Conceptos básicos

Resumen Técnico de Active Directory

Windows® 2000

Sistema Operativo de Servidor

Documentos Estratégicos

Resumen

Introducción

Este documento proporciona una introducción técnica al Active Directory, el

nuevo servicio de directorio proporcionado por el sistema operativo del Servidor
Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas
de los conceptos importantes del Active Directory, elementos arquitectónicos y
características. La sección Conceptos Importantes describe los términos que
necesita comprender antes de abordar el Active Directory mismo. Las
siguientes dos secciones, Arquitectura y Funciones del Active Directory entran
más en detalle sobre lo que realiza el Active Directory, qué características trae
a Windows y como está implementado. La sección Migración cubre modelos de
dominio de migración y estructuras de directorio de Windows NT 4.0 a
Windows 2000. La última sección, Preguntas Más Frecuentes, responde
preguntas sobre el Active Directory y cómo funciona.

Un directorio es una fuente de información usada para almacenar información

sobre objetos interesantes. Un directorio telefónico almacena información sobre
los subscriptores. En un sistema de archivo, el directorio almacena información
sobre los archivos.

En un sistema computacional distribuido o una red computacional pública como

Internet, hay muchos objetos interesantes, tales como impresoras, servidores
de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren
encontrar y usar estos objetos. Los administradores quieren manejar como se
usan estos objetos.

En este documento, los "términos directorio" y "servicio de directorio" se

refieren a los directorios que se encuentran en redes públicas y privadas. Un
servicio de directorio difiere de un directorio en que es tanto la fuente de
información del directorio como los servicios que hacen la información
disponible y utilizable para los usuarios.

Un servicio de directorio es uno de los más importantes componentes de un

sistema computacional extenso. Con frecuencia los usuarios y los
administradores no saben el nombre exacto de los objetos en los cuales están
interesados. Pueden conocer uno o más atributos de los objetos y pueden
consultar el directorio para obtener una lista de objetos que igualen los
atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el
Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier
objeto dada uno de sus atributos.

Un servicio de directorio puede:

• Reforzar la seguridad definida por los administradores para mantener la

información segura ante intrusos.
• Distribuir un directorio a través de muchas computadoras en una red.
• Hacer duplicados del directorio para que esté disponible para más usuarios y sea
resistente a las fallas.
• Separar un directorio en almacenes múltiples para permitir el almacenaje de un
gran número de objetos.

Un servicio de directorio es tanto una herramienta de manejo como una herramienta de

usuario final. Conforme aumenta el número de objetos en una red, el servicio de
directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un
gran sistema distribuido.

El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000.

Amplía las características de previos servicios de directorio basados en Windows y
agrega características totalmente nuevas. El Active Directory es seguro, distribuido,
separado, y duplicado. Está diseñado para funcionar bien en instalaciones de cualquier
tamaño, desde un solo servidor con unos cuantos cientos de objetos hasta miles de
servidores y millones de objetos. El Active Directory agrega muchas características
nuevas que hacen fácil navegar y manejar grandes cantidades de información,
generando ahorros de tiempo tanto para los administradores como para los usuarios
finales.

Conceptos Importantes

Algunos conceptos y términos que son empleados para describir al Active Directory son
nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han
existido por un tiempo son usados para que signifiquen más que una cosa en particular.
Antes de continuar, es importante que entienda como se definen los siguientes
conceptos y términos en el contexto del Active Directory.

El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora,
archivo o usuario), cada servidor y cada dominio en una sola red de área amplia.
También puede incluir varias redes de área amplia combinadas, así es que es importante
tener en mente que el Active Directory puede escalar desde una sola computadora, a una
sola red computacional, hasta muchas redes computacionales combinadas.

El Active Directory es principalmente un espacio para nombres, como cualquier

servicio de directorio. El directorio es un espacio para nombres. Un espacio para
nombres es cualquier área limitada en la cual puede ser incluido un nombre dado. La
inclusión del nombre es el proceso de adaptar un nombre a algún objeto o información
que representa. Un directorio telefónico forma un espacio para nombres para el cual los
nombres de los subscriptores de teléfono pueden ser incluidos en números telefónicos.
El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre
de un archivo puede ser incluido al archivo mismo.

El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en

el directorio puede ser incluido al objeto mismo.

Un objeto es un juego de nombres preciso de atributos que representa algo en concreto,

como un usuario, una impresora, o una aplicación. Los atributos mantienen datos que
describen al sujeto que es identificado por el objeto del directorio. Los atributos de un
usuario pueden incluir su nombre, apellido y dirección de correo electrónico.

Figura 1. Un objeto de usuario y sus atributos

Un contenedor es como un objeto en que tiene atributos y es parte del espacio para
nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa
algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores.

Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y
contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el
árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son
conectados los objetos o el camino de un objeto a otro. Un simple directorio es un
contenedor. Una red computacional o dominio es también un contenedor. Un subárbol
colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los
miembros de cualquier contenedor en ese camino.
Figura 2. Un subárbol colindante de un directorio de archivo

Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos
tipos diferentes de nombres.

Nombre Único

Cada objeto en el Active Directory tiene un nombre único (Distinguished

Name, DN). El nombre único identifica el dominio que conserva el objeto, así
como el camino completo a través de la jerarquía del contenedor por el cual se llega al
objeto. Un típico DN puede ser

/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith

Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com

Figura 3. Una representación gráfica de un nombre único

Nombre único Relativo

El Nombre único Relativo (Relative Distinguished Name , RDN) de un objeto es la

parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el
RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es
CN=Users.

El Active Directory está compuesto de uno a más contextos para dar nombres o
particiones. Un contexto para dar nombres es cualquier subárbol colindante del
directorio. Los contextos para dar nombres son las unidades de duplicado.
En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos
para dar nombres.

• El esquema
• La configuración (topología de partición y metadatos relacionados)
• Uno o más contextos para dar nombres de usuario (subárboles conteniendo los
objetos reales en el directorio).

Un dominio es un solo límite de seguridad de una red computacional de Windows NT o

Windows 2000. (Para más información sobre dominios, vea la documentación de
Windows). El Active Directory está compuesto de uno o más dominios. En una sola
estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar
más de una ubicación física. Cada dominio tiene sus propias políticas de seguridad y
relaciones de seguridad con otros dominios. Cuando dominios múltiples son conectados
por relaciones de confianza y comparten un esquema común, configuración, y catálogo
global, tienen un árbol dominio. Arboles de dominio múltiples pueden conectarse juntos
en un bosque.

Un árbol de dominio comprende varios dominios que comparten un esquema común y

configuración, formando un colindante espacio para nombres. Los dominios en un árbol
están también vinculados por relaciones de confianza. El Active Directory es un
conjunto de uno o más árboles.

Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de
confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio.

Visualizando las Relaciones de confianza

Puede trazar un dibujo de un árbol de dominio basado en los dominios individuales y de

cómo confían uno en el otro.

Windows 2000 establece las relaciones de confianza entre los dominios basándose en el
protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si
el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A
confía también en el dominio C.
Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza.

Visualizando el Espacio para nombres

También puede hacer un dibujo de un árbol de dominio basado en el espacio para

nombres (Namespace). Puede determinar el nombre único de un objeto siguiendo el
camino hacia el espacio para nombres del árbol de dominio. Esta vista es útil para
agrupar objetos en una jerarquía lógica. La principal ventaja de un colindante espacio
para nombres es que una búsqueda intensa desde la raíz del espacio para nombres
buscará en la jerarquía completa.

Figura 5. Viendo un árbol dominio como espacio para nombres

Un bosque es un conjunto de uno o más árboles que NO forman un espacio para

nombres colindante. Todos los árboles en un bosque comparten un esquema común,
configuración, y Catalogo Global. Todos los árboles en un bosque dado confían uno en
el otro vía relaciones de confianza Kerberos transitivas jerárquicas. A diferencia de un
árbol, un bosque no necesita un nombre único. Un bosque existe como un conjunto de
objetos de referencia recíproca y relaciones de confianza Kerberos conocidas para los
árboles miembros. Los árboles en un bosque forman una jerarquía para los propósitos de
confianza Kerberos; el nombre del árbol en la raíz del árbol de confianza puede ser
usado para referirse a un bosque dado.
Figura 6. Árboles múltiples en un bosque

Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory.
Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas"
significa que la conectividad de la red es altamente confiable y rápida (por ejemplo:
velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir
un sitio como un conjunto de subredes permite a los administradores configurar
rápidamente y fácilmente el acceso al Active Directory y la topología de replicación
para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active
Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya
que las máquinas en el mismo sitio están cerca una de otra en términos de red, la
comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio
local en tiempo de conexión se logra fácilmente debido a que la estación de trabajo del
usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se adaptan
directamente a los sitios del Active Directory.

Arquitectura

Esta corta sección presenta algunos de los principales componentes arquitectónicos del
Active Directory.

El modelo de datos del Active Directory se deriva del modelo de datos X.500. El
directorio conserva objetos que representan cosas de diferentes tipos, descritos por
características. El universo de objetos que pueden ser almacenados en el directorio está
definido en el esquema. Para cada clase de objetos, el esquema define qué atributos
debe tener un ejemplo del grupo, qué atributos adicionales puede tener y qué clase de
objetos puede ser matriz de la actual clase de objetos.

El esquema del Active Directory es implementado como un conjunto de instancias de

clase de objeto almacenados en el directorio. Es muy diferente a muchos directorios que
tienen un esquema, pero los almacena como un archivo de texto para leerse al iniciar.
Por ejemplo, las aplicaciones del usuario pueden leer el esquema para descubrir qué
objetos y propiedades están disponibles.

El esquema del Active Directory puede ser actualizado dinámicamente. Es decir, una
aplicación puede extender el esquema con nuevos atributos y clases, y puede usar las
extensiones inmediatamente. Las actualizaciones del esquema se logran creando o
modificando los objetos del esquema almacenados en el directorio. Al igual que cada
objeto en el Active Directory, los objetos del esquema son protegidos por listas de
control de acceso (Access Control Lists, ACLs), así es que sólo los usuarios autorizados
pueden alterar el esquema.

El directorio es parte del Windows 2000 Trusting Computing Base y es un total

 participante en la infraestructura de seguridad de Windows 2000. Los ACLs
protegen a todos los objetos en el Active Directory. Las rutinas de validación de acceso
a Windows 2000 usan el ACL para validar cualquier intento de accesar un objeto o
atributo en el Active Directory.

Los usuarios autorizados desempeñan la administración en el Active Directory. Un

usuario está autorizado por una autoridad más alta para desempeñar un conjunto de
acciones especificadas en un conjunto de objetos especificados y clases de objetos en
algún identificado subárbol del directorio. Esto se llama administración delegada
(delegated administration). La administración delegada permite un control estricto sobre
quien puede hacer qué y permite la delegación de autoridad sin otorgar altos privilegios.

El Agente del Sistema de Directorio (Directory System Agent, DSA) es el proceso que
maneja el almacenaje físico del directorio. Los clientes usan una de las interfaces
apoyadas para conectarse al DSA y luego buscar, leer, y escribir objetos del directorio y
sus atributos. El DSA proporciona al cliente aislamiento del formato de almacenaje
físico de los datos del directorio.

Funciones de Active Directory

Esta sección describe algunas de las principales características y componentes del

Active Directory.

El Active Directory está integrado estrechamente con el Sistema de nombres del

dominio (Domain Name System, DNS). El DNS es el espacio para nombres distribuido
que se usa en Internet para incluir nombres computacionales y de servicio a las
direcciones TCP/IP. La mayoría de las empresas que tienen intranets usan DNS como el
servicio de inclusión de nombres. El Active Directory usa DNS como el servicio de
ubicación.

Los nombres de dominio de Windows 2000 son nombres de dominio DNS. Por
ejemplo: "Microsoft.com" es un nombre de dominio DNS válido y podría también ser el
nombre de un dominio de Windows 2000. La estrecha integración DNS significa que el
Active Directory encaja naturalmente en ambientes de Internet e intranet. Los clientes
encuentran los servidores de directorio rápidamente y fácilmente. Una empresa puede
conectar los servidores de Active Directory directamente a la Internet para facilitar las
comunicaciones seguras y el comercio electrónico con clientes y socios.

Servicio de ubicación

Los servidores del Active Directory publican sus direcciones de modo que los clientes
puedan encontrarlos conociendo sólo el nombre de dominio. Los servidores del Active
Directory son publicados por medio de los Registros de recursos de servicios (Service
Resource Records, SRV RRs) en DNS. El SRV RR es un registro de DNS usado para
mapear el nombre de un servicio a las direcciones de un servidor que ofrece ese
servicio. El nombre de un SRV RR se da en esta forma:
..
Los servidores del Active Directory ofrecen el servicio LDAP sobre el protocolo TCP
de modo que los nombres publicados se encuentren en la forma: ldap.tcp.
 Por lo tanto, el SRV RR para "Microsoft.com" es "ldap.tcp.microsoft.com".
Información adicional sobre el SRV RR indica la prioridad y peso para el servidor,
permitiendo que los clientes seleccionen el mejor servidor para sus necesidades.

Cuando un servidor de Active Directory es instalado, se publica a sí mismo vía un DNS

dinámico (Dynamic DNS) que se explica más adelante. Ya que las direcciones TCP/IP
están sujetas a cambio con el tiempo, los servidores revisan periódicamente sus registros
para asegurarse que están correctos, actualizándolos si es necesario.

DNS Dinámico

Un DNS dinámico (Dynamic DNS) es una reciente adición al estándar DNS. Dynamic
DNS define un protocolo para actualizar dinámicamente un servidor con valores nuevos
o cambiados. Antes de Dynamic DNS, los administradores necesitaban configurar
manualmente los registros almacenados por servidores DNS.

Un objeto tiene exactamente un nombre, el nombre único (DN). El DN

identifica originalmente el objeto y contiene suficiente información para que el cliente
retire el objeto del directorio. El DN de un objeto puede cambiar. Ya que el DN de un
objeto está compuesto del RDN del objeto mismo o cualquier predecesor cambiará el
DN.
Debido a que los DNs son complejos para recordar y están sujetos a cambio, es de
utilidad tener otros medios para recuperar objetos. El Active Directory apoya la consulta
por características, de modo que un objeto pueda ser encontrado aún que se desconozca
el DN exacto o haya cambiado. Para simplificar el proceso de encontrar objetos por
consulta, el esquema del Active Directory define dos propiedades útiles:

• Identificador de objeto globalmente único (Object globally unique identifier,

GUID) - Un número de 128 bits, garantizado para ser único. Los objetos tienen
asignado un GUID cuando son creados. El GUID nunca es cambiado, aún si el
objeto es movido o vuelto a nombrar. Las aplicaciones pueden almacenar el
GUID de un objeto y ser asegurado de recuperar ese objeto no importando cual
es el DN actual.
• Nombre principal de usuario (User Principal Name) - Los principios de
seguridad (usuarios y grupos) tienen un nombre "amigable" cada uno, el Nombre
Principal de Usuario (User Principal Name, UPN), el cual es más corto que el
DN y más fácil de recordar. El UPN está compuesto de un nombre en
"taquigrafía" para el usuario y el nombre DNS para el árbol de dominio donde el
usuario reside. Por ejemplo, el usuario James Smith en el árbol Microsoft.com
puede tener un UPN de "JamesS@Microsoft.com".

Exclusividad de Nombres

Los nombres distinguidos están garantizados a ser exclusivos. El Active Directory no

permite que dos objetos con el mismo RDN se encuentren bajo la misma matriz. Los
DNs se componen de RDNs y por lo tanto son singulares. Los GUIDs son singulares
por definición; un algoritmo que asegura la singularidad genera GUIDs. La singularidad
no está reforzado por cualquier otro atributo.

El acceso al Active Directory es vía protocolos en línea (wire protocols). Los protocolos
 en línea definen los formatos de mensajes e interacciones del cliente y
servidor. Diversas interfaces de programación de aplicaciones (APIs) dan a los
desarrolladores el acceso a estos protocolos.

Apoyo a protocolos

Los protocolos que son apoyados incluyen:

• LDAP - El protocolo central del Active Directory es el Lightweight Directory

Acces Protocol (LDAP). Las versiones 2 y 3 de LDAP son apoyadas.
• MAPI-RPC - El Active Directory soporta las interfaces de Remote procedure
call (RPC) que apoyan las interfaces MAPI.
• X.500 - El modelo de información del Active Directory se deriva del modelo de
información X.500. ElX.500 define varios protocolos de electrónica que el
Active Directory no implementa. Estos protocolos son:
o DAP- Directory Access Protocol
o DSP - Directory System Protocol
o DISP - Directory Information Shadowing Protocol
o DOP - Directory Operational Binding Management Protocol

El Active Directory no implementa estos protocolos por las siguientes razones:

• Hay muy poco interés en estos protocolos y hay unas cuantas implementaciones.
• Estos protocolos son dependientes de trabajaren la red OSI. OSI es una
alternativa para TCP/IP, la cual no está ampliamente implementada. Trasladar
OSI a través de una red TCP/IP es menos eficiente que usar TCP/IP
directamente.
• LDAP provee las funciones más importantes ofrecidas por DAP y DSP y está
diseñado para trabajar sobre TCP/IP sin la sobrecarga de envolver OSI en
TCP/IP.
• Hay suficiente ambigüedad en las especificaciones DISP y DOP de 1993 y 1997
que implementaciones de conformar no están garantizadas para interoperar, de
ese modo reduciendo dramáticamente el valor de estos protocolos.

Interfaces de Programación de Aplicaciones

Los APIs apoyados incluyen:

• ADSI - Interfaces de Servicio de Active Directory (ADSI), proveen al Active

Directory de una interface simple y poderosa orientada al objeto. Los
desarrolladores pueden usar muchos lenguajes de programación diferentes,
incluyendo Java, sistema de programación Visual Basic, C, C++, y otros. El
ADSI es totalmente encriptable para un fácil uso de los administradores del
sistema. ADSI le esconde a los usuarios los detalles de las comunicaciones
LDAP.
• LDAP API - El LDAP C API, definido en RFC 1823, es una interface de menor
nivel disponible para los programadores C.
• MAPI - El Active Directory respalda a MAPI para compatibilidad en dirección
contraria. Las nuevas aplicaciones deben usar ADSI o el LDAP C API.
El Active Directory le permite a otros directorios a que sean expuestos vía
Contenedores Virtuales (Virtual Containers). Un contenedor virtual permite que
cualquier queja del directorio LDAP sea accesado transparentemente vía el Active
Directory. El contenedor virtual es implementado vía información del conocimiento
(knowledge information) almacenada en el Active Directory. La información del
conocimiento describe donde en el Active Directory debe aparecer el directorio foráneo,
y contiene el nombre DNS de un servidor que conserva una copia del directorio foráneo
y el nombre único (DN) en el cual iniciar las operaciones de búsqueda en el DS foráneo.

El Active Directory puede consistir de muchas separaciones o contextos para dar

nombres. El nombre único (DN) de un objeto incluye suficiente información para
localizar una réplica de la partición que mantiene el objeto. Muchas veces, sin embargo,
el usuario o la aplicación desconoce el DN del objeto clave o cual partición
puede contener el objeto. El Catálogo Global (Global Catalog, GC) permite a
los usuarios y a las aplicaciones encontrar objetos en un árbol de dominio del Active
Directory si el usuario o la aplicación sabe uno o más atributos del objeto clave.

El Catálogo Global contiene una réplica parcial de cada contexto de dar nombre a los
usuarios en el directorio. También contiene los contextos del esquema y configuración
para asignar nombres. Esto significa que el GC mantiene una réplica de cada objeto en
el Active Directory, pero sólo mantiene un pequeño número de sus atributos. Los
atributos en el GC son aquellos más frecuentemente usados en operaciones de búsqueda
(tales como el nombre y apellido del usuario, nombres de inicio de sesión, etc.) y
aquellos requeridos para localizar una réplica completa del objeto. El GC le permite a
los usuarios encontrar rápidamente objetos de interés sin saber que dominio los
conserva y sin requerir un contiguo y extenso espacio para nombres en la empresa.

El sistema para replicar del Active Directory construye automáticamente el Catálogo

Global y genera la topología de replicar. Las propiedades duplicadas en el Catálogo
Global incluyen un conjunto base definido por Microsoft .Los administradores pueden
especificar propiedades adicionales para satisfacer las necesidades de su instalación.

Esto es sólo un panorama general de seguridad en el Active Directory. Para mayor

información sobre el modelo de seguridad de Windows 2000, consulte los documentos
estratégicos de "Secure Networking Using Microsoft Windows 2000 Distributed
Security".

Protección de Objetos

Todos los objetos en el Active Directory están protegidos por listas de control de acceso
(Access Control Lists, ACLs). Las ACLs determinan quien puede ver el objeto y que
acciones puede efectuar cada usuario en el objeto. La existencia de un objeto nunca es
revelado a un usuario a quien no se le permite verlo.
Un ACL es una lista de Entradas de Control de Acceso (Access Control Entries, ACE)
almacenadas con el objeto que protege. En Windows 2000, un ACL es almacenada
como un valor binario que se llama un Descriptor de Seguridad (Security Descriptor).
Cada ACE contiene un Identificador de Seguridad (Security Identifier, SID),el cual
identifica el principal (usuario o grupo) a quien el ACE se aplica e información sobre
que tipo de acceso que el ACE otorga o niega.
 ACLs en objetos del directorio contienen ACEs que aplican al objeto en
conjunto y ACEs que aplican a los atributos individuales del objeto. Esto permite a un
administrador controlar no sólo que los usuarios puedan ver un objeto, sino que
propiedades pueden ver esos usuarios. Por ejemplo: puede otorgárseles a todos los
usuarios que lean el acceso a los atributos de correo electrónico o número telefónico
para todos los demás usuarios, pero las propiedades de seguridad de usuarios le puede
ser negada a todos menos a los miembros de un grupo de administradores de seguridad.
A los usuarios individuales se les puede otorgar acceso a escribir a atributos personales
tales como las direcciones de teléfono o correo en sus propios objetos de usuario.

Delegación

La delegación (Delegation) es una de las más importantes características de seguridad

del Active Directory. La delegación permite una autoridad administrativa más elevada
para otorgar derechos administrativos específicos para contenedores y subárboles a
individuos o grupos. Esto elimina la necesidad de "Administradores de Dominio" con
autoridad arrasadora sobre grandes segmentos de la población de usuarios.

Los ACEs pueden otorgar derechos administrativos específicos sobre los objetos en un
contenedor a un usuario o grupo. Los derechos se otorgan para operaciones específicas
en clases de objetos específicos vía ACEs en el contenedor de ACL. Por ejemplo, para
permitir que el usuario "James Smith" sea un administrador de la unidad organizacional
"Corporate Accounting", se agregarían ACEs al ACL en "Corporate Accounting" como
sigue:

"James Smith"; Grant;Create, Modify, Delete;Object-Class User

"James Smith";Grant;Create,Modify,Delete;Object-Class Group
"James Smith";Grant;Write;Object-Class User;Attribute Password

Ahora James Smith puede crear nuevos usuarios y grupos en Corporate Accounting y
establecer las contraseñas (passwords) de usuarios existentes, pero no puede crear
ningunas otras clases de objetos y no puede afectar a usuarios en cualquier otro
contenedor (a menos, por supuesto, que ACEs les otorgue ese acceso en los otros
contenedores).

Herencia

La herencia (inheritance) permite que un ACE dado se propague del contenedor donde
fue aplicado a todos los descendientes del contenedor. La herencia puede ser combinada
con la delegación para otorgar derechos administrativos a un subárbol completo del
directorio en una sola operación.

El Active Directory provee de replicación multimaestra. La replicación multimaestra

significa que todos los duplicados de una partición dada se pueden escribir. Esto permite
que actualizaciones sean aplicadas a cualquier duplicado de una partición dada. El
sistema de replicación del Active Directory propaga los cambios de un duplicado dado a
todos los otros duplicados. La replicación es automática y transparente.

Propagación de actualizaciones
Algunos servicios de directorio usan etiquetas de tiempo (timestamps) para detectar y
propagar cambios. En estos sistemas, es muy importante mantener sincronizados los
relojes de todos los servidores de directorio. La sincronización del tiempo en una red es
muy difícil. Aun con muy buena sincronización de tiempo, es posible que el tiempo en
un servidor de directorio dado sea ajustado incorrectamente. Esto puede originar
actualizaciones perdidas.

Windows 2000 provee sincronización de tiempo distribuida, pero el sistema de

replicación del Active Directory no depende del tiempo para la propagación de
actualización. En lugar de eso, el sistema para replicar del Active Directory
usa Números de secuencia de actualización (Update Sequence Numbers, USNs). Un
USN es un número de 64 bits conservado por cada servidor del Active Directory.
Cuando el servidor escribe cualquier propiedad en el Active Directory, el USN es
adelantado y almacenado con la propiedad escrita. Esta operación es efectuada
automáticamente - es decir, el incremento y almacenamiento del USN y la escritura de
la propiedad tiene éxito o falla como una sola unidad de trabajo.

Cada servidor del Active Directory también mantiene una tabla de USNs recibidos de
socios de duplicado. El más alto USN recibido de cada socio es almacenado en esta
tabla. Cuando un socio dado notifica al Servidor de Directorio que es requerida la
replicación , ese servidor solicita todos los cambios con USNs mayor que el último
valor recibido. Este es un acercamiento muy simple y no depende de la exactitud de
etiquetas de tiempo.

Debido a que el USN almacenado en la tabla es actualizado automáticamente para cada

actualización recibida, la recuperación después de una falla es simple también. Para
reiniciar la replicación, un servidor simplemente le solicita a sus socios todos los
cambios con USNs mayores que la última entrada válida en la tabla. Ya que la tabla es
actualizada automáticamente conforme se aplican los cambios, un ciclo de replicación
ininterrumpido siempre continuará exactamente donde se quedó, sin pérdida o
duplicado de actualizaciones.

Detección de Colisiones - Números de Versión

En un sistema de duplicado multimaestro como el Active Directory, es posible que la

misma propiedad sea actualizada en dos o más réplicas diferentes. Cuando una
propiedad cambia en una segunda (o tercera, o cuarta, etc.) réplica antes de un cambio
de la primera réplica ha sido completamente propagada, ocurre una colisión de
duplicado. Las colisiones son detectadas a través del uso de números de versión de
propiedad. A diferencia de USNs los cuales son valores específicos del servidor, un
número de versión de propiedad es específico a la propiedad en un objeto del Active
Directory. Cuando una propiedades escrita primero a un objeto del Active Directory, el
número de versión es inicializado.

Los escritos de origen avanzan en el número de versión. Un escrito de origen es un

escrito a una propiedad en el sistema inicializando el cambio. Escritos de propiedad
causados por replicación no son escritos originales y no avanzan el número de versión.
Por ejemplo, cuando un usuario actualiza su clave de acceso (password), ocurre un
escrito original y el número de versión de la clave de acceso es adelantado. Escritos de
replicación de la clave de acceso cambiado en otros servidores no adelanta el número de
 versión.

Una colisión se detecta cuando un cambio es recibido vía replicación en la cual el

número de versión de propiedad recibido es igual al número de versión de propiedad
almacenado localmente, y los valores recibidos y almacenados son diferentes. Cuando
esto ocurre, el sistema receptor aplicará la actualización que tenga la último etiqueta de
tiempo. Esta es en la única situación donde el tiempo es usado en la replicación.
Cuando el número de versión recibido es menor que el número de versión almacenado
localmente, la actualización se supone vana y es desechada. Cuando el número de
versión recibido es mayor que el número de versión almacenado, la actualización es
aceptada.

Inhibidor de propagación

El sistema de replicación del Active Directory se enlaza en la topología de replicación.

Esto le permite al administrador configurar una topología de replicación con sendas
múltiples entre los servidores para desempeño y disponibilidad. El sistema de
replicación del Active Directory realiza la inhibición de progagación para prevenir
cambios de propagación sin fin y para eliminar la transmisión redundante de cambios a
réplicas que ya están actualizadas.

El sistema del Active Directory emplea vectores actualizados para reducir la

propagación. El vector actualizado es una lista pares de servidores USN mantenidos
para cada servidor. El vector actualizado en cada servidor indica el más alto USN de
escritos originales recibidos del servidor en el par de servidor USN. Un vector
actualizado para un servidor en un sitio dado lista a todos los demás servidores en ese
sitio.

Cuando se inicia un ciclo de replicación, el servidor que lo solicita envía su vector

actualizado al servidor que lo envía. El servidor que envía usa el vector actualizado para
filtrar cambios enviados al servidor solicitante. Si el USN más alto para un escritor
original dado es mayor o igual al USN escrito original para una actualización en
particular, el servidor que envía no necesita mandar el cambio; el servidor solicitante ya
está actualizado con respecto al escritor original.

Un árbol de dominio de Windows 2000 es una jerarquía de dominios de Windows 2000,

cada uno consistiendo de una partición del Active Directory. La forma del árbol y la
relación de los miembros del árbol uno con el otro son determinados por los nombres
DNS de los dominios. El dominio en un árbol debe formar un contiguo espacio para
nombres, tal como a.myco.com es hijo de myco.com, y b.myco.com es hijo de
a.myco.com, etc.

Confianza Bidireccional Transitiva

Cuando un dominio está unido a un árbol de dominio de Windows 2000, una relación de
confianza bidireccional transitiva se establece automáticamente entre el dominio unido
y su matriz en el árbol. Debido a que la confianza es transitiva y bidireccional, no se
requiere de relaciones de confianza adicional es entre los miembros del árbol. La
jerarquía de confianza es almacenada como parte de la metadata del directorio en el
contenedor de configuración.
Estos objetos requeridos son creados en el directorio cuando un dominio es unido al
árbol.

Espacio para nombres

Los dominios en un árbol de dominio de Windows 2000 debe formar un

contiguo espacio para nombres (Namespace). Por defecto, los descendientes inmediatos
de cada dominio son contiguos y ya son parte de su espacio para nombres. Esto significa
que el nombre único de cada objeto en los dominios de descendientes tiene el nombre
del dominio matriz como un sufijo. Arboles desunidos pueden ser unidos en un bosque.

Figura 7. El dominio padre y dominio descendiente forman un contiguo espacio

para nombres debido a que el nombre del dominio descendiente es un subordinado
inmediato del nombre del dominio padre

Por ejemplo, un dominio padre, O=Internet/DC=COM/DC=Microsoft, y un dominio

descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS, forman un árbol
contiguo para designar nombres, ya que el objeto base en el dominio padre,
O=Internet/DC=COM/DC=Microsoft, es el padre inmediato del objeto base en el
descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS. Debido a que el padre
y el descendiente forman un árbol para designar nombres, una intensa búsqueda iniciada
en el padre también buscará automáticamente al descendiente.

Cuándo formar un árbol de dominio

El árbol de dominio de Windows es el Active Directory de la magnitud de la empresa.

Todos los dominios de Windows 2000 en una empresa dada deben pertenecer al árbol
de dominio de la empresa. Las empresas que necesitan apoyar los nombres DNS
desunidos para su dominio necesitan formar un bosque.

Cómo Formar un Arbol de Dominio o Bosque

Los dominios de Windows 2000 están unidos a un árbol de dominio durante el proceso
de instalación. Durante la instalación de un nuevo servidor de Windows 2000 (para
mejorar de una anterior versión de Windows NT), al administrador se le dan las
siguientes opciones:

• Creación del primer árbol en un bosque nuevo

• Creación de un árbol en un bosque existente
 • Creación de una nueva réplica de un dominio existente
• Instalación de un dominio descendiente

Para unir un árbol de dominio, seleccione Install a Child Domain e identifique al

dominio padre para un nuevo dominio descendiente. Una futura actualización a
Windows dará la capacidad de unir dos (o más) árboles existentes en un sólo
árbol más grande.

Los dominios dentro de un árbol existente pueden ser libremente motivados a cambiar
la forma total del árbol. Planear un buen árbol es muy importante, pero lo bueno es que
es altamente subjetivo y basado en las necesidades específicas de su organización. La
habilidad de reestructurar el árbol como se necesita reduce la importancia de conocer de
antemano el diseño correcto.

Un sitio es un área de la red en donde la conectividad entre las máquinas se supone es

muy buena. Windows 2000 define un sitio como una o más subredes IP. Esto está
basado en la suposición de que las computadoras con la misma dirección de subred
están conectadas al mismo segmento de red, típicamente un LAN u otro alto ambiente
de ancho de banda tal como Frame Relay, ATM, u otros.

Windows 2000 usa información de un sitio para localizar un servidor del Active
Directory cerca del usuario. Cuando una estación de trabajo de un usuario se conecta a
la red, recibe una dirección TCP/IP de un servidor DHCP, el cual también identifica la
subred a la cual la estación de trabajo está sujeta. Las estaciones de trabajo que han
configurado estáticamente direcciones IP también han configurado estáticamente
información de subred. En cualquier caso, el localizador del controlador de dominio
(DC) de Windows 2000 intentará localizar al servidor del Active Directory localizado
en la misma subred que el usuario, basado en la información de la subred conocida para
la estación de trabajo.

Sitios y Replicación

El sistema de replicación de Windows 2000 genera automáticamente una topología de

anillo para la replicación entre los servidores del Active Directory en un sitio dado.
Dentro de un sitio, la replicación de directorio es efectuada vía acceso por
procedimiento remoto (Remote procedure call, RPC). Entre los sitios, la replicación
puede ser configurada selectivamente para usar RPC o enviar mensajes. Windows 2000
provee envío de mensajes SMTP simple como una característica estándar. Si Microsoft
Exchange se encuentra disponible, la replicación intersitio puede ser llevada vía
Exchange, usando cualquiera de los muchos transportes apoyados por Exchange (esto
incluye SMTP, X.400, y otros).

Planeando Sitios

Un sitio mínimo consiste de una sola subred IP. Windows 2000 supone que todas las
máquinas localizadas en el mismo sitio comparten una red común de alta anchura de
banda. Dado esto, un buen diseño de sitio es uno en el cual todas las subredes asignadas
a un sitio dado comparten una red tal. Areas de una red que son separadas por una red
de área amplia, enrutadores múltiples, u otras ligas más lentas deben estar en sitios
separados.
El esquema del Active Directory define el conjunto de todas las clases de objetos y
atributos que pueden ser almacenados en el directorio. Para cada clase de objeto, el
esquema define donde puede ser creado en un árbol de directorio especificando los
padres legales de la clase. El contenido de una clase se define por la lista de
atributos que la clase debe o puede contener.

Cuando Extender el Esquema

Los usuarios y aplicaciones extienden el esquema cuando no hay clases de objetos

existentes que estén de acuerdo a la necesidad a mano. Extendiendo el esquema es un
proceso simple y directo.

Agregando Atributos

Se pueden agregar nuevos atributos al esquema en cualquier momento. Una definición

de atributo consiste en un nombre, un Identificador de Objeto (Object Identifier, OID),
una sintaxis que define qué clase de datos puede mantener el atributo, y limites de
alcance opcionales. Para cadena de datos, los limites de valor establecen el mínimo y
máximo largo de cadena de datos. Para números enteros, los límites de valor establecen
el valor mínimo y máximo del número entero.

El desempeño de consulta en el Active Directory está directamente relacionado con la

disponibilidad de un índice que pueda ser usado para optimizar una consulta dada.
Cuando no hay un índice disponible para satisfacer una consulta dada, el servidor LDAP
debe leer la partición completa para satisfacer la consulta. Cuando define un atributo,
tiene la opción de crear un índice para ese atributo. También es posible crear un índice
sobre un atributo dado colocando el atributo banderas de búsqueda en el objeto esquema
de atributo a 1. Debe definir un atributo como indizado cuando:

• El atributo será frecuentemente usado en consultas. Agregar un índice consume

almacenaje y afecta el desempeño de insertar (porque el índice debe ser
mantenido cuando un artículo es insertado), así es que no debe agregar un índice
si no será usado a menudo.
• Los valores en el atributo deben ser altamente singulares. Los atributos
Booleanos nunca deben ser indexados, porque un atributo Booleano tendrá sólo
dos posibles valores: Falso o verdadero. Los números de empleado y apellido
son altamente singulares y por lo tanto hacen buenos índices.
• El atributo ocurrirá en objetos de interés. Indizando un atributo le permite
encontrar objetos rápidamente que tengan ese atributo ejemplificado. Antes de
agregar un índice, asegúrese de que el atributo que está indizando es un "debe
tener" o "puede tener" en los objetos que desea recobrar.

Agregando nuevos Objetos

Nuevas clases de objetos pueden ser agregadas al esquema en cualquier momento. La

definición de un objeto consiste en un nombre, un identificador de objeto (Object
Identifier, OID) , una lista de atributos "puede contener" y "debe contener", la lista de
clases que pueden ser padres del objeto, la clase de donde se deriva el objeto, y una lista
de cualquier clase auxiliar que aplica al objeto.
 Cómo Extender el Esquema

Debido a que el esquema controla lo que puede ser almacenado en el directorio y

describe lo que ya está almacenado, el acceso para escribir al esquema está limitado a
los administradores por defecto. Un esquema de administración snap-in para el
Microsoft Management Console (MMC) se proporciona con el Windows 2000. Para
extender el esquema, un usuario adecuadamente privilegiado puede crear nuevos
atributos y clases. Los atributos pueden entonces ser agregados a clases nuevas o
existentes. Para cada nuevo atributo o clase, se requiere de OID.

Identificadores de Objetos (OIDs)

Un identificador de objeto es un número identificando una clase de objeto o atributo en

un servicio de directorio. Los OIDs son emitidos por autoridades emisoras y forman una
jerarquía. Un OID es representado como una cadena de datos decimal con puntos (por
ejemplo, "1,2,3,4"). Las empresas (o personas)pueden obtener un OID original de una
autoridad emisora y usarlo para asignar OIDs adicionales. Por ejemplo, a Microsoft sele
ha asignado el OID base de 1.2.840.113556. Microsoft maneja futuras divisiones de esta
base internamente. Una de estas divisiones es usada para asignar OIDs para clases de
Active Directory, otro para atributos del Active Directory, etc.

Muchos países en el mundo tienen una Autoridad de Registro Nacional (National

Registration Authority , NRA) identificada responsable de emitir OIDs a las empresas.
En Estados Unidos la Autoridad de Registro Nacional es el American National
Standards Institute (ANSI). La Autoridad de Registro Nacional emite OIDs originales.
Una empresa también puede registrar un nombre para el OID. Hay una cuota asociada
tanto con los OIDs originales como con nombres registrados. Póngase en contacto con
la Autoridad de Registro Nacional de su país para más detalles http://www.iso.ch.

Publicar es la acción de crear objetos en el directorio que directamente contengan la

información que quiere hacer disponible o proporcionar una referencia para la
información que quiere hacer disponible. Por ejemplo, un objeto de usuario contiene
información útil sobre los usuarios, tales como sus números telefónicos y direcciones de
correo electrónico, mientras que un objeto de volumen contiene una referencia para un
volumen del sistema de archivo compartido.

Cuándo Publicar

La información debe ser publicada en el Active Directory cuando es útil o interesante

para gran parte de la comunidad de usuarios y cuando necesita ser altamente accesible.
La información publicada en el Active Directory tiene dos características principales:

• Es relativamente estática y rara vez cambia. Los números telefónicos y

direcciones de correo electrónico son ejemplos de información relativamente
estática adecuada para ser publicadas; el mensaje de correo electrónico
actualmente seleccionado es un ejemplo de información altamente volátil.
• Es estructurado y puede ser representado como un conjunto de atributos
discretos. Una dirección de negocios de un usuario es un ejemplo de
información estructurada adecuada para publicarse; un audio clip de la voz del
 usuario es un ejemplo de información no estructurada más adecuada
para el sistema de archivo.

Información operacional usada en aplicaciones es un excelente candidato para

publicarse en el Active Directory. Esto incluye información de configuración global que
se aplica a todas las instancias de una aplicación dada. Por ejemplo, un producto de la
base de datos correlativo puede almacenar la configuración default para los servidores
de base de datos como un objeto en el Active Directory. Nuevas instalaciones de ese
producto recolectarían la configuración default del objeto, simplificando el proceso de
instalación e intensificando la consistencia de instalaciones en una empresa.

Las aplicaciones pueden también publicar sus puntos de conexión en el directorio Los
puntos de conexión son usados para el punto de reunión del cliente y servidor. El Active
Directory define una arquitectura para la administración de servicio integrado usando
objetos del Service Administration Point y proporciona puntos de conexión estándar
para aplicaciones RPC, Winsock, y COM. Las aplicaciones que no usan las interfaces
RPC o Winsock para publicar sus puntos de conexión pueden explícitamente publicar
objetos de Service Connection Point en el directorio.

Datos de aplicación pueden ser publicados también en el directorio usando objetos de

aplicación específica. Los datos de aplicación específica deben cumplir el criterio
discutido anteriormente. Es decir, los datos deben ser globalmente interesantes,
relativamente no volátil y estructurados.

Cómo Publicar

Los medios para publicar información varía de acuerdo a la aplicación o servicio:

• RPC - Las aplicaciones RPC usan la familia RpcNs de APIs para publicar sus
puntos de conexión en el directorio y para consultar para los puntos de conexión
de servicios que han publicado los suyos.
• Windows Sockets - Las aplicaciones de Windows Sockets usan la familia de
Registration y Resolution de APIs disponibles en Winsock 2.0 para publicar sus
puntos de conexión y consultar para los puntos de conexión de servicios que han
publicado los suyos.
• DCOM - Los servicios DCOM publican sus puntos de conexión vía la DCOM
Class Store, la cual reside en el Active Directory.

Windows 2000 introduce nuevas funciones de grupo

• Los grupos pueden ser tratados como listas de distribución si el siguiente

lanzamiento principal de Exchange es instalado.
• Los grupos pueden contener miembros no seguros (esto es importante cuando el
grupo es usado tanto para propósitos de seguridad y listas de distribución).
• El uso de seguridad de grupos puede ser inhabilitado (esto es importante cuando
el grupo es usado solo como una lista de distribución).
• Los grupos pueden ser anidados.
• Un nuevo tipo de grupo, el grupo Universal, es introducido.

Un grupo Universal es la más simple forma de grupo. Los grupos Universales pueden
 aparecer en ACLs en cualquier parte del bosque, y puede contener otros
grupos Universales. Grupos Globales, y usuarios de cualquier parte del bosque.

Las instalaciones pequeñas pueden usar grupos Universales exclusivamente y no

preocuparse de grupos Globales y Locales.

Un grupo Global puede aparecer en ACLs en cualquier parte del bosque. Un grupo
Global puede contener usuarios y otros grupos Globales de su propio dominio.

Un grupo Local de Dominio puede ser usado en ACLs sólo si es su propio dominio. Un
grupo Local de Dominio puede contener usuarios y grupos Globales de cualquier
dominio en el bosque, Grupos Universales, y otros grupos Locales de Dominio en su
propio dominio.

Los tres tipos de grupo proporcionan un rico y flexible ambiente de control de acceso
mientras que reducen el tráfico de replicación para el Catálogo Global causado por
cambios de membresías de grupo. Un grupo Universal aparece en el GC, pero contendrá
principalmente grupos globales de dominios en el bosque. Una vez que los grupos
Globales se establezcan, la membrecía en el grupo Universal cambiará
infrecuentemente. Los grupos Globales aparecen en el GC, pero sus miembros no. Los
cambios de membrecía en grupos Globales no son duplicados fuera del dominio donde
son definidos. Los grupos Locales de Dominio son válidos solo en el dominio donde
son definidos y no aparecen en el GC.

Migración

Esta sección presenta una vista general de migración de versiones anteriores de

Windows NT. La migración es discutido en detalle en un número de documentos aparte
disponibles de http://www.microsoft.com/latam/ntserver/nts/.

Puede mejorar los sistemas Windows NT 3.51 y 4.0 directamente a Windows 2000. Los
sistemas Windows NT 3.51 y 3.5 deben ser mejorados a Windows NT 3.51 om4.0 antes
de que puedan ser mejorados a Windows 2000.Una nueva instalación de Windows 2000
puede ser efectuada en cualquier sistema listado en la lista de hardware compatibel en
el sitio de Windows 2000.

Los Controladores de Dominio (Domain Controlers) conservan una copia del directorio.
En Windows NT 3.51 y 4.0, hay dos clases de Controladores de Dominio -
Controladores de Dominio Primario (Primary Domain Controllers, PDCs) y
Controladores de Dominio de Respaldo (Backup Domain Controllers, BDCs). Los
Controladores de Dominio Primarios conservan una copia de lea/escriba mientras que
los Controladores de Dominio de Respaldo conservan una copia de leer/solamente.

En Windows 2000, todos los Controladores de Dominio para un dominio dado

conservan una copia que se puede escribir del directorio. No hay distinción entre el
primario y el respaldo; todos los controladores de dominio son iguales.

Para emigrar un dominio de Windows NT 3.51 o 4.0 a Windows 2000, debe primero
mejorar el Controlador de Dominio Primario para el dominio para Windows 2000. Esto
automáticamente carga a los usuarios y grupos del directorio de dominio hacia el Active
Directory. Como parte del proceso de mejoramiento, usted especifica si este dominio
será:

• La raíz de un nuevo árbol en el bosque

• La raíz de un nuevo árbol de dominios en un bosque existente
• Un descendiente de un árbol de dominios existente

En este punto el dominio es un dominio mixto. Puede emplear las herramientas de

administración de Windows 2000 para manejar el dominio, y puede crear una estructura
jerárquica de carpetas Organizational Unit en el directorio para delegar la autoridad
administrativa. Los Controladores de Dominio de Respaldo, servidores miembros, y
clientes no se cambian y no están conscientes de que el PDC es ahora un servidor del
Active Directory.

Para emigrar los Controladores de Dominio de Respaldo, mejore cada uno a Windows
2000. El proceso de mejoramiento reconoce al Controlador de Dominio de Respaldo,
automáticamente lo instala como una réplica del Active Directory, y lo inserta en la
topología de replicación. Cuando todos los controladores de dominio han sido
mejorados a Windows 2000, el dominio ya no es un dominio mixto, y los grupos
anidados son apoyados.

Para emigrar servidores miembros, mejórelos a Windows 2000. Los usuarios locales y
grupos locales son almacenados en el registro de del servidor miembro y no se mueven
al Active Directory. Mejorar a un servidor miembro a Windows 2000 le permite
participar en la seguridad Kerberos, agrega apoyo para aplicaciones Directory-aware,y
agrega la Microsoft Management Console y Active Directory-aware shell y diálogos
comunes.

Para emigrar a los clientes basados en la estación de trabajo Windows NT, mejórelos a
Windows 2000 Professional. Puede emigrar a clientes basados en Windows 95
instalando un paquete de servicio que contenga los componentes de software
adicionales que se necesitan para hacerlos Active Directory-aware. Mejorar a un cliente
le permite participar en la seguridad Kerberos, apoyo para aplicaciones Active
Directory-aware, y agrega el Active Directory-aware shell y diálogos comunes.

Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los usuarios
son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la
raíz del dominio.

Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000 las cuentas de
la máquina son emigradas al Active Directory y colocadas en un contenedor
llamado "Computers" en la raíz del dominio.

Cuando una PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los Grupos
son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la
raíz de dominio. Grupos integrados se encuentran en un contenedor especial llamado
"Built-in" .

Preguntas Más Frecuentes

Una estación de trabajo descubre su sitio presentando su subred al primer servidor del
Active Directory contactado. La estación de trabajo determina la subred aplicando su
máscara de subred a su dirección IP. La máscara de subred y dirección IPO pueden ser
asignadas por DHCP o configurada estáticamente. El primer Servidor contactado usa la
subred presentada para localizar el Site Object para el sitio donde se localiza la estación
de trabajo. Si el actual servidor no se encuentra en ese sitio, el servidor le notifica a la
estación de trabajo un mejor servidor para usar.

Una estación de trabajo encuentra un servidor de directorio consultando DNS. Los

servidores de directorio para un dominio dado publican SRV Resource Records en DNS
con nombres en la forma:
LDAP.TCP.

Por lo tanto, una estación de trabajo que se conecta a Microsoft.com consultará DNS
para registros SRV para LDAP.TCP.Microsoft.com. Un servidor será seleccionado de la
lista y contactado. El servidor contactado usará la información de subred presentada por
la estación de trabajo para determinar el mejor servidor como se describió en la
respuesta anterior.

Un usuario puede usar una variedad de nombres en una variedad de formatos para
conectarse a un Windows 2000 Professional. Estos incluyen los formatos de nombre
apoyados por interfaces para programar de aplicación Win32 DsCrackNames, los
cuales son usados para convertir estas formas de nombre como sea necesario.

El nombre de dominio NETBIOS y SAM-Account-Name - Este es el nombre de

conexión estilo Windows NT 4.0. El nombre de dominio NETBIOS es el nombre que
tenía el dominio antes de emigrar. El SAM-Account-Name es el nombre de la cuenta
que el usuario tenía antes de emigrar.

Nombre Principal de Usuario - Este se encuentra en el formato @.Si el nombre no es

único, el intento de conexión fallará con un error de usuario desconocido (Unknown
User).

Las listas de control de acceso no son afectadas directamente por la emigración. Si

todos los dominios de Windows NT 3.51 y Windows NT 4.0 son emigradas de lugar,
nada cambia de una perspectiva ACL.

Si mueve servidores de un dominio de recurso hacía una unidad organizacional en

dominios de cuenta emigrada y suprime el dominio de recurso, necesitará editar
cualquier ACL que mantiene ACEs que refieren al ahora dominio suprimido. Esta no es
una función de la migración a Windows 2000; si suprime un dominio en cualquier
versión de Windows NT, los identificadores de seguridad emitidos por ese dominio se
vuelven inválidos.

Para reducir el esfuerzo involucrado en volver a aplicar recursos ACL, si tiene un

dominio de recursos Windows 3.51 o 4.0 y planea reemplazarlo con un OU y suprimirlo
en Windows 2000, no debe poner a grupos del dominio de recursos en ACLs. Nótese
que esto no afecta a los grupos locales de los servidores miembros, afecta sólo a
aquellos de Controladores de Dominio.
Como parte de Windows 2000, Microsoft proporcionará herramientas para asistir en
volver a aplicar ACLs a los recursos.

Cuando se crea un grupo en un dominio, tiene un Identificador de Seguridad (Security

Identifier, SID) emitido por ese dominio. Cuando se coloca ese SID en un ACL, le
otorga acceso a los usuarios que tengan ese SID en su indicador. Los usuarios obtienen
el SID en su token conectándose a dominio que emitió el SID. Esta puede ser una
conexión de red y pasar transparentemente.

Cuando editas un Acl, el LookupAccountName API es llamado con el SID. Si suprime

el dominio que emitió el SID, verá "Usuario Desconocido" en la lista de usuarios y
grupos para el ACL. Esto sucede en Windows NT 3.51 y Windows NT 4.0 si suprime
un dominio o retira una liga de confianza.

Hay dos partes para esta respuesta:

• Parte 1: Grupos Locales en Servidores Miembros -- Los grupos locales en un

servidor miembro se quedan locales; existen sólo en el SAM en el servidor
miembro y no son emigrados al Active Directory. Un típico uso de un grupo
local en un servidor miembro es mantener grupos globales de dominios de
cuenta. El servidor administrador coloca al grupo local en los ACLs en los
recursos del servidor y agrega a los grupos globales al grupo local. Esto no
cambia en Windows 2000. La única diferencia es que los grupos globales se
convierten en grupos normales y son publicados en el Active Directory.
• Parte 2: Grupos Locales en PDCs y BDCs - Los Controladores de Dominio de
Respaldo tienen un SAM de leer/solamente. Cuando crea un grupo local en un
BDC, la operación de crear es remontado al PDC y duplicado de regreso a todos
los BDCs. Semánticamente, estos grupos locales son idénticos a los grupos
locales en un servidor miembro., pero existen en el PDC y en todos los BDCs.
Cuando se mejora a Windows 2000,elproceso de mejoramiento crea un objeto de
grupo de Dominio Local en el Active Directory para cada uno de estos.

Se inicia una búsqueda del catalogo global en una de varias formas:

• Por un subárbol o búsqueda de LDAP de un nivel enraizado en el inválido DN

(la raíz del espacio para nombres) - esto genera una referencia para el Catálogo
Global.
• Por una referencia directa al puerto GC en una réplica de GC (aunque no es
probable que los programas de clientes tomen este acercamiento).
• Por una referencia explícita al proveedor GC ASDI (GC://).

No. Hay ventajas significativas en usar Microsoft DNS, pero cualquier servidor DNS
compatible con RFC funcionará. Se recomienda Dynamic DNS porque, con un servidor
Dynamic DNS los servidores del Active Directory pueden registrar automáticamente los
registros necesarios en DNS.

Los servidores Static DNS funcionan igualmente bien, pero el registro DNS para cada
servidor de Directorio debe efectuarse manualmente.

El servidor DNS incluido con Windows 2000 es una implementación obediente de RFC
 y BIND de Dynamics DNS.Es una implementación nativa para Windows
2000, no un puerto de la implementación BIND de dominio público. El servidor DNS
de Microsoft almacena las zonas DNS para la cual es autoritario en el Active Directory.
Los datos de DNS son duplicados entre los servidores DNS por replicación del Active
Directory, no Transferencia de Zona (Zone Transfer). El servidor DNS de Microsoft
apoya Transferencia de Zona DNS estándar para interoperabilidad con otros servidores
DNS.
El servidor DHCP es mayormente sin cambio para Windows 2000. El cliente de DHCP
es DNS-aware y usa los servicios de Dynamic DNS para registrar direcciones emitidas
por DHCP directamente en DNS. El cliente DHCP continuará registrándose con WINS
si DHCP identifica a un servidor WINS.

Wins no sufre cambios para Windows 2000. Los clientes de Windows 2000 (y clientes
de Windows 95 con la mejora del Active Directory instalado) ya no necesitan usar el
espacio para nombres de NETBIOS. Aún se requiere WINS para clientes de bajo nivel
para encontrar servidores y viceversa. Cuando ya no hay clientes de bajo nivel en la
empresa, los servidores WINS pueden ser apagados.

Para mayor información

Para la más reciente información sobre el Servidor Windows 2000, revise el Technet de
Microsoft o nuestro sitio en la World Wide Web en
http://www.microsoft.con/latam/ntserver/nts/ o el Windows NT Server Forum en MSN,
The Microsoft Network (GO WORD: MSNTS).

Arquitectura de Active Directory

Sistema operativo

Notas del producto

Resumen
Para usar el sistema operativo Microsoft® Windows® 2000 Server con la
máxima eficacia, primero debe comprender qué es el servicio de directorio
Active Directory™. Active Directory, una novedad del sistema operativo
Windows 2000, desempeña una función importante en la implementación de la
red de la organización y, por tanto, en conseguir sus objetivos comerciales.
Este documento presenta Active Directory a los administradores de red, explica
su arquitectura y describe cómo interactúa con las aplicaciones y con otros
servicios de directorio.
El presente documento se basa en la información disponible en el momento de
publicarse la versión Beta 3 de Windows 2000. La información proporcionada
aquí está sujeta a cambios antes de la versión final de Windows 2000 Server.
Introducción
Comprender el servicio de directorio Active Directory™ es el primer paso para
entender cómo funciona el sistema operativo Windows® 2000 y lo que puede
hacer para ayudarle a alcanzar sus objetivos empresariales. En este
documento se examina Active Directory desde estas tres perspectivas:

• Almacén. Active Directory, el servicio de directorio de Windows 2000 Server,

almacena de forma jerárquica la información acerca de los objetos de la red, y la
pone a disposición de administradores, usuarios y aplicaciones. En la primera
sección de este documento se explica lo que es un servicio de directorio, la
integración del servicio Active Directory con el Sistema de nombres de dominio
(DNS) de Internet y cómo se actualiza Active Directory cuando se designa un
servidor como controlador de dominio1.
• Estructura. Con Active Directory, la red y sus objetos se organizan mediante
elementos como dominios, árboles, bosques, relaciones de confianza, unidades
organizativas (OU) y sitios. En la próxima sección de este documento se
describe la estructura y la función de estos componentes de Active Directory, y
cómo esta estructura permite a los administradores controlar la red de modo que
los usuarios puedan alcanzar sus objetivos empresariales.
• Intercomunicación. Puesto que Active Directory se basa en los protocolos
estándar de acceso a directorios, puede interoperar con otros servicios de
directorio y otras aplicaciones de terceros que sigan estos protocolos pueden
tener acceso a él. En la última sección se describe cómo Active Directory puede
comunicarse con numerosas tecnologías.

Ventajas de Active Directory

La inclusión de Active Directory en el sistema operativo Windows 2000
proporciona las siguientes ventajas:

• Integración con DNS. Active Directory utiliza el Sistema de nombres de

dominio (DNS). DNS es un servicio estándar de Internet que traduce los
nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en
direcciones numéricas (cuatro números separados por puntos) de Protocolo de
Internet (IP) legibles por los equipos. De esta forma, los procesos que se
ejecutan en equipos que están en redes TCP/IP pueden identificarse y conectarse
entre sí.
• Consultas flexibles. Los usuarios y los administradores pueden utilizar el
comando Buscar del menú Inicio, el icono Mis sitios de red del escritorio o el
complemento Usuarios y equipos de Active Directory para buscar rápidamente
un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un
usuario por nombre, apellido, nombre de correo electrónico, ubicación en la
oficina u otras propiedades de su cuenta de usuario. La búsqueda de información
está optimizada gracias al uso del catálogo global.
• Capacidad de ampliación. Active Directory es ampliable, lo que significa que
los administradores pueden agregar nuevas clases de objetos al esquema y
 nuevos atributos a las clases existentes de objetos. El esquema contiene una
definición de cada clase de objeto y los atributos de las mismas, que se pueden
almacenar en el directorio. Por ejemplo, podría agregar un atributo Autorización
de compra al objeto Usuario y después almacenar el límite de autorización de
compra de cada usuario como parte de su cuenta.
• Administración basada en políticas. Las políticas de grupo son valores de
configuración que se aplican a equipos o usuarios cuando se inicializan. Todos
los valores de Política de grupo están contenidos en los Objetos de política de
grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de
Active Directory. Los valores de GPO determinan el acceso a objetos de
directorios y recursos de dominios, a qué recursos de dominios (como las
aplicaciones) tienen acceso los usuarios y cómo están configurados dichos
recursos.
• Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los
cuales tiene uno o varios controladores, lo que permite escalar el directorio para
satisfacer cualquier requisito de red. Es posible combinar varios dominios en un
árbol de dominios y varios árboles en un bosque. En la estructura más simple,
una red con un único dominio es a la vez un único árbol y un único bosque.
• Replicación de la información. Active Directory utiliza la replicación de
múltiples maestros, que permite actualizar el directorio en cualquier controlador
de dominio. Al distribuir varios controladores de dominio en un único dominio
se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de
dominio se vuelve lento, se detiene o produce un error, otros controladores del
mismo dominio pueden proporcionar el acceso necesario al directorio, ya que
contienen los mismos datos.
• Seguridad de la información. La administración de la autenticación de usuarios
y el control de acceso, ambos integrados plenamente en Active Directory, son
características de seguridad clave del sistema operativo Windows 2000. Active
Directory centraliza la autenticación. El control de acceso puede definirse no
sólo para cada objeto del directorio, sino también para todas las propiedades de
cada objeto. Además, Active Directory proporciona el almacén y el ámbito de
aplicación de las políticas de seguridad. (Para obtener más información acerca
de la autenticación de inicio de sesión y el control de acceso de Active
Directory, consulte la sección "Para obtener más información" al final de este
documento.)
• Interoperabilidad. Puesto que Active Directory se basa en protocolos estándar
de acceso a directorios, como el Protocolo compacto de acceso a directorios
(LDAP), puede interoperar con otros servicios de directorio que empleen estos
protocolos. Varias interfaces de programación de aplicaciones (API), como las
Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores
acceso a estos protocolos.

El final de este documento, en "Apéndice A: Herramientas", se proporciona una

breve introducción a las herramientas de software que puede utilizar para llevar
a cabo las tareas asociadas a Active Directory.
Servicio de directorio Active
Directory
Antes de pasar a las secciones principales de este documento, la arquitectura e
interoperabilidad de Active Directory, en esta sección preliminar se examina
brevemente Active Directory desde dos puntos de vista muy diferentes:

• El primero es el lado más abstracto de Active Directory, es decir, como un

espacio de nombres que está integrado con el Sistema de nombres de dominio
(DNS) de Internet.
• El segundo es el lado más cotidiano de Active Directory, es decir, como el
software que convierte a un servidor en un controlador de dominio.

En el contexto de una red de equipos, un directorio (también denominado

almacén de datos) es una estructura jerárquica que almacena información
acerca de los objetos de la red. Los objetos incluyen recursos compartidos
como servidores, volúmenes compartidos e impresoras, cuentas de usuarios y
equipos, así como dominios, aplicaciones, servicios, políticas de seguridad y
cualquier elemento de la red. Un ejemplo de los tipos específicos de
información que un directorio de red puede almacenar acerca de un
determinado tipo de objeto es aquél en el que un directorio normalmente
almacena un nombre de usuario, una clave de acceso, una dirección de correo
electrónico, un número de teléfono, etc. de una cuenta de usuario.
La diferencia entre un servicio de directorio y un directorio es que se refiere
tanto al origen de información del directorio como a los servicios que posibilitan
que la información esté disponible y al alcance de los administradores, los
usuarios, los servicios de red y las aplicaciones. En una situación ideal, un
servicio de directorio hace que la topología de la red física y los protocolos
(formatos para transmitir datos entre dos dispositivos) sean transparentes, de
modo que un usuario pueda tener acceso a cualquier recurso sin saber dónde
ni cómo está conectado físicamente. Siguiendo con el ejemplo de la cuenta de
usuario, es el servicio de directorio el que permite que otros usuarios
autorizados de la misma red tengan acceso a la información de directorio
almacenada (como una dirección de correo electrónico) acerca del objeto de
cuenta de usuario.
Los servicios de directorio admiten numerosas capacidades. Algunos servicios
de directorio están integrados en un sistema operativo y otros son aplicaciones,
como los directorios de correo electrónico. Los servicios de directorio del
sistema operativo, como Active Directory, proporcionan administración de
usuarios, equipos y recursos compartidos. Los servicios de directorio que
administran el correo electrónico, como Microsoft Exchange, permiten que los
usuarios busquen a otros usuarios y envíen correo electrónico.
Active Directory, el nuevo centro de servicios de directorio para el sistema
operativo Windows 2000 Server, sólo se ejecuta en controladores de dominio.
Active Directory, además de proporcionar un lugar para almacenar datos y
servicios para que estén disponibles dichos datos, también protege los objetos
de la red frente al acceso no autorizado y los replica a través de una red para
que no se pierdan datos si se produce un error en un controlador de dominio.

Active Directory incorpora DNS

Tanto Active Directory como DNS son espacios de nombres. Un espacio de
nombres es cualquier área limitada donde se puede resolver un nombre dado.
La resolución de nombres es el proceso de traducir un nombre en algún objeto
o información que representa dicho nombre. Una libreta de teléfonos forma un
espacio de nombres en el que los nombres de los abonados telefónicos pueden
resolverse a números de teléfono. El sistema de archivos NTFS de Windows
2000 forma un espacio de nombres en el que el nombre de un archivo puede
resolverse al archivo propiamente dicho.

DNS e Internet

Entender cómo Windows 2000 trata los espacios de nombres de Active

Directory y DNS requiere comprender algunos conceptos básicos acerca del
propio DNS y su relación con Internet y TCP/IP. Internet es una red TCP/IP.
Los protocolos de comunicaciones TCP/IP conectan equipos y les permiten
transmitir datos a través de las redes. Todos los equipos de Internet o de
cualquier otra red TCP/IP (como muchas redes de Windows) tienen una
dirección IP. DNS encuentra los hosts TCP/IP (equipos) mediante la resolución
de los nombres de equipo que los usuarios finales entienden a las direcciones
IP que los equipos entienden. Las direcciones IP de Internet se administran
mediante la base de datos de DNS distribuida globalmente, pero también es
posible implementar DNS localmente para administrar direcciones de redes
TCP/IP privadas.
DNS, que está organizado en una jerarquía de dominios, convierte toda la red
Internet en un único espacio de nombres. DNS tiene varios dominios de nivel
superior que, a su vez, se subdividen en dominios de segundo nivel. Una
autoridad de Internet (actualmente, Internet Network Information Center, o
InterNIC) administra la raíz del espacio de nombres de dominios de Internet;
esta autoridad delega la responsabilidad administrativa de los dominios de nivel
superior del espacio de nombres de DNS y registra los nombres de dominio de
segundo nivel. Los dominios de nivel superior son las categorías de dominios
conocidas: comercial (.com), educación (.edu), gobierno (.gov), etc. Fuera de
los Estados Unidos se utilizan códigos de región o de país de dos letras, como
.mx para México o .es para España. Los dominios de segundo nivel
representan espacios de nombres que se registran formalmente a nombre de
instituciones (e individuos) para proporcionarles una presencia en Internet. En
la figura 1 se muestra cómo se conecta la red de una organización al espacio
de nombres DNS de Internet.

Figura 1. Cómo encaja Microsoft en el espacio de nombres DNS de

Internet

Integración de los espacios de nombres de DNS y de Active

Directory

La integración de DNS y Active Directory es una característica fundamental del

sistema operativo Windows 2000 Server. Los dominios de DNS y los dominios
de Active Directory usan nombres de dominio idénticos para espacios de
nombres distintos. Puesto que los dos espacios de nombres comparten una
estructura de dominios idéntica, es importante comprende que no se trata del
mismo espacio de nombres. Cada uno almacena datos diferentes y, por tanto,
administra objetos distintos. DNS almacena sus zonas2 y registros de recursos,
mientras que Active Directory almacena sus dominios y objetos de dominio.
Los nombres de dominio de DNS se basan en la estructura de nomenclatura
jerárquica de DNS, que es una estructura de árbol invertido: un único dominio
raíz, bajo el cual están los dominios principales y secundarios (ramas y hojas).
Por ejemplo, un nombre de dominio de Windows 2000 como
secundario.principal.microsoft.com identifica un dominio denominado
secundario, que es un dominio secundario del dominio llamado principal que, a
su vez, es secundario del dominio microsoft.com.
Cada equipo de un dominio DNS se identifica de manera única mediante su
nombre de dominio completo (FQDN). El FQDN de un equipo que se encuentra
en el dominio secundario.principal.microsoft.com es
nombreEquipo.secundario.principal.microsoft.com.
Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo,
NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre DNS (por
ejemplo, ServidorCuentas.NombreOrg.com). Así, los dominios y los equipos se
representan como objetos de Active Directory y como nodos de DNS (un nodo
en la jerarquía DNS representa un dominio o un equipo).
Tanto DNS como Active Directory utilizan una base de datos para resolver
nombres:

• DNS es un servicio de resolución de nombres. DNS resuelve los nombres de

dominio y de equipo a direcciones IP mediante solicitudes que hacen los
servidores DNS en forma de consultas a la base de datos. En concreto, los
clientes DNS envían consultas de nombres a su servidor DNS configurado. El
servidor DNS recibe la consulta de nombre y la resuelve mediante archivos
almacenados localmente o consulta a otro servidor DNS para que la resuelva.
DNS no requiere Active Directory para funcionar.
• Active Directory es un servicio de directorio. Active Directory resuelve los
objetos de nombre de dominio a registros de objeto mediante las solicitudes que
hacen los controladores de dominio, como una búsqueda del Protocolo compacto
de acceso a directorios (LDAP)3 o solicitudes de modificación de la base de
datos de Active Directory. Específicamente, los clientes de Active Directory
utilizan LDAP para enviar consultas a los servidores de Active Directory. Para
buscar un servidor de Active Directory, un cliente de Active Directory consulta
a DNS. Es decir, Active Directory usa DNS como servicio de búsqueda para
resolver nombres de dominios, sitios y servicios de Active Directory a una
dirección IP. Por ejemplo, para iniciar la sesión en un dominio de Active
Directory, un cliente de Active Directory consulta a su servidor DNS
configurado la dirección IP del servicio LDAP que se ejecuta en un controlador
de un dominio especificado. Active Directory requiere DNS para funcionar.

En la práctica, para comprender que los espacios de nombres de DNS y de

Active Directory en un entorno Windows 2000 son diferentes, es necesario
entender que un registro de host de DNS, que representa un equipo específico
en una zona de DNS, se encuentra en un espacio de nombres diferente del
objeto de cuenta de equipo de dominio de Active Directory que representa el
mismo equipo.
En resumen, Active Directory está integrado con DNS de las siguientes formas:

• Los dominios de Active Directory y los dominios de DNS tienen la misma

estructura jerárquica. Aunque son independientes y se implementan de forma
diferente para propósitos distintos, los espacios de nombres de una organización
para dominios de DNS y de Active Directory tienen una estructura idéntica. Por
ejemplo, microsoft.com es un dominio de DNS y un dominio de Active
Directory.
 • Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el
servicio DNS de Windows 2000, es posible almacenar las zonas principales en
Active Directory para replicarlas en otros controladores de dominio de Active
Directory y proporcionar seguridad mejorada al servicio DNS.
• Los clientes de Active Directory utilizan DNS para buscar controladores de
dominio. Para buscar el controlador de un dominio específico, los clientes de
Active Directory consultan su servidor DNS configurado en busca de registros
de recursos específicos.

Active Directory y el espacio de nombres global de DNS

Active Directory está diseñado de forma que pueda existir en el ámbito del
espacio de nombres global de DNS de Internet. Cuando una organización que
utiliza Windows 2000 Server como sistema operativo de red requiere presencia
en Internet, el espacio de nombres de Active Directory se mantiene como uno o
varios dominios jerárquicos de Windows 2000 bajo un dominio raíz que está
registrado como un espacio de nombres de DNS. (Una organización puede
decidir no formar parte del espacio de nombres global de DNS de Internet, pero
si lo hace, sigue siendo necesario el servicio DNS para buscar equipos
basados en Windows 2000.)
Según las convenciones de nomenclatura de DNS, cada parte de un nombre
DNS separado por un punto (.) representa un nodo en la estructura jerárquica
en árbol de DNS y un nombre de dominio de Active Directory potencial en la
estructura jerárquica en árbol de dominios de Windows 2000. Tal como se
muestra en la figura 2, la raíz de la jerarquía DNS es un nodo que tiene una
etiqueta nula (" "). La raíz del espacio de nombres de Active Directory (la raíz
del bosque) no tiene principal y proporciona el punto de entrada de LDAP a
Active Directory.
Figura 2. Comparación de las raíces de los espacios de nombres
de DNS y de Active Directory

Registros de recursos SRV y actualizaciones dinámicas

DNS existe independientemente de Active Directory, mientras que Active

Directory está diseñado específicamente para trabajar con DNS. Para que
Active Directory funcione correctamente, los servidores DNS deben admitir
registros de recursos de ubicación de servicio (SRV)4. Los registros de
recursos SRV asignan el nombre de un servicio al nombre de un servidor que
ofrece dicho servicio. Los controladores de dominio y los clientes de Active
Directory utilizan los registros de recursos SRV para averiguar las direcciones
IP de los controladores de dominio.
Nota Para obtener más información acerca de cómo planear la distribución de
servidores DNS como apoyo a los dominios de Active Directory, así como otras
cuestiones relacionadas con la distribución, consulte la Guía de diseño de la
distribución de Microsoft Windows 2000 Server en la sección "Para obtener
más información" de este documento.
Además del requisito de que los servidores DNS de una red de Windows 2000
admitan registros de recursos SRV, Microsoft también recomienda que los
servidores DNS admitan las actualizaciones dinámicas de DNS5. Las
actualizaciones dinámicas de DNS definen un protocolo para actualizar
dinámicamente un servidor DNS con valores nuevos o modificados. Sin el
protocolo de actualización dinámica de DNS, los administradores deben
configurar manualmente los registros creados por los controladores de dominio
y almacenados por los servidores DNS.
El nuevo servicio DNS de Windows 2000 admite tanto los registros de recursos
SRV como las actualizaciones dinámicas. Si decide utilizar un servidor DNS
que no esté basado en Windows 2000, debe comprobar que admite los
registros de recursos SRV o actualizarlo a una versión que los admita. En el
caso de un servidor DNS heredado que admita registros de recursos SRV pero
no admita actualizaciones dinámicas, se deben actualizar manualmente sus
registros de recursos cuando se promueva un equipo con Windows 2000
Server a controlador de dominio. Esto se realiza mediante el archivo
Netlogon.dns (que se encuentra en la carpeta
%systemroot%\System32\config), creado por el Asistente para instalación de
Active Directory.

Active Directory crea controladores de

dominio
La implementación y la administración de una red son actividades tangibles.
Para entender cómo encaja Active Directory en la situación en la práctica, lo
primero que necesita saber es que la instalación de Active Directory en un
equipo que ejecute el sistema operativo Windows 2000 Server es el acto que
transforma el servidor en un controlador de dominio. Un controlador de dominio
sólo puede alojar un dominio.
En concreto, un controlador de dominio es un equipo que ejecuta Windows
2000 Server y que se ha configurado con el Asistente para instalación de Active
Directory, que instala y configura los componentes que proporcionan los
servicios de directorio de Active Directory a los usuarios y los equipos de la red.
Los controladores de dominio almacenan datos de directorio de todo el dominio
(como las políticas de seguridad del sistema y datos de autenticación de
usuarios) y administran las interacciones de usuarios y dominios, incluidos los
procesos de inicio de sesión, autenticación y búsquedas en el directorio.
Al promover un servidor a controlador de dominio con el Asistente para
instalación de Active Directory también se crea un dominio de Windows 2000 o
se agregan controladores adicionales a un dominio existente.
En esta sección se describe qué es un controlador de dominio de Active
Directory y algunas de las funciones principales que desempeña en la red.
Con la presentación de Active Directory, los controladores de dominio de
Windows 2000 funcionan como homólogos. Esto representa un cambio con
respecto a las funciones de principal-subordinado que desempeñaban los
controladores principales de dominio (PDC) y los controladores de reserva
(BDC) de Windows NT Server. Los controladores de dominio homólogos
admiten la replicación de múltiples maestros, con lo que se replica la
información de Active Directory en todos los controladores de dominio. La
presentación de la replicación de múltiples maestros significa que los
administradores pueden efectuar actualizaciones de Active Directory en
cualquier controlador de dominio de Windows 2000 del dominio. En el sistema
operativo Windows NT Server, sólo el PDC tiene una copia de lectura y
escritura del directorio; el PDC replica a los BDC una copia de sólo lectura de la
información del directorio. (Para obtener más información acerca de la
replicación de múltiples maestros, consulte la sección "Replicación de múltiples
maestros".)
Si realiza la actualización al sistema operativo Windows 2000 desde un dominio
existente, puede realizar la actualización por etapas y según le convenga. Si va
a crear el primer controlador de dominio para una instalación nueva, se
materializan algunas entidades automáticamente al mismo tiempo que se carga
Active Directory. Las dos subsecciones siguientes explican estos aspectos
relacionados con la instalación de un controlador de dominio de Active
Directory en una red nueva:

• El primer controlador de dominio es un servidor de catálogo global.

• El primer controlador de dominio contiene las funciones de maestro de
operaciones.

Catálogo global

El sistema operativo Windows 2000 presenta el catálogo global, una base de

datos que se mantiene en uno o varios controladores de dominio. El catálogo
global desempeña las funciones principales en los inicios de sesión de los
usuarios y en las consultas.
De forma predeterminada, se crea automáticamente un catálogo global en el
controlador de dominio inicial del bosque de Windows 2000 y cada bosque
debe tener al menos un catálogo global. Si utiliza varios sitios, es
recomendable que asigne un controlador de dominio de cada sitio como
catálogo global, ya que es necesario tener un catálogo global (que determina la
pertenencia a grupos de una cuenta) para llevar a cabo el proceso de
autenticación del inicio de sesión. Esto se refiere a un dominio de modo nativo.
Los dominios de modo mixto no requieren una consulta al catálogo global para
realizar el inicio de sesión.
Después de instalar controladores de dominio adicionales en el bosque, puede
cambiar la ubicación predeterminada del catálogo global a otro controlador de
dominio mediante la herramienta Sitios y servicios de Active Directory.
Opcionalmente puede configurar cualquier controlador de dominio para que
aloje un catálogo global, según los requisitos de la organización para atender
las solicitudes de inicio de sesión y las consultas de búsqueda. Cuantos más
servidores de catálogo global haya, más rápidas serán las respuestas a las
consultas de los usuarios; el inconveniente es que habilitar muchos
controladores de dominio como servidores de catálogo global aumenta el
tráfico de replicación en la red.
El catálogo global desempeña dos funciones clave de Active Directory, inicio de
sesión y consultas:

• Inicio de sesión. En un dominio de modo nativo, el catálogo global permite el

inicio de sesión de los clientes de Active Directory al proporcionar información
universal de pertenencia a grupos6 para la cuenta que envía la solicitud de inicio
de sesión a un controlador de dominio. De hecho, no sólo los usuarios sino
cualquier objeto que se autentique en Active Directory debe hacer consultar el
servidor de catálogo global, incluidos todos los equipos que se inicien. En una
configuración de varios dominios, al menos un controlador de dominio que
contenga el catálogo global debe estar en funcionamiento y disponible para que
los usuarios puedan iniciar una sesión. También debe haber disponible un
servidor de catálogo global cuando un usuario inicie la sesión con un nombre
principal de usuario (UPN) no predeterminado. (Para obtener más información
acerca del inicio de sesión, consulte la sección "Nombres de inicio de sesión:
UPN y nombres de cuentas SAM".)

Si no hay disponible un catálogo global cuando un usuario inicia un

proceso de inicio de sesión en la red, el usuario sólo podrá iniciar la
sesión en el equipo local y no en la red. La única excepción es la de los
usuarios que son miembros del grupo de administradores de dominios
(Administrador del dominio), que pueden iniciar la sesión en la red
incluso aunque no haya disponible un catálogo global.

• Consultas. En un bosque que contiene muchos dominios, el catálogo global

permite que los usuarios efectúen búsquedas en todos los dominios de forma
rápida y sencilla, sin tener que buscar en cada dominio individualmente. El
catálogo global hace que las estructuras del directorio dentro de un bosque sean
transparentes para los usuarios finales que buscan información. La mayor parte
del tráfico de red de Active Directory está relacionado con las consultas:
usuarios, administradores y programas que solicitan información acerca de
objetos del directorio. Las consultas son mucho más frecuentes que las
actualizaciones del directorio. Asignar varios controladores de dominio como
servidores de catálogo global mejora el tiempo de respuesta a los usuarios que
buscan información del directorio, pero debe sopesar esta ventaja frente al hecho
de que también puede aumentar el tráfico de replicación de la red.
Funciones de maestro de operaciones

La replicación de múltiples maestros en controladores de dominio homólogos

no resulta práctica para algunos tipos de cambios, por lo que sólo un
controlador de dominio, denominado maestro de operaciones, acepta
solicitudes para dichos cambios. Como la replicación de múltiples maestros
desempeña una función fundamental en una red basada en Active Directory, es
importante saber cuáles son estas excepciones. En cualquier bosque de Active
Directory, al menos las últimas cinco funciones de maestro de operaciones se
asignan al controlador de dominio inicial durante la instalación.
Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del
único maestro de operaciones se asignan automáticamente al primer
controlador de dicho dominio. En un bosque pequeño de Active Directory con
sólo un dominio y un controlador de dominio, dicho controlador sigue teniendo
todas las funciones del maestro de operaciones. En una red mayor, con uno o
varios dominios, se pueden asignar estas funciones a uno o varios
controladores de dominio. Algunas funciones deben aparecer en todos los
bosques. Otras funciones deben aparecer en cada dominio del bosque.
Las dos funciones siguientes de maestro de operaciones en todo el bosque
deben ser únicas en el bosque; es decir, sólo puede haber una de ellas en todo
el bosque:

• Maestro de esquema. El controlador de dominio que tiene la función de

maestro de esquema controla todas las actualizaciones y modificaciones del
esquema. El esquema define todos los objetos (y sus atributos) que pueden
almacenarse en el directorio. Para actualizar el esquema de un bosque, debe
disponer de acceso al maestro de esquema.
• Maestro de nombres de dominio. El controlador de dominio que tiene la
función de maestro de nombres de dominio controla la incorporación o
eliminación de dominios en el bosque.

Las tres funciones siguientes de maestro de operaciones en todo el dominio

deben ser únicas en cada dominio y sólo puede haber una en cada dominio del
bosque:

• Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a

cada controlador de su dominio. Cada vez que un controlador de dominio crea
un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) único.
El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo
para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es
único para cada Id. de seguridad creado en el dominio). Cuando el controlador
de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID.
• Emulador de controlador principal de dominio (PDC). Si el dominio
contiene equipos que no ejecutan el software cliente de Windows 2000, o si
contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC
actúa como controlador principal de dominio (PDC) de Windows NT. Procesa
 los cambios de clave de acceso de los clientes y replica las actualizaciones en los
BDC. El emulador de PCD recibe replicación preferente de los cambios de clave
de acceso realizados por otros controladores del dominio. Si se produce un error
en una autenticación de inicio de sesión en otro controlador de dominio debido a
una clave de acceso incorrecta, dicho controlador reenvía la solicitud de
autenticación al emulador de PDC antes de rechazar el intento de inicio de
sesión.
• Maestro de infraestructuras. El maestro de infraestructuras es el encargado de
actualizar todas las referencias entre dominios siempre que se mueve un objeto
al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el
nombre o se cambian los miembros de los grupos, el maestro de infraestructuras
actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve
un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto
del grupo), es posible que parezca temporalmente que el grupo no contiene a ese
miembro. El maestro de infraestructuras del dominio del grupo es el encargado
de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva
ubicación del miembro.

El maestro de infraestructuras distribuye la actualización mediante la

replicación de múltiples maestros. A menos que sólo haya un único
controlador en el dominio, no asigne la función de maestro de
infraestructuras al controlador de dominio que aloja el catálogo global. Si
lo hace, no funcionará el maestro de infraestructuras. Si todos los
controladores de un dominio también alojan el catálogo global (incluido
el caso donde sólo exista un controlador de dominio), todos los
controladores de dominio tienen datos actualizados y, por tanto, no es
necesario el maestro de infraestructuras.

Arquitectura
Una vez instalado un controlador de dominio de Active Directory, se ha creado
a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo
controlador a un dominio existente. ¿Cómo encajan el controlador y el dominio
en la arquitectura global de la red?
En esta sección se explican los componentes de una red basada en Active
Directory y cómo están organizados. Además, describe cómo puede delegar la
responsabilidad administrativa de las unidades organizativas (OU), dominios o
sitios a los usuarios adecuados y cómo asignar valores de configuración a
estos tres mismos contenedores de Active Directory. Se tratan los siguientes
temas:

• Objetos (incluido el esquema).

• Convenciones de nomenclatura de objetos (incluyendo nombres de principales
de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres
de inicio de sesión).
• Publicación de objetos.
 • Dominios (incluyendo árboles, bosques, confianzas y unidades organizativas).
• Sitios (incluida la replicación).
• Cómo se aplican la delegación y Política de grupo a unidades organizativas,
dominios y sitios.

Objetos
Los objetos de Active Directory son las entidades que componen una red. Un
objeto es un conjunto diferenciado con nombre de atributos que representa
algo concreto, como un usuario, una impresora o una aplicación. Cuando crea
un objeto de Active Directory, éste genera valores para algunas propiedades
del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un
objeto de usuario, Active Directory asigna el identificador único global (GUID) y
usted debe proporcionar valores para atributos como el nombre, el apellido, el
identificador de inicio de sesión, etc. del usuario.

El esquema

El esquema es una descripción de las clases de objeto (los distintos tipos de

objetos) y los atributos de dichas clases. Para cada clase de objeto, el
esquema define qué atributos debe tener, qué atributos adicionales puede
tener y qué clase de objeto puede ser su objeto primario. Cada objeto de Active
Directory es una instancia de una clase de objeto. Cada atributo sólo se define
una vez y puede utilizarse en varias clases. Por ejemplo, el atributo Descripción
se define una vez pero se utiliza en muchas clases distintas.
El esquema se almacena en Active Directory. Las definiciones de esquema
también se almacenan como objetos: Esquema de clase y Esquema de
atributos. De esta forma, Active Directory administra los objetos de clase y de
atributos de la misma manera en que administra otros objetos del directorio.
Las aplicaciones que crean o modifican objetos de Active Directory utilizan el
esquema para determinar los atributos que debe o podría tener el objeto y
cómo deben ser esos atributos en lo que respecta a estructuras de datos y
restricciones de sintaxis.
Los objetos pueden ser objetos contenedor u objetos hoja (también
denominados objetos no contenedor). Un objeto contenedor almacena otros
objetos, pero los objetos hoja no. Por ejemplo, una carpeta es un objeto
contenedor de archivos, que son objetos hoja.
Cada clase de objetos del esquema de Active Directory tiene atributos que
aseguran:

• Identificación única de cada objeto en un almacén de datos del directorio.

• Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad
con los identificadores de seguridad (SID) utilizados en el sistema operativo
Windows NT 4.0 y anteriores.
 • Compatibilidad con los estándares LDAP para nombres de objetos de directorio.

Consultas y atributos de esquema

Con la herramienta Esquema de Active Directory puede marcar un atributo

como indizado. Al hacerlo, se agregan al índice todas las instancias de dicho
atributo, no sólo las instancias que son miembros de una clase determinada. Al
indizar un atributo podrá encontrar más rápidamente los objetos que tengan
ese atributo.
También puede incluir atributos en el catálogo global. El catálogo global
contiene un conjunto predeterminado de atributos para cada objeto del bosque
y puede agregarles los que desee. Los usuarios y las aplicaciones utilizan el
catálogo global para buscar objetos en el bosque. Incluya sólo los atributos que
tengan las siguientes características:

• Útil globalmente. El atributo debe ser necesario para buscar objetos (incluso
aunque sólo sea para acceso de lectura) que pueda haber en cualquier lugar del
bosque.
• No volátil. El atributo deber ser invariable o cambiar con muy poca frecuencia.
Los atributos de un catálogo global se replican a todos los demás catálogos
globales del bosque. Si el atributo cambia con frecuencia, genera mucho tráfico
de replicación.
• Pequeño. Los atributos de un catálogo global se replican a todos los catálogos
globales del bosque. Cuanto menor sea el atributo, menor será el impacto de la
replicación.

Nombres de objetos de esquema

Como se ha indicado anteriormente, las clases y los atributos son objetos de

esquema. Se puede hacer referencia a cualquier objeto de esquema mediante
los siguientes tipos de nombres:

• Nombre LDAP para mostrar. El nombre LDAP para mostrar es único

globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta
de una o varias palabras combinadas, con la letra inicial de cada palabra en
mayúsculas después de la primera palabra. Por ejemplo, mailAddress y
machinePasswordChangeInterval son los nombres LDAP para mostrar de dos
atributos de esquema. Esquema de Active Directory y otras herramientas
administrativas de Windows 2000 muestran el nombre LDAP para mostrar de
los objetos, y los programadores y administradores utilizan este nombre para
hacer referencia al objeto mediante programa. Consulte la próxima subsección
para obtener información acerca de cómo ampliar el esquema mediante
programa; consulte la sección "Protocolo compacto de acceso a directorios" para
obtener más información acerca de LDAP.
• Nombre común. Los nombres comunes de los objetos de esquema también son
únicos globalmente. El nombre común se especifica cuando se crea una nueva
clase o atributo de objeto en el esquema; se trata del nombre en referencia
 relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para
obtener más información acerca de los RDN, consulte la sección "Nombres DN
y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos
mencionados en el párrafo anterior son SMTP-Mail-Address y Machine-
Password-Change-Interval.
• Identificador de objeto (OID). El identificador de un objeto de esquema es un
número emitido por una entidad como Organización internacional de
normalización (ISO) y American National Standards Institute (ANSI). Por
ejemplo, el OID para el atributo SMTP-Mail-Address es
1.2.840.113556.1.4.786. Se garantiza que los OID son únicos en todas las redes
de todo el mundo. Una vez que obtenga un OID raíz de una entidad emisora,
puede utilizarlo para asignar OID adicionales. Los OID forman una jerarquía.
Por ejemplo, Microsoft ha emitido el OID raíz 1.2.840.113556. Microsoft
administra internamente otras ramas adicionales desde esta raíz. Una de las
ramas se utiliza para asignar OID a las clases de esquema de Active Directory y
otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es
1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede
analizarse como se muestra en la tabla 1.

Tabla 1. Identificador de objeto

Número de Id.
Identifica
de objeto
1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI,
2 ANSI emitió 1.2.840 para EE.UU.,
840 EE.UU. emitió 1.2.840.113556 para Microsoft,
Microsoft administra internamente varias ramas de
113556
identificadores de objeto bajo 1.2.840.113556, que incluyen:
1 una rama denominada Active Directory que incluye
5 una rama denominada clases que incluye
4 una rama denominada Dominio integrado
Para obtener más información acerca de los OID y cómo obtenerlos, consulte
"Para obtener más información" al final de este documento.

Ampliar el esquema

El sistema operativo Windows 2000 Server proporciona un conjunto

predeterminado de clases y atributos de objeto que son suficientes para
muchas organizaciones. Aunque no puede eliminar objetos del esquema,
puede marcarlos como desactivados.
Los programadores y los administradores de redes con experiencia pueden
ampliar dinámicamente el esquema si definen nuevas clases y nuevos atributos
para las clases existentes. La forma recomendada de ampliar el esquema de
Active Directory es mediante programa, a través de las Interfaces de servicio
de Active Directory (ADSI). También puede emplear la utilidad Formato de
intercambio de datos LDAP (LDIFDE). (Para obtener más información acerca
de ADSI y LDIFDE, consulte las secciones "Interfaz de servicio de Active
Directory" y "Active Directory y LDIFDE".)
Para propósitos de desarrollo y de pruebas, también puede ver y modificar el
esquema de Active Directory con la herramienta Esquema de Active Directory.
Cuando se plantee cambiar el esquema, recuerde estos puntos clave:

• Los cambios del esquema son globales en todo el bosque.

• Las ampliaciones del esquema no son reversibles (aunque puede modificar
algunos atributos).
• Microsoft requiere que no se amplíe el esquema para adherirse a las reglas de
nomenclatura (descritas en la subsección anterior), tanto para el nombre LDAP
para mostrar como para el nombre común. El programa del logotipo Certificado
para Windows7 exige el cumplimiento. Visite el sitio Web Microsoft Developer
Network para obtener más información al respecto.
• Todas las clases del esquema derivan de la clase especial Top. A excepción de
Top, todas las clases son subclases derivadas de otra clase. La herencia de
atributos permite crear nuevas clases a partir de las ya existentes. La nueva
subclase hereda los atributos de su superclase (clase principal).

La ampliación del esquema es una operación avanzada. Para obtener

información detallada acerca de cómo ampliar el esquema mediante programa,
consulte la sección "Para obtener más información" al final de este documento.

Convenciones de nomenclatura de objetos

Active Directory admite varios formatos de nombres de objeto para admitir las
distintas formas que puede adoptar un nombre, dependiendo del contexto en
que se utilice (algunos nombres tienen formato numérico). En las siguientes
subsecciones se describen estos tipos de convenciones de nomenclatura para
los objetos de Active Directory:

• Nombres de principales de seguridad.

• Identificadores de seguridad (también denominados Id. de seguridad o SID).
• Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y
nombres canónicos).
• GUID de objeto.
• Nombres de inicio de sesión (incluidos UPN y nombres de cuentas SAM).

Si la organización tiene varios dominios, es posible utilizar el mismo nombre de

usuario o de equipo en diferentes dominios. El Id. de seguridad, el GUID, el
nombre completo LDAP y el nombre canónico generados por Active Directory
identifican de forma única a cada usuario o equipo del directorio. Si se cambia
el nombre del objeto de usuario o de equipo, o se mueve a otro dominio, el Id.
de seguridad, el nombre en referencia relativa LDAP, el nombre completo y el
nombre canónico cambian, pero el GUID generado por Active Directory no
cambia.
Nombres de principales de seguridad

Un principal de seguridad es un objeto de Windows 2000 administrado por

Active Directory al que se asigna automáticamente un identificador de
seguridad (SID) para la autenticación de inicio de sesión y el acceso a los
recursos. Un principal de seguridad puede ser una cuenta de usuario, una
cuenta de equipo o un grupo, de modo que un nombre de principal de
seguridad identifica de forma única a un usuario, un equipo o un grupo dentro
de un único dominio. Un objeto de principal de seguridad debe estar
autenticado por un controlador del dominio en el que se encuentra el objeto y
se le puede conceder o denegar el acceso a los recursos de la red.
Un nombre de principal de seguridad no es único entre dominios pero, por
compatibilidad con versiones anteriores, debe ser único en su propio dominio.
Se puede cambiar el nombre de los objetos de principales de seguridad , se
pueden mover o pueden estar dentro de una jerarquía de dominios anidados.
Los nombres de los objetos de principales de seguridad deben ajustarse a las
siguientes directrices:

• El nombre no puede ser idéntico a otro nombre de usuario, equipo o grupo del
dominio. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas,
excepto los siguientes: " / \ [ ] : ; | = , + * ? <>
• Un nombre de usuario, equipo o grupo no puede contener sólo puntos (.) o
espacios en blanco.

Id. de seguridad (SID)

Un identificador de seguridad (SID) es un nombre único creado por el

subsistema de seguridad del sistema operativo Windows 2000 y se asigna a
objetos de principales de seguridad; es decir, a cuentas de usuario, grupo y
equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por
primera vez. Los procesos internos del sistema operativo Windows 2000 hacen
referencia al SID de las cuentas en vez de a los nombres de usuario o de grupo
de las cuentas.
Cada objeto de Active Directory está protegido mediante entradas de control de
acceso (ACE) que identifican los usuarios o grupos que pueden tener acceso al
objeto. Cada ACE contiene el SID de cada usuario o grupo con permiso de
acceso a dicho objeto y define el nivel de acceso permitido. Por ejemplo, un
usuario podría tener acceso de sólo lectura a determinados archivos, acceso
de lectura y escritura a otros y no tener acceso a otros archivos.
Si crea una cuenta, la elimina y después crea otra cuenta con el mismo nombre
de usuario, la nueva cuenta no tendrá los derechos o permisos concedidos
anteriormente a la cuenta antigua, ya que los SID correspondientes a las
cuentas son diferentes.
Nombres relacionados con LDAP

Active Directory es un servicio de directorio compatible con el Protocolo

compacto de acceso a directorios (LDAP). En el sistema operativo Windows
2000, todos los accesos a los objetos de Active Directory se producen a través
de LDAP. LDAP define las operaciones que se pueden realizar para consultar y
modificar información en un directorio, y cómo se puede tener acceso de forma
segura a la información de un directorio. Por tanto, se utiliza LDAP para buscar
o enumerar objetos del directorio y para consultar o administrar Active
Directory. (Para obtener más información acerca de LDAP, consulte la sección
"Protocolo compacto de acceso a directorios".)
Es posible consultar mediante el nombre completo LDAP (que es un atributo
del objeto), pero como resulta difícil de recordar, LDAP también admite la
consulta por otros atributos (por ejemplo, color para buscar las impresoras en
color). De esta forma puede buscar un objeto sin tener que saber su nombre
completo.
En las tres subsecciones siguientes se describen los formatos de nomenclatura
de objetos admitidos por Active Directory, que se basan todos en el nombre
completo LDAP:

• Nombres DN y RDN de LDAP.

• Direcciones URL de LDAP.
• Nombres canónicos basados en LDAP.

Nombres DN y RDN de LDAP

LDAP proporciona nombres completos (DN) y nombres en referencia relativa

(RDN) para los objetos8. Active Directory implementa estas convenciones de
nomenclatura LDAP con las variaciones que se muestran en la tabla 2.
Tabla 2. Convenciones de nomenclatura de LDAP y sus
correspondientes en Active Directory
Convención de nomenclatura Convención de nomenclatura
DN y RDN de LDAP correspondiente en Active Directory
cn=nombre común cn=nombre común
ou=unidad organizativa ou=unidad organizativa
o=organización dc=componente de dominio
c=país (no se admite)
Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se utiliza para
describir el RDN de un objeto se denomina atributo de nomenclatura. Los
atributos de nomenclatura de Active Directory, que se muestran en la columna
derecha, corresponden a las siguientes clases de objetos de Active Directory:

• cn se utiliza para la clase de objeto usuario

• ou se utiliza para la clase de objeto unidad organizativa (OU)
• dc se utiliza para la clase de objeto DnsDominio
Todos los objetos de Active Directory tienen un DN de LDAP. Los objetos se
encuentran dentro de dominios de Active Directory según una ruta de acceso
jerárquica, que incluye las etiquetas del nombre de dominio de Active Directory
y cada nivel de los objetos contenedores. La ruta de acceso completa al objeto
la define el DN. El RDN define el nombre del objeto. El RDN es el segmento del
DN de un objeto que es un atributo del propio objeto.
Al usar la ruta de acceso completa a un objeto, incluido el nombre de objeto y
todos los objetos principales hasta la raíz del dominio, el DN identifica un objeto
único dentro de la jerarquía de dominios. Cada RDN se almacena en la base
de datos de Active Directory y contiene una referencia a su principal. Durante
una operación LDAP, se construye todo el DN siguiendo las referencias hasta
la raíz. En un DN de LDAP completo, el RDN del objeto que se va a identificar
aparece a la izquierda con el nombre de la rama y termina a la derecha con el
nombre de la raíz, según se muestra en este ejemplo:
cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU
,dcNombreOrganización.dc=com
El RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente (el
objeto principal de JDoe) es ou=Componentes, etc.
Las herramientas de Active Directory no muestran las abreviaturas de LDAP
para los atributos de nomenclatura (dc=, ou= o cn=). Estas abreviaturas sólo se
muestran para ilustrar la forma en que LDAP reconoce las partes del DN. La
mayoría de las herramientas de Active Directory muestran los nombres de
objeto en formato canónico (descrito más adelante). El sistema operativo
Windows 2000 utiliza el DN para permitir que un cliente LDAP recupere la
información de un objeto del directorio, pero ninguna interfaz de usuario de
Windows 2000 requiere escribir los DN. El uso explícito de DN, RDN y atributos
de nomenclatura sólo es necesario al escribir programas o secuencias de
comandos compatibles con LDAP.

Nombres de direcciones URL de LDAP

Active Directory admite el acceso mediante el protocolo LDAP desde cualquier

cliente habilitado para LDAP. En RFC 1959 se describe un formato para el
Localizador de recursos universal (dirección URL) de LDAP que permite que
los clientes de Internet tengan acceso directo al protocolo LDAP. Las
direcciones URL de LDAP también se utilizan en secuencias de comandos.
Una dirección URL de LDAP empieza con el prefijo "LDAP" y después contiene
el nombre del servidor que aloja los servicios de Active Directory, seguido del
nombre de atributo del objeto (el nombre completo). Por ejemplo:
LDAP://servidor1.RegiónEEUU.nombreOrg.com/cn=JDoe,
ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg,dc=com

Nombres canónicos de Active Directory basados en LDAP

De forma predeterminada, las herramientas administrativas de Active Directory
muestran los nombres de objeto con el formato de nombre canónico, que
enumera los RDN desde la raíz hacia abajo y sin los descriptores de atributos
de nomenclatura de RFC 1779 (dc=, ou= o cn=). El nombre canónico utiliza el
formato de nombres de dominio de DNS; es decir, los constituyentes de la
sección de etiquetas de dominio están separados por puntos:
RegiónEEUU.NombreOrg.com. En la tabla 3 se muestran las diferencias entre
el DN de LDAP y el mismo nombre en formato canónico.
Tabla 3. Diferencias entre el formato de DN de LDAP y el formato
de nombre canónico
El mismo nombre en dos formatos
Nombre
DN de cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg.dc=com
LDAP:
Nombre
RegiónEEUU.NombreOrg.com/Fabricación/Componentes/JDoe
canónico:

GUID de objeto

Además de su DN de LDAP, cada objeto de Active Directory tiene un

identificador único global (GUID), un número de 128 bits que asigna el Agente
del sistema del directorio cuando se crea el objeto. El GUID, que no se puede
modificar ni mover, se almacena en un atributo, objectGUID, que es necesario
para cada objeto. A diferencia de un DN o un RDN, que se puede modificar, el
GUID nunca cambia.
Cuando se almacena una referencia a un objeto de Active Directory en un
almacén externo (por ejemplo, una base de datos de Microsoft SQL Server™),
debe utilizarse el valor de objectGUID.

Nombres de inicio de sesión: UPN y nombres de cuentas

SAM

Como se ha descrito anteriormente, los principales de seguridad son objetos a

los se aplica la seguridad basada en Windows tanto para la autenticación de
inicio de sesión como para la autorización de acceso a los recursos. Los
usuarios son un tipo de principal de seguridad. En el sistema operativo
Windows 2000, los principales de seguridad de usuario requieren un nombre
único de inicio de sesión para obtener acceso a un dominio y sus recursos. En
las dos subsecciones siguientes se describen los dos tipos de nombres de
inicio de sesión: UPN y nombres de cuentas SAM.

Nombre de principal de usuario

En Active Directory, cada cuenta de usuario tiene un nombre de principal de
usuario (UPN) con el formato <usuario>@<nombreDominioDNS>. Un UPN es
un nombre descriptivo asignado por un administrador que es más corto que el
nombre completo LDAP utilizado el sistema y más fácil de recordar. El UPN es
independiente del DN del objeto de usuario, por lo que el objeto de usuario se
puede mover o cambiar de nombre sin que ello afecte al nombre de inicio de
sesión del usuario. Cuando se inicia una sesión con un UPN, los usuarios ya no
tienen que elegir un dominio de una lista en el cuadro de diálogo de inicio de
sesión.
Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesión del
usuario), el carácter @ y el sufijo UPN (normalmente un nombre de dominio). El
sufijo UPN predeterminado de una cuenta de usuario es el nombre DNS del
dominio de Active Directory en el que se encuentra la cuenta de usuario9. Por
ejemplo, el UPN del usuario John Doe, que tiene una cuenta de usuario en el
dominio NombreOrg.com (si NombreOrg.com es el único dominio del árbol), es
JDoe@NombreOrg.com. El UPN es un atributo (userPrincipalName) del objeto
de principal de seguridad. Si el atributo userPrincipalName de un objeto de
usuario no tiene valor, el objeto tiene como UPN predeterminado
nombreUsuario@nombreDominioDns.
Si la organización tiene muchos dominios que forman un árbol de dominios
profundo, organizado por departamentos y regiones, los nombres UPN
predeterminados pueden llegar a ser bastante farragosos. Por ejemplo, el UPN
predeterminado de un usuario podría ser ventas.costaoeste.microsoft.com. El
nombre de inicio de sesión para un usuario de dicho dominio es
usuario@ventas.costaoeste.microsoft.com. En vez de aceptar el nombre de
dominio DNS predeterminado como el sufijo UPN, puede simplificar los
procesos de administración y de inicio de sesión de usuario si proporciona un
único sufijo UPN a todos los usuarios. (El sufijo UPN sólo se utiliza dentro del
dominio de Windows 2000 y no es necesario que sea un nombre válido de
dominio DNS.) Puede utilizar su nombre de dominio de correo electrónico como
sufijo UPN: nombreUsuario@nombreOrganización.com. Así, el usuario del
ejemplo tendría el nombre UPN usuario@microsoft.com.
En el caso de un inicio de sesión basado en UPN, quizás sea necesario un
catálogo global, dependiendo del usuario que inicie la sesión y la pertenencia al
dominio del equipo del usuario. Se necesita un catálogo global si el usuario
inicia la sesión con un nombre UPN que no sea el predeterminado y la cuenta
de equipo del usuario se encuentra en un dominio distinto que la cuenta del
usuario. Es decir, si en lugar de aceptar el nombre de dominio DNS
predeterminado como sufijo UPN (como en el ejemplo anterior,
usuario@ventas.costaoeste.microsoft.com), proporciona un único sufijo UPN
para todos los usuarios (de forma que el usuario sea usuario@microsoft.com),
se necesita un catálogo global para el inicio de sesión.
La herramienta Dominios y confianza de Active Directory se utiliza para
administrar los sufijos UPN de un dominio. Los UPN se asignan en el momento
de crear un usuario. Si ha creado sufijos adicionales para el dominio, puede
elegir uno en la lista de sufijos disponibles al crear la cuenta de usuario o de
grupo. Los sufijos aparecen en la lista en el siguiente orden:

• Sufijos alternativos (si hay alguno, el último que se ha creado aparecerá en

primer lugar).
• Dominio raíz.
• Dominio actual.

Nombre de cuenta SAM

Un nombre de cuenta del Administrador de cuentas de seguridad (SAM) es

necesario por compatibilidad con los dominios de Windows NT 3.x y Windows
NT 4.0. La interfaz de usuario de Windows 2000 se refiere al nombre de cuenta
SAM como "Nombre de inicio de sesión de usuario (anterior a Windows 2000)".
Los nombres de cuentas SAM a veces se denominan nombres planos ya que,
a diferencia de los nombres DNS, los nombres de cuentas SAM no utilizan una
nomenclatura jerárquica. Como los nombres SAM son planos, cada uno debe
ser único en el dominio.

Publicación de objetos
Publicar es el acto de crear objetos en el directorio que contengan directamente
la información que desea que esté disponible o que proporcionen una
referencia a dicha información. Por ejemplo, un objeto de usuario contiene
información útil acerca de los usuarios, como sus números de teléfono y sus
direcciones de correo electrónico, y un objeto de volumen contiene una
referencia a un volumen compartido de un sistema de archivos.
A continuación se ofrecen dos ejemplos: publicar objetos de archivo e
impresión en Active Directory:

• Publicación de recursos compartidos. Puede publicar una carpeta compartida

como un objeto de volumen (también denominado objeto de carpeta compartida)
en Active Directory con el complemento Usuarios y grupos de Active Directory.
Esto significa que los usuarios ahora pueden consultar fácil y rápidamente dicha
carpeta compartida en Active Directory.
• Publicación de impresoras. En un dominio de Windows 2000, la forma más
sencilla de administrar, buscar y conectarse a impresoras es mediante Active
Directory. De forma predeterminada10, cuando agrega una impresora con el
Asistente para agregar impresoras y decide compartirla, Windows 2000 Server
la publica en el dominio como un objeto de Active Directory. Publicar
(enumerar) impresoras en Active Directory permite a los usuarios encontrar la
impresora más adecuada. Ahora los usuarios pueden consultar fácilmente
cualquiera de estas impresoras en Active Directory y buscar por atributos de
 impresora como tipo (PostScript, color, papel de tamaño oficio, etc.) y
ubicación. Cuando se quita una impresora del servidor, éste anula la publicación.

También puede publicar en Active Directory impresoras que no estén

basadas en Windows 2000 (es decir, impresoras que estén servidores
de impresión no basados en Windows 2000). Para ello, utilice la
herramienta Usuarios y equipos de Active Directory para escribir la ruta
de acceso a la impresora según la convención de nomenclatura
universal (UNC). De forma alternativa, utilice la secuencia de comandos
Pubprn.vbs que se encuentra en la carpeta System32. La política de
grupo Eliminación de impresora de bajo nivel determina cómo el servicio
de eliminación (eliminación automática de impresoras) trata las
impresoras que están en servidores de impresión no basados en
Windows 2000 cuando una impresora no está disponible.

Cuándo publicar

Debe publicar la información en Active Directory cuando sea útil o interesante

para una gran parte de la comunidad de usuarios y cuando sea necesario que
esté fácilmente accesible.
La información publicada en Active Directory tiene dos características
principales:

• Relativamente estática. Sólo se publica la información que cambia con poca

frecuencia. Los números de teléfono y las direcciones de correo electrónico son
ejemplos de información relativamente estática adecuada para publicar. El
mensaje de correo electrónico seleccionado actualmente del usuario es un
ejemplo de información que cambia con mucha frecuencia.
• Estructurada. Publicar información estructurada y que puede representarse
como un conjunto de atributos discretos. La dirección comercial de un usuario es
un ejemplo de información estructurada adecuada para publicar. Un clip de
audio con la voz del usuario es un ejemplo de información sin estructurar más
adecuada para el sistema de archivos.

La información operativa utilizada por las aplicaciones es un candidato

excelente para su publicación en Active Directory. Esto incluye información de
configuración global que se aplica a todas las instancias de una aplicación
dada. Por ejemplo, un producto de base de datos relacional podría almacenar
como un objeto de Active Directory la configuración predeterminada de los
servidores de bases de datos. Las nuevas instalaciones de ese producto
podrían recopilar la configuración predeterminada de ese objeto, lo que
simplifica el proceso de instalación y mejora la coherencia de las instalaciones
en una organización.
Las aplicaciones también pueden publicar sus puntos de conexión en Active
Directory. Los puntos de conexión se utilizan en los encuentros cliente-servidor.
Active Directory define una arquitectura para la administración de servicios
integrados mediante objetos de Punto de administración de servicios y
proporciona puntos de conexión estándar para aplicaciones basadas en
Llamada a procedimiento remoto (RPC), Winsock y Modelo de objetos
componentes (COM). Las aplicaciones que no utilizan las interfaces RPC o
Winsock para publicar sus puntos de conexión pueden publicar explícitamente
en Active Directory objetos de Punto de conexión de servicios.
También es posible publicar en el directorio los datos de aplicaciones utilizando
objetos específicos de la aplicación. Los datos específicos de una aplicación
deben cumplir los criterios descritos anteriormente. Es decir, la información
debe ser de interés global, relativamente no volátil y estructurada.

Cómo publicar

Los métodos de publicar información varían dependiendo de la aplicación o el

servicio:

• Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la

familia RpcNs* de API para publicar sus puntos de conexión en el directorio y
para consultar los puntos de conexión de servicios que han publicado los suyos.
• Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API
Registration and Resolution (Registro y resolución) disponibles en Winsock 2.0
para publicar sus puntos de conexión y para consultar los puntos de conexión de
servicios que han publicado los suyos.
• Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM
publican sus puntos de conexión mediante DCOM Class Store, que reside en
Active Directory. DCOM es la especificación del Modelo de objetos
componentes (COM) de Microsoft que define cómo se comunican los
componentes a través de redes basadas en Windows. Utilice la herramienta
Configuración de DCOM para integrar aplicaciones cliente-servidor en varios
equipos. DCOM también puede utilizarse para integrar aplicaciones robustas de
explorador Web.

Dominios: árboles, bosques, confianzas y

unidades organizativas
Active Directory consta de uno o varios dominios. Al crear el controlador de
dominio inicial en una red también se crea el dominio; no puede haber un
dominio sin que haya al menos un controlador de dominio. Cada dominio del
directorio se identifica mediante un nombre de dominio DNS. La herramienta
Dominios y confianza de Active Directory se utiliza para administrar dominios.
Los dominios se utilizan para llevar a cabo los siguientes objetivos de
administración de red:
 • Delimitar la seguridad. Un dominio de Windows 2000 define un límite de
seguridad: Las políticas y la configuración de seguridad (como los derechos
administrativos y las listas de control de acceso) no cruzan de un dominio a otro.
Active Directory puede incluir uno o varios dominios, cada uno con sus propias
políticas de seguridad.
• Información de replicación. Un dominio es una partición del directorio de
Windows 2000 (también denominado un contexto de nombres). Estas
particiones del directorio son las unidades de replicación. Cada dominio sólo
almacena la información acerca de los objetos que se encuentran en dicho
dominio. Todos los controladores de un dominio pueden recibir cambios
efectuados en los objetos y pueden replicar esos cambios a todos los demás
controladores de dicho dominio.
• Aplicar Política de grupo. Un dominio define un ámbito posible para la política
(la configuración de Política de grupo también puede aplicarse a unidades
organizativas o a sitios). Al aplicar un objeto de política de grupo (GPO) al
dominio se establece cómo se pueden configurar y utilizar los recursos del
dominio. Por ejemplo, puede utilizar Política de grupo para controlar la
configuración del escritorio, como el bloqueo del escritorio y la distribución de
aplicaciones. Estas políticas sólo se aplican dentro del dominio, no entre varios
dominios.
• Estructurar la red. Como un dominio de Active Directory puede abarcar varios
sitios y contener millones de objetos11, la mayoría de las organizaciones no
necesitan crear dominios independientes para reflejar las divisiones y los
departamentos de la organización. Nunca debe ser necesario crear dominios
adicionales para administrar objetos adicionales. Sin embargo, algunas
organizaciones requieren varios dominios para incorporar, por ejemplo, unidades
de negocio independientes o completamente autónomas que no desean que nadie
externo a la unidad tenga autorización sobre sus objetos. Dichas organizaciones
pueden crear dominios adicionales y organizarlos en un bosque de Active
Directory. Otro motivo para dividir la red en dominios independientes es si dos
partes de la red están separadas por un vínculo tan lento que nunca se desea que
tenga tráfico de replicación completa. (En el caso de los vínculos lentos que aún
pueden tratar tráfico de replicación con menos frecuencia, puede configurar un
único dominio con varios sitios.)
• Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000
puede delegar restrictivamente la autoridad administrativa tanto de unidades
organizativas como de dominios individuales, lo que reduce el número de
administradores necesarios con autoridad administrativa amplia. Como un
dominio es un límite de seguridad, los permisos administrativos de un dominio
están limitados al dominio de forma predeterminada. Por ejemplo, a un
administrador con permisos para establecer políticas de seguridad en un dominio
no se le concede automáticamente autoridad para establecer políticas de
seguridad en otro dominio del directorio.

Comprender los dominios incluye entender los árboles, bosques, confianzas y

unidades organizativas, y cómo se relaciona cada una de estas estructuras con
los dominios. En las siguientes subsecciones se describen cada uno de estos
componentes de dominio:

• Árboles
 • Bosques
• Relaciones de confianza
• Unidades organizativas

El sistema operativo Windows 2000 también presenta el concepto relacionado

de sitios, pero la estructura de sitio y la estructura de dominio son
independientes, con el fin de proporcionar administración flexible, por lo que los
sitios se tratarán en una sección posterior. Este documento presenta los
conceptos básicos acerca de los dominios y los sitios basados en Windows
2000. Para obtener información detallada acerca de cómo planear su estructura
y distribución, consulte la Guía de diseño de la distribución de Microsoft
Windows 2000 Server en la sección "Para obtener más información", al final de
este documento.
Cuando lea las próximas subsecciones en las que se describen posibles
estructuras de dominio, tenga en cuenta que, para muchas organizaciones, una
estructura que conste de un único dominio que sea a la vez un bosque con un
único árbol no sólo es posible, sino que es la forma óptima de organizar la red.
Empiece siempre con la estructura más sencilla y aumente su complejidad sólo
cuando pueda justificarlo.

Árboles

En el sistema operativo Windows 2000, un árbol es un conjunto de uno o varios

dominios con nombres contiguos. Si hay varios dominios, puede combinarlos
en estructuras jerárquicas de árbol. Un posible motivo para tener varios árboles
en el bosque es si una división de la organización tiene su propio nombre DNS
registrado y ejecuta sus propios servidores DNS.
El primer dominio creado es el dominio raíz del primer árbol. Los dominios
adicionales del mismo árbol son dominios secundarios. Un dominio situado
inmediatamente por encima de otro dominio en el mismo árbol es su principal.
Todos los dominios que tienen un dominio raíz común se dice que forman un
espacio de nombres contiguos. Los dominios de un espacio de nombres
contiguos (es decir, en un único árbol) tiene nombres de dominio DNS
contiguos que se forman de la siguiente manera: El nombre del dominio
secundario aparece a la izquierda, separado del nombre de su dominio
principal a la derecha por un punto. Cuando hay más de dos dominios, cada
uno tiene su principal a la derecha del nombre de dominio, tal como se muestra
en la figura 3. Los dominios basados en Windows 2000 que forman un árbol
están vinculados mediante relaciones de confianza bidireccionales y transitivas.
Estas relaciones de confianza se describen más adelante.
Figura 3. Dominios principales y secundarios en un árbol de
dominios. Las flechas de dos puntas indican relaciones de
confianza bidireccionales transitivas
La relación principal-secundario entre dominios de un árbol sólo es una relación
de nomenclatura y una relación de confianza. Los administradores de un
dominio principal no lo son automáticamente de un dominio secundario y las
políticas establecidas en un dominio principal no se aplican automáticamente a
los dominios secundarios.

Bosques

Un bosque de Active Directory es una base de datos distribuida, que está

compuesta de varias bases de datos parciales repartidas en varios equipos. La
distribución de la base de datos aumenta la eficacia de la red, ya que permite
ubicar los datos donde más se utilizan. Los dominios definen las particiones de
la base de datos del bosque; es decir, un bosque consta de uno o varios
dominios.
Todos los controladores de dominio de un bosque contienen una copia de los
contenedores Configuración y Esquema del bosque, además de una base de
datos del dominio. Una base de datos del dominio es una parte de una base de
datos del bosque. Cada base de datos del dominio contiene objetos de
directorio, como los objetos de principales de seguridad (usuarios, equipos y
grupos) a los que puede conceder o denegar acceso a los recursos de la red.
Con frecuencia, un único bosque, que resulta fácil de crear y mantener, puede
satisfacer las necesidades de una organización. Con un único bosque no es
necesario que los usuarios conozcan la estructura del directorio, ya que todos
ven un único directorio a través del catálogo global. Cuando se agrega un
dominio nuevo al bosque, no se requiere ninguna configuración adicional de la
confianza, ya que todos los dominios de un bosque están conectados por una
confianza bidireccional transitiva. En un bosque con varios dominios, sólo es
necesario aplicar una vez los cambios a la configuración para que afecten a
todos los dominios.
No debe crear bosques adicionales a menos que tenga necesidad evidente de
hacerlo, ya que cada bosque que cree supondrá una carga adicional de
administración12. Un motivo posible para crear varios bosques es si la
administración de la red está distribuida entre varias divisiones autónomas que
no están de acuerdo en la administración común del esquema y los
contenedores de configuración. Otro motivo para crear un bosque
independiente es asegurarse de que a determinados usuarios nunca se les
concederá acceso a ciertos recursos (en un bosque único, todos los usuarios
pueden incluirse en cualquier grupo o pueden aparecer en una lista de control
de acceso discrecional, o DACL13, en cualquier equipo del bosque). Con
bosques independientes, es posible definir relaciones de confianza explícita
para conceder a los usuarios de un bosque acceso a determinados recursos
del otro bosque. (Para ver un ejemplo de dos bosques, consulte la figura 7 en
la sección "Ejemplo: entorno mixto de dos bosques y una extranet".)
Varios árboles de dominio dentro de un único bosque no constituyen un
espacio de nombres contiguos; es decir, tienen nombres de dominio DNS que
no son contiguos. Aunque los árboles de un bosque no comparten un espacio
de nombres, un bosque tiene un único dominio raíz, denominado dominio raíz
del bosque. El dominio raíz del bosque es, por definición, el primer dominio
creado en el bosque. Los dos grupos predefinidos para todo el bosque,
Administradores de empresa y Administradores del esquema, residen en este
dominio.
Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de los tres
árboles de dominios (RRHH-Raíz.com, RaízEuropa.com y RaízAsia.com) tiene
un dominio secundario para Contabilidad denominado "Contab", los nombres
DNS de estos dominios secundarios son Contab.OfC-Raíz.com,
Contab.RaízEuropa.com y Contab.RaízAsia.com, respectivamente. No hay
ningún espacio de nombres compartido.
Figura 4. Un bosque con tres árboles de dominios. Los tres
dominios raíz no son contiguos, pero RaízEuropa.com y
RaízAsia.com son dominios secundarios de OfC-Raíz.com.
El dominio raíz de cada árbol de dominios del bosque establece una relación
de confianza transitiva (que se explica con más detalle en la próxima sección)
con el dominio raíz del bosque. En la figura 4, OfC-Raíz.com es el dominio raíz
del bosque. Los dominios raíz de los demás árboles de dominios,
RaízEuropa.com y RaízAsia.com, tienen relaciones de confianza transitiva con
OfC-Raíz.com, que establece la confianza entre todos los árboles de dominios
del bosque.
Todos los dominios de Windows 2000 en todos los árboles de dominios de un
bosque tienen las siguientes características:

• Tienen relaciones de confianza transitiva entre los dominios de cada árbol.

• Tienen relaciones de confianza transitiva entre los árboles de dominios de un
bosque.
• Comparten información de configuración común.
• Comparten un esquema común.
• Comparten un catálogo global común.
Importante Es fácil agregar nuevos dominios a un bosque. Sin embargo, no
puede mover dominios existentes de Active Directory de Windows 2000 de un
bosque a otro. Sólo puede quitar un dominio del bosque si no tiene dominios
secundarios. Después de establecer un dominio raíz del árbol no puede
agregar un dominio con un nombre nivel superior al bosque. No puede crear un
dominio principal de uno ya existente; sólo puede crear uno secundario.
La implementación de árboles de dominios y de bosques permite utilizar
convenciones de nomenclatura tanto contiguas como no contiguas. Esta
flexibilidad puede resultar útil, por ejemplo, en organizaciones con divisiones
independientes cada una de las cuales desee mantener su propio nombre
DNS, como Microsoft.com y MSNBC.com.

Relaciones de confianza

Una relación de confianza es una relación que se establece entre dos dominios
y permite que un controlador del otro dominio reconozca los usuarios de un
dominio. Las confianzas permiten que los usuarios tengan acceso a los
recursos del otro dominio y también permite que los administradores controlen
los derechos de los usuarios del otro dominio. Para los equipos que ejecutan
Windows 2000, la autenticación de cuentas entre dominios se habilita mediante
relaciones de confianza transitivas bidireccionales.
Todas las confianzas de dominio en un bosque basado en Windows 2000 son
bidireccionales y transitivas, definidas de la siguiente forma:

• Bidireccional. Cuando crea un nuevo dominio secundario, éste confía

automáticamente en el dominio principal y viceversa. En la práctica, esto
significa que las solicitudes de autenticación pueden pasarse entre los dos
dominios en ambas direcciones.
• Transitiva. Una confianza transitiva va más allá de los dos dominios de la
relación de confianza inicial. Funciona del siguiente modo: Si el dominio A y el
dominio B (principal y secundario) confían el uno en el otro y si el dominio B y
el dominio C (también principal y secundario) confían el uno en el otro,
entonces el dominio A y el dominio C confían entre sí (implícitamente), incluso
aunque no exista una relación de confianza directa entre ellos. En el nivel del
bosque, se crea automáticamente una relación de confianza entre el dominio raíz
del bosque y el dominio raíz de cada árbol de dominios agregado al bosque, con
lo que existe una confianza completa entre todos los dominios de un bosque de
Active Directory. En la práctica, como las relaciones de confianza son
transitivas, un proceso de inicio de sesión único permite que el sistema
autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este
proceso de inicio de sesión único permite que la cuenta tenga acceso a los
recursos de cualquier dominio del bosque.

Sin embargo, tenga en cuenta que el inicio de sesión único habilitado mediante
confianzas no implica necesariamente que el usuario autenticado tenga
derechos y permisos en todos los dominios del bosque.
Además de las confianzas bidireccionales transitivas en todo el bosque
generadas automáticamente en el sistema operativo Windows 2000, puede
crear explícitamente los dos tipos siguientes de relaciones de confianza
adicionales:
No hay una conexión necesaria entre espacios de nombres de sitios y
dominios.

• No hay una correlación necesaria entre la estructura física de la red y su

estructura de dominios. Sin embargo, en muchas organizaciones los dominios se
configuran para reflejar la estructura física de la red. Esto se debe a que los
dominios son particiones y este hecho influye en la replicación: al dividir el
bosque en varios dominios más pequeños se puede reducir el tráfico de
replicación.
• Active Directory permite que aparezcan varios dominios en un único sitio y que
un único dominio aparezca en varios sitios.

Cómo utiliza Active Directory la información de sitios

La información de sitios se especifica mediante Sitios y servicios de Active

Directory; a continuación, Active Directory usa esta información para determinar
cómo utilizar mejor los recursos de red disponibles. Usar sitios hace que los
siguientes tipos de operaciones sean más eficaces:

• Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio

de un controlador de dominio, éste dirige la solicitud a un controlador del mismo
sitio, si hay alguno disponible. Seleccionar un controlador de dominio que esté
bien conectado al cliente que realizó la solicitud hace que el tratamiento de la
solicitud sea más eficaz. Por ejemplo, cuando un cliente inicia la sesión
mediante una cuenta de dominio, el mecanismo de inicio de sesión busca
primero controladores de dominio que se encuentren en el mismo sitio que el
cliente. Si se intenta usar primero los controladores de dominio en el sitio del
cliente se delimita el tráfico de red, con lo que se aumenta la eficacia del proceso
de autenticación.
• Replicar datos del directorio. Los sitios permiten la replicación de los datos
del directorio tanto dentro como entre sitios. Active Directory replica la
información dentro de un sitio con más frecuencia que entre sitios, lo que
significa que los controladores de dominio mejor conectados, aquéllos que con
más probabilidad de necesitan determinada información de directorio, reciben
las réplicas en primer lugar. Los controladores de dominio de otros sitios reciben
todos los cambios efectuados en el directorio, pero con menos frecuencia, con lo
que se reduce el consumo del ancho de banda de la red. Replicar datos de Active
Directory entre controladores de dominio proporciona disponibilidad de la
información, tolerancia a errores, equilibrio de la carga y ventajas de
rendimiento. (Para obtener una explicación de cómo implementa la replicación
el sistema operativo Windows 2000, consulte la subsección "Replicación de
múltiples maestros", al final de esta sección acerca de los sitios.)
Controladores de dominio, catálogos globales y datos
replicados

La información almacenada en Active Directory en cada controlador de dominio

(independientemente de si se trata de un servidor de catálogo global o no) se
divide en tres categorías: datos de dominio, esquema y configuración. Cada
una de estas categorías es una partición independiente del directorio,
denominada también un contexto de nombres. Estas particiones del directorio
son las unidades de replicación. Las tres particiones del directorio que cada
servidor de Active Directory contiene se definen a continuación:

• Partición del directorio con datos de dominios. Contiene todos los objetos del
directorio para este dominio. Los datos de cada dominio se replican a todos los
controladores de dicho dominio, pero no salen de él.
• Partición del directorio con datos del esquema. Contiene todos los tipos de
objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son
comunes a todos los dominios del árbol de dominios o del bosque. Los datos del
esquema se replican en todos los controladores de dominio del bosque.
• Partición del directorio con datos de configuración. Contiene la topología de
replicación y los metadatos relacionados. Las aplicaciones compatibles con
Active Directory almacenan la información en la partición del directorio de
configuración. Estos datos son comunes a todos los dominios del árbol de
dominios o del bosque. Los datos de configuración se replican en todos los
controladores de dominio del bosque.

Si el controlador de dominio es un servidor de catálogo global, también

contiene una cuarta categoría de información:

• Réplica parcial de la partición del directorio con datos de dominios para

todos los dominios. Además de almacenar y replicar un conjunto completo de
todos los objetos del directorio para su propio dominio host, un servidor de
catálogo global almacena y replica una réplica parcial de la partición del
directorio de dominios para todos los demás dominios del bosque. Esta réplica
parcial, por definición, contiene un subconjunto de las propiedades para todos
los objetos de todos los dominios del bosque. (Una réplica parcial es de sólo
lectura, mientras que una réplica completa es de lectura y escritura.)

Si un dominio contiene un catálogo global, otros controladores de

dominio replican todos los objetos de dicho dominio (con un subconjunto
de sus propiedades) en el catálogo global y, después, la replicación de
réplicas parciales se efectúa entre catálogos globales. Si un dominio no
tiene catálogo global, un controlador de dominio normal sirve de origen
de la réplica parcial.

De forma predeterminada, el conjunto parcial de atributos almacenados

en el catálogo global incluye los atributos que se utilizan con más
frecuencia en las operaciones de búsqueda, ya que una de las funciones
 principales del catálogo global es ofrecer soporte a los clientes que
consultan el directorio. El uso de catálogos globales para realizar la
replicación parcial de dominios en lugar de efectuar la replicación
completa reduce el tráfico de WAN.

Replicación dentro de un sitio

Si la red consta de una única red de área local (LAN) o un conjunto de LAN
conectadas mediante una red troncal de alta velocidad, toda la red puede ser
un único sitio. El primer controlador de dominio que instala crea
automáticamente el primer sitio, denominado
NombrePredeterminadoPrimerSitio. Después de instalar el primer controlador
de dominio, todos los controladores adicionales se agregan automáticamente al
mismo sitio que el controlador de dominio original. (Más adelante, si lo desea,
puede moverlos a otros sitios.) La única excepción es la siguiente: Si en el
momento de instalar un controlador de dominio su dirección IP está dentro de
la subred especificada anteriormente en un sitio alternativo, el controlador de
dominio se agregará a este sitio.
La información de directorio dentro de un sitio se replica con frecuencia y
automáticamente. La replicación dentro del sitio está optimizada para reducir al
mínimo la latencia, es decir, para mantener los datos lo más actualizados
posible. Las actualizaciones de directorio dentro del sitio no se comprimen. Los
intercambios sin comprimir utilizan más recursos de red pero requieren menos
capacidad de procesamiento de los controladores de dominio.
En la figura 9 se ilustra la replicación dentro de un sitio. Tres controladores de
dominio (uno de los cuales es un catálogo global) replican los datos de
esquema y de configuración del bosque, así como todos los objetos del
directorio (con un conjunto completo de los atributos de cada objeto).
Figura 9. Replicación dentro del sitio con un único dominio
El servicio Comprobador de coherencia de réplica (KCC) de Active Directory
genera automáticamente la configuración que forman las conexiones utilizadas
para replicar la información de directorio entre los controladores de dominio,
denominada topología de replicación. La topología de sitios de Active Directory
es una representación lógica de una red física y se define para cada bosque.
Active Directory intenta establecer una topología que permita al menos dos
conexiones a cada controlador de dominio, de modo que si un controlador no
está disponible, la información del directorio pueda seguir llegando a todos los
controladores de dominio conectados a través de la otra conexión.
Active Directory evalúa y ajusta automáticamente la topología de replicación
para adaptarse al estado cambiante de la red. Por ejemplo, cuando se agrega
un controlador de dominio a un sitio, la topología de replicación se ajusta para
incorporar esta adición de una forma eficaz.
Los clientes y servidores de Active Directory usan la topología de sitios del
bosque para enrutar el tráfico de consultas y replicación de forma eficaz.
Si amplía la distribución desde el primer controlador de dominio en un dominio
a varios controladores en varios dominios (dentro de un único sitio), la
información de directorio que se replica cambia para incluir la replicación de la
réplica parcial entre los catálogos globales en dominios diferentes. En la figura
10 se muestran dos dominios, cada uno de los cuales contiene tres
controladores de dominio. Uno de los controladores de cada sitio también es un
servidor de catálogo global. Dentro de cada dominio, los controladores de
dominio replican los datos de esquema y de configuración del bosque, así
como todos los objetos del directorio (con un conjunto completo de los atributos
de cada objeto), tal como se muestra en la figura 9. Además, cada catálogo
global replica los objetos del directorio (sólo con un subconjunto de sus
atributos) de su propio dominio al otro catálogo global.
Figura 10. Replicación dentro del sitio con dos dominios y dos
catálogos globales

Replicación entre sitios

Cree varios sitios para optimizar el tráfico de servidor a servidor y de cliente a

servidor a través de vínculos WAN. En el sistema operativo Windows 2000, la
replicación entre sitios reduce automáticamente el consumo de ancho de banda
entre sitios.
Se recomienda tener en cuenta lo siguiente al configurar varios sitios:

• Geografía. Establezca como un sitio cada área geográfica que requiera acceso
rápido a la información de directorio más reciente. Al establecer como sitios
independientes áreas que requieren acceso inmediato a la información
 actualizada de Active Directory se proporcionan los recursos necesarios para
satisfacer las necesidades de los usuarios.
• Controladores de dominio y catálogos globales. Coloque al menos un
controlador de dominio en cada sitio y convierta al menos un controlador de
dominio de cada sitio en un catálogo global. Los sitios que no tienen sus propios
controladores de dominio y al menos un catálogo global dependen de otros sitos
para obtener la información del directorio y son menos eficaces.

Cómo se conectan los sitios

Las conexiones de red entre los sitios se representan mediante vínculos a

sitios. Un vínculo a sitios es una conexión de ancho de banda bajo o no
confiable entre dos o varios sitios. Una WAN que conecta dos redes rápidas es
un ejemplo de un vínculo a sitios. En general, se considera que dos redes
cualesquiera unidas por un vínculo que es más lento que una red de área local
están conectadas por un vínculo a sitios. Además, un vínculo rápido que está
casi al límite de su capacidad tiene poco ancho de banda eficaz y se considera
también un vínculo a sitios. Cuando hay varios sitios, los que están conectados
mediante vínculos a sitios forman parte de la topología de replicación.
En una red basada en Windows 2000, los vínculos a sitios no se generan
automáticamente; debe crearlos mediante Sitios y servicios de Active Directory.
Al crear los vínculos a sitios y configurar su disponibilidad de replicación, costo
relativo y frecuencia de replicación, se proporciona información a Active
Directory acerca de qué objetos de conexión debe crear para replicar los datos
de directorio. Active Directory utiliza vínculos a sitios como indicadores de que
debe crear objetos de conexión y éstos utilizan las conexiones de red reales
para intercambiar información de directorio.
Un vínculo a sitios tiene una programación asociada que indica a qué horas del
día está disponible el vínculo para llevar tráfico de replicación.
De forma predeterminada, los vínculos a sitios son transitivos, lo que significa
que un controlador de dominio de un sitio puede efectuar conexiones de
replicación con los controladores de dominio de cualquier otro sitio. Es decir, si
el sitio A está conectado al sitio B y éste lo está al sitio C, los controladores de
dominio del sitio A pueden comunicarse con los controladores del sitio C.
Cuando cree un sitio, quizás desee crear vínculos adicionales para habilitar
conexiones específicas entre sitios y personalizar los vínculos existentes que
conectan los sitios.
En la figura 11 se muestran dos sitios conectados mediante un vínculo a sitios.
De los seis controladores de dominio de la ilustración, dos son servidores
cabeza de puente (el sistema asigna automáticamente esta función).
Figura 11. Dos sitios conectados mediante un vínculo a sitios. El
servidor cabeza de puente preferido de cada sitio se utiliza
principalmente para el intercambio de información entre sitios.
Los servidores cabeza de puente son los preferidos para la replicación, pero
también puede configurar los demás controladores de dominio del sitio para
replicar los cambios del directorio entre sitios.
Una vez replicadas las actualizaciones de un sitio al servidor cabeza de puente
del otro sitio, éstas se replican a otros controladores de dominio del mismo sitio
mediante la replicación dentro del sitio. Aunque un único controlador de
dominio recibe la actualización inicial de directorio entre sitios, todos los
controladores de dominio atienden las solicitudes de los clientes.

Protocolos de replicación

La información de directorio puede intercambiarse mediante los siguientes

protocolos de red:

• Replicación IP. La replicación IP utiliza llamadas a procedimiento remoto

(RPC) para la replicación dentro de un sitio y a través de vínculos a sitios (entre
sitios). De forma predeterminada, la replicación IP entre sitios se ajusta a las
programaciones de replicación. La replicación IP no requiere una entidad
emisora de certificados (CA).
• Replicación SMTP. Si tiene un sitio que no dispone de conexión física con el
resto de la red pero al que se puede llegar a través del Protocolo simple de
transferencia de correo (SMTP), dicho sitio sólo tiene conectividad basada en
correo. La replicación SMTP sólo se utiliza para la replicación entre sitios. No
puede utilizar la replicación SMTP para replicar entre controladores de dominio
del mismo dominio; sólo se admite la replicación entre dominios a través de
SMTP (es decir, SMTP sólo puede utilizarse para la replicación entre sitios y
entre dominios). La replicación SMTP sólo puede utilizarse para la replicación
de réplicas parciales del esquema, la configuración y el catálogo global. La
replicación SMTP tiene en cuenta la programación de replicación generada
automáticamente.

Si decide utilizar SMTP a través de vínculos a sitios, debe instalar y

configurar una entidad emisora de certificados (CA) de empresa. Los
controladores de dominio obtienen certificados de la entidad emisora y
los utilizan para firmar y cifrar los mensajes de correo que contienen la
información de replicación de directorio, con lo que se asegura la
autenticidad de las actualizaciones. La replicación SMTP usa cifrado de
56 bits.

Replicación de múltiples maestros

Los controladores de dominio de Active Directory admiten la replicación de

múltiples maestros, con lo que se sincronizan los datos en cada controlador y
se asegura la coherencia de la información con el paso del tiempo. La
replicación de múltiples maestros replica la información de Active Directory
entre controladores de dominio homólogos, cada uno de los cuales contiene
una copia de lectura y escritura del directorio. Esto representa un cambio con
relación al sistema operativo Windows NT Server, en el que sólo el PDC tenía
una copia de lectura y escritura del directorio (los BDC recibían copias de sólo
lectura del PDC). Una vez configurada, la replicación es automática y
transparente.

Propagación de actualizaciones y números de secuencia de

actualización

Algunos servicios de directorio utilizan marcas temporales para detectar y

propagar los cambios. En estos sistemas es esencial mantener sincronizados
los relojes de todos los servidores de directorio. La sincronización temporal de
una red es muy difícil. Incluso con una sincronización temporal de la red
excelente, es posible que la hora de un servidor de directorio dado sea
incorrecta. Esto puede dar como resultado la pérdida de actualizaciones.
El sistema de replicación de Active Directory no depende de la hora para
propagar las actualizaciones. En su lugar, utiliza Números de secuencia de
actualización (USN). Un USN es un número de 64 bits que mantiene cada
controlador de dominio de Active Directory para realizar un seguimiento de las
actualizaciones. Cuando el servidor escribe en un atributo o en una propiedad
de un objeto de Active Directory (incluida la modificación de origen o una
modificación replicada), se incrementa el USN y se almacena con la propiedad
actualizada y con una propiedad que es específica del controlador de dominio.
Esta operación se realiza de manera atómica; es decir, el incremento y
almacenamiento del USN y la escritura del valor de la propiedad se realizan
correctamente o fracasan como una unidad.
Cada servidor de Active Directory también mantiene una tabla de los USN
recibidos de los asociados de replicación. En esta tabla se almacena el mayor
USN recibido de cada asociado. Cuando un asociado dado notifica al servidor
de directorio que es necesario hacer una replicación, ese servidor pide todos
los cambios cuyos USN sean mayores que el último valor recibido. Este
enfoque simple no depende de la precisión de las marcas de tiempo.
Puesto que el USN almacenado en la tabla se actualiza de forma atómica con
cada actualización recibida, si se produce un error en un servidor también es
sencillo recuperarlo. Para reiniciar la replicación, un servidor únicamente debe
pedir a sus asociados todos los cambios cuyos USN sean mayores que la
última entrada válida de la tabla. Como la tabla se actualiza de forma atómica a
medida que se aplican los cambios, un ciclo de replicación interrumpido
siempre se reiniciará exactamente donde se detuvo, sin que haya pérdida ni
duplicación de actualizaciones.

Detección de colisiones y números de versión de propiedad

En un sistema de replicación de múltiples maestros como Active Directory, es
posible que dos o más réplicas diferentes actualicen la misma propiedad.
Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.)
réplica antes de que se haya propagado totalmente un cambio de la primera
réplica, se produce una colisión de replicación. Las colisiones se detectan
mediante los números de versión de propiedad. A diferencia de los USN, que
son valores específicos del servidor, los números de versión de propiedad son
específicos de la propiedad de un objeto de Active Directory. Cuando se
escribe por primera vez una propiedad en un objeto de Active Directory, se
inicializa su número de versión.
Las modificaciones de origen incrementan el número de versión de propiedad.
Las modificaciones de origen son modificaciones de una propiedad del sistema
que producen un cambio. Las modificaciones de propiedades producidas por
una replicación no son modificaciones de origen y no incrementan el número de
versión. Por ejemplo, cuando un usuario actualiza su clave de acceso se
produce una modificación de origen y se incrementa el número de versión de
propiedad de la clave de acceso. Replicar la modificación de la clave de acceso
en otros servidores no hace que se incremente el número de versión de
propiedad.
Se detecta una colisión cuando se recibe un cambio a través de una replicación
cuyo número de versión de propiedad es igual al número de versión de
propiedad almacenado localmente, y los valores recibido y almacenado son
diferentes. Cuando esto ocurre, el sistema receptor aplicará la actualización
que tenga la marca de tiempo posterior. Esta es la única situación en la que se
utiliza la hora en la replicación.
Cuando el número de versión de propiedad recibido es inferior al almacenado
localmente, se considera que la actualización está anticuada y se descarta.
Cuando el número de versión de propiedad recibido es superior al almacenado
localmente, se acepta la actualización.

Disminución de la propagación

El sistema de replicación de Active Directory permite realizar bucles en la

topología de replicación. Esto permite al administrador configurar una topología
de replicación con múltiples rutas entre los servidores para conseguir un mejor
rendimiento y disponibilidad. El sistema de replicación de Active Directory se
encarga de disminuir la propagación para evitar que los cambios se propaguen
indefinidamente y para eliminar la transmisión redundante de cambios a
réplicas que ya están actualizadas.
El sistema de replicación de Active Directory utiliza vectores de actualización
para disminuir la propagación. El vector de actualización es una lista de pares
de servidor y USN que cada servidor mantiene. El vector de actualización de
cada servidor indica el mayor USN de las modificaciones de origen recibidas de
los servidores en el par servidor‒USN. Un vector de actualización para un
servidor de un sitio determinado enumera todos los demás servidores de ese
sitio15.
Cuando se inicia un ciclo de replicación, el servidor solicitante envía su vector
de actualización al servidor remitente. El servidor remitente utiliza el vector de
actualización para filtrar los cambios enviados al servidor solicitante. Si el
mayor USN de una modificación de origen dada es mayor o igual al USN de
una modificación de origen para una actualización determinada, el servidor
remitente no necesita enviar el cambio; el servidor solicitante ya está
actualizado con respecto al de origen.

Usar delegación y Política de grupo con

unidades organizativas, dominios y sitios
Puede delegar los permisos administrativos y asociar Política de grupo con los
siguientes contenedores de Active Directory:

• Unidades organizativas
• Dominios
• Sitios

Una unidad organizativa es el menor contenedor de Windows 2000 al que

puede delegar autoridad o aplicar Política de grupo16. Tanto la delegación como
Política de grupo son características de seguridad del sistema operativo
Windows 2000. En este documento se describen brevemente en el contexto
limitado de la arquitectura para mostrar que la estructura de Active Directory
determina la forma de usar la delegación de contenedores y Política de grupo.
Asignar la autoridad administrativa sobre unidades organizativas, dominios o
sitios permite delegar la administración de usuarios y recursos. Asignar objetos
de política de grupo (GPO) a cualquiera de estos tres tipos de contenedores
permite definir configuraciones de escritorio y políticas de seguridad para los
usuarios y los equipos del contenedor. En las dos subsecciones siguientes se
describen estos temas con más detalle.

Delegación de contenedores

En el sistema operativo Windows 2000, la delegación permite que una

autoridad administrativa superior conceda derechos administrativos específicos
a unidades organizativas, dominios o sitios a grupos (o usuarios). De esta
forma se reduce considerablemente el número de administradores necesarios
con la autoridad buscada en grandes segmentos de usuarios. Delegar el
control de un contenedor permite especificar quién dispone de permisos para
tener acceso o modificar dicho objeto o sus objetos secundarios. La delegación
es una de las características de seguridad más importantes de Active Directory.

Delegación de dominios y unidades organizativas

En el sistema operativo Windows NT 4.0, los administradores a veces delegan

la administración mediante la creación de varios dominios con el fin de tener
conjuntos distintos de administradores de dominio. En el sistema operativo
Windows 2000, las unidades organizativas son más sencillas de crear, eliminar,
mover y modificar que los dominios y, por tanto, son más adecuadas para la
función de delegación.
Para delegar la autoridad administrativa (distinta de la autoridad sobre sitios,
que se trata más adelante), se concede a un grupo derechos específicos sobre
un dominio o unidad organizativa mediante la modificación de la lista de control
de acceso discrecional (DACL)17 del contenedor. De forma predeterminada, los
miembros del grupo de seguridad Administradores del dominio tienen autoridad
sobre todo el dominio, pero puede restringir la pertenencia a este grupo a un
número limitado de administradores de confianza. Para establecer
administradores con menor ámbito, puede delegar la autoridad al nivel más
bajo de la organización; para ello, cree un árbol de unidades organizativas
dentro de cada dominio y delegue la autoridad a partes del subárbol de
unidades organizativas.
Los administradores de dominio tienen un control total sobre cada objeto de su
dominio. Sin embargo, no tienen derechos administrativos sobre los objetos de
otros dominios18.
Para delegar la administración de un dominio o una unidad organizativa se
utiliza el Asistente para delegación de control, que está disponible en el
complemento Usuarios y equipos de Active Directory. Haga clic con el botón
secundario del mouse (ratón) en el dominio o en la unidad organizativa,
seleccione Delegar control, agregue los grupos (o usuarios) a los que desee
delegar el control y, a continuación, delegue las tareas comunes enumeradas o
cree una tarea personalizada para delegar. En la tabla siguiente se enumeran
las tareas comunes que puede delegar.
Tareas comunes de dominio que Tareas comunes de unidades
puede delegar organizativas que puede delegar
· Crear, eliminar y administrar cuentas
de usuario
· Restablecer claves de acceso de
cuentas de usuario
· Unir un equipo a un dominio
· Leer toda la información de usuario
· Administrar vínculos de Política de
· Crear, eliminar y administrar grupos
grupo
· Modificar la pertenencia a un grupo
· Administrar impresoras
· Crear y eliminar impresoras
· Administrar vínculos de Política de
 grupo
Mediante una combinación de unidades organizativas, grupos y permisos, es
posible definir el ámbito administrativo más apropiado para un grupo
determinado: un dominio entero, un subárbol de unidades organizativas o una
única unidad organizativa. Por ejemplo, puede crear una unidad organizativa
que le permita conceder control administrativo para todas las cuentas de
usuarios y equipos en todas las divisiones de un departamento, como el
departamento de contabilidad. Por otra parte, puede conceder control
administrativo sólo a algunos recursos dentro del departamento, como las
cuentas de equipo. Un tercer ejemplo es conceder control administrativo a la
unidad organizativa de contabilidad, pero no a ninguna unidad organizativa
contenida dentro de ella.
Puesto que las unidades organizativas se utilizan para la delegación
administrativa y no son principales de seguridad por sí mismas, la unidad
organizativa principal de un objeto de usuario indica quién administra el objeto
de usuario. No indica a qué recursos puede tener acceso dicho usuario.

Delegación de sitios

Sitios y servicios de Active Directory se utiliza para delegar el control de sitios,

contenedores de servidor, transportes entre sitios (IP o SMTP) o subredes.
Delegar el control de una de estas entidades ofrece al administrador delegado
la capacidad de manipular dicha entidad, pero no de administrar los usuarios o
los equipos que se encuentran en ella.
Por ejemplo, cuando delega el control de un sitio puede elegir entre delegar el
control de todos los objetos o delegar el control de uno o varios objetos que se
encuentran en dicho sitio. Los objetos para los que puede delegar el control
son: usuarios, equipos, grupos, impresoras, unidades organizativas, carpetas
compartidas, sitios, vínculos a sitios, puentes de vínculos a sitios, etc. A
continuación, se le pedirá que seleccione el ámbito de los permisos que desea
delegar (general, específico de propiedades o simplemente la creación o
eliminación de determinados objetos secundarios). Si especifica general, se le
pedirá que conceda uno o varios de los permisos siguientes: Control total,
Lectura, Escritura, Crear todos los objeto secundarios, Eliminar todos los
objetos secundarios, Leer todas las propiedades o Escribir todas las
propiedades.

Política de grupo

En Windows NT 4.0 se utiliza el Editor de políticas del sistema para definir las
configuraciones de usuarios, grupos y equipos almacenadas en la base de
datos del Registro de Windows NT. En el sistema operativo Windows 2000,
Política de grupo define más componentes en el entorno del usuario que los
administradores pueden controlar. Estos componentes incluyen opciones para
las políticas basadas en el Registro, opciones de seguridad, opciones de
distribución de software, secuencias de comandos (para iniciar y apagar el
equipo, y para el inicio y cierre de sesión de usuarios) y la redirección de
carpetas especiales19.
El sistema aplica los valores de configuración de Política de grupo a los
equipos durante el inicio o a los usuarios cuando inician la sesión. Los valores
de Política de grupo se aplican a los usuarios o equipos en sitios, dominios y
unidades organizativas mediante la vinculación del GPO al contenedor de
Active Directory donde residen los usuarios o los equipos.
De forma predeterminada, Política de grupo afecta a todos los usuarios y
equipos del contenedor vinculado. La pertenencia a grupos de seguridad se
utiliza para filtrar los GPO que afectan a los usuarios y equipos de una unidad
organizativa, un dominio o un sitio. Esto permite aplicar la política en un nivel
más granular; es decir, el uso de grupos de seguridad permite aplicar la política
a grupos específicos de objetos de un contenedor. Para filtrar la política de
grupo de esta forma se utiliza la ficha Seguridad en la página Propiedades
de un GPO para controlar quién puede leerlo. A los usuarios que no tengan
Aplicar política de grupo y Leer establecidos a Permitir como miembros de un
grupo de seguridad no se les aplicará dicho GPO. Sin embargo, puesto que los
usuarios normales tienen estos permisos de forma predeterminada, Política de
grupo afecta a todos los usuarios y equipos del contenedor vinculado a menos
que cambie estos permisos explícitamente.
La ubicación de un grupo de seguridad en Active Directory no tiene importancia
para Política de grupo. Para el contenedor específico al que se aplica el GPO,
los valores del GPO determinan lo siguiente:

• Qué recursos del dominio (como las aplicaciones) están disponibles para los
usuarios.
• Cómo está configurado el uso de estos recursos del dominio.

Por ejemplo, un GPO puede determinar qué aplicaciones tienen disponibles los
usuarios en su equipo cuando inician la sesión, cuántos usuarios pueden
conectarse a Microsoft SQL Server cuando se inicie en un servidor o a qué
servicios tienen acceso los usuarios cuando se mueven a otros departamentos
o grupos. Política de grupo permite administrar un número pequeño de GPO en
lugar de un gran número de usuarios y equipos.
Los sitios, los dominios y las unidades organizativas, a diferencia de los grupos
de seguridad, no confieren la pertenencia. En su lugar, contienen y organizan
objetos del directorio. Utilice los grupos de seguridad para conceder derechos y
permisos a los usuarios y, a continuación, utilice los tres tipos de contenedores
de Active Directory para alojar los usuarios y los equipos, y para asignar
valores de Política de grupo.
Como el acceso a los recursos se concede mediante grupos de seguridad, verá
que es más eficaz utilizar grupos de seguridad para representar la estructura
organizativa de su empresa que usar dominios o unidades organizativas para
reflejar la estructura de la organización.
De forma predeterminada, los contenedores secundarios heredan los valores
de la política que afectan a todo el dominio o que se aplican a una unidad
organizativa que contiene otras unidades organizativas, a menos que el
administrador especifique explícitamente que la herencia no se aplica a uno o
varios contenedores secundarios.

Delegar el control de Política de grupo

Los administradores de la red (miembros del grupo Administradores de

empresa o Administradores del dominio) pueden utilizar la ficha Seguridad de
la página Propiedades del GPO para averiguar qué grupos de
administradores pueden modificar los valores de la política en los GPO. Para
ello, un administrador de la red define primero los grupos de administradores
(por ejemplo, administradores de mercadotecnia) y, a continuación, les
proporciona acceso de lectura y escritura a los GPO seleccionados. Tener
control total de un GPO no permite a un administrador vincularlo a un sitio,
dominio o unidad organizativa. Sin embargo, los administradores de la red
también pueden conceder esta posibilidad mediante el Asistente para
delegación de control.
En el sistema operativo Windows 2000 puede delegar independientemente las
tres tareas siguientes de Política de grupo:

• Administrar los vínculos de Política de grupo de un sitio, un dominio o una

unidad organizativa.
• Crear objetos de Política de grupo.
• Modificar los objetos de Política de grupo.

Política de grupo, al igual que la mayoría de las demás herramientas

administrativas de Windows 2000, se encuentra en las consolas de MMC. Por
tanto, los derechos para crear, configurar y utilizar consolas de MMC tienen
implicaciones sobre la política. Puede controlar estos derechos mediante
Política de grupo en
<Nombre
de objeto de política de grupo>/Configuración de
usuario/Plantillas

administrativas/Componentes de Windows/Microsoft Management Console/

y sus subcarpetas.
En la tabla 4 se enumeran los valores de los permisos de seguridad para un
objeto de política de grupo.
Tabla 4. Valores de permisos de seguridad para un GPO
Grupos (o usuarios) Permiso de seguridad
Lectura con ACE Aplicar Política de
Usuario autenticado
grupo
Administradores de dominio
Control total sin ACE Aplicar Política
Administradores de empresa
de grupo
Creador propietario del sistema local
Nota De forma predeterminada, los administradores también son usuarios
autenticados, lo que significa que tienen configurado el atributo Aplicar Política
de grupo.
Para obtener más información acerca de Política de grupo, consulte la sección
"Para obtener más información" al final de este documento.

Interoperabilidad
Muchas organizaciones dependen de un conjunto variado de tecnologías que
deben funcionar conjuntamente. Active Directory admite una serie de
estándares para garantizar la interoperabilidad del entorno Windows 2000 con
otros productos de Microsoft y una amplia variedad de productos de otros
proveedores.
En esta sección se describen los siguientes tipos de interoperabilidad admitidos
por Active Directory:

• Protocolo LDAP.
• Interfaces de programación de aplicaciones.
• Sincronizar Active Directory con otros servicios de directorio.
• Función de contenedores virtuales y ajenos en interoperabilidad.
• Función Kerberos en interoperabilidad.
• Compatibilidad con el sistema operativo Windows NT.

Protocolo compacto de acceso a directorios

El Protocolo compacto de acceso a directorios (LDAP) es el estándar para el
acceso a directorios. Internet Engineering Task Force (IETF) desea convertir
LDAP en el estándar de Internet.

Active Directory y LDAP

LDAP es el principal protocolo de acceso a directorios que se utiliza para

agregar, modificar y eliminar información almacenada en Active Directory, así
como para consultar y recuperar datos de Active Directory. El sistema operativo
Windows 2000 admite las versiones 2 y 3 de LDAP20. LDAP define cómo un
cliente de directorio puede tener acceso a un servidor de directorio y cómo el
cliente puede realizar operaciones y compartir datos del directorio. Es decir, los
clientes de Active Directory deben utilizar LDAP para obtener o mantener la
información en Active Directory.
Active Directory utiliza LDAP para permitir la interoperabilidad con otras
aplicaciones cliente compatibles con LDAP. Con el permiso adecuado, puede
utilizar cualquier aplicación cliente compatible con LDAP para examinar,
consultar, agregar, modificar o eliminar información en Active Directory.

Interfaces de programación de aplicaciones

Puede utilizar las siguientes interfaces de programación de aplicaciones (API)
para tener acceso a la información de Active Directory:

• Interfaz de servicio de Active Directory (ADSI).

• API C de LDAP.

Estas API se describen en las dos subsecciones siguientes.

Interfaz de servicio de Active Directory

La Interfaz de servicio de Active Directory (ADSI) permite el acceso a Active

Directory mediante la exposición de objetos almacenados en el directorio como
objetos del Modelo de objetos componentes (COM). Un objeto de directorio se
manipula mediante los métodos disponibles en una o varias interfaces COM.
ADSI tiene una arquitectura de proveedor que permite que COM tenga acceso
a diferentes tipos de directorios para los que existe un proveedor.
Actualmente, Microsoft suministra proveedores ADSI para Servicios de
directorio de Novell NetWare (NDS) y NetWare 3, Windows NT, LDAP y la
metabase de Servicios de Internet Information Server (IIS). (La metabase de IIS
contiene los valores de configuración de IIS.) El proveedor LDAP puede
utilizarse con cualquier directorio LDAP, incluido Active Directory, Microsoft
Exchange 5.5 o Netscape.
Puede utilizar ADSI desde muchas herramientas, que van desde aplicaciones
de Microsoft Office hasta C/C++. ADSI es extensible, con lo que puede agregar
funcionalidad a un objeto ADSI para admitir propiedades y métodos nuevos.
Por ejemplo, puede agregar un método al objeto de usuario que crea un buzón
de Exchange para un usuario cuando se invoque el método. ADSI tiene un
modelo de programación muy sencillo. Simplifica la carga de administración de
datos que es característica de las interfaces que no son COM, como las API C
de LDAP. Como ADSI puede utilizarse en secuencias de comandos, resulta
fácil desarrollar aplicaciones Web completas. ADSI admite ActiveX® Data
Objects (ADO) y la base de datos de vinculación e incrustación de objetos
(OLE DB) para realizar consultas.
Los programadores y los administradores pueden agregar objetos y atributos a
Active Directory mediante la creación de secuencias de comandos basadas en
ADSI (así como secuencias de comandos basadas en LDIFDE, que se
describe más adelante en este documento).

API C de LDAP

La API C de LDAP, definida en el estándar de Internet RFC 1823, es un

conjunto de API de bajo nivel del lenguaje C para el protocolo LDAP. Microsoft
admite las API C de LDAP en todas las plataformas Windows.
Los programadores pueden escribir aplicaciones compatibles con Active
Directory mediante las API C de LDAP o ADSI. Las API C de LDAP son las que
suelen utilizarse para facilitar el transporte de las aplicaciones de directorio a la
plataforma Windows. Por otra parte, ADSI es un lenguaje más eficaz y más
adecuado para los programadores que escriben código de directorio en la
plataforma Windows.

Sincronizar Active Directory con otros

servicios de directorio
Microsoft proporciona servicios de sincronización de directorios que permiten
sincronizar la información de Active Directory con Microsoft Exchange 5.5,
Novell NDS y NetWare, Lotus Notes y GroupWise. Además, las utilidades de la
línea de comandos permiten importar y exportar información de directorio
desde otros servicios de directorio.

Active Directory y Microsoft Exchange

El sistema operativo Windows 2000 contiene un servicio denominado Active

Directory Connector que ofrece sincronización bidireccional con Microsoft
Exchange 5.5. Active Directory Connector proporciona una asignación rica de
objetos y atributos cuando sincroniza los datos entre los dos directorios. Para
obtener más información acerca de Active Directory Connector, consulte la
sección "Para obtener más información" al final de este documento.

Active Directory y Novell NDS y NetWare

Como parte de Servicios para NetWare 5.0, Microsoft pretende distribuir un

servicio de sincronización de directorios que efectúe la sincronización
bidireccional con Novell NDS y NetWare.
Active Directory y Lotus Notes

Como parte de Platinum, el nombre en código de la próxima versión de

Microsoft Exchange, Microsoft va a incluir un servicio de sincronización de
directorios que efectúe la sincronización bidireccional con Lotus Notes para
sincronizar el correo electrónico y otros atributos comunes.

Active Directory y GroupWise

Como parte de Platinum, el nombre en código de la próxima versión de

Microsoft Exchange, Microsoft va a incluir un servicio de sincronización de
directorios que efectúe la sincronización bidireccional con GroupWise para
sincronizar el correo electrónico y otros atributos comunes.

Active Directory y LDIFDE

El sistema operativo Windows 2000 proporciona la utilidad de línea de

comandos Formato de intercambio de datos LDAP (LDIFDE) para permitir la
importación y exportación de información de directorio. Formato de intercambio
de datos LDAP (LDIF) es un borrador de Internet que es un estándar en el que
se define el formato de archivo utilizado para intercambiar información de
directorio. La utilidad de Windows 2000 que admite importar y exportar al
directorio mediante LDIF se denomina LDIFDE. LDIFDE permite exportar
información de Active Directory en formato LDIF, de forma que se pueda
importar posteriormente a otro directorio. También puede utilizar LDIFDE para
importar información desde otro directorio.
Puede emplear LDIFDE para realizar operaciones por lotes, como agregar,
eliminar, cambiar el nombre o modificar. También puede llenar Active Directory
con información obtenida de otros orígenes, como otros servicios de directorio.
Además, puesto que el esquema de Active Directory se almacena en el propio
directorio, puede utilizar LDIFDE para realizar una copia de seguridad o ampliar
el esquema. Para obtener una lista de los parámetros de LDIFDE y su función,
consulte la Ayuda de Windows 2000. Para obtener información acerca de cómo
utilizar LDIFDE en operaciones por lotes con Active Directory, consulte la
sección "Para obtener más información" al final de este documento.

Referencias internas y externas

Un administrador puede crear un objeto de referencia cruzada que señale a un
servidor de un directorio externo al bosque. Cuando un usuario busca en un
subárbol que contiene este objeto de referencia cruzada, Active Directory
devuelve una referencia a dicho servidor como parte del conjunto de resultados
y el cliente LDAP sigue la referencia para obtener los datos solicitados por el
usuario.
Dichas referencias son objetos contenedores de Active Directory que hacen
referencia a un directorio externo al bosque. La diferencia estriba en que una
referencia interna se refiere a un directorio externo que aparece en el espacio
de nombres de Active Directory como secundario de un objeto existente de
Active Directory, mientras que una referencia externa se refiere a un directorio
externo que no aparece en el espacio de nombres de Active Directory como
secundario.
Para las referencias internas y externas, Active Directory contiene el nombre
DNS de un servidor que tiene una copia del directorio externo y el nombre
completo de la raíz del mismo en la que empiezan las operaciones de
búsqueda en el directorio externo.

Función Kerberos en interoperabilidad

.
El sistema operativo Windows 2000 admite varias configuraciones para la
interoperabilidad multiplataforma:

• Clientes. Un controlador de dominio de Windows 2000 puede proporcionar

autenticación para los sistemas cliente que ejecuten implementaciones de
Kerberos RFC-1510, incluidos los clientes que ejecuten un sistema operativo
distinto de Windows 2000. Las cuentas de usuarios y equipos de Windows 2000
pueden utilizarse como principales de Kerberos para servicios de Unix.
• Clientes y servicios Unix. En un dominio de Windows 2000, los clientes y
servicios Unix pueden tener cuentas de Active Directory y, por tanto, pueden
obtener la autenticación de un controlador de dominio. En este escenario, un
principal de Kerberos se asigna a una cuenta de usuario o equipo de Windows
2000.
• Aplicaciones y sistemas operativos. Las aplicaciones cliente para Win32® y
los sistemas operativos distintos de Windows 2000 que se basan en la Interfaz de
programación de aplicaciones de servicios de seguridad generales (API GSS)
pueden obtener vales de sesión para los servicios dentro de un dominio de
Windows 2000.

En un entorno que ya utiliza un territorio Kerberos, el sistema operativo

Windows 2000 admite interoperabilidad con los servicios Kerberos:

• Territorio Kerberos. Los sistemas basados en Windows 2000 Professional

pueden autenticar un servidor Kerberos RFC-1510 dentro de un territorio con un
inicio de sesión único en el servidor y una cuenta local de Windows 2000
Professional.
• Relaciones de confianza con territorios Kerberos. Se puede establecer una
relación de confianza entre un dominio y un territorio Kerberos. Esto significa
que un cliente de un territorio Kerberos puede autenticarse en un dominio de
Active Directory para tener acceso a los recursos de red de dicho dominio.
Compatibilidad con el sistema operativo
Windows NT
Un tipo especial de interoperabilidad consiste en mantener la compatibilidad
con versiones anteriores del sistema operativo actual. De forma
predeterminada, el sistema operativo Windows 2000 se instala en una
configuración de red de modo mixto. Un dominio de modo mixto es un conjunto
de equipos en red que ejecutan controladores de dominio de Windows NT y
Windows 2000. Puesto que Active Directory admite el modo mixto, puede
actualizar los dominios y los equipos a la velocidad que desee, dependiendo de
las necesidades de la organización.
Active Directory admite el protocolo de autenticación LAN Manager de
Windows NT (NTLM) utilizado por el sistema operativo Windows NT, lo que
significa que los usuarios y equipos de Windows NT autorizados pueden iniciar
la sesión y tener acceso a los recursos de un dominio de Windows 2000. Para
los clientes de Windows NT y los clientes de Windows 95 o 98 que no ejecuten
software cliente de Active Directory, un dominio de Windows 2000 aparece
como un dominio de Windows NT Server 4.0.

Resumen
Entre las muchas mejoras que ofrece el sistema operativo Windows 2000
Server, la más importante es la presentación del servicio de directorio Active
Directory. Active Directory ayuda a centralizar y simplificar la administración de
la red y, de este modo, mejora la capacidad de la red para respaldar los
objetivos de la organización.
Active Directory almacena información acerca de los objetos de la red y pone
esta información a disposición de los administradores, los usuarios y las
aplicaciones. Se trata de un espacio de nombres integrado con el Sistema de
nombres de dominio (DNS) de Internet y, al mismo tiempo, es el software que
define un servidor como controlador de dominio.
Los dominios, los árboles, los bosques, las relaciones de confianza, las
unidades organizativas y los sitios se utilizan para estructurar la red de Active
Directory y sus objetos. Puede delegar la responsabilidad administrativa de las
unidades organizativas, dominios o sitios a los usuarios o grupos adecuados y
puede asignar valores de configuración a estos tres mismos contenedores de
Active Directory. Esta estructura permite que los administradores controlen la
red de modo que los usuarios puedan concentrarse en alcanzar sus objetivos
empresariales.
Actualmente, la norma es que las organizaciones dependan de tecnologías
diversas que necesitan funcionar conjuntamente. Active Directory se ha creado
a partir de protocolos estándar de acceso a directorios, lo cual, junto con varias
API, permite que Active Directory interopere con otros servicios de directorio y
una amplia variedad de aplicaciones de terceros. Además, Active Directory
puede sincronizar datos con Microsoft Exchange y proporciona utilidades de la
línea de comandos para importar y exportar datos a y desde otros servicios de
directorio.

Para obtener más información

Para obtener la información más reciente acerca del sistema operativo
Windows 2000, consulte Microsoft TechNet o el sitio Web de Microsoft
Windows 2000 Server
(http://www.microsoft.com/latam/windows2000/2/producto/servidor/resumen/),
el foro de Windows NT Server en MSN™ y el servicio en línea The Microsoft
Network (GO WORD: MSNTS).
Además, puede consultar los vínculos siguientes para obtener más
información:

• Ayuda del producto Windows 2000

(http://windows.microsoft.com/windows2000/en/server/help/): cómo obtener un
Id. de objeto de esquema (OID).
• Kit de desarrollo de software de la plataforma Windows 2000
(http://msdn.microsoft.com/developer/sdk/Platform.asp): cómo utilizar ADSI
para ampliar el esquema mediante programa.

"Notas del producto "Introducción a Política de grupo de Windows 2000"

(http://www.microsoft.com/windows/server/Technical/management/GroupPolicyI
ntro.asp): Detalles de Política de grupo de Windows 2000.

• Ayuda del producto Windows 2000

(http://www.microsoft.com/windows2000/en/server/help/) para Active Directory
Connector: cómo sincroniza Active Directory Connector los datos entre Active
Directory y Microsoft Exchange.
• Novedades técnicas de Beta 3, "Importación y exportación masiva a Active
Directory"
(http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp):
cómo utilizar LDIFDE para operaciones por lotes con Active Directory.
• Sitio Web de Internet Engineering Task Force (IETF) (http://www.ietf.org/):
para obtener RFC de IETF y borradores de Internet.

La Guía de diseño de la distribución de Microsoft Windows 2000 Server, que

describe cómo planear la estructura y la distribución de los dominios y los sitios
de Windows 2000, se pondrá a la venta a principios del año 2000. También se
encuentra en los CD de Windows 2000 Server y Windows 2000 Advanced
Server como parte de las herramientas auxiliares.
Apéndice A: Herramientas
En este apéndice se proporciona una breve introducción a las herramientas de
software que puede utilizar para llevar a cabo las tareas asociadas a Active
Directory.

Microsoft Management Console

En el sistema operativo Windows 2000 Server, Microsoft Management Console
(MMC) proporciona interfaces coherentes para permitir que los administradores
examinen las funciones de la red y utilicen las herramientas administrativas.
Los administradores utilizan la misma consola tanto si son responsables de una
única estación de trabajo como de una red completa de equipos. MMC contiene
programas denominados complementos y cada uno de ellos trata tareas
específicas de administración de la red. Cuatro de estos complementos son
herramientas de Active Directory.

Complementos de Active Directory

Las herramientas administrativas de Active Directory que se incluyen con el
sistema operativo Windows 2000 Server simplifican la administración de los
servicios de directorio. Puede utilizar las herramientas estándar o MMC para
crear herramientas personalizadas centradas en tareas de administración
únicas. Puede combinar varias herramientas en una única consola. También
puede asignar herramientas personalizadas a administradores individuales con
responsabilidades administrativas específicas.
Los siguientes complementos de Active Directory están disponibles en el menú
Herramientas administrativas de Windows 2000 Server de todos los
controladores de dominio de Windows 2000:

• Usuarios y equipos de Active Directory

• Dominios y confianza de Active Directory
• Sitios y servicios de Active Directory

El cuarto complemento de Active Directory es:

• Esquema de Active Directory

La forma recomendada para ampliar el esquema de Active Directory es

mediante programa, a través de las Interfaces de servicio de Active Directory
(ADSI) o la utilidad Formato de intercambio de datos LDAP (LDIFDE). Sin
embargo, para propósitos de desarrollo y de pruebas, también puede ver y
modificar el esquema de Active Directory con el complemento Esquema de
Active Directory.
Esquema de Active Directory no está disponible en el menú Herramientas
administrativas de Windows 2000 Server. Debe instalar las Herramientas de
administración de Windows 2000 desde el disco compacto de Windows 2000
Server y agregarlas a una consola de MMC.
Un quinto complemento, que está relacionado con las tareas de Active
Directory, es:

• Complemento Política de grupo

Configurar las políticas de grupo es una tarea relacionada con la administración

de usuarios, equipos y grupos de Active Directory. Los objetos de política de
grupo (GPO), que contienen valores de políticas, controlan la configuración de
usuarios y equipos en sitios, dominios y unidades organizativas. Para crear o
modificar GPO, utilice el complemento Política de grupo, al que se tiene acceso
a través de Usuarios y equipos de Active Directory o mediante Sitios y servicios
de Active Directory (dependiendo de la tarea que desee realizar).
Para utilizar las herramientas administrativas de Active Directory de forma
remota, desde un equipo que no sea un controlador de dominio (por ejemplo,
uno que ejecute Windows 2000 Professional), debe instalar las herramientas
administrativas de Windows 2000.

Formas nuevas de realizar tareas conocidas

En la tabla 5 se enumeran las tareas comunes que puede realizar mediante los
complementos de Active Directory y las herramientas administrativas
relacionadas. Para los usuarios del sistema operativo Windows NT Server, en
la tabla también se muestra dónde se realizan estas tareas cuando se utilizan
las herramientas de administración proporcionadas por Windows NT Server
4.0.
Tabla 5. Tareas realizadas con las herramientas de Active
Directory y Política de grupo
En Windows NT
Si desea: En Windows 2000, utilice:
4.0, utilice:
Instalar un Asistente para instalación de Active
Instalación de
controlador de Directory (al que se tiene acceso desde
Windows
dominio Configurar el servidor).
Administrar cuentas Administrador de
Usuarios y equipos de Active Directory
de usuario usuarios
Administrador de
Administrar grupos Usuarios y equipos de Active Directory
usuarios
Administrar cuentas Administrador de
Usuarios y equipos de Active Directory
de equipo servidores
Agregar un equipo a Administrador de
Usuarios y equipos de Active Directory
un dominio servidores
Crear o administrar
Administrador de Dominios y confianza de Active
relaciones de
usuarios Directory.
confianza
Administrar Administrador de
Usuarios y equipos de Active Directory
políticas de cuentas usuarios
Usuarios y equipos de Active
Directory:
Modifique el objeto de política de
Administrar Administrador de
grupo para el dominio o la unidad
derechos de usuario usuarios
organizativa que contenga los equipos
a los que se aplican los derechos de
usuario.
Usuarios y equipos de Active
Directory:
Administrar
Administrador de Modifique el objeto de política de
políticas de
usuarios grupo asignado a la unidad
auditoría
organizativa Controladores de
dominio.
Configurar políticas Política de grupo, al que se tiene
Editor de políticas
para usuarios y acceso a través de Sitios y servicios de
del sistema
equipos de un sitio Active Directory
Configurar políticas
Política de grupo, al que se tiene
para usuarios y Editor de políticas
acceso a través de Usuarios y equipos
equipos de un del sistema
de Active Directory
dominio
Configurar políticas
Política de grupo, al que se tiene
para usuarios y
No aplicable acceso a través de Usuarios y equipos
equipos de un
de Active Directory
unidad organizativa
Usar grupos de Modificar la entrada de permiso para
seguridad para Aplicar Política de grupo en la ficha
No aplicable
filtrar el ámbito de Seguridad de la hoja de propiedades
la política del objeto de política de grupo.

Herramientas de la línea de comandos de

Active Directory
Los administradores avanzados y los especialistas de soporte técnico de redes
también pueden utilizar diversas herramientas de la línea de comandos para
configurar, administrar y solucionar problemas de Active Directory. Estas
herramientas se denominan herramientas auxiliares y están disponibles en el
disco compacto de Windows 2000 Server en la carpeta \SUPPORT\RESKIT.
Se describen en la tabla 6.
Tabla 6. Herramientas de la línea de comandos relacionadas con
Active Directory
Herramienta Descripción
MoveTree Mover objetos de un dominio a otro.
Configurar las listas de control de acceso para objetos que
SIDWalker pertenecían anteriormente a cuentas que se han movido, han
quedado huérfanas o se han eliminado.
Permite realizar operaciones LDAP en Active Directory. Esta
LDP
herramienta tiene una interfaz gráfica de usuario.
Comprobar el registro dinámico de registros de recursos DNS,
DNSCMD incluida la actualización segura de DNS, así como la anulación
del registro de los registros de recursos.
Ver o modificar las listas de control de acceso de los objetos del
DSACLS
directorio.
Administración por lotes de confianzas, unión de equipos a
NETDOM
dominios, comprobación de confianzas y canales seguros.
Comprobar de un extremo a otro la red y las funciones de
NETDIAG
servicios distribuidos.
NLTest Comprobar que el ubicador y el canal seguro están funcionando.
Comprobar la coherencia de replicación entre asociados de
replicación, supervisar el estado de replicación, mostrar los
REPAdmin
metadatos de replicación, forzar los eventos de replicación y
actualizar el Comprobador de coherencia de réplica (KCC).
Mostrar la topología de replicación, supervisar el estado de
replicación (incluidas las políticas de grupo), forzar los eventos
REPLMon
de replicación y actualizar el Comprobador de coherencia de
réplica. Esta herramienta tiene una interfaz gráfica de usuario.
Comparar la información de directorio en controladores de
DSAStat
dominio y detectar las diferencias.
Complemento de Microsoft Management Console (MMC) que se
utiliza para ver todos los objetos del directorio (incluida la
ADSIEdit
información de esquema y de configuración), modificar objetos y
configurar listas de control de acceso para los objetos.
Comprobar la propagación y la replicación de las listas de
control de acceso de los objetos especificados del directorio. Esta
SDCheck herramienta permite que un administrador determine si las listas
de control de acceso se heredan correctamente y si los cambios
de las mismas se replican de un controlador de dominio a otro.
Determinar si a un usuario se le ha concedido o denegado el
acceso a un objeto del directorio. También puede utilizarse para
ACLDiag
restablecer las listas de control de acceso a su estado
predeterminado.
Utilidad de la línea de comandos para administrar todos los
aspectos del Sistema de archivos distribuido (Dfs), comprobar la
DFSCheck
simultaneidad de configuración de los servidores Dfs y mostrar
la topología Dfs.
Página de referencia de comandos de
Windows 2000
En la Ayuda de Windows 2000 encontrará una lista completa de los comandos
de Windows 2000, con información acerca de cómo utilizar cada uno. Escriba
"referencia de comandos" en la ficha Índice o en la ficha Buscar.

Interfaz de servicio de Active Directory

Puede utilizar las Interfaces de servicio de Active Directory (ADSI) para crear
secuencias de comandos para diversos propósitos. El CD de Windows 2000
Server contiene varias secuencias de comandos ADSI de ejemplo. Para
obtener más información acerca de ADSI, consulte las secciones "Interfaz de
servicio de Active Directory" y "Para obtener más información".
© 1999 Microsoft Corporation. Reservados todos los derechos.
La información contenida en este documento representa la visión actual de
Microsoft Corporation acerca de los asuntos abordados en la fecha de su
publicación. Como Microsoft debe responder a condiciones de mercado
variables, no debe interpretarse como un compromiso por parte de Microsoft y
Microsoft no puede garantizar la precisión de la información que se presenta
después de la fecha de publicación.
Este documento se proporciona con propósito informativo únicamente.
MICROSOFT NO OTORGA NINGUNA GARANTÍA, NI IMPLÍCITA NI
EXPLÍCITA, EN ESTE DOCUMENTO.
Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows y Windows NT
son marcas o marcas registradas de Microsoft Corporation en EE.UU. y/o en
otros países.
Los nombres de otras compañías y productos aquí mencionados pueden ser
marcas comerciales de sus respectivos propietarios.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA
0x99
1 En un dominio de Windows 2000 Server, un controlador de dominio es un
equipo que ejecuta el sistema operativo Windows 2000 Server que administra
el acceso de los usuarios a una red (esto incluye el inicio de sesión, la
autenticación y el acceso al directorio y a recursos compartidos).
2 Una zona DNS es una partición contigua del espacio de nombres DNS que
contiene los registros de recursos para los dominios DNS de dicha zona.
3 LDAP es un protocolo que se utilizar para tener acceso a un servicio de
directorio; consulte las secciones "Nombres relacionados con LDAP" y
"Protocolo compacto de acceso a directorios".
4 Descrito en el borrador de Internet del Internet Engineering Task Force (IETF)
denominado draft-ietf-dnsind-rfc2052bis-02.txt, "A DNS RR for specifying the
location of services (DNS SRV)". (Los borradores de Internet son documentos
de trabajo del Internet Engineering Task Force (IETF), sus áreas y sus grupos
de trabajo.)
5 Descrito en RFC 2136, Observations on the use of Components of the Class
A Address Space within the Internet.
6 Los grupos de Windows 2000 se definen de forma diferente a Windows NT.
Windows 2000 incluye dos tipos de grupos: 1, grupos de seguridad (para
administrar el acceso de usuarios y equipos a recursos compartidos y para
filtrar los valores de política de grupo) y 2, grupos de distribución (para crear
listas de distribución de correo electrónico). Windows 2000 también incluye tres
ámbitos de grupo: 1, grupos con ámbito local de dominio (para definir y
administrar el acceso a los recursos dentro de un único dominio); 2, grupos con
ámbito global (para administrar objetos de directorio que precisan
mantenimiento diario, como las cuentas de usuario y equipo; el ámbito global
se utiliza para agrupar cuentas dentro de un dominio); y 3, grupos con ámbito
universal (para consolidar grupos que abarcan dominios; puede agregar
cuentas de usuario a grupos con ámbito global y, a continuación, anidar estos
grupos dentro de grupos que tengan ámbito universal). (Para obtener más
información acerca de los grupos de Windows 2000, incluido el nuevo tipo de
grupo universal, consulte la sección "Para obtener más información" al final de
este documento.)
7 Para poder obtener el logotipo Certificado para Windows, VeriTest debe
probar la aplicación con el fin de comprobar que cumpla la Especificación de
aplicaciones para Windows 2000. Puede elegir cualquier combinación de
plataformas, siempre y cuando se incluya al menos un sistema operativo
Windows 2000. Las aplicaciones pueden llevar el logotipo "Certificado para
Microsoft Windows" una vez hayan superado las pruebas de conformidad y se
haya establecido un contrato de licencia de logotipo con Microsoft. El logotipo
que se obtiene indica las versiones de Windows para las que está certificado el
producto. Consulte
8 Active Directory admite LDAP v2 y LDAP v3, que reconocen las
convenciones de nomenclatura de RFC 1779 y RFC 2247.
9 Si no se ha agregado ningún UPN, los usuarios pueden iniciar la sesión
explícitamente si proporcionan su nombre de usuario y el nombre DNS del
dominio raíz.
10 Las políticas de grupo que controlan los valores predeterminados de las
impresoras de publicación son Publicar automáticamente impresoras
nuevas en Active Directory y Permitir que se publiquen impresoras
(esta última controla si se pueden publicar o no las impresoras de ese equipo).
11 En comparación con versiones anteriores de Windows NT Server, la base
de datos de SAM tenía un límite de unos 40000 objetos por dominio.
12 Para obtener una descripción de esta sobrecarga adicional, consulte la
"Guía de diseño de la distribución de Windows 2000 Server", que describe
cómo planear la estructura y la distribución de dominios y sitios de Windows
2000, en la sección "Para obtener más información" al final de este documento.
13 Una DACL concede o deniega permisos para un objeto a determinados
usuarios o grupos.
14 Para obtener más información acerca de la interoperabilidad con territorios
Kerberos, consulte la sección "Función Kerberos en interoperabilidad".
15 Los vectores de actualización no son específicos del sitio. Un vector de
actualización contiene una entrada por cada servidor en el que se puede
escribir en la partición del directorio (contexto de nombres).
16 Además de delegar la autoridad en contenedores, puede conceder permisos
(como lectura y escritura) hasta el nivel de atributo de un objeto.
17 Las entradas de control de acceso (ACE) de la DACL de un objeto
determinan quién tiene acceso a dicho objeto y qué tipo de acceso tiene.
Cuando se crea un objeto en el directorio, se le aplica una DACL
predeterminada (definida en el esquema).
18 De forma predeterminada, al grupo Administradores de empresa se concede
Control total sobre todos los objetos de un bosque.
19 La extensión Redirección de carpetas se utiliza para redirigir cualquier
carpeta especial de un perfil de usuario a una ubicación alternativa (por
ejemplo, un recurso compartido de red): Datos de programa, Escritorio, Mis
documentos (y/o Mis imágenes), Menú Inicio.
20 LDAP versión 2 se describe en RFC 1777; LDAP versión 3 se describe en
RFC 2251.