Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Windows® 2000
Documentos Estratégicos
Resumen
Introducción
Conceptos Importantes
Algunos conceptos y términos que son empleados para describir al Active Directory son
nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han
existido por un tiempo son usados para que signifiquen más que una cosa en particular.
Antes de continuar, es importante que entienda como se definen los siguientes
conceptos y términos en el contexto del Active Directory.
El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora,
archivo o usuario), cada servidor y cada dominio en una sola red de área amplia.
También puede incluir varias redes de área amplia combinadas, así es que es importante
tener en mente que el Active Directory puede escalar desde una sola computadora, a una
sola red computacional, hasta muchas redes computacionales combinadas.
Un contenedor es como un objeto en que tiene atributos y es parte del espacio para
nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa
algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores.
Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y
contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el
árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son
conectados los objetos o el camino de un objeto a otro. Un simple directorio es un
contenedor. Una red computacional o dominio es también un contenedor. Un subárbol
colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los
miembros de cualquier contenedor en ese camino.
Figura 2. Un subárbol colindante de un directorio de archivo
Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos
tipos diferentes de nombres.
Nombre Único
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith
El Active Directory está compuesto de uno a más contextos para dar nombres o
particiones. Un contexto para dar nombres es cualquier subárbol colindante del
directorio. Los contextos para dar nombres son las unidades de duplicado.
En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos
para dar nombres.
• El esquema
• La configuración (topología de partición y metadatos relacionados)
• Uno o más contextos para dar nombres de usuario (subárboles conteniendo los
objetos reales en el directorio).
Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de
confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio.
Windows 2000 establece las relaciones de confianza entre los dominios basándose en el
protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si
el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A
confía también en el dominio C.
Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza.
Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory.
Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas"
significa que la conectividad de la red es altamente confiable y rápida (por ejemplo:
velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir
un sitio como un conjunto de subredes permite a los administradores configurar
rápidamente y fácilmente el acceso al Active Directory y la topología de replicación
para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active
Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya
que las máquinas en el mismo sitio están cerca una de otra en términos de red, la
comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio
local en tiempo de conexión se logra fácilmente debido a que la estación de trabajo del
usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se adaptan
directamente a los sitios del Active Directory.
Arquitectura
Esta corta sección presenta algunos de los principales componentes arquitectónicos del
Active Directory.
El modelo de datos del Active Directory se deriva del modelo de datos X.500. El
directorio conserva objetos que representan cosas de diferentes tipos, descritos por
características. El universo de objetos que pueden ser almacenados en el directorio está
definido en el esquema. Para cada clase de objetos, el esquema define qué atributos
debe tener un ejemplo del grupo, qué atributos adicionales puede tener y qué clase de
objetos puede ser matriz de la actual clase de objetos.
El esquema del Active Directory puede ser actualizado dinámicamente. Es decir, una
aplicación puede extender el esquema con nuevos atributos y clases, y puede usar las
extensiones inmediatamente. Las actualizaciones del esquema se logran creando o
modificando los objetos del esquema almacenados en el directorio. Al igual que cada
objeto en el Active Directory, los objetos del esquema son protegidos por listas de
control de acceso (Access Control Lists, ACLs), así es que sólo los usuarios autorizados
pueden alterar el esquema.
El Agente del Sistema de Directorio (Directory System Agent, DSA) es el proceso que
maneja el almacenaje físico del directorio. Los clientes usan una de las interfaces
apoyadas para conectarse al DSA y luego buscar, leer, y escribir objetos del directorio y
sus atributos. El DSA proporciona al cliente aislamiento del formato de almacenaje
físico de los datos del directorio.
Los nombres de dominio de Windows 2000 son nombres de dominio DNS. Por
ejemplo: "Microsoft.com" es un nombre de dominio DNS válido y podría también ser el
nombre de un dominio de Windows 2000. La estrecha integración DNS significa que el
Active Directory encaja naturalmente en ambientes de Internet e intranet. Los clientes
encuentran los servidores de directorio rápidamente y fácilmente. Una empresa puede
conectar los servidores de Active Directory directamente a la Internet para facilitar las
comunicaciones seguras y el comercio electrónico con clientes y socios.
Servicio de ubicación
Los servidores del Active Directory publican sus direcciones de modo que los clientes
puedan encontrarlos conociendo sólo el nombre de dominio. Los servidores del Active
Directory son publicados por medio de los Registros de recursos de servicios (Service
Resource Records, SRV RRs) en DNS. El SRV RR es un registro de DNS usado para
mapear el nombre de un servicio a las direcciones de un servidor que ofrece ese
servicio. El nombre de un SRV RR se da en esta forma:
..
Los servidores del Active Directory ofrecen el servicio LDAP sobre el protocolo TCP
de modo que los nombres publicados se encuentren en la forma: ldap.tcp.
Por lo tanto, el SRV RR para "Microsoft.com" es "ldap.tcp.microsoft.com".
Información adicional sobre el SRV RR indica la prioridad y peso para el servidor,
permitiendo que los clientes seleccionen el mejor servidor para sus necesidades.
DNS Dinámico
Un DNS dinámico (Dynamic DNS) es una reciente adición al estándar DNS. Dynamic
DNS define un protocolo para actualizar dinámicamente un servidor con valores nuevos
o cambiados. Antes de Dynamic DNS, los administradores necesitaban configurar
manualmente los registros almacenados por servidores DNS.
Exclusividad de Nombres
El acceso al Active Directory es vía protocolos en línea (wire protocols). Los protocolos
en línea definen los formatos de mensajes e interacciones del cliente y
servidor. Diversas interfaces de programación de aplicaciones (APIs) dan a los
desarrolladores el acceso a estos protocolos.
Apoyo a protocolos
• Hay muy poco interés en estos protocolos y hay unas cuantas implementaciones.
• Estos protocolos son dependientes de trabajaren la red OSI. OSI es una
alternativa para TCP/IP, la cual no está ampliamente implementada. Trasladar
OSI a través de una red TCP/IP es menos eficiente que usar TCP/IP
directamente.
• LDAP provee las funciones más importantes ofrecidas por DAP y DSP y está
diseñado para trabajar sobre TCP/IP sin la sobrecarga de envolver OSI en
TCP/IP.
• Hay suficiente ambigüedad en las especificaciones DISP y DOP de 1993 y 1997
que implementaciones de conformar no están garantizadas para interoperar, de
ese modo reduciendo dramáticamente el valor de estos protocolos.
El Catálogo Global contiene una réplica parcial de cada contexto de dar nombre a los
usuarios en el directorio. También contiene los contextos del esquema y configuración
para asignar nombres. Esto significa que el GC mantiene una réplica de cada objeto en
el Active Directory, pero sólo mantiene un pequeño número de sus atributos. Los
atributos en el GC son aquellos más frecuentemente usados en operaciones de búsqueda
(tales como el nombre y apellido del usuario, nombres de inicio de sesión, etc.) y
aquellos requeridos para localizar una réplica completa del objeto. El GC le permite a
los usuarios encontrar rápidamente objetos de interés sin saber que dominio los
conserva y sin requerir un contiguo y extenso espacio para nombres en la empresa.
Protección de Objetos
Todos los objetos en el Active Directory están protegidos por listas de control de acceso
(Access Control Lists, ACLs). Las ACLs determinan quien puede ver el objeto y que
acciones puede efectuar cada usuario en el objeto. La existencia de un objeto nunca es
revelado a un usuario a quien no se le permite verlo.
Un ACL es una lista de Entradas de Control de Acceso (Access Control Entries, ACE)
almacenadas con el objeto que protege. En Windows 2000, un ACL es almacenada
como un valor binario que se llama un Descriptor de Seguridad (Security Descriptor).
Cada ACE contiene un Identificador de Seguridad (Security Identifier, SID),el cual
identifica el principal (usuario o grupo) a quien el ACE se aplica e información sobre
que tipo de acceso que el ACE otorga o niega.
ACLs en objetos del directorio contienen ACEs que aplican al objeto en
conjunto y ACEs que aplican a los atributos individuales del objeto. Esto permite a un
administrador controlar no sólo que los usuarios puedan ver un objeto, sino que
propiedades pueden ver esos usuarios. Por ejemplo: puede otorgárseles a todos los
usuarios que lean el acceso a los atributos de correo electrónico o número telefónico
para todos los demás usuarios, pero las propiedades de seguridad de usuarios le puede
ser negada a todos menos a los miembros de un grupo de administradores de seguridad.
A los usuarios individuales se les puede otorgar acceso a escribir a atributos personales
tales como las direcciones de teléfono o correo en sus propios objetos de usuario.
Delegación
Los ACEs pueden otorgar derechos administrativos específicos sobre los objetos en un
contenedor a un usuario o grupo. Los derechos se otorgan para operaciones específicas
en clases de objetos específicos vía ACEs en el contenedor de ACL. Por ejemplo, para
permitir que el usuario "James Smith" sea un administrador de la unidad organizacional
"Corporate Accounting", se agregarían ACEs al ACL en "Corporate Accounting" como
sigue:
Ahora James Smith puede crear nuevos usuarios y grupos en Corporate Accounting y
establecer las contraseñas (passwords) de usuarios existentes, pero no puede crear
ningunas otras clases de objetos y no puede afectar a usuarios en cualquier otro
contenedor (a menos, por supuesto, que ACEs les otorgue ese acceso en los otros
contenedores).
Herencia
La herencia (inheritance) permite que un ACE dado se propague del contenedor donde
fue aplicado a todos los descendientes del contenedor. La herencia puede ser combinada
con la delegación para otorgar derechos administrativos a un subárbol completo del
directorio en una sola operación.
Propagación de actualizaciones
Algunos servicios de directorio usan etiquetas de tiempo (timestamps) para detectar y
propagar cambios. En estos sistemas, es muy importante mantener sincronizados los
relojes de todos los servidores de directorio. La sincronización del tiempo en una red es
muy difícil. Aun con muy buena sincronización de tiempo, es posible que el tiempo en
un servidor de directorio dado sea ajustado incorrectamente. Esto puede originar
actualizaciones perdidas.
Cada servidor del Active Directory también mantiene una tabla de USNs recibidos de
socios de duplicado. El más alto USN recibido de cada socio es almacenado en esta
tabla. Cuando un socio dado notifica al Servidor de Directorio que es requerida la
replicación , ese servidor solicita todos los cambios con USNs mayor que el último
valor recibido. Este es un acercamiento muy simple y no depende de la exactitud de
etiquetas de tiempo.
Inhibidor de propagación
Cuando un dominio está unido a un árbol de dominio de Windows 2000, una relación de
confianza bidireccional transitiva se establece automáticamente entre el dominio unido
y su matriz en el árbol. Debido a que la confianza es transitiva y bidireccional, no se
requiere de relaciones de confianza adicional es entre los miembros del árbol. La
jerarquía de confianza es almacenada como parte de la metadata del directorio en el
contenedor de configuración.
Estos objetos requeridos son creados en el directorio cuando un dominio es unido al
árbol.
Los dominios de Windows 2000 están unidos a un árbol de dominio durante el proceso
de instalación. Durante la instalación de un nuevo servidor de Windows 2000 (para
mejorar de una anterior versión de Windows NT), al administrador se le dan las
siguientes opciones:
Los dominios dentro de un árbol existente pueden ser libremente motivados a cambiar
la forma total del árbol. Planear un buen árbol es muy importante, pero lo bueno es que
es altamente subjetivo y basado en las necesidades específicas de su organización. La
habilidad de reestructurar el árbol como se necesita reduce la importancia de conocer de
antemano el diseño correcto.
Windows 2000 usa información de un sitio para localizar un servidor del Active
Directory cerca del usuario. Cuando una estación de trabajo de un usuario se conecta a
la red, recibe una dirección TCP/IP de un servidor DHCP, el cual también identifica la
subred a la cual la estación de trabajo está sujeta. Las estaciones de trabajo que han
configurado estáticamente direcciones IP también han configurado estáticamente
información de subred. En cualquier caso, el localizador del controlador de dominio
(DC) de Windows 2000 intentará localizar al servidor del Active Directory localizado
en la misma subred que el usuario, basado en la información de la subred conocida para
la estación de trabajo.
Sitios y Replicación
Planeando Sitios
Un sitio mínimo consiste de una sola subred IP. Windows 2000 supone que todas las
máquinas localizadas en el mismo sitio comparten una red común de alta anchura de
banda. Dado esto, un buen diseño de sitio es uno en el cual todas las subredes asignadas
a un sitio dado comparten una red tal. Areas de una red que son separadas por una red
de área amplia, enrutadores múltiples, u otras ligas más lentas deben estar en sitios
separados.
El esquema del Active Directory define el conjunto de todas las clases de objetos y
atributos que pueden ser almacenados en el directorio. Para cada clase de objeto, el
esquema define donde puede ser creado en un árbol de directorio especificando los
padres legales de la clase. El contenido de una clase se define por la lista de
atributos que la clase debe o puede contener.
Agregando Atributos
Cuándo Publicar
Las aplicaciones pueden también publicar sus puntos de conexión en el directorio Los
puntos de conexión son usados para el punto de reunión del cliente y servidor. El Active
Directory define una arquitectura para la administración de servicio integrado usando
objetos del Service Administration Point y proporciona puntos de conexión estándar
para aplicaciones RPC, Winsock, y COM. Las aplicaciones que no usan las interfaces
RPC o Winsock para publicar sus puntos de conexión pueden explícitamente publicar
objetos de Service Connection Point en el directorio.
Cómo Publicar
• RPC - Las aplicaciones RPC usan la familia RpcNs de APIs para publicar sus
puntos de conexión en el directorio y para consultar para los puntos de conexión
de servicios que han publicado los suyos.
• Windows Sockets - Las aplicaciones de Windows Sockets usan la familia de
Registration y Resolution de APIs disponibles en Winsock 2.0 para publicar sus
puntos de conexión y consultar para los puntos de conexión de servicios que han
publicado los suyos.
• DCOM - Los servicios DCOM publican sus puntos de conexión vía la DCOM
Class Store, la cual reside en el Active Directory.
Un grupo Universal es la más simple forma de grupo. Los grupos Universales pueden
aparecer en ACLs en cualquier parte del bosque, y puede contener otros
grupos Universales. Grupos Globales, y usuarios de cualquier parte del bosque.
Un grupo Global puede aparecer en ACLs en cualquier parte del bosque. Un grupo
Global puede contener usuarios y otros grupos Globales de su propio dominio.
Un grupo Local de Dominio puede ser usado en ACLs sólo si es su propio dominio. Un
grupo Local de Dominio puede contener usuarios y grupos Globales de cualquier
dominio en el bosque, Grupos Universales, y otros grupos Locales de Dominio en su
propio dominio.
Los tres tipos de grupo proporcionan un rico y flexible ambiente de control de acceso
mientras que reducen el tráfico de replicación para el Catálogo Global causado por
cambios de membresías de grupo. Un grupo Universal aparece en el GC, pero contendrá
principalmente grupos globales de dominios en el bosque. Una vez que los grupos
Globales se establezcan, la membrecía en el grupo Universal cambiará
infrecuentemente. Los grupos Globales aparecen en el GC, pero sus miembros no. Los
cambios de membrecía en grupos Globales no son duplicados fuera del dominio donde
son definidos. Los grupos Locales de Dominio son válidos solo en el dominio donde
son definidos y no aparecen en el GC.
Migración
Puede mejorar los sistemas Windows NT 3.51 y 4.0 directamente a Windows 2000. Los
sistemas Windows NT 3.51 y 3.5 deben ser mejorados a Windows NT 3.51 om4.0 antes
de que puedan ser mejorados a Windows 2000.Una nueva instalación de Windows 2000
puede ser efectuada en cualquier sistema listado en la lista de hardware compatibel en
el sitio de Windows 2000.
Los Controladores de Dominio (Domain Controlers) conservan una copia del directorio.
En Windows NT 3.51 y 4.0, hay dos clases de Controladores de Dominio -
Controladores de Dominio Primario (Primary Domain Controllers, PDCs) y
Controladores de Dominio de Respaldo (Backup Domain Controllers, BDCs). Los
Controladores de Dominio Primarios conservan una copia de lea/escriba mientras que
los Controladores de Dominio de Respaldo conservan una copia de leer/solamente.
Para emigrar un dominio de Windows NT 3.51 o 4.0 a Windows 2000, debe primero
mejorar el Controlador de Dominio Primario para el dominio para Windows 2000. Esto
automáticamente carga a los usuarios y grupos del directorio de dominio hacia el Active
Directory. Como parte del proceso de mejoramiento, usted especifica si este dominio
será:
Para emigrar los Controladores de Dominio de Respaldo, mejore cada uno a Windows
2000. El proceso de mejoramiento reconoce al Controlador de Dominio de Respaldo,
automáticamente lo instala como una réplica del Active Directory, y lo inserta en la
topología de replicación. Cuando todos los controladores de dominio han sido
mejorados a Windows 2000, el dominio ya no es un dominio mixto, y los grupos
anidados son apoyados.
Para emigrar servidores miembros, mejórelos a Windows 2000. Los usuarios locales y
grupos locales son almacenados en el registro de del servidor miembro y no se mueven
al Active Directory. Mejorar a un servidor miembro a Windows 2000 le permite
participar en la seguridad Kerberos, agrega apoyo para aplicaciones Directory-aware,y
agrega la Microsoft Management Console y Active Directory-aware shell y diálogos
comunes.
Para emigrar a los clientes basados en la estación de trabajo Windows NT, mejórelos a
Windows 2000 Professional. Puede emigrar a clientes basados en Windows 95
instalando un paquete de servicio que contenga los componentes de software
adicionales que se necesitan para hacerlos Active Directory-aware. Mejorar a un cliente
le permite participar en la seguridad Kerberos, apoyo para aplicaciones Active
Directory-aware, y agrega el Active Directory-aware shell y diálogos comunes.
Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los usuarios
son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la
raíz del dominio.
Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000 las cuentas de
la máquina son emigradas al Active Directory y colocadas en un contenedor
llamado "Computers" en la raíz del dominio.
Cuando una PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los Grupos
son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la
raíz de dominio. Grupos integrados se encuentran en un contenedor especial llamado
"Built-in" .
Por lo tanto, una estación de trabajo que se conecta a Microsoft.com consultará DNS
para registros SRV para LDAP.TCP.Microsoft.com. Un servidor será seleccionado de la
lista y contactado. El servidor contactado usará la información de subred presentada por
la estación de trabajo para determinar el mejor servidor como se describió en la
respuesta anterior.
Un usuario puede usar una variedad de nombres en una variedad de formatos para
conectarse a un Windows 2000 Professional. Estos incluyen los formatos de nombre
apoyados por interfaces para programar de aplicación Win32 DsCrackNames, los
cuales son usados para convertir estas formas de nombre como sea necesario.
No. Hay ventajas significativas en usar Microsoft DNS, pero cualquier servidor DNS
compatible con RFC funcionará. Se recomienda Dynamic DNS porque, con un servidor
Dynamic DNS los servidores del Active Directory pueden registrar automáticamente los
registros necesarios en DNS.
Los servidores Static DNS funcionan igualmente bien, pero el registro DNS para cada
servidor de Directorio debe efectuarse manualmente.
El servidor DNS incluido con Windows 2000 es una implementación obediente de RFC
y BIND de Dynamics DNS.Es una implementación nativa para Windows
2000, no un puerto de la implementación BIND de dominio público. El servidor DNS
de Microsoft almacena las zonas DNS para la cual es autoritario en el Active Directory.
Los datos de DNS son duplicados entre los servidores DNS por replicación del Active
Directory, no Transferencia de Zona (Zone Transfer). El servidor DNS de Microsoft
apoya Transferencia de Zona DNS estándar para interoperabilidad con otros servidores
DNS.
El servidor DHCP es mayormente sin cambio para Windows 2000. El cliente de DHCP
es DNS-aware y usa los servicios de Dynamic DNS para registrar direcciones emitidas
por DHCP directamente en DNS. El cliente DHCP continuará registrándose con WINS
si DHCP identifica a un servidor WINS.
Wins no sufre cambios para Windows 2000. Los clientes de Windows 2000 (y clientes
de Windows 95 con la mejora del Active Directory instalado) ya no necesitan usar el
espacio para nombres de NETBIOS. Aún se requiere WINS para clientes de bajo nivel
para encontrar servidores y viceversa. Cuando ya no hay clientes de bajo nivel en la
empresa, los servidores WINS pueden ser apagados.
Para la más reciente información sobre el Servidor Windows 2000, revise el Technet de
Microsoft o nuestro sitio en la World Wide Web en
http://www.microsoft.con/latam/ntserver/nts/ o el Windows NT Server Forum en MSN,
The Microsoft Network (GO WORD: MSNTS).
Sistema operativo
Resumen
Para usar el sistema operativo Microsoft® Windows® 2000 Server con la
máxima eficacia, primero debe comprender qué es el servicio de directorio
Active Directory™. Active Directory, una novedad del sistema operativo
Windows 2000, desempeña una función importante en la implementación de la
red de la organización y, por tanto, en conseguir sus objetivos comerciales.
Este documento presenta Active Directory a los administradores de red, explica
su arquitectura y describe cómo interactúa con las aplicaciones y con otros
servicios de directorio.
El presente documento se basa en la información disponible en el momento de
publicarse la versión Beta 3 de Windows 2000. La información proporcionada
aquí está sujeta a cambios antes de la versión final de Windows 2000 Server.
Introducción
Comprender el servicio de directorio Active Directory™ es el primer paso para
entender cómo funciona el sistema operativo Windows® 2000 y lo que puede
hacer para ayudarle a alcanzar sus objetivos empresariales. En este
documento se examina Active Directory desde estas tres perspectivas:
DNS e Internet
Active Directory está diseñado de forma que pueda existir en el ámbito del
espacio de nombres global de DNS de Internet. Cuando una organización que
utiliza Windows 2000 Server como sistema operativo de red requiere presencia
en Internet, el espacio de nombres de Active Directory se mantiene como uno o
varios dominios jerárquicos de Windows 2000 bajo un dominio raíz que está
registrado como un espacio de nombres de DNS. (Una organización puede
decidir no formar parte del espacio de nombres global de DNS de Internet, pero
si lo hace, sigue siendo necesario el servicio DNS para buscar equipos
basados en Windows 2000.)
Según las convenciones de nomenclatura de DNS, cada parte de un nombre
DNS separado por un punto (.) representa un nodo en la estructura jerárquica
en árbol de DNS y un nombre de dominio de Active Directory potencial en la
estructura jerárquica en árbol de dominios de Windows 2000. Tal como se
muestra en la figura 2, la raíz de la jerarquía DNS es un nodo que tiene una
etiqueta nula (" "). La raíz del espacio de nombres de Active Directory (la raíz
del bosque) no tiene principal y proporciona el punto de entrada de LDAP a
Active Directory.
Figura 2. Comparación de las raíces de los espacios de nombres
de DNS y de Active Directory
Catálogo global
Arquitectura
Una vez instalado un controlador de dominio de Active Directory, se ha creado
a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo
controlador a un dominio existente. ¿Cómo encajan el controlador y el dominio
en la arquitectura global de la red?
En esta sección se explican los componentes de una red basada en Active
Directory y cómo están organizados. Además, describe cómo puede delegar la
responsabilidad administrativa de las unidades organizativas (OU), dominios o
sitios a los usuarios adecuados y cómo asignar valores de configuración a
estos tres mismos contenedores de Active Directory. Se tratan los siguientes
temas:
Objetos
Los objetos de Active Directory son las entidades que componen una red. Un
objeto es un conjunto diferenciado con nombre de atributos que representa
algo concreto, como un usuario, una impresora o una aplicación. Cuando crea
un objeto de Active Directory, éste genera valores para algunas propiedades
del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un
objeto de usuario, Active Directory asigna el identificador único global (GUID) y
usted debe proporcionar valores para atributos como el nombre, el apellido, el
identificador de inicio de sesión, etc. del usuario.
El esquema
• Útil globalmente. El atributo debe ser necesario para buscar objetos (incluso
aunque sólo sea para acceso de lectura) que pueda haber en cualquier lugar del
bosque.
• No volátil. El atributo deber ser invariable o cambiar con muy poca frecuencia.
Los atributos de un catálogo global se replican a todos los demás catálogos
globales del bosque. Si el atributo cambia con frecuencia, genera mucho tráfico
de replicación.
• Pequeño. Los atributos de un catálogo global se replican a todos los catálogos
globales del bosque. Cuanto menor sea el atributo, menor será el impacto de la
replicación.
Ampliar el esquema
• El nombre no puede ser idéntico a otro nombre de usuario, equipo o grupo del
dominio. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas,
excepto los siguientes: " / \ [ ] : ; | = , + * ? <>
• Un nombre de usuario, equipo o grupo no puede contener sólo puntos (.) o
espacios en blanco.
GUID de objeto
Publicación de objetos
Publicar es el acto de crear objetos en el directorio que contengan directamente
la información que desea que esté disponible o que proporcionen una
referencia a dicha información. Por ejemplo, un objeto de usuario contiene
información útil acerca de los usuarios, como sus números de teléfono y sus
direcciones de correo electrónico, y un objeto de volumen contiene una
referencia a un volumen compartido de un sistema de archivos.
A continuación se ofrecen dos ejemplos: publicar objetos de archivo e
impresión en Active Directory:
Cuándo publicar
Cómo publicar
• Árboles
• Bosques
• Relaciones de confianza
• Unidades organizativas
Árboles
Bosques
Relaciones de confianza
Una relación de confianza es una relación que se establece entre dos dominios
y permite que un controlador del otro dominio reconozca los usuarios de un
dominio. Las confianzas permiten que los usuarios tengan acceso a los
recursos del otro dominio y también permite que los administradores controlen
los derechos de los usuarios del otro dominio. Para los equipos que ejecutan
Windows 2000, la autenticación de cuentas entre dominios se habilita mediante
relaciones de confianza transitivas bidireccionales.
Todas las confianzas de dominio en un bosque basado en Windows 2000 son
bidireccionales y transitivas, definidas de la siguiente forma:
Sin embargo, tenga en cuenta que el inicio de sesión único habilitado mediante
confianzas no implica necesariamente que el usuario autenticado tenga
derechos y permisos en todos los dominios del bosque.
Además de las confianzas bidireccionales transitivas en todo el bosque
generadas automáticamente en el sistema operativo Windows 2000, puede
crear explícitamente los dos tipos siguientes de relaciones de confianza
adicionales:
No hay una conexión necesaria entre espacios de nombres de sitios y
dominios.
• Partición del directorio con datos de dominios. Contiene todos los objetos del
directorio para este dominio. Los datos de cada dominio se replican a todos los
controladores de dicho dominio, pero no salen de él.
• Partición del directorio con datos del esquema. Contiene todos los tipos de
objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son
comunes a todos los dominios del árbol de dominios o del bosque. Los datos del
esquema se replican en todos los controladores de dominio del bosque.
• Partición del directorio con datos de configuración. Contiene la topología de
replicación y los metadatos relacionados. Las aplicaciones compatibles con
Active Directory almacenan la información en la partición del directorio de
configuración. Estos datos son comunes a todos los dominios del árbol de
dominios o del bosque. Los datos de configuración se replican en todos los
controladores de dominio del bosque.
Si la red consta de una única red de área local (LAN) o un conjunto de LAN
conectadas mediante una red troncal de alta velocidad, toda la red puede ser
un único sitio. El primer controlador de dominio que instala crea
automáticamente el primer sitio, denominado
NombrePredeterminadoPrimerSitio. Después de instalar el primer controlador
de dominio, todos los controladores adicionales se agregan automáticamente al
mismo sitio que el controlador de dominio original. (Más adelante, si lo desea,
puede moverlos a otros sitios.) La única excepción es la siguiente: Si en el
momento de instalar un controlador de dominio su dirección IP está dentro de
la subred especificada anteriormente en un sitio alternativo, el controlador de
dominio se agregará a este sitio.
La información de directorio dentro de un sitio se replica con frecuencia y
automáticamente. La replicación dentro del sitio está optimizada para reducir al
mínimo la latencia, es decir, para mantener los datos lo más actualizados
posible. Las actualizaciones de directorio dentro del sitio no se comprimen. Los
intercambios sin comprimir utilizan más recursos de red pero requieren menos
capacidad de procesamiento de los controladores de dominio.
En la figura 9 se ilustra la replicación dentro de un sitio. Tres controladores de
dominio (uno de los cuales es un catálogo global) replican los datos de
esquema y de configuración del bosque, así como todos los objetos del
directorio (con un conjunto completo de los atributos de cada objeto).
Figura 9. Replicación dentro del sitio con un único dominio
El servicio Comprobador de coherencia de réplica (KCC) de Active Directory
genera automáticamente la configuración que forman las conexiones utilizadas
para replicar la información de directorio entre los controladores de dominio,
denominada topología de replicación. La topología de sitios de Active Directory
es una representación lógica de una red física y se define para cada bosque.
Active Directory intenta establecer una topología que permita al menos dos
conexiones a cada controlador de dominio, de modo que si un controlador no
está disponible, la información del directorio pueda seguir llegando a todos los
controladores de dominio conectados a través de la otra conexión.
Active Directory evalúa y ajusta automáticamente la topología de replicación
para adaptarse al estado cambiante de la red. Por ejemplo, cuando se agrega
un controlador de dominio a un sitio, la topología de replicación se ajusta para
incorporar esta adición de una forma eficaz.
Los clientes y servidores de Active Directory usan la topología de sitios del
bosque para enrutar el tráfico de consultas y replicación de forma eficaz.
Si amplía la distribución desde el primer controlador de dominio en un dominio
a varios controladores en varios dominios (dentro de un único sitio), la
información de directorio que se replica cambia para incluir la replicación de la
réplica parcial entre los catálogos globales en dominios diferentes. En la figura
10 se muestran dos dominios, cada uno de los cuales contiene tres
controladores de dominio. Uno de los controladores de cada sitio también es un
servidor de catálogo global. Dentro de cada dominio, los controladores de
dominio replican los datos de esquema y de configuración del bosque, así
como todos los objetos del directorio (con un conjunto completo de los atributos
de cada objeto), tal como se muestra en la figura 9. Además, cada catálogo
global replica los objetos del directorio (sólo con un subconjunto de sus
atributos) de su propio dominio al otro catálogo global.
Figura 10. Replicación dentro del sitio con dos dominios y dos
catálogos globales
• Geografía. Establezca como un sitio cada área geográfica que requiera acceso
rápido a la información de directorio más reciente. Al establecer como sitios
independientes áreas que requieren acceso inmediato a la información
actualizada de Active Directory se proporcionan los recursos necesarios para
satisfacer las necesidades de los usuarios.
• Controladores de dominio y catálogos globales. Coloque al menos un
controlador de dominio en cada sitio y convierta al menos un controlador de
dominio de cada sitio en un catálogo global. Los sitios que no tienen sus propios
controladores de dominio y al menos un catálogo global dependen de otros sitos
para obtener la información del directorio y son menos eficaces.
Protocolos de replicación
Disminución de la propagación
• Unidades organizativas
• Dominios
• Sitios
Delegación de contenedores
Delegación de sitios
Política de grupo
En Windows NT 4.0 se utiliza el Editor de políticas del sistema para definir las
configuraciones de usuarios, grupos y equipos almacenadas en la base de
datos del Registro de Windows NT. En el sistema operativo Windows 2000,
Política de grupo define más componentes en el entorno del usuario que los
administradores pueden controlar. Estos componentes incluyen opciones para
las políticas basadas en el Registro, opciones de seguridad, opciones de
distribución de software, secuencias de comandos (para iniciar y apagar el
equipo, y para el inicio y cierre de sesión de usuarios) y la redirección de
carpetas especiales19.
El sistema aplica los valores de configuración de Política de grupo a los
equipos durante el inicio o a los usuarios cuando inician la sesión. Los valores
de Política de grupo se aplican a los usuarios o equipos en sitios, dominios y
unidades organizativas mediante la vinculación del GPO al contenedor de
Active Directory donde residen los usuarios o los equipos.
De forma predeterminada, Política de grupo afecta a todos los usuarios y
equipos del contenedor vinculado. La pertenencia a grupos de seguridad se
utiliza para filtrar los GPO que afectan a los usuarios y equipos de una unidad
organizativa, un dominio o un sitio. Esto permite aplicar la política en un nivel
más granular; es decir, el uso de grupos de seguridad permite aplicar la política
a grupos específicos de objetos de un contenedor. Para filtrar la política de
grupo de esta forma se utiliza la ficha Seguridad en la página Propiedades
de un GPO para controlar quién puede leerlo. A los usuarios que no tengan
Aplicar política de grupo y Leer establecidos a Permitir como miembros de un
grupo de seguridad no se les aplicará dicho GPO. Sin embargo, puesto que los
usuarios normales tienen estos permisos de forma predeterminada, Política de
grupo afecta a todos los usuarios y equipos del contenedor vinculado a menos
que cambie estos permisos explícitamente.
La ubicación de un grupo de seguridad en Active Directory no tiene importancia
para Política de grupo. Para el contenedor específico al que se aplica el GPO,
los valores del GPO determinan lo siguiente:
• Qué recursos del dominio (como las aplicaciones) están disponibles para los
usuarios.
• Cómo está configurado el uso de estos recursos del dominio.
Por ejemplo, un GPO puede determinar qué aplicaciones tienen disponibles los
usuarios en su equipo cuando inician la sesión, cuántos usuarios pueden
conectarse a Microsoft SQL Server cuando se inicie en un servidor o a qué
servicios tienen acceso los usuarios cuando se mueven a otros departamentos
o grupos. Política de grupo permite administrar un número pequeño de GPO en
lugar de un gran número de usuarios y equipos.
Los sitios, los dominios y las unidades organizativas, a diferencia de los grupos
de seguridad, no confieren la pertenencia. En su lugar, contienen y organizan
objetos del directorio. Utilice los grupos de seguridad para conceder derechos y
permisos a los usuarios y, a continuación, utilice los tres tipos de contenedores
de Active Directory para alojar los usuarios y los equipos, y para asignar
valores de Política de grupo.
Como el acceso a los recursos se concede mediante grupos de seguridad, verá
que es más eficaz utilizar grupos de seguridad para representar la estructura
organizativa de su empresa que usar dominios o unidades organizativas para
reflejar la estructura de la organización.
De forma predeterminada, los contenedores secundarios heredan los valores
de la política que afectan a todo el dominio o que se aplican a una unidad
organizativa que contiene otras unidades organizativas, a menos que el
administrador especifique explícitamente que la herencia no se aplica a uno o
varios contenedores secundarios.
y sus subcarpetas.
En la tabla 4 se enumeran los valores de los permisos de seguridad para un
objeto de política de grupo.
Tabla 4. Valores de permisos de seguridad para un GPO
Grupos (o usuarios) Permiso de seguridad
Lectura con ACE Aplicar Política de
Usuario autenticado
grupo
Administradores de dominio
Control total sin ACE Aplicar Política
Administradores de empresa
de grupo
Creador propietario del sistema local
Nota De forma predeterminada, los administradores también son usuarios
autenticados, lo que significa que tienen configurado el atributo Aplicar Política
de grupo.
Para obtener más información acerca de Política de grupo, consulte la sección
"Para obtener más información" al final de este documento.
Interoperabilidad
Muchas organizaciones dependen de un conjunto variado de tecnologías que
deben funcionar conjuntamente. Active Directory admite una serie de
estándares para garantizar la interoperabilidad del entorno Windows 2000 con
otros productos de Microsoft y una amplia variedad de productos de otros
proveedores.
En esta sección se describen los siguientes tipos de interoperabilidad admitidos
por Active Directory:
• Protocolo LDAP.
• Interfaces de programación de aplicaciones.
• Sincronizar Active Directory con otros servicios de directorio.
• Función de contenedores virtuales y ajenos en interoperabilidad.
• Función Kerberos en interoperabilidad.
• Compatibilidad con el sistema operativo Windows NT.
API C de LDAP
Resumen
Entre las muchas mejoras que ofrece el sistema operativo Windows 2000
Server, la más importante es la presentación del servicio de directorio Active
Directory. Active Directory ayuda a centralizar y simplificar la administración de
la red y, de este modo, mejora la capacidad de la red para respaldar los
objetivos de la organización.
Active Directory almacena información acerca de los objetos de la red y pone
esta información a disposición de los administradores, los usuarios y las
aplicaciones. Se trata de un espacio de nombres integrado con el Sistema de
nombres de dominio (DNS) de Internet y, al mismo tiempo, es el software que
define un servidor como controlador de dominio.
Los dominios, los árboles, los bosques, las relaciones de confianza, las
unidades organizativas y los sitios se utilizan para estructurar la red de Active
Directory y sus objetos. Puede delegar la responsabilidad administrativa de las
unidades organizativas, dominios o sitios a los usuarios o grupos adecuados y
puede asignar valores de configuración a estos tres mismos contenedores de
Active Directory. Esta estructura permite que los administradores controlen la
red de modo que los usuarios puedan concentrarse en alcanzar sus objetivos
empresariales.
Actualmente, la norma es que las organizaciones dependan de tecnologías
diversas que necesitan funcionar conjuntamente. Active Directory se ha creado
a partir de protocolos estándar de acceso a directorios, lo cual, junto con varias
API, permite que Active Directory interopere con otros servicios de directorio y
una amplia variedad de aplicaciones de terceros. Además, Active Directory
puede sincronizar datos con Microsoft Exchange y proporciona utilidades de la
línea de comandos para importar y exportar datos a y desde otros servicios de
directorio.