulador de PDC antes de rechazar el intento de inicio de sesin. Maestro de infraestructuras. El maestro de infraestructuras es el encargado de actualizar todas las referencias entre dominios siempre que se mueve un objeto al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el nombre o se cambian los miembros de los grupos, el maestro de infraestructuras actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto del grupo), es posible que parezca temporalmente que el grupo no contiene a ese miembro. El maestro de infraestructuras del dominio del grupo es el encargado de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva ubicacin del miembro. El maestro de infraestructuras distribuye la actualizacin mediante la replicacin de mltiples maestros. A menos que slo haya un nico controlador en el dominio, no asigne la funcin de maestro de infraestructuras al controlador de dominio que aloja el catlogo global. Si lo hace, no funcionar el maestro de infraestructuras. Si todos los controladores de un dominio tambin alojan el catlogo global (incluido el caso donde slo exista un controlador de dominio), todos los controladores de dominio tienen datos actualizados y, por tanto, no es necesario el maestro de infraestructuras.
ArquitecturaUna vez instalado un controlador de dominio de Active Directory, se ha creado a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo controlador a un dominio existente. Cmo encajan el controlador y el dominio en la arquitectura global de la red? En esta seccin se explican los componentes de una red basada en Active Directory y cmo estn organizados. Adems, describe cmo puede delegar la responsabilidad administrativa de las unidades organizativas (OU), dominios o sitios a los usuarios adecuados y cmo asignar valores de configuracin a estos tres mismos contenedores de Active Directory. Se tratan los siguientes temas:
Objetos (incluido el esquema). Convenciones de nomenclatura de objetos (incluyendo nombres de principales de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres de inicio de sesin). Publicacin de objetos. Dominios (incluyendo rboles, bosques, confianzas y unidades organizativas). Sitios (incluida la replicacin). Cmo se aplican la delegacin y Poltica de grupo a unidades organizativas, dominios y sitios.
ObjetosLos objetos de Active Directory son las entidades que componen una red. Un objeto es un conjunto diferenciado con nombre de atributos que representa algo concreto, como un usuario, una impresora o una aplicacin. Cuando crea un objeto de Active Directory, ste genera valores para algunas propiedades del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario, Active Directory asigna el identificador nico global (GUID) y usted debe proporcionar valores para atributos como el nombre, el apellido, el identificador de inicio de sesin, etc. del usuario.
El esquemaEl esquema es una descripcin de las clases de objeto (los distintos tipos de objetos) y los atributos de dichas clases. Para cada clase de objeto, el esquema define qu atributos debe tener, qu atributos adicionales puede tener y qu clase de objeto puede ser su objeto primario. Cada objeto de Active Directory es una instancia de una clase de objeto. Cada atributo slo se define una vez y puede utilizarse en varias clases. Por ejemplo, el atributo Descripcin se define una vez pero se utiliza en muchas clases distintas.
El esquema se almacena en Active Directory. Las definiciones de esquema tambin se almacenan como objetos: Esquema de clase y Esquema de atributos. De esta forma, Active Directory administra los objetos de clase y de atributos de la misma manera en que administra otros objetos del directorio. Las aplicaciones que crean o modifican objetos de Active Directory utilizan el esquema para determinar los atributos que debe o podra tener el objeto y cmo deben ser esos atributos en lo que respecta a estructuras de datos y restricciones de sintaxis. Los objetos pueden ser objetos contenedor u objetos hoja (tambin denominados objetos no contenedor). Un objeto contenedor almacena otros objetos, pero los objetos hoja no. Por ejemplo, una carpeta es un objeto contenedor de archivos, que son objetos hoja. Cada clase de objetos del esquema de Active Directory tiene atributos que aseguran:
Identificacin nica de cada objeto en un almacn de datos del directorio. Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad con los identificadores de seguridad (SID) utilizados en el sistema operativo Windows NT 4.0 y anteriores. Compatibilidad con los estndares LDAP para nombres de objetos de directorio.
Consultas y atributos de esquemaCon la herramienta Esquema de Active Directory puede marcar un atributo como indizado. Al hacerlo, se agregan al ndice todas las instancias de dicho atributo, no slo las instancias que son miembros de una clase determinada. Al indizar un atributo podr encontrar ms rpidamente los objetos que tengan ese atributo. Tambin puede incluir atributos en el catlogo global. El catlogo global contiene un conjunto predeterminado de atributos para cada objeto del bosque y puede agregarles los que desee. Los usuarios y las aplicaciones utilizan el catlogo global para buscar objetos en el bosque. Incluya slo los atributos que tengan las siguientes caractersticas:
til globalmente. El atributo debe ser necesario para buscar objetos (incluso aunque slo sea para acceso de lectura) que pueda haber en cualquier lugar del bosque. No voltil. El atributo deber ser invariable o cambiar con muy poca frecuencia. Los atributos de un catlogo global se replican a todos los dems catlogos globales del bosque. Si el atributo cambia con frecuencia, genera mucho trfico de replicacin. Pequeo. Los atributos de un catlogo global se replican a todos los catlogos globales del bosque. Cuanto menor sea el atributo, menor ser el impacto de la replicacin.
Nombres de objetos de esquemaComo se ha indicado anteriormente, las clases y los atributos son objetos de esquema. Se puede hacer referencia a cualquier objeto de esquema mediante los siguientes tipos de nombres:
Nombre LDAP para mostrar. El nombre LDAP para mostrar es nico globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta de una o varias palabras combinadas, con la letra inicial de cada palabra en maysculas despus de la primera palabra. Por ejemplo, mailAddress y machinePasswordChangeInterval son los nombres LDAP para mostrar de dos atributos de esquema. Esquema de Active Directory y otras herramientas administrativas de Windows 2000 muestran el nombre LDAP para mostrar de los objetos, y los programadores y administradores utilizan este nombre para hacer referencia al objeto mediante programa. Consulte la prxima subseccin para obtener informacin acerca de cmo ampliar el esquema mediante programa; consulte la seccin "Protocolo compacto de acceso a directorios" para obtener ms informacin acerca de LDAP. Nombre comn. Los nombres comunes de los objetos de esquema tambin son nicos globalmente. El nombre comn se especifica cuando se crea una nueva clase o atributo de objeto en el esquema; se trata del nombre en referencia relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para obtener ms informacin acerca de los RDN, consulte la seccin "Nombres DN y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos mencionados en el prrafo anterior son SMTP-Mail-Address y Machine-PasswordChange-Interval. Identificador de objeto (OID). El identificador de un objeto de esquema es un nmero emitido por una entidad como Organizacin internacional de normalizacin (ISO) y American National Standards Institute (ANSI). Por ejemplo, el OID para el atributo SMTP-Mail-Address es 1.2.840.113556.1.4.786. Se garantiza que los OID son nicos en todas las redes de todo el mundo. Una vez que obtenga un OID raz de una entidad emisora, puede utilizarlo para asignar OID adicionales. Los OID forman una jerarqua. Por ejemplo, Microsoft ha emitido el OID raz 1.2.840.113556. Microsoft administra internamente otras ramas adicionales desde esta raz. Una de las ramas se utiliza para asignar OID a las clases de esquema de Active Directory y otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es 1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede analizarse como se muestra en la tabla 1.
Tabla 1. Identificador de objeto
Nmero Id. objeto 1 2 840
de deIdentifica
ISO (entidad emisora "raz") emiti 1.2 para ANSI, ANSI emiti 1.2.840 para EE.UU., EE.UU. emiti 1.2.840.113556 para Microsoft, Microsoft administra internamente varias ramas 113556 de identificadores de objeto bajo 1.2.840.113556, que incluyen: una rama denominada Active Directory que 1 incluye 5 una rama denominada clases que incluye 4 una rama denominada Dominio integrado Para obtener ms informacin acerca de los OID y cmo obtenerlos, consulte "Para obtener ms informacin" al final de este documento.
Ampliar el esquemaEl sistema operativo Windows 2000 Server proporciona un conjunto predeterminado de clases y atributos de objeto que son suficientes para muchas organizaciones. Aunque no puede eliminar objetos del esquema, puede marcarlos como desactivados. Los programadores y los administradores de redes con experiencia pueden ampliar dinmicamente el esquema si definen nuevas clases y nuevos atributos para las clases existentes. La forma recomendada de ampliar el esquema de Active Directory es mediante programa, a travs de las Interfaces de servicio de Active Directory (ADSI). Tambin puede emplear la utilidad Formato de intercambio de datos LDAP (LDIFDE). (Para obtener ms informacin acerca de ADSI y LDIFDE, consulte las secciones "Interfaz de servicio de Active Directory" y "Active Directory y LDIFDE".) Para propsitos de desarrollo y de pruebas, tambin puede ver y modificar el esquema de Active Directory con la herramienta Esquema de Active Directory. Cuando se plantee cambiar el esquema, recuerde estos puntos clave:
Los cambios del esquema son globales en todo el bosque. Las ampliaciones del esquema no son reversibles (aunque puede modificar algunos atributos). Microsoft requiere que no se ample el esquema para adherirse a las reglas de nomenclatura (descritas en la subseccin anterior), tanto para el nombre LDAP para mostrar como para el nombre comn. El programa del logotipo Certificado para Windows7 exige el cumplimiento. Visite el sitio Web Microsoft Developer Network para obtener ms informacin al respecto. Todas las clases del esquema derivan de la clase especial Top. A excepcin de Top, todas las clases son subclases derivadas de otra clase. La herencia de atributos permite crear nuevas
clases a partir de las ya existentes. La nueva subclase hereda los atributos de su superclase (clase principal). La ampliacin del esquema es una operacin avanzada. Para obtener informacin detallada acerca de cmo ampliar el esquema mediante programa, consulte la seccin "Para obtener ms informacin" al final de este documento.
Convenciones objetos
de
nomenclatura
de
Active Directory admite varios formatos de nombres de objeto para admitir las distintas formas que puede adoptar un nombre, dependiendo del contexto en que se utilice (algunos nombres tienen formato numrico). En las siguientes subsecciones se describen estos tipos de convenciones de nomenclatura para los objetos de Active Directory:
Nombres de principales de seguridad. Identificadores de seguridad (tambin denominados Id. de seguridad o SID). Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y nombres cannicos). GUID de objeto. Nombres de inicio de sesin (incluidos UPN y nombres de cuentas SAM).
Si la organizacin tiene varios dominios, es posible utilizar el mismo nombre de usuario o de equipo en diferentes dominios. El Id. de seguridad, el GUID, el nombre completo LDAP y el nombre cannico generados por Active Directory identifican de forma nica a cada usuario o equipo del directorio. Si se cambia el nombre del objeto de usuario o de equipo, o se mueve a otro dominio, el Id. de seguridad, el nombre en referencia relativa LDAP, el nombre completo y el nombre cannico cambian, pero el GUID generado por Active Directory no cambia.
Nombres de principales de seguridadUn principal de seguridad es un objeto de Windows 2000 administrado por Active Directory al que se asigna automticamente un identificador de seguridad (SID) para la autenticacin de inicio de sesin y el acceso a los recursos. Un principal de seguridad puede ser una cuenta de usuario, una cuenta de equipo o un grupo, de modo que un nombre de principal de seguridad identifica de forma nica a un usuario, un equipo o un grupo dentro de un nico dominio. Un objeto de principal de seguridad debe estar autenticado por un
controlador del dominio en el que se encuentra el objeto y se le puede conceder o denegar el acceso a los recursos de la red. Un nombre de principal de seguridad no es nico entre dominios pero, por compatibilidad con versiones anteriores, debe ser nico en su propio dominio. Se puede cambiar el nombre de los objetos de principales de seguridad , se pueden mover o pueden estar dentro de una jerarqua de dominios anidados. Los nombres de los objetos de principales de seguridad deben ajustarse a las siguientes directrices:
El nombre no puede ser idntico a otro nombre de usuario, equipo o grupo del dominio. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: " / \ [ ] : ; | = , + * ? Un nombre de usuario, equipo o grupo no puede contener slo puntos (.) o espacios en blanco.
Id. de seguridad (SID)Un identificador de seguridad (SID) es un nombre nico creado por el subsistema de seguridad del sistema operativo Windows 2000 y se asigna a objetos de principales de seguridad; es decir, a cuentas de usuario, grupo y equipo. A cada cuenta de la red se le asigna un SID nico cuando se crea por primera vez. Los procesos internos del sistema operativo Windows 2000 hacen referencia al SID de las cuentas en vez de a los nombres de usuario o de grupo de las cuentas. Cada objeto de Active Directory est protegido mediante entradas de control de acceso (ACE) que identifican los usuarios o grupos que pueden tener acceso al objeto. Cada ACE contiene el SID de cada usuario o grupo con permiso de acceso a dicho objeto y define el nivel de acceso permitido. Por ejemplo, un usuario podra tener acceso de slo lectura a determinados archivos, acceso de lectura y escritura a otros y no tener acceso a otros archivos. Si crea una cuenta, la elimina y despus crea otra cuenta con el mismo nombre de usuario, la nueva cuenta no tendr los derechos o permisos concedidos anteriormente a la cuenta antigua, ya que los SID correspondientes a las cuentas son diferentes.
Nombres relacionados con LDAPActive Directory es un servicio de directorio compatible con el Protocolo compacto de acceso a directorios (LDAP). En el sistema operativo Windows 2000, todos los accesos a los objetos de Active Directory se producen a travs de LDAP. LDAP define las operaciones que se pueden realizar para consultar y modificar informacin en un directorio, y cmo se puede tener acceso de forma segura a la informacin de un directorio. Por tanto, se utiliza LDAP para buscar o enumerar objetos del directorio y para consultar o administrar Active
Directory. (Para obtener ms informacin acerca de LDAP, consulte la seccin "Protocolo compacto de acceso a directorios".) Es posible consultar mediante el nombre completo LDAP (que es un atributo del objeto), pero como resulta difcil de recordar, LDAP tambin admite la consulta por otros atributos (por ejemplo, color para buscar las impresoras en color). De esta forma puede buscar un objeto sin tener que saber su nombre completo. En las tres subsecciones siguientes se describen los formatos de nomenclatura de objetos admitidos por Active Directory, que se basan todos en el nombre completo LDAP:
Nombres DN y RDN de LDAP. Direcciones URL de LDAP. Nombres cannicos basados en LDAP.
Nombres DN y RDN de LDAP LDAP proporciona nombres completos (DN) y nombres en referencia relativa (RDN) para los objetos8. Active Directory implementa estas convenciones de nomenclatura LDAP con las variaciones que se muestran en la tabla 2. Tabla 2. Convenciones de nomenclatura de LDAP y sus correspondientes en Active Directory Convencin de Convencin de nomenclatura nomenclatura correspondiente en Active DN y RDN de LDAP Directory cn=nombre comn cn=nombre comn ou=unidad organizativa ou=unidad organizativa o=organizacin dc=componente de dominio c=pas (no se admite) Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se utiliza para describir el RDN de un objeto se denomina atributo de nomenclatura. Los atributos de nomenclatura de Active Directory, que se muestran en la columna derecha, corresponden a las siguientes clases de objetos de Active Directory:
cn se utiliza para la clase de objeto usuario ou se utiliza para la clase de objeto unidad organizativa (OU) dc se utiliza para la clase de objeto DnsDominio
Todos los objetos de Active Directory tienen un DN de LDAP. Los objetos se encuentran dentro de dominios de Active Directory segn una ruta de acceso jerrquica, que incluye las etiquetas del nombre de dominio de Active Directory y cada nivel de los objetos contenedores. La ruta de acceso completa al objeto la define el DN. El RDN define el nombre del objeto. El RDN es el segmento del DN de un objeto que es un atributo del propio objeto.
Al usar la ruta de acceso completa a un objeto, incluido el nombre de objeto y todos los objetos principales hasta la raz del dominio, el DN identifica un objeto nico dentro de la jerarqua de dominios. Cada RDN se almacena en la base de datos de Active Directory y contiene una referencia a su principal. Durante una operacin LDAP, se construye todo el DN siguiendo las referencias hasta la raz. En un DN de LDAP completo, el RDN del objeto que se va a identificar aparece a la izquierda con el nombre de la rama y termina a la derecha con el nombre de la raz, segn se muestra en este ejemplo:cn=JDoe,ou=Componentes,ou=Fabricacin,dc=ReginEEUU ,dcNombreOrganizacin.dc=com
El RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente (el objeto principal de JDoe) es ou=Componentes, etc. Las herramientas de Active Directory no muestran las abreviaturas de LDAP para los atributos de nomenclatura (dc=, ou= o cn=). Estas abreviaturas slo se muestran para ilustrar la forma en que LDAP reconoce las partes del DN. La mayora de las herramientas de Active Directory muestran los nombres de objeto en formato cannico (descrito ms adelante). El sistema operativo Windows 2000 utiliza el DN para permitir que un cliente LDAP recupere la informacin de un objeto del directorio, pero ninguna interfaz de usuario de Windows 2000 requiere escribir los DN. El uso explcito de DN, RDN y atributos de nomenclatura slo es necesario al escribir programas o secuencias de comandos compatibles con LDAP. Nombres de direcciones URL de LDAP Active Directory admite el acceso mediante el protocolo LDAP desde cualquier cliente habilitado para LDAP. En RFC 1959 se describe un formato para el Localizador de recursos universal (direccin URL) de LDAP que permite que los clientes de Internet tengan acceso directo al protocolo LDAP. Las direcciones URL de LDAP tambin se utilizan en secuencias de comandos. Una direccin URL de LDAP empieza con el prefijo "LDAP" y despus contiene el nombre del servidor que aloja los servicios de Active Directory, seguido del nombre de atributo del objeto (el nombre completo). Por ejemplo:LDAP://servidor1.ReginEEUU.nombreOrg.com/cn=JDoe, ou=Componentes,ou=Fabricacin,dc=ReginEEUU,dcNombreOrg,dc=com
Nombres cannicos de Active Directory basados en LDAP De forma predeterminada, las herramientas administrativas de Active Directory muestran los nombres de objeto con el formato de nombre cannico, que enumera los RDN desde la raz hacia abajo y sin los descriptores de atributos de nomenclatura de RFC 1779 (dc=, ou= o cn=). El nombre cannico utiliza el formato de nombres de dominio de DNS; es decir, los constituyentes de la seccin de etiquetas de dominio estn separados por puntos: ReginEEUU.NombreOrg.com. En la tabla 3 se muestran las diferencias entre el DN de LDAP y el mismo nombre en formato cannico.
Tabla 3. Diferencias entre el formato de DN de LDAP y el formato de nombre cannico El mismo nombre en dos formatos Nombr e DNcn=JDoe,ou=Componentes,ou=Fabricacin,dc=ReginEEUU,dcNombreOrg de .dc=com LDAP: Nombr e ReginEEUU.NombreOrg.com/Fabricacin/Componentes/JDoe cannic o:
GUID de objetoAdems de su DN de LDAP, cada objeto de Active Directory tiene un identificador nico global (GUID), un nmero de 128 bits que asigna el Agente del sistema del directorio cuando se crea el objeto. El GUID, que no se puede modificar ni mover, se almacena en un atributo, objectGUID, que es necesario para cada objeto. A diferencia de un DN o un RDN, que se puede modificar, el GUID nunca cambia. Cuando se almacena una referencia a un objeto de Active Directory en un almacn externo (por ejemplo, una base de datos de Microsoft SQL Server), debe utilizarse el valor de objectGUID.
Nombres de inicio de sesin: UPN y nombres de cuentas SAMComo se ha descrito anteriormente, los principales de seguridad son objetos a los se aplica la seguridad basada en Windows tanto para la autenticacin de inicio de sesin como para la autorizacin de acceso a los recursos. Los usuarios son un tipo de principal de seguridad. En el sistema operativo Windows 2000, los principales de seguridad de usuario requieren un nombre nico de inicio de sesin para obtener acceso a un dominio y sus recursos. En las dos subsecciones siguientes se describen los dos tipos de nombres de inicio de sesin: UPN y nombres de cuentas SAM. Nombre de principal de usuario En Active Directory, cada cuenta de usuario tiene un nombre de principal de usuario (UPN) con el formato @. Un UPN es un nombre descriptivo asignado por un administrador que es ms corto que el nombre completo LDAP utilizado el sistema y ms fcil de recordar. El UPN es independiente del DN del objeto de usuario, por lo que el objeto de usuario se puede mover o cambiar de nombre sin que ello afecte al nombre de inicio de sesin del usuario. Cuando se inicia una
sesin con un UPN, los usuarios ya no tienen que elegir un dominio de una lista en el cuadro de dilogo de inicio de sesin. Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesin del usuario), el carcter @ y el sufijo UPN (normalmente un nombre de dominio). El sufijo UPN predeterminado de una cuenta de usuario es el nombre DNS del dominio de Active Directory en el que se encuentra la cuenta de usuario9. Por ejemplo, el UPN del usuario John Doe, que tiene una cuenta de usuario en el dominio NombreOrg.com (si NombreOrg.com es el nico dominio del rbol), es [email protected]. El UPN es un atributo (userPrincipalName) del objeto de principal de seguridad. Si el atributo userPrincipalName de un objeto de usuario no tiene valor, el objeto tiene como UPN predeterminado nombreUsuario@nombreDominioDns. Si la organizacin tiene muchos dominios que forman un rbol de dominios profundo, organizado por departamentos y regiones, los nombres UPN predeterminados pueden llegar a ser bastante farragosos. Por ejemplo, el UPN predeterminado de un usuario podra ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesin para un usuario de dicho dominio es [email protected]. En vez de aceptar el nombre de dominio DNS predeterminado como el sufijo UPN, puede simplificar los procesos de administracin y de inicio de sesin de usuario si proporciona un nico sufijo UPN a todos los usuarios. (El sufijo UPN slo se utiliza dentro del dominio de Windows 2000 y no es necesario que sea un nombre vlido de dominio DNS.) Puede utilizar su nombre de dominio de correo electrnico como sufijo UPN: [email protected]. As, el usuario del ejemplo tendra el nombre UPN [email protected]. En el caso de un inicio de sesin basado en UPN, quizs sea necesario un catlogo global, dependiendo del usuario que inicie la sesin y la pertenencia al dominio del equipo del usuario. Se necesita un catlogo global si el usuario inicia la sesin con un nombre UPN que no sea el predeterminado y la cuenta de equipo del usuario se encuentra en un dominio distinto que la cuenta del usuario. Es decir, si en lugar de aceptar el nombre de dominio DNS predeterminado como sufijo UPN (como en el ejemplo anterior, [email protected]), proporciona un nico sufijo UPN para todos los usuarios (de forma que el usuario sea [email protected]), se necesita un catlogo global para el inicio de sesin. La herramienta Dominios y confianza de Active Directory se utiliza para administrar los sufijos UPN de un dominio. Los UPN se asignan en el momento de crear un usuario. Si ha creado sufijos adicionales para el dominio, puede elegir uno en la lista de sufijos disponibles al crear la cuenta de usuario o de grupo. Los sufijos aparecen en la lista en el siguiente orden:
Sufijos alternativos (si hay alguno, el ltimo que se ha creado aparecer en primer lugar). Dominio raz.
Dominio actual.
Nombre de cuenta SAM Un nombre de cuenta del Administrador de cuentas de seguridad (SAM) es necesario por compatibilidad con los dominios de Windows NT 3.x y Windows NT 4.0. La interfaz de usuario de Windows 2000 se refiere al nombre de cuenta SAM como "Nombre de inicio de sesin de usuario (anterior a Windows 2000)". Los nombres de cuentas SAM a veces se denominan nombres planos ya que, a diferencia de los nombres DNS, los nombres de cuentas SAM no utilizan una nomenclatura jerrquica. Como los nombres SAM son planos, cada uno debe ser nico en el dominio.
Publicacin de objetosPublicar es el acto de crear objetos en el directorio que contengan directamente la informacin que desea que est disponible o que proporcionen una referencia a dicha informacin. Por ejemplo, un objeto de usuario contiene informacin til acerca de los usuarios, como sus nmeros de telfono y sus direcciones de correo electrnico, y un objeto de volumen contiene una referencia a un volumen compartido de un sistema de archivos. A continuacin se ofrecen dos ejemplos: publicar objetos de archivo e impresin en Active Directory:
Publicacin de recursos compartidos. Puede publicar una carpeta compartida como un objeto de volumen (tambin denominado objeto de carpeta compartida) en Active Directory con el complemento Usuarios y grupos de Active Directory. Esto significa que los usuarios ahora pueden consultar fcil y rpidamente dicha carpeta compartida en Active Directory. Publicacin de impresoras. En un dominio de Windows 2000, la forma ms sencilla de administrar, buscar y conectarse a impresoras es mediante Active Directory. De forma predeterminada10, cuando agrega una impresora con el Asistente para agregar impresoras y decide compartirla, Windows 2000 Server la publica en el dominio como un objeto de Active Directory. Publicar (enumerar) impresoras en Active Directory permite a los usuarios encontrar la impresora ms adecuada. Ahora los usuarios pueden consultar fcilmente cualquiera de estas impresoras en Active Directory y buscar por atributos de impresora como tipo (PostScript, color, papel de tamao oficio, etc.) y ubicacin. Cuando se quita una impresora del servidor, ste anula la publicacin. Tambin puede publicar en Active Directory impresoras que no estn basadas en Windows 2000 (es decir, impresoras que estn servidores de impresin no basados en Windows 2000).
Para ello, utilice la herramienta Usuarios y equipos de Active Directory para escribir la ruta de acceso a la impresora segn la convencin de nomenclatura universal (UNC). De forma alternativa, utilice la secuencia de comandos Pubprn.vbs que se encuentra en la carpeta System32. La poltica de grupo Eliminacin de impresora de bajo nivel determina cmo el servicio de eliminacin (eliminacin automtica de impresoras) trata las impresoras que estn en servidores de impresin no basados en Windows 2000 cuando una impresora no est disponible.
Cundo publicarDebe publicar la informacin en Active Directory cuando sea til o interesante para una gran parte de la comunidad de usuarios y cuando sea necesario que est fcilmente accesible. La informacin publicada en Active Directory tiene dos caractersticas principales:
Relativamente esttica. Slo se publica la informacin que cambia con poca frecuencia. Los nmeros de telfono y las direcciones de correo electrnico son ejemplos de informacin relativamente esttica adecuada para publicar. El mensaje de correo electrnico seleccionado actualmente del usuario es un ejemplo de informacin que cambia con mucha frecuencia. Estructurada. Publicar informacin estructurada y que puede representarse como un conjunto de atributos discretos. La direccin comercial de un usuario es un ejemplo de informacin estructurada adecuada para publicar. Un clip de audio con la voz del usuario es un ejemplo de informacin sin estructurar ms adecuada para el sistema de archivos.
La informacin operativa utilizada por las aplicaciones es un candidato excelente para su publicacin en Active Directory. Esto incluye informacin de configuracin global que se aplica a todas las instancias de una aplicacin dada. Por ejemplo, un producto de base de datos relacional podra almacenar como un objeto de Active Directory la configuracin predeterminada de los servidores de bases de datos. Las nuevas instalaciones de ese producto podran recopilar la configuracin predeterminada de ese objeto, lo que simplifica el proceso de instalacin y mejora la coherencia de las instalaciones en una organizacin. Las aplicaciones tambin pueden publicar sus puntos de conexin en Active Directory. Los puntos de conexin se utilizan en los encuentros cliente-servidor. Active Directory define una arquitectura para la administracin de servicios integrados mediante objetos de Punto de administracin de servicios y proporciona puntos de conexin estndar para aplicaciones basadas en Llamada a procedimiento remoto (RPC), Winsock y Modelo de objetos componentes (COM). Las
aplicaciones que no utilizan las interfaces RPC o Winsock para publicar sus puntos de conexin pueden publicar explcitamente en Active Directory objetos de Punto de conexin de servicios. Tambin es posible publicar en el directorio los datos de aplicaciones utilizando objetos especficos de la aplicacin. Los datos especficos de una aplicacin deben cumplir los criterios descritos anteriormente. Es decir, la informacin debe ser de inters global, relativamente no voltil y estructurada.
Cmo publicarLos mtodos de publicar informacin varan dependiendo de la aplicacin o el servicio:
Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la familia RpcNs* de API para publicar sus puntos de conexin en el directorio y para consultar los puntos de conexin de servicios que han publicado los suyos. Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API Registration and Resolution (Registro y resolucin) disponibles en Winsock 2.0 para publicar sus puntos de conexin y para consultar los puntos de conexin de servicios que han publicado los suyos. Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM publican sus puntos de conexin mediante DCOM Class Store, que reside en Active Directory. DCOM es la especificacin del Modelo de objetos componentes (COM) de Microsoft que define cmo se comunican los componentes a travs de redes basadas en Windows. Utilice la herramienta Configuracin de DCOM para integrar aplicaciones clienteservidor en varios equipos. DCOM tambin puede utilizarse para integrar aplicaciones robustas de explorador Web.
Dominios: rboles, bosques, confianzas y unidades organizativasActive Directory consta de uno o varios dominios. Al crear el controlador de dominio inicial en una red tambin se crea el dominio; no puede haber un dominio sin que haya al menos un controlador de dominio. Cada dominio del directorio se identifica mediante un nombre de dominio DNS. La herramienta Dominios y confianza de Active Directory se utiliza para administrar dominios. Los dominios se utilizan para llevar a cabo los siguientes objetivos de administracin de red:
Delimitar la seguridad. Un dominio de Windows 2000 define un lmite de seguridad: Las polticas y la configuracin de seguridad (como los derechos administrativos y las listas de
control de acceso) no cruzan de un dominio a otro. Active Directory puede incluir uno o varios dominios, cada uno con sus propias polticas de seguridad. Informacin de replicacin. Un dominio es una particin del directorio de Windows 2000 (tambin denominado un contexto de nombres). Estas particiones del directorio son las unidades de replicacin. Cada dominio slo almacena la informacin acerca de los objetos que se encuentran en dicho dominio. Todos los controladores de un dominio pueden recibir cambios efectuados en los objetos y pueden replicar esos cambios a todos los dems controladores de dicho dominio. Aplicar Poltica de grupo. Un dominio define un mbito posible para la poltica (la configuracin de Poltica de grupo tambin puede aplicarse a unidades organizativas o a sitios). Al aplicar un objeto de poltica de grupo (GPO) al dominio se establece cmo se pueden configurar y utilizar los recursos del dominio. Por ejemplo, puede utilizar Poltica de grupo para controlar la configuracin del escritorio, como el bloqueo del escritorio y la distribucin de aplicaciones. Estas polticas slo se aplican dentro del dominio, no entre varios dominios. Estructurar la red. Como un dominio de Active Directory puede abarcar varios sitios y contener millones de objetos11, la mayora de las organizaciones no necesitan crear dominios independientes para reflejar las divisiones y los departamentos de la organizacin. Nunca debe ser necesario crear dominios adicionales para administrar objetos adicionales. Sin embargo, algunas organizaciones requieren varios dominios para incorporar, por ejemplo, unidades de negocio independientes o completamente autnomas que no desean que nadie externo a la unidad tenga autorizacin sobre sus objetos. Dichas organizaciones pueden crear dominios adicionales y organizarlos en un bosque de Active Directory. Otro motivo para dividir la red en dominios independientes es si dos partes de la red estn separadas por un vnculo tan lento que nunca se desea que tenga trfico de replicacin completa. (En el caso de los vnculos lentos que an pueden tratar trfico de replicacin con menos frecuencia, puede configurar un nico dominio con varios sitios.) Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000 puede delegar restrictivamente la autoridad administrativa tanto de unidades organizativas como de dominios individuales, lo que reduce el nmero de administradores necesarios con autoridad administrativa amplia. Como un dominio es un lmite de seguridad, los permisos administrativos de un dominio estn limitados al dominio de forma predeterminada. Por ejemplo, a un administrador con permisos para establecer polticas de seguridad en un dominio no se le concede automticamente autoridad para establecer polticas de seguridad en otro dominio del directorio.
Comprender los dominios incluye entender los rboles, bosques, confianzas y unidades organizativas, y cmo se relaciona cada una de estas estructuras con los dominios. En las siguientes subsecciones se describen cada uno de estos componentes de dominio:
rboles Bosques Relaciones de confianza Unidades organizativas
El sistema operativo Windows 2000 tambin presenta el concepto relacionado de sitios, pero la estructura de sitio y la estructura de dominio son independientes, con el fin de proporcionar administracin flexible, por lo que los sitios se tratarn en una seccin posterior. Este documento presenta los conceptos bsicos acerca de los dominios y los sitios basados en Windows 2000. Para obtener informacin detallada acerca de cmo planear su estructura y distribucin, consulte la Gua de diseo de la distribucin de Microsoft Windows 2000 Server en la seccin "Para obtener ms informacin", al final de este documento. Cuando lea las prximas subsecciones en las que se describen posibles estructuras de dominio, tenga en cuenta que, para muchas organizaciones, una estructura que conste de un nico dominio que sea a la vez un bosque con un nico rbol no slo es posible, sino que es la forma ptima de organizar la red. Empiece siempre con la estructura ms sencilla y aumente su complejidad slo cuando pueda justificarlo.
rbolesEn el sistema operativo Windows 2000, un rbol es un conjunto de uno o varios dominios con nombres contiguos. Si hay varios dominios, puede combinarlos en estructuras jerrquicas de rbol. Un posible motivo para tener varios rboles en el bosque es si una divisin de la organizacin tiene su propio nombre DNS registrado y ejecuta sus propios servidores DNS. El primer dominio creado es el dominio raz del primer rbol. Los dominios adicionales del mismo rbol son dominios secundarios. Un dominio situado inmediatamente por encima de otro dominio en el mismo rbol es su principal. Todos los dominios que tienen un dominio raz comn se dice que forman un espacio de nombres contiguos. Los dominios de un espacio de nombres contiguos (es decir, en un nico rbol) tiene nombres de dominio DNS contiguos que se forman de la siguiente manera: El nombre del dominio secundario aparece a la izquierda, separado del nombre de su dominio principal a la derecha por un punto. Cuando hay ms de dos dominios, cada uno tiene su principal a la derecha del nombre de dominio, tal como se muestra en la figura 3. Los dominios basados en Windows 2000 que forman un rbol estn vinculados
mediante relaciones de confianza bidireccionales y transitivas. Estas relaciones de confianza se describen ms adelante.
Figura 3. Dominios principales y secundarios en un rbol de dominios. Las flechas de dos puntas indican relaciones de confianza bidireccionales transitivas La relacin principal-secundario entre dominios de un rbol slo es una relacin de nomenclatura y una relacin de confianza. Los administradores de un dominio principal no lo son automticamente de un dominio secundario y las polticas establecidas en un dominio principal no se aplican automticamente a los dominios secundarios.
BosquesUn bosque de Active Directory es una base de datos distribuida, que est compuesta de varias bases de datos parciales repartidas en varios equipos. La distribucin de la base de datos aumenta la eficacia de la red, ya que permite ubicar los datos donde ms se utilizan. Los dominios definen las particiones de la base de datos del bosque; es decir, un bosque consta de uno o varios dominios. Todos los controladores de dominio de un bosque contienen una copia de los contenedores Configuracin y Esquema del bosque, adems de una base de datos del dominio. Una base de datos del dominio es una parte de una base de datos del bosque. Cada base de datos del dominio contiene objetos de directorio, como los objetos de principales de seguridad (usuarios, equipos y grupos) a los que puede conceder o denegar acceso a los recursos de la red. Con frecuencia, un nico bosque, que resulta fcil de crear y mantener, puede satisfacer las necesidades de una organizacin. Con un nico bosque no es necesario que los usuarios conozcan la estructura del directorio, ya que todos ven un nico directorio a travs del catlogo global. Cuando se agrega un dominio nuevo al bosque, no se requiere ninguna configuracin adicional de la confianza, ya que todos los dominios de un bosque estn conectados por una confianza bidireccional transitiva. En un bosque con varios dominios, slo es necesario aplicar una vez los cambios a la configuracin para que afecten a todos los dominios. No debe crear bosques adicionales a menos que tenga necesidad evidente de hacerlo, ya que cada bosque que cree supondr una carga adicional de administracin12. Un motivo posible para crear varios bosques es si la administracin de la red est distribuida entre varias divisiones autnomas que no estn de acuerdo en la administracin comn del esquema y los contenedores de
configuracin. Otro motivo para crear un bosque independiente es asegurarse de que a determinados usuarios nunca se les conceder acceso a ciertos recursos (en un bosque nico, todos los usuarios pueden incluirse en cualquier grupo o pueden aparecer en una lista de control de acceso discrecional, o DACL13, en cualquier equipo del bosque). Con bosques independientes, es posible definir relaciones de confianza explcita para conceder a los usuarios de un bosque acceso a determinados recursos del otro bosque. (Para ver un ejemplo de dos bosques, consulte la figura 7 en la seccin "Ejemplo: entorno mixto de dos bosques y una extranet".) Varios rboles de dominio dentro de un nico bosque no constituyen un espacio de nombres contiguos; es decir, tienen nombres de dominio DNS que no son contiguos. Aunque los rboles de un bosque no comparten un espacio de nombres, un bosque tiene un nico dominio raz, denominado dominio raz del bosque. El dominio raz del bosque es, por definicin, el primer dominio creado en el bosque. Los dos grupos predefinidos para todo el bosque, Administradores de empresa y Administradores del esquema, residen en este dominio. Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de los tres rboles de dominios (RRHH-Raz.com, RazEuropa.com y RazAsia.com) tiene un dominio secundario para Contabilidad denominado "Contab", los nombres DNS de estos dominios secundarios son Contab.OfC-Raz.com, Contab.RazEuropa.com y Contab.RazAsia.com, respectivamente. No hay ningn espacio de nombres compartido. Figura 4. Un bosque con tres rboles de dominios. Los tres dominios raz no son contiguos, pero RazEuropa.com y RazAsia.com son dominios secundarios de OfC-Raz.com. El dominio raz de cada rbol de dominios del bosque establece una relacin de confianza transitiva (que se explica con ms detalle en la prxima seccin) con el dominio raz del bosque. En la figura 4, OfCRaz.com es el dominio raz del bosque. Los dominios raz de los dems rboles de dominios, RazEuropa.com y RazAsia.com, tienen relaciones de confianza transitiva con OfC-Raz.com, que establece la confianza entre todos los rboles de dominios del bosque. Todos los dominios de Windows 2000 en todos los rboles de dominios de un bosque tienen las siguientes caractersticas:
Tienen relaciones de confianza transitiva entre los dominios de cada rbol. Tienen relaciones de confianza transitiva entre los rboles de dominios de un bosque. Comparten informacin de configuracin comn. Comparten un esquema comn. Comparten un catlogo global comn.
Importante Es fcil agregar nuevos dominios a un bosque. Sin embargo, no puede mover dominios existentes de Active Directory de Windows 2000 de un bosque a otro. Slo puede quitar un dominio del bosque si no tiene dominios secundarios. Despus de establecer un
dominio raz del rbol no puede agregar un dominio con un nombre nivel superior al bosque. No puede crear un dominio principal de uno ya existente; slo puede crear uno secundario. La implementacin de rboles de dominios y de bosques permite utilizar convenciones de nomenclatura tanto contiguas como no contiguas. Esta flexibilidad puede resultar til, por ejemplo, en organizaciones con divisiones independientes cada una de las cuales desee mantener su propio nombre DNS, como Microsoft.com y MSNBC.com.
Relaciones de confianzaUna relacin de confianza es una relacin que se establece entre dos dominios y permite que un controlador del otro dominio reconozca los usuarios de un dominio. Las confianzas permiten que los usuarios tengan acceso a los recursos del otro dominio y tambin permite que los administradores controlen los derechos de los usuarios del otro dominio. Para los equipos que ejecutan Windows 2000, la autenticacin de cuentas entre dominios se habilita mediante relaciones de confianza transitivas bidireccionales. Todas las confianzas de dominio en un bosque basado en Windows 2000 son bidireccionales y transitivas, definidas de la siguiente forma:
Bidireccional. Cuando crea un nuevo dominio secundario, ste confa automticamente en el dominio principal y viceversa. En la prctica, esto significa que las solicitudes de autenticacin pueden pasarse entre los dos dominios en ambas direcciones. Transitiva. Una confianza transitiva va ms all de los dos dominios de la relacin de confianza inicial. Funciona del siguiente modo: Si el dominio A y el dominio B (principal y secundario) confan el uno en el otro y si el dominio B y el dominio C (tambin principal y secundario) confan el uno en el otro, entonces el dominio A y el dominio C confan entre s (implcitamente), incluso aunque no exista una relacin de confianza directa entre ellos. En el nivel del bosque, se crea automticamente una relacin de confianza entre el dominio raz del bosque y el dominio raz de cada rbol de dominios agregado al bosque, con lo que existe una confianza completa entre todos los dominios de un bosque de Active Directory. En la prctica, como las relaciones de confianza son transitivas, un proceso de inicio de sesin nico permite que el sistema autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este proceso de inicio de sesin nico permite que la cuenta tenga acceso a los recursos de cualquier dominio del bosque.
Sin embargo, tenga en cuenta que el inicio de sesin nico habilitado mediante confianzas no implica necesariamente que el usuario
autenticado tenga derechos y permisos en todos los dominios del bosque. Adems de las confianzas bidireccionales transitivas en todo el bosque generadas automticamente en el sistema operativo Windows 2000, puede crear explcitamente los dos tipos siguientes de relaciones de confianza adicionales: No hay una conexin necesaria entre espacios de nombres de sitios y dominios.
No hay una correlacin necesaria entre la estructura fsica de la red y su estructura de dominios. Sin embargo, en muchas organizaciones los dominios se configuran para reflejar la estructura fsica de la red. Esto se debe a que los dominios son particiones y este hecho influye en la replicacin: al dividir el bosque en varios dominios ms pequeos se puede reducir el trfico de replicacin. Active Directory permite que aparezcan varios dominios en un nico sitio y que un nico dominio aparezca en varios sitios.
Cmo utiliza Active Directory la informacin de sitiosLa informacin de sitios se especifica mediante Sitios y servicios de Active Directory; a continuacin, Active Directory usa esta informacin para determinar cmo utilizar mejor los recursos de red disponibles. Usar sitios hace que los siguientes tipos de operaciones sean ms eficaces:
Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio de un controlador de dominio, ste dirige la solicitud a un controlador del mismo sitio, si hay alguno disponible. Seleccionar un controlador de dominio que est bien conectado al cliente que realiz la solicitud hace que el tratamiento de la solicitud sea ms eficaz. Por ejemplo, cuando un cliente inicia la sesin mediante una cuenta de dominio, el mecanismo de inicio de sesin busca primero controladores de dominio que se encuentren en el mismo sitio que el cliente. Si se intenta usar primero los controladores de dominio en el sitio del cliente se delimita el trfico de red, con lo que se aumenta la eficacia del proceso de autenticacin. Replicar datos del directorio. Los sitios permiten la replicacin de los datos del directorio tanto dentro como entre sitios. Active Director