Sei sulla pagina 1di 2

©2010 Microsoft Corporation. All rights reserved.

Uso de nombres en Active Directory


Uso de nombres en Active Directory

Los nombres de dominio de Active Directory suelen coincidir con el nombre DNS completo del dominio.
Sin embargo, para asegurar la compatibilidad con versiones anteriores, cada dominio tiene también un
nombre previo a Windows 2000 que se utilizará cuando se ejecuten sistemas operativos anteriores a
Windows 2000. El nombre de dominio anterior a Windows 2000 se puede utilizar para iniciar una
sesión en un dominio de Windows Server 2003 desde equipos en los que se ejecutan sistemas
operativos anteriores a Windows 2000 mediante el formato nombreDeDominio\nombreDeUsuario.
También se puede utilizar este formato para iniciar una sesión en un dominio de Windows Server 2003
desde equipos en los que se ejecuta Windows 2000, Windows XP o servidores que ejecutan Windows
Server 2003. Asimismo, los usuarios pueden iniciar una sesión en equipos en los que se ejecuta
Windows 2000, Windows XP o servidores que ejecutan Windows Server 2003 mediante el nombre
principal de usuario (UPN) asociado a su cuenta de usuario.

Cuentas de usuario

En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesión de usuario, un
nombre de inicio de sesión de usuario anterior a Windows 2000 (nombre de cuenta de administrador
de cuentas de seguridad) y un sufijo UPN. El administrador escribe el nombre de inicio de sesión de
usuario y selecciona el sufijo UPN cuando crea la cuenta de usuario. Active Directory sugiere un
nombre de inicio de sesión de usuario de sistema anterior a Windows 2000 a partir de los primeros 20
bytes del nombre de inicio de sesión de usuario. Los administradores pueden cambiar el nombre de
inicio de sesión de sistema anterior a Windows 2000 siempre que lo deseen.

En Active Directory, cada cuenta de usuario tiene un UPN que se basa en el documento RFC 822 de
IETF, Standard for the Format of ARPA Internet Text Messages (Estándar para el formato de los
mensajes de texto de Internet de ARPA). El UPN está compuesto por el nombre de inicio de sesión de
usuario y el sufijo UPN, que se unen mediante el signo @.

Nota

 No agregue el signo @ al nombre de inicio de sesión de usuario ni al sufijo UPN. Active


Directory lo agrega automáticamente cuando crea el UPN. No será válido ningún UPN que
contenga más de un signo @.

Importante

 Los dominios de Windows NT 4.0 y anteriores permitían el uso de un punto (.) al final de un
nombre de usuario de inicio de sesión siempre y cuando el nombre de usuario de inicio de
sesión no estuviera compuesto sólo por caracteres de punto. Los dominios de Windows
Server 2003 no permiten el uso de uno o varios puntos al final del nombre de inicio de sesión
de usuario.

La segunda parte del UPN, el sufijo UPN, identifica el dominio en el que está ubicada la cuenta de
usuario. El sufijo UPN puede ser el nombre de dominio DNS, el nombre DNS de cualquier dominio del
bosque, o puede tratarse de un nombre alternativo creado por un administrador y usado sólo para
iniciar sesiones. No es necesario que este sufijo del nombre principal sea un nombre DNS válido.
En Active Directory, el sufijo predeterminado UPN es el nombre DNS del dominio en el que se creó la
cuenta de usuario. En la mayoría de los casos, se trata del nombre de dominio registrado como
dominio de empresa en Internet. Al usar nombres alternativos de dominio como el sufijo UPN, es
posible proporcionar una mayor seguridad al iniciar una sesión y simplificar los nombres usados para
iniciar sesiones en otro dominio del bosque.

Por ejemplo, si su organización usa un árbol de dominios con muchos niveles, organizado por
departamento y región, los nombres de dominio pueden llegar a ser muy largos. El sufijo UPN
predeterminado para un usuario de ese dominio podría ser ventas.costaoeste.microsoft.com. El
nombre de inicio de sesión de un usuario en ese dominio sería
usuario@ventas.costaoeste.microsoft.com. La creación del sufijo UPN "microsoft" permitiría que el
mismo usuario iniciara una sesión mediante el nombre de inicio de sesión usuario@microsoft, que es
mucho más sencillo. Para obtener más información acerca de las cuentas de usuario, vea Cuentas de
usuarios y equipos [ http://technet.microsoft.com/es-mx/library/cc759279(WS.10).aspx ] y Nombres
de objeto [ http://technet.microsoft.com/es-mx/library/cc776019(WS.10).aspx ] .

Mediante Dominios y confianzas de Active Directory, puede agregar o quitar sufijos UPN. Para obtener
más información, vea Agregar sufijos de nombre principal de usuario [
http://technet.microsoft.com/es-mx/library/cc756018(WS.10).aspx ] .

Cuentas de equipo

Cada cuenta de equipo creada en Active Directory tiene un nombre completo relativo, un nombre de
equipo de versiones anteriores a Windows 2000 (nombre de cuenta del administrador de cuentas de
seguridad), un sufijo DNS principal, un nombre de host DNS y un nombre principal de servicio (SPN).
El administrador escribe el nombre del equipo cuando crea la cuenta del equipo. Este nombre de
equipo se utiliza como nombre completo relativo de Protocolo ligero de acceso a directorios (LDAP,
Lightweight Directory Access Protocol).

Active Directory sugiere un nombre de inicio de sesión de usuario de sistema anterior a Windows 2000
a partir de los primeros 15 bytes del nombre completo relativo. El administrador puede cambiar el
nombre de inicio de sesión de sistema anterior a Windows 2000 siempre que lo desee.

El nombre DNS de un host se denomina nombre de equipo completo y es un nombre de dominio


completo (FQDN, Fully Qualified Domain Name). El nombre de equipo completo es una concatenación
del nombre de equipo (los primeros 15 bytes del nombre de cuenta SAM del nombre de la cuenta del
equipo sin el carácter "$") y el sufijo DNS principal (el nombre del dominio DNS en el que existe la
cuenta de equipo). Se muestra en la ficha Nombre de equipo en Propiedades de sistema en el Panel
de control.

De forma predeterminada, la parte del sufijo DNS principal del FQDN de un equipo debe coincidir con
la del nombre del dominio de Active Directory donde se encuentra el equipo. Para permitir diferentes
sufijos de DNS principales, un administrador de dominio puede crear una lista restringida de sufijos
permitidos mediante la creación del atributo msDS-AllowedDNSSuffixes en el contenedor de objetos
del dominio. Este atributo lo crea y administra el administrador del dominio mediante Interfaces del
servicio Active Directory (ADSI) o el Protocolo ligero de acceso a directorios (LDAP).

Para obtener más información, vea Nombres de objeto [ http://technet.microsoft.com/es-


mx/library/cc776019(WS.10).aspx ] y Cuentas de usuarios y equipos [
http://technet.microsoft.com/es-mx/library/cc759279(WS.10).aspx ] .

El nombre principal del servicio (SPN) es un atributo con valores múltiples. Normalmente se crea del
nombre DNS del host. El SPN se utiliza durante la autenticación mutua entre el cliente y el servidor de
un servicio determinado. El cliente buscará un nombre de equipo a partir del SPN del servicio al que
intenta conectarse. El SPN puede ser modificado por miembros del grupo Administradores de dominio.

Potrebbero piacerti anche