Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introduccin
En un entorno empresarial, los usuarios, sus equipos informticos y el resto de dispositivos
que conformen la red de la organizacin, podrn compartir informacin entre ellos.
Para un administrador de sistemas, la forma ms sencilla de poder organizar todos estos
recursos es mediante la creacin de un dominio de sistemas, a partir del cual podamos
realizar todas las tareas asociadas con la parte administrativa y de seguridad de
una forma centralizada en un servidor, o en varios si es necesario.
Para ello, el sistema operativo Windows Server 2008 utiliza el concepto de directorio. Para
la implementacin de estos dominios de sistemas Windows, ya sean en versin para
servidores como para equipos clientes (Windows XP, Windows Vista o Windows 7).
Directorio
Servicios de Directorio
En la actualidad, existen varios estndares para la implementacin de servicios de directorio, como por
ejemplo el Directory Access Protocol, o la versin ms utilizada del mismo, que es ms simplificada,
denominada LDAP(Lightweight Directory Access Protocol).
El servicio de directorio utilizado en Windows Server 2008 es el comnmente denominado Directorio Activo
o
Servicios de Dominio del Directorio Activo (Active Directory Domain Services, AD DS).
Estructura lgica
En la parte relativa a la estructura lgica de la organizacin,
el elemento ms importante en la que se basa es el
dominio, dentro del cual podremos administrar los diferentes
usuarios, ordenadores, grupos, directivas, etc.
A su vez, un dominio podr ser dividido en unidades
organizativas, que nos evitar tener que crear varios dominios
para nuestra organizacin de tal forma que puedan ser
administradas de forma independiente.
Pero si fuera necesaria la creacin de otros dominios, podramos
hacerlo mediante los conceptos de rbol y bosque. Los dos son
jerarquas de dominios a distintos niveles, en funcin de si los
dominios van a compartir o no un espacio de nombres comn.
Por otro lado, estarn los objetos, que sern los diferentes
recursos y usuarios, y son la unidad mnima dentro de
la estructura lgica de Active Directory.
Dominio
rbol y Bosque
Unidades Organizativas
Sitios
Catlogo Global
Esquema
Usuarios
Grupos
Equipos
Protocolos de
Autenticacin
Dominio
El dominio ser el principal elemento dentro de una estructura de
Active Directory. Estar formado por un conjunto de equipos, que
van a compartir informacin almacenada en una base de datos.
En un dominio, al menos, tendr que existir un servidor que tenga
instalado Windows Server 2008 y que est actuando como Controlador
de Dominio(DC) y un nmero variable de equipos clientes, que recibirn
la denominacin de miembros del dominio.
Este dominio, estar unvocamente identificado gracias a un nombre de
dominio DNS, que a su vez ser el sufijo DNS principal de todos los
miembros del dominio, y esto incluye tambin a el o los controladores de
dominio.
Funcionalidades de un Dominio
Mediante la implementacin de dominios, podremos obtener las siguientes funcionalidades:
Funcionalidades de un Dominio
rbol de dominio
Un rbol estar formado por uno o ms dominios dentro de un mismo bosque y compartirn
un espacio de nombres contiguo (sufijo DNS comn).
El primer dominio que se crea ser el dominio raz del bosque, que ser creado en
ese momento y siendo el primer rbol de dicho bosque. Cuando se decida aadir un
nuevo dominio, ste se convertir en un dominio secundario de alguno de los dominios
existentes, que se convertir en un dominio padre. Estos dominios secundarios suelen ser
utilizados para delimitar zonas geogrficas de la organizacin o diferentes departamentos.
Por ejemplo.
Una vez formado el rbol de dominios, las relaciones padre-hijo entre ellos es una relacin
de confianza, donde cada uno seguir manteniendo sus propias caractersticas e
independencia. De esta forma, un dominio padre no ser automticamente el administrador
del dominio hijo, ni las polticas que tenga configuradas en su dominio, sern automticamente
aplicadas al hijo.
Bosque
Un bosque estar compuesto por un grupo de rboles
que no van a compartir un espacio de nombres
contiguo, y que estarn interconectados a travs de
relaciones de confianza bidireccionales. Es importante
comprender que independientemente de cul sea la
cantidad y estructuracin de los dominios que puedan
localizarse dentro de una organizacin, todos juntos
formarn un nico bosque.
Unidades organizativas
Una unidad organizativa (Organizational Unit, OU) es un objeto
del Directorio Activo que a su vez va a contener a otros
objetos del directorio. Por lo tanto, dentro de una Unidad
Organizativa, podremos encontrar objetos como cuentas de
usuario, de grupo, de equipo, recursos compartidos como
impresoras e incluso otras unidades organizativas.
Mediante las unidades organizativas, podremos crear estructuras
jerrquicas de objetos pertenecientes al directorio, que podrn
ser movidos de una unidad organizativa a otra si fuera necesario.
Podremos conseguir los siguientes objetivos fundamentales:
Configurar polticas independientes a usuarios y equipos.
Delegacin de tareas administrativas.
Estructura fsica
Sitios
Un sitio es una combinacin de una o varias subredes
IP en nuestra organizacin que estarn conectadas
entre
ellas.
Aprovechando
esta
circunstancia,
configuraremos la topologa de replicacin y la forma
de acceder al Active Directory, para que de esta
forma los sistemas Windows Server 2008
puedan
realizar de manera ms eficiente el trfico de inicio de
sesin y la replicacin.
Un sitio ser creado por dos razones principalmente:
Optimizar el trfico de replicacin.
Que los usuarios puedan conectarse a un controlador de
dominio a travs de una conexin de alta velocidad.
En resumen, podramos decir que los sitios definen la estructura fsica
de la red mientras que los dominios definirn la estructura lgica de
la organizacin.
Controladores de dominio
El controlador de dominio (Domain Controller, DC), ser un equipo
que tendr instalado un sistema operativo Windows Server, ya sea
2008 o anteriores versiones, y que almacenar una rplica del
directorio activo. Otras operaciones importantes que realizar
sern la de otorgar a los usuarios la posibilidad de autenticarse
mediante el protocolo Kerberos, as como la consulta de
informacin del directorio mediante el protocolo LDAP.
La informacin que va a almacenar cada controlador de dominio
est dividida en cuatro particiones, que van a constituir
las unidades de replicacin, y sern las siguientes:
Particin del directorio de esquema.
Particin de directorio de configuracin.
Particin de directorio de dominio.
Particiones de directorio de aplicaciones.
Controladores de dominio
Particin del directorio de esquema: contendr la
definicin de los tipos de objetos que pueden ser
creados, y que sern comunes a todos los dominios del
bosque, replicndose por todos los controladores de
dominios del bosque. Por cada bosque, solo habr un
controlador de dominio que podr modificar el esquema,
mientras para el resto, la particin ser de solo lectura.
Particin de directorio de configuracin: contendr los
datos relativos a la estructura de los dominios y la
topologa de replicacin, que sern comunes a todos
los dominios del bosque, y que sern replicados por
todos los controladores de dominio. A diferencia de la
particin anterior, cuando
cualquier controlador de
dominio necesite modificar esta particin, tendr permiso
para ello y los cambios sern replicados al resto de
controladores de dominio del bosque.
Controladores de dominio
El catlogo global
Incluir la informacin necesaria para que pueda determinarse
la ubicacin de cualquier objeto de la organizacin. Los
siguientes elementos formarn parte del catlogo global:
Atributos que sean utilizados con ms frecuencia en las
consultas: nombre, apellido o nombre de inicio de sesin de
un usuario, por ejemplo.
Informacin que sea relevante
para
la ubicacin de un objeto en el directorio.
poder
concretar
El catlogo global
De esta forma, un servidor de catlogo global ser el controlador de
dominio que va a almacenar una copia de dicho catlogo y se encargar de
ejecutar las consultas que se puedan realizar al mismo.
Por cada bosque ser necesario la existencia de, al menos, un controlador
de dominio que est configurado para realizar estas tareas, y que ser creado
en el momento en el que se crea el primer controlador de dominio del bosque.
Si tenemos una cantidad considerable de dominios, ser necesario que otros
controladores ejerzan tambin las funciones de servidor de catlogo
global, para poder balancear el trfico de autenticacin de inicios de
sesin y transferencias de consultas.