Antes de trabajar directamente con Active Directory de Windows Server 2003, es importante que usted

como Ingeniero de Sistemas, comprenda ntegramente sus estructuras lgicas y fsicas, el servicio de
directorio, las diferentes herramientas de administracin y los conceptos bsicos del diseo, planeacin
e implementacin de Active Directory.

Active Directory almacena informacin acerca de los usuarios, equipos y recursos de red y permite el
acceso a los recursos por parte de usuarios y aplicaciones. Asimismo proporciona una forma coherente
de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la informacin sobre
estos recursos.

Active Directory proporciona un almacenamiento seguro de informacin sobre los objetos en su

estructura lgica jerrquica. Los objetos de Active Directory, representan a los usuarios y a los
recursos, como equipos e impresoras. Las clases de objetos son plantillas o planos tcnicos de los tipos
de objetos que se pueden crear en Active Directory. Cada clase de objetos se define mediante un grupo
de atributos, que definen a su vez los posibles valores que se pueden asociar con un objeto. Cada objeto
tiene una combinacin nica de valores de atributos. Mediante la estructuracin de los objetos por
unidades organizativas facilita su localizacin y administracin. Tambin se puede delegar la autoridad
para administrar una unidad organizativa. Las unidades organizativas pueden estar anidadas en otras
unidades organizativas lo que simplifica an ms la administracin de objetos

Un dominio es una coleccin de objetos definidos administrativamente que comparten una base de
datos de directorio en comn, de directivas directivas de seguridad y relaciones de confianza con otros
dominios. Actan como lmite administrativo para los objetos, ayudan a administrar la seguridad en los
recursos compartidos y sirven como unidad de replicacin de los objetos. Los dominios que se
agrupan en estructuras jerarquicas se llaman rboles de dominios. Al agregar un segundo dominio
a un rbol, se convierte en el secundario del dominio raz de rbol. El dominio al que est adjunto un
dominio secundario se denomina dominio primario. Un dominio secundario puede a su vez, tener su
propio dominio secundario. Un bosque es una instancia completa de Active Directory. Consta de uno o
varios rboles. En un rbol de dos niveles, que se recomienda para la mayora de las organizaciones,
todos los dominios secundarios se convierten en secundarios del dominio raz del bosque para formar
un rbol contiguo.

Mientras que la estructura lgica determina los requisitos administrativos, la estructura fsica de Active
Directory optimiza el trfico de red mediante la determinacin del lugar y el momento en que se
produce la replicacin y el trfico de conexin. Es precioso comprender esta estructura fsica para
optimizar el uso que hace Active Directory del ancho de banda de la red. Los controladores de dominio
ejecutan active directory y Microsoft Windows server 2003 o Microsoft Windows 2000 server. Cada
controlador de dominio realiza funciones de almacenamiento y replicacin compatibles con un solo
dominio. Para garantizar la disponibilidad continua de Active Directory, cada dominio debe tener ms
de un controlador. Los sitios de Active Directory son grupos de equipos bien conectados. Al
establecer sitios, los controladores de dominio son un nico sitio, se comunican con frecuencia. Esta
comunicacin reduce la latencia dentro del sitio. Se pueden crear sitios para optimizar el uso del ancho
de banda entre los controladores de dominio que estn en ubicaciones diferentes.

Las funciones de maestro de operaciones son funciones especficas en las que se organizan las
operaciones que utilizan la replicacin de maestro nico. La replicacin de maestro nico designa un
controlador de dominio como el nico controlador de dominio en el que pueden realizarse ciertos
cambios en el directorio. Esto se hace para evitar conflictos de replicacin que pueden presentarse si
dos controladores de dominio realizan actualizaciones originarias en el mismo atributo de objeto.
Active Directory utiliza la replicacin de maestro nico para cambios importantes, como la adicin de
un nuevo dominio o un cambio en el esquema de todo el bosque. El controlador de dominio que es
responsable de una funcin en particular es el maestro de operaciones de esa funcin. Active Directory
almacena la informacin acerca del controlador de dominio que tiene una funcin especfica. Active
Directory define cinco funciones de maestro de operaciones, con una ubicacin predeterminada para
cada una. Las funciones de maestro de operaciones abarcan todo el bosque y tres funciones que abarcan
todo el dominio.

Las funciones que abarcan todo el bosque, exclusivas de cada uno de ellos, incluyen el maestro de
esquema, que controla todas las actualizaciones del esquema. El esquema contiene una lista general de
clases de objetos y atributos que se utilizan para crear todos los objetos de Active Directory como, por
ejemplo, usuarios, equipos e impresoras. La otra funcin que abarca todo el bosque el maestro de
nombres de dominio controla la adicin o eliminacin de dominios en el bosque. Slo el controlador de
dominio que tiene la funcin de maestro de nombres de dominio puede agregar un nuevo dominio. Slo
existe un maestro de esquema y un maestro de nombres de dominio en todo el bosque.

Las funciones para todo el dominio son exclusivas de cada dominio en un bosque. Las funciones que
abarcan todo el dominio son el emulador del controlador principal de dominio (PDC), el maestro de
identificadores relativos (RID) y el maestro de infraestructura. Cada dominio de un bosque tiene su
propio emulador de PDC, maestro de RID y maestro de infraestructura. El emulador de PDC, el primer
controlador de dominio que se crea en un nuevo dominio, acepta los controladores de dominio de
reserva (BDC) que ejecutan Microsoft Windows NT dentro de un dominio de modo mixto. Este tipo de
dominio tiene controladores de dominio que ejecutan Windows NT 4.0. El maestro de RID asigna
bloques de identificadores relativos a cada controlador de dominio en el dominio. Cuando se mueven
objetos de un dominio a otro, el maestro de infraestructura actualiza las referencias a objetos en su
dominio que apuntan al objeto en el otro dominio. Al referencia al objeto contiene el identificador
nico global (GUID) y un identificador de seguridad (SID). Active Directory actualiza periodicamente
el nombre completo y el SID en la referencia al objeto para que se reflejen los cambios realizados en el
objeto propiamente dicho, como los movimientos dentro de los dominios y entre estos y la eliminacin
del objeto.

Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y
aplicaciones obtener acceso a estos recursos e informacin, se necesita un mtodo sistemtico para
asignar nombres, describir, localizar, obtener acceso, administrar y proteger la informacin de estos
recursos. Un servicio de directorio lleva a cabo esta funcin porque acta como un repositorio
estructurado de informacin sobre las personas y recursos de una organizacin. En una red de Windows
Server 2003, este servicio de directorio se llama Active Directory.

Active Directory tiene cuatro capacidades principales:

El esquema de Active Directory define las clases de objetos, los tipos de informacin sobre dichos
objetos y la configuracin de seguridad predeterminada para ellos que se puedan almacenar en Active
Directory. En los controladores de dominio que ejecutan Windows Server 2003, slo existe un esquema
para un bosque completo. De este modo, todos los objetos creados en Active Directory se ajustan a las
mismas reglas. El esquema tiene dos tipos de definiciones. Estas son las clases de objetos y los
atributos. Las clases de objetos, como usuario, equipo e impresora, describen los posibles objetos de
directorio que se pueden crear. Los atributos se definen independientemente de las clases de objetos.
Cada atributo se define slo una vez y se puede utilizar en varias clases de objetos. Por ejemplo el
atributo descripcin se utiliza en muchas clases de objetos, pero se define slo una vez en el esquema
para garantizar la congruencia.

El catlogo global es un repositorio de informacin que contiene un subconjunto de los atributos de

todos los objetos de Active Directory, lo que facilita al usuario la bsqueda de recursos en dominios y
bosques. Por ejemplo, si busca todos los equipos de un bosque, un servidor de catlogo global, procesa
la consulta en el catlogo global, y, a continuacin, devuelve los resultados. Sin un servidor de catlogo
global, esta consulta requerira una bsqueda en cada dominio del bosque. El catlogo global permite a
los usuarios realizar dos importantes funciones. stas incluyen buscar la informacin de Active
Directory en cualquier lugar del bosque, independientemente de la ubicacin de los datos, y utilizar la
informacin de pertenencia al grupo universal para iniciar la sesin en la red.

El protocolo ligero de acceso al directorio (LDAP) utiliza el nombre completo para representar un
objeto de Active Directory por medio de una serie de componentes que se relacionan con su estructura
lgica. Identifica el dominio donde est situado el objeto y ruta completa para llegar a l. Los nombres
completos deben de ser nicos en un bosque de Active Directory. Cada elemento de la estructura lgica
se representa con el nombre completo. CN es el nombre comn del objeto en su contenedor. OU es la
unidad organizativa que contiene el objeto. Puede haber ms de un valor de OU si el objeto reside en
una unidad organizativa anidada. DC es un componente de dominio, como com o msft. Siempre
hay por lo menos dos componentes de dominio, pero es posible que existan ms si el dominio es
secundario. Los componentes del dominio del nombre completo se basan en el Sistemas de Nombres de
Dominio, DNS (DOMAIN NAME SYSTEM).

El nombre completo relativo de un objeto identifica de manera nica el objeto en su contenedor.

Ningn objeto puede tener el mismo nombre que otro en el mismo contenedor. El nombre completo
relativo es siempre el primer componente del nombre completo, pero puede que no siempre sea un
nombre comn. En el caso sales es el nombre completo relativo de una unidad organizativa que se
representa mediante la ruta de nombre de LDAP.

Active Directory permite que se pueda iniciar sesin una nica vez (SSO) incorporando la
autenticacin y la autorizacin en el inicio de sesin de modo que los usuarios puedan tener acceso a
los recursos autorizados. Para permitir dicho acceso, se utilizan conjuntamente en Active Directory los
atributos, el catlogo globa, LDAP y el inicio de sesin nico.

Cuando un usuario inicia sesin en un dominio, el SSO permite al usuario autenticarse en todos los
dominios de confianza y tener acceso a los recursos que est autorizada a utilizar en estos
dominios.ste inicio de sesin nico consiste en dos pasos. El primero es autenticacin. En sta se
comprueban las credenciales que se usan en el intento de conexin.La segunda es la autorizacin, el
que comprueba si el intento de conexin est permitido. La autorizacin slo tiene lugar una vez que se

ha realizado una autenticacin correcta.

Para comenzar el proceso de autenticacin, el usuario especifica las credenciales en una estacin de
trabajo para iniciar sesin. El cliente cifra las credenciales y las enva a un controlador de dominio
correspondiente al dominio del cliente. El centro de distribucin de claves (KDC) compara las
credenciales con las que se almacenan en el. El KDC determina si las credenciales coinciden. Si las
credenciales no coinciden, el usuario tendr que volver a introducir sus credenciales. Si coinciden el

proceso contina. El controlador de dominio crea una lista de grupos basados en el dominio a los que
pertence el usuario y enva una consulta al catlogo global para identificar los grupos universales del
usuario. El KDC emite un vale de concecin de vales (TGT), que contiene los identificadores de
seguridad (SID) cifrados que corresponden a los grupos de los que el usuario es miembro. Ahora, el
usuario se ha autenticado y puede solicitar acceso a los recursos.

El proceso de autorizacin comienza cuando el cliente solicita acceso a un recurso que reside en un
servidor especfico. El cliente usa el TGT para tener acceso al servicio de concesin de vales (TGS) en
el controlador de dominio. El TGS emite un vale de sesin al cliente para el servidor donde reside el
recurso. El vale de sesin contiene los identificadores de seguridad para los miembros del grupo del
usuario. El cliente presenta el vale de sesin al servidor. La autoridad de seguridad local (LSA) del

servidor usa la informacin del vale de sesin para crear un testigo de acceso. La LSA compara los SID
en el testigo de acceso con los grupos a los que se ha asignado permiso en la lista el control de acceso
discrecional (DACL) del recurso. La LSA determina si las credenciales coinciden. Si las credenciales
no coinciden, el proceso de autenticacin volver a comenzar. Si coinciden, se concede al usuario
acceso al recurso.

Active Directory incluye varias caractersticas que adminiten la administracin centralizada:

Active Directory tambin admite la administracin descentralizada. Se pueden asignar permisos y

conceder derechos de usuario de formas muy especificas. Por ejemplo se pueden delegar privilegios
administrativos para determinados objetos a los equipos de ventas y mercadotecnia de una
organizacin.

Windows Server 2003 ofrece varios complementos para administrar Active Directory

Windows Server 2003 ofrece varias herramientas de lnea de comandos para administrar los objetos de
Active Directory

Puede usar otro grupo de herramientas de lnea de comandos de Windows Server 2003 para ejecutar
consultas y administrar los datos de Active Directory.

Puede crear secuencias de comandos de Windows Script Host que utilicen ADSI para realizar las
diferentes tareas, como recuperar informacin sobre los objetos de Active Directory, agregar objetos a
Active Directory, modificar los valores de los atributos de los objetos de Active Directory. Eliminar
objetos de Active Directory y ampliar el esquema de Active Directory. ADSI utiliza el protocolo LDAP
para comunicarse con Active Directory.

La implementacin de Active Directory se inicia con la creacin del diseo de Active Directory. El
diseo se utiliza para planear la implementacin de Active Directory y, a continuacin, implementar
Active Directory. Uno o varios arquitectos de sistemas crean el diseo de Active Directory, de acuerdo
con los requisitos empresariales de una organizacin. Estos requisitos empresariales determinan las
especificaciones funcionales del diseo. El plan de implementacin de Active Directory determina
cmo se implementa el diseo de Active Directory, de acuerdo con la infraestructura de hardware
de la organizacin. Durante la implementacin de Active Directory, los ingenieros de soporte
crean la estructura del bosque y dominios e implementan los servidores; crean la estructura de
unidades organizativas; crean las cuentas de usuarios y equipos; crean los grupos de seguridad y
distribucin; crean los objetos de directiva de grupo (GPO) y los aplican a dominios, sitios y
unidades organizativas; y crean las directivas de distribucin de software.

El diseo de Active Directory supone varias tareas, que definene los requisitos funcionales para un
componente de una implementacin de Active Directory. Defina la necesidad del servicio de directorio
y los requisitos empresariales del proyecto. Entre los ejemplos de informacin organizativa se incluye
un perfil organizativo avanzado, ubicaciones geogrficas de la organizacin, infraestructura tcnica y
de red y planes de cambios en la organizacin. Analice la informacin recopilada para evaluar su
relevancia y valor para el proceso de diseo. Determina la informacin ms importante y los
componentes del diseo de Active Directory a los que afectar la informacin. Debe estar preparado
para aplicar la informacin en todo el proceso del diseo.

Al analizar los requisitos empresariales especficos, varias opciones de diseo pueden satisfacer los
requisitos empresariales. Cada opcin seleccionada puede afectar a otros componentes del diseo, por
lo que debe existir cierta flexibilidad en el enfoque del diseo durante todo el proceso. Elabore varios
diseos de Active Directory y, a continuacin, compare sus puntos fuertes y dbiles. Al seleccionar un
diseo, examine los requisitos empresariales conflictivos y considere sus efectos en las opciones de
diseo. Seleccione el diseo que cumpla con la mayora de requisitos empresariales y represente la
mejor opcin en general. Probablemente tenga que cambiar la primera versin del plan de diseo antes
de la fase experimental de la implementacin. Debe tomar en consideracin muchas variables al
disear la infraestructura de Active Directory. Revise y perfeccione cada concepto de diseo varias
veces para adaptarlo a todos los requisitos empresariales.

La salida de Active Directory incluye varios elementos:

La salida del proceso de planeacin es el plan de implementacin de Active Directory. Este plan consta
de varios planes que definen los requisitos funcionales para un componente especfico de una
implementacin de Active Directory. La estrategia de cuentas permite incluir informacin, como,
directrices para nombres de cuentas y directivas bloqueo, la directiva de contraseas y las directrices
para la configuracin de seguridad de objetos. La estrategia de auditora permite determinar cmo
supervisar las modificaciones en objetos de Active Directory. El plan de implementacin de unidades
organizativas permite qu unidades organizativas crear y cmo crearlas. Por ejemplo, el plan de
implementacin podra especificar las unidades organizativas que se implementarn, como ventas,
recursos humanos y produccin, organizadas por unidad de negocios dentro de cada zona geogrfica.
El plan tambin proporciona directrices para la delegacin de autoridad.

El plan de directiva de grupo determina quin crea, vincula y administra los objetos de directiva de
grupo y cmo se implementar la directiva de grupo. El plan de sitio especifica los sitios y la
programacin de vinculos. Tambin permite especificar la programacin y el intervalo de replicacin,
as como las directrices para garantizar y configurar la replicacin entre sitios. El plan de
implementacin de software permite especificar cmo se utilizarn las directivas de grupo para
implementar un nuevo software y las actualizaciones del software. Por ejemplo, se puede especificar si
las actualizaciones de software son obligatorias u opcionales. El plan de ubicacin de servidores
permite especificar la ubicacin de controladores de dominio, servidores de catlogo global, servidores
DNS integrados en active directory y maestros de operaciones. Tambin permite especificar si se
habilitar almacenamiento en cach de la pertenencia al grupo universal de sitios que no dispongan de
un servidor de catlogo global. Una vez completado el plan de cada componente. Combnelos para
formar el plan de implementacin de Active Directory completo.

Una vez que el plan de implementacin de Active Directory est disponible, se puede iniciar la
implementacin de Active Directory de acuerdo con el plan de diseo mediante la realizacin de varias
tareas fundamentales. La primera tarea ser crear el dominio raz del bosque, los rboles de dominios y
los dominios secundarios que constituyen la jerarqua de bosques y dominios. Acontinuacin, cree la
estructura de unidades organizativas para cada dominio en cada bosque, cree grupos de seguridad y
delegue autoridad administrativa a grupos administrativos a cada unidad organizativa. En tercer
trmino, importe cuentas de usuario a Active Directory. En seguida, cree objetos de directiva de grupo
(GPO) basado en la directiva de estrategias de grupo, y vinclelos a sitios, dominios o unidades
organizativa. Por ltimo, cree sitios, segn el plan de sitios, cree vinculos a sitios, configure la
programacin a los sitios e implemente controladores de dominio, servidores de catlogo global,
servidores DNS y maestro de operaciones en sitios.