Administrador de Dominios en Windows Server 2008

Introduccin
EstecaptulointroducelosconceptosfundamentalessobredominiosWindowsServer2008, quepermitenunificarycentralizarlaadministracindeconjuntosdesistemasWindows servidoresyclientesenorganizacionesdecualquiertamao. Enconcreto,seexplicarnlosdenominadosServiciosdeDominiodelDirectorioActivo(Active DirectoryDomainServices),queenconjuntopermitenimplantardominiosenunaorganizcin, ascomolaadministracindelosmismos,incluyendolosprincipalesobjetosquepueden definirseeneldominio,lacomparicinderecursosentresistemasdelaorganizacinyla delegacindetareasadministrativasdentrodeundominio. ElDirectorioActivo ServiciosdeDominiodelDirectorioActivo

Hoyenda,losordenadoresexistentesencualquierorganizacinseencuentranformando partederedesdeordenadores,deformaquepuedenintercambiarinformacin.Desdeel puntodevistadelaadministracindesistemas,lamejorformadeaprovecharesta caractersticaeslacreacindeundominiodesistemas,endondelainformacin administrativaydeseguridadseencuentracentralizadaenunoovariosservidores,facilitando aslalabordeladministrador.WindowsServer2008utilizaelconceptodedirectoriopara implementardominiosdesistemasWindows,quepuedenincluirsistemasservidores(como Windows2000,WindowsServer2003oWindowsServer2008)yclientes(comoWindowsXP, WindowsVistaoWindows7). Enelmbitodelasredesdeordenadores,elconceptodedirectorio(oalmacndedatos)se definecomounaestructurajerrquicaquealmacenainformacinsobreobjetosexistentesen lared(omsampliamente,enlaorganizacin).Normalmente,undirectorioseimplementa medianteunabasededatosoptimizadaparaoperacionesdelectura,quesoportabsquedas degrandesvolmenesdeinformacinyconcapacidadesdeexploracin.Existenvarios estndaresdelaindustriaqueespecificancmodebedefinirseunserviciodedirectorio,

destacandoentreelloselDirectoryAccessProtocol,ascomounaversinsimplificadayms utilizadadelmismo,denominadaLightweightDirectoryAccessProtocol,oLDAP. ActiveDirectoryDomainServices(ADDS),oServiciosdeDominiodelDirectorioActivo,esel nombrequerecibeelconjuntodeelementosqueglobalmenteconstituyenelservicio directorioendominiosWindowsServer2008(porsimplificar,enadelantenosreferiremosa esteserviciocomoDirectorioActivo,talcomoseledenominabaenversionespreviasde WindowsServer).Enesencia,esteservicioalmacenainformacinacercadelosrecursos disponibleseneldominioypermiteelaccesocontroladodelosusuariosyaplicacionesa dichosrecursos,deformaqueseconvierteenunmediodeorganizar,controlaryadministrar centralizadamenteelaccesoalosrecursosdelared. Comoveremos,alinstalarelDirectorioActivoensistemasWindowsServer2008denuestra red,convertimosadichossistemasenlosservidoresdeldominio,omscorrectamente,enlos denominadosControladoresdeDominio(DomainControllers,o"DCs").Elrestodelosequipos delaredpuedenconvertirseentoncesenlosclientesdedichoserviciodedirectorio,tambin denominadosmiembrosdeldominio,conloquepuedenconsultartodalainformacin almacenadaenlosDCs.Comoveremos,estainformacinincluyeelementostpicamente centralizadosendominiosdemuchostiposdesistemas,comocuentasdeusuario,grupo, ordenador,etc.,ascomootrascaractersticaspropiasdesistemasWindowsServer,como directivasdeusuariooequipo,relacionesdeconfianza,aspectossobrelareplicacindedatos entreservidores,etc.Deestaforma,elDirectorioActivoseconvierteenunaherramienta fundamentaldeadministracindetodalaorganizacin. UnadelasventajasfundamentalesdelDirectorioActivoalahoradeadministrardominioses queconceptualmenteseparalaestructuralgicadelaorganizacin(dominios)desu estructurafsica(topologadered).Ellopermite,porunaparte,independizarlaestructuracin dedominiosdelaorganizacindelatopologadelaredoredesqueinterconectanlos sistemas;y,porotraparte,permiteadministrarlaestructurafsicaexplcitamentecuandoes necesario,deformaindependientedelaadministracindelosdominios.Msadelanteeneste captuloseexponenambasestructurasdetalladamente. ApartirdelaversinWindows2000,WindowsServerhabasadolaimplementacindel DirectorioActivo,unaseriedeprotocolosyestndaresexistentes,locualhapermitido obtenerunserviciodedirectorionoslorobustoyescalable,sinotambininteroperablecon otrosserviciosdedirectorio.Entreestosestndares,podemosdestacarlossiguientes: DHCP(DynamicHostConfigurationProtocol).Protocolodeconfiguracindinmicade ordenadores,quepermitelaadministracindesatendidadecaractersticasdered. DNS(DomainNameSystem).Serviciodenombresdedominioquepermitelaadministracin delosnombresdeordenadores.Esteservicioconstituyeelmecanismodeasignaciny resolucindenombres(traduccindenombressimblicosadireccionesIP)enInternet.

ElDirectorioActivoyDNS SNTP(SimpleNetworkTimeProtocol).Protocolosimple detiempodered,quepermitedisponerdeunservicio desincronizacindetiempoentresistemasconectados porred. LDAP(LightweightDirectoryAccessProtocol).Protocolo ligero(ocompacto)deaccesoadirectorio.Esteesel protocolomedianteelcuallasaplicacionesaccedenpara leeromodificarlainformacinexistenteenlabasede datosdeldirectorio. KerberosV5.Protocoloutilizadoparalaautenticacinde usuariosymquinas.. CertificadosX.509.Estndarquepermitedistribuir informacinatravsdelareddeunaformasegura. Deentretodosellos,esimprescindiblequeeladministradorconozcaendetallelarelacin entreelDirectorioActivoyDNS.Acontinuacinseexponenlosaspectosfundamentalesde estarelacin. ElDirectorioActivoyDNS TantoelDirectorioActivocomoDNSestablecenespaciosdenombres.Podemosentenderun espaciodenombrescomounreadelimitadaenlacualunnombrepuedeserresuelto.La resolucindenombreseselprocesodetraduccindeunnombreenunobjetooinformacin quelorepresenta.Porejemplo,elsistemadeficherosNTFSpuedeserconsideradounespacio denombresencualunnombredeficheropuedeserresueltoenelficheropropiamentedicho. DNSeselsistemadenombresdefactopararedesbasadasenelprotocoloTCP/IPyadems,es elserviciodenombresqueseusaparalocalizarordenadoresenInternet.Inclusivesin considerardominios,WindowsServer2008utilizaprincipalmenteDNSparalocalizaraotros ordenadoresenlared.AcontinuacinseexponelarelacinqueexisteentreDNSylos dominiosWindowsServer2008. CadadominioWindowsServer2008seidentificaunvocamentemedianteunnombrede dominioDNS(porejemplo,miempresa.com).Porotrolado,cadaordenadorbasadoen WindowsServerqueformapartedeundominiotieneunnombreDNScuyosufijoes precisamenteelnombreDNSdedichodominio(siguiendoconelejemplo,unordendorde dichodominiopodradenominarsepc0100.miempresa.com).Deestaforma,losdominiosy ordenadoresqueserepresentancomoobjetosenActiveDirectory,sntambinnodosen DNS.Portantoresultafcilconfundirambosespaciosdenombres,yaquecompartenidnticos nombresdedominio.Ladiferenciaesqueaunquecompartenlamismaestructura,almacenan informacindiferente:DNSalmacenazonasyregistrosderecursosyelDirectorioActivo almacenadominiosyobjetosdedominio.

ComoconclusindiremosqueDirectorioActivoutilizaDNSparatresfuncionesprincipales: Resolucindenombres:DNSeselmecanismopordefectoderesolucindenombres endominiosWindowsServer2008,permitiendolocalizarpornombrealos ordenadoresdelared(altraducirnombresadireccionesIP). Definicindelespaciodenombres:elDirectorioActivoutilizalasconvencionesde nomenclaturadeDNSparaasignarnombresalosdominios.Esdecir,losdominios WindowsServer2008senombrannecesariamentemediantenombresdedominio DNS. BsquedadeloscomponentesfsicosdeAD:parainiciarunasesinderedorealizar consultasalDirectorioActivo,lossistemasWindowsmiembrosdeundominiodeben encontrarprimeroaalgunodelosDCsdeldominio,yparaellorealizanconsultasDNS. Portanto,debeexistirunservidorDNSdisponiblequeincluyalainformacinnecesaria pararesponderestasconsultas.Enparticular,estainformacinsealmacenaenDNS medianteregistrosderecursosSRVqueespecificanelservidor(oservidores)del dominioqueproporcionanlosserviciosdedirectoriocorrespondientes(LDAP, Kerberos,catlogoglobal,etc.).

LaestructuralgicadelDirectorioActivosecentraenlaadministracindelosrecursosdela organizacin,independientementedelaubicacinfsicadedichosrecursos,ydelatopologa delasredessubyacentes.Comoveremos,laestructuralgicadelaorganizacinsebasaenel conceptodedominio,ounidadmnimadedirectorio,queinternamentecontieneinformacin sobrelosrecursos(usuarios,grupos,ordenadores,directivas,etc.)existentesendicho dominio.Dentrodeundominioesposiblesubdividirlgicamenteeldirectoriomedianteeluso deunidadesorganizativas,quepermitenunaadministracinindependientesinlanecesidadde crearmltiplesdominios.Sinembargo,silaorganizacinnecesitaestructurarseenvarios dominios,tambinpuedehacerlo,mediantelosconceptosderbolybosque;ambossonjerar quasdedominiosadistintosniveles,enfuncindesilosdominioscompartenonounespacio denombrescomn.Acontinuacinsepresentantodosestosconceptosdeformams detallada. Dominios LaunidadprincipaldelaestructuralgicadelDirectorioActivoeseldominio.Undominioes unconjuntodeordenadores,oequipos,quecompartenunabasededatosdedirectorio comn.EnundominiotienequeexistirunoovariossistemasWin WindowsServer2008queactencomoDCs(esdecir,conelrolADDSinstalado),ypueden existirademsunnmeroindeterminadodesistemasclientesomiembrosdeldominio.Como hemosvisto,cadadominioseidentificaunvocamenteporunnombrededominioDNS,que debeserelsufijoDNSprincipaldetodoslosordenadoresmiembrosdeldominio,incluyendoel oloscontroladores.

Elusodedominiospermiteconseguirlossiguientesobjetivos: Delimitarlaseguridad.UndominioWindowsServer2008defineunlmitedeseguridad. Lasdirectivasdeseguridad,losderechosadministrativosylaslistasdecontroldeacceso (AccessControlLists,ACLs)nosecompartenpordefectoentredominios.Esdecir,aunqueen unaorganizacinpuedenexistirmltiplesdominiosinterrelacionados,cadaunopresentauna configuracindeseguridadindependiente. Replicarinformacin.Lainformacinsobrelosobjetosqueexistenenundominiose almacenaenunadelasparticionesquecontienelabasededatosdeldirectorio(enparticular, ladenominadaparticindeldominio).Cadaparticinconstituyeloqueseconocecomouna unidaddereplicacin,oconjuntoconcretodeequipos(DCs)quemantienenunacopiaidntica delaparticinmediantereplicacin.ActiveDirectoryutilizaunmodelodereplicacin multimaestro,locualsignificaquecualquierDCadmitecambiosenlainformacindesu particin,yescapazdereplicarlosluegoalrestodeDCsqueconstituyensuunidadde replicacin.Enparticular,launidaddereplicacindelaparticindedominiodeundominio concretoestconstituidaporlosDCsdedichodominio,peronodeotros. AplicarPolticas(oDirectivas)deGrupo.Undominiodefineunposiblembitoparalas polticas.Alaplicarunobjetodepolticadegrupo(GPO)enundominio,esteestablece comportamientosespecficosalosordenadores(equipos)yusuariosdeldominiobajosu mbito.Pordefecto,estaspolticasseaplicansiempredentrodeunmismodominioynoentre dominios. Delegarpermisosadministrativos.EndominiosWindowsServer2008sepuederealizar unadelegacinpersonalizadadelosderechosadministrativosausuariosogruposconcretos dentrodelDirectorioActivo,tantoaniveldeldominiocompletocomodeunidades organizativas(OUs)individuales.Estoreducelanecesidaddetenervariosadministradorescon ampliospermisosadministrativos.Yaqueundominiorepresentaunlmitedeseguridad,los permisosadministrativosdelegadostambinselimitanaldominio. Mltiplesdominiosenlamismaorganizacin Existenmuchoscasos,especialmenteenorganizacionesgrandes,enlosqueesinteresanteque unamismaorganizacindispongadevariosdominios(porejemplo,parareflejaruna distribucingeogrficaodepartamental,distintasempresas,etc.).ElDirectorioActivopermite almacenaryorganizarlainformacindedirectoriodevariosdominiosdeformaque,aunquela administracindecadaunoseaindependiente,dichainformacinestdisponibleparatodos losdominios.Comoseexplicaacontinuacin,elconjuntodedominiosdeunaorganizacin perteneceaunaestructuralgicadenominadabosque,quepuedeestarformadoporunoo variosdominios,distribuidosenunoovariosrbolesdedominios. Laestructuradedominiosdeunaorganizacinsebasaenlosnombresdesusdominios. PuestoqueenWindowsServer,estosnombressebasanenelestndarDNS,losdominiosse creanenunaestructuradearbolinvertida,conlarazenlapartesuperior.Sinembargo, aunquelaestructurasebasaenlosnombres,lavinculacinentredominiosseestablece explcitamentemediantelasdenominadasrelacionesdeconfianza,quesedescribenms adelante.

Cuandoseinstalaelprimercontroladorde dominioenlaorganizacinsecrealoquese denominaeldominiorazdelbosque,elcual contienelaconfiguracinyelesquemadel bosque(compartidosportodoslosdominiosde laorganizacin).Msadelante,podemos agregardominioscomosubdominiosdedicha raz(rboldedominios)obiencrearotros dominios"hermanos"deldominioinicial(es decir,ampliandoelnmeroderbolesdel bosquededominios),debajodelcualpodemos crearsubdominios,yassucesivamente. ArbolUnrbolesunconjuntodeunoomsdominiosdentrodeunbosquequecompartenun espaciodenombrescontiguo,esdecir,compartenunsufijodeDNScomn.Comohemos dicho,sienunaorganizacinexistemsdeundominio,estossedisponenenunaovarias estructurasderboljerrquicas. Elprimerdominioquesecreaenunaorganizacineseldominiorazdelbosque,ycreael propiobosqueyelprimerrboldelmismo.Cuandoseagregaundominioaunrbolexistente, stepasaaserundominiosecundario(ohijo)dealgunodelosdominiosexistentes,quepasa asersudominiopadre.Losdominiossecundariospuedenrepresentarentidadesgeogrficas (valencia,madrid,barcelona),entidadesadministrativasdentrodelaorganizacin (departamentodeventas,departamentodedesarrollo...),uotrasdelimitacionesespecficas deunaorganizacin,segnsusnecesidades. Losdominiosqueformanunrbolsevinculanmedianterelacionesdeconfianzabidireccionaly transitiva.Larelacinpadrehijoentredominiosenunrboldedominioessimplementeuna relacindeconfianza.Sinembargo,losdominiossiguensiendoindependientesentres:los administradoresdeundominiopadrenosonautomticamenteadministradoresdeldominio hijoyelconjuntodepolticasdeundominiopadrenoseaplicanautomticamentealos dominioshijo.

Porejemplo,enlaUniversidadPolitcnicadeValenciacuyodominioactualdeActiveDirectory esupv.essecreandosnuevosdepartamentos:DSICyDISCA.Conelfindepermitirla administracindelosdominiosporpartedelostcnicosdelosrespectivosdepartamentos,se decideagregardosnuevosdominiosasurboldedominiosexistenteenlugardecreardos unidadesorganizativaseneldominioprincipal.Losdominiosresultantes,dsic.upv.esy disca.upv.esformanunespaciodenombrescontiguo,cuyarazesupv.es.Eladministradordel dominiopadre(upv.es)puedeconcederpermisospararecursosacuentasdecualquieradelos tresdominiosdelrbol,peropordefectonolospuedeadministrar. BosqueUnbosquesedefinecomoungrupoderbolesquenocompartenunespaciode nombrescontiguo,yqueseconectanmedianterelacionesdeconfianzabidireccionalesy transitivas.Aefectosprcticos,sedeberecordarqueseacualsealacantidadyestructuracin dedominiosdeunaorganizacin,todosellosconstituyenunnicobosque.Porlotanto,aun queenlaorganizacinexistaunnicodomnio,ovariosdominiosenunnicorbol,dicho dominioodichorbolconstituyenporsmismoselbosquedelaorganizacin.Enunbosque, todoslosdominioscompartenlamismaconfiguracin,elmismoesquemadedirectorio,yel mismocatlogoglobal(quesedescribemsadelante). Aadirnuevosdominiosaunbosqueesfcil.Sinembargo,existenciertaslimitacionesque hemosdetenerencuentaalrespecto: Engeneral,laestructuracindelosdominiosdeunaorganizacinmedianteunbosquecon unoovariosrbolespermitemantenerconvencionesdenombresdedominiotantocontiguos comodiscontiguos,locualpuedesertilenorganizacionescondivisionesindependendientes quequierenmantenersuspropiosnombresDNS. Finalmente,debemosrelacionarestosconceptosconelprocedimientoparacrearundominio. Estosehacemediantelaejecucindeunasistentedenominadodcpromo.exeenelsistema WindowsServer2008quequeramospromocionaracontroladordedominio.Enconcreto,este asistentenospermiteelegirentrelassiguientesopcionesdeinstalacin: DCadicionaldeundominioexistenteoDCparaundominionuevo(creacindeundominio). Enelsegundocaso,eldominio(nuevo)puedeserundominiosecundariodeotrodominio existente(esdecir,unsubdominioenunrboldedominiosyacreado),obieneldominio principal(raz)deunnuevorboldedominios. Enestesegundocaso,eldominiorazpuedeserdeunbosqueexistente(agregamosunaraz nuevaaunbosque)odeunnuevobosque(creacindelbosque).Portanto,elprimerdominio quecreemosenunaorganizacinsiempreserundominionuevodeunrbolnuevodeun bosquenuevo. NosepuedenmoverdominiosdeActiveDirectoryentrebosques. Slosepuedeeliminarundominiodeunbosquesiestenotienedominioshijo. Despusdehabercreadoeldominiorazdeunrbol,nosepuedenaadiralbosque dominiosconunnombrededominiodenivelsuperior. Nosepuedecrearundominiopadredeundominioexistente.

Nivelesfuncionales Alolargodeltiempo,lossistemasWindowsServer(ysusdominios)hanevolucionado respectoalafuncionalidadqueofrecen.Estaevolucinsereflejaenlosdenominadosniveles funcionales.Unnivelfuncional,quepuedeestardefinidoaniveldedominioodebosque, establecesimultneamenteunaseriedecaractersticasofuncionalidadesdisponiblesenel dominio/bosqueylaposibilidaddesercompatibleconunaversinpreviadeWindowsServer aniveldeservidor(DC).Esdecir,cuandosituamoselnivelfuncionaldeldominio/bosqueenun valordeterminado,podemostenerendichodominioDCsdecualquierversindeWindows Serverqueadmitadichonivelsimultneamente.Sielevamoselnivelfuncional,ampliamoslas posibilidadesdeldominio/bosque,peroacostadenopodertenerDCsdeversionespreviasde Windowsquenoseancompatiblescondichonivelfuncional.Unavezelevadoelnivel funcionaldeundominio/bosque,nopuedevolveraponerseenelnivelprevio. Aefectosprcticos,podemosentenderlosnivelesfuncionalescomounaformarazonablede actualizarlosservidores(DCs)delosdominiosdeunaorganizacinaunaversinsuperiorde WindowsServer.LohabitualesinstalarunDCconlaversinnueva(oactualizaralgunodelos existentes),yduranteuntiempodetransicinmantenerlojuntoconelrestodelosDCsque anmantienenlaversinpreviadeWindowsServer.Durantelatransicin,eldominiose mantieneenelnivelfuncionalquemarcalaversinprevia,paramantenerlacompatibilidad entreambasversiones.UnaveztodoslosDCshansidoactualizadosalanuevaversin,la transicinseculminaelevandoelnivelfuncional,paraaprovecharlasnuevascaractersticas quesloestndisponiblesendichaversin. HastaWindowsServer2003,seofrecacompatibilidadhaciaatrsconsistemasWindowsNT4. ApartirdeWindowsServer2008sehaeliminadoestaposibilidad,ascomolosniveles funcionalesdedominio/bosquequelapermitan. Enconcreto,WindowsServer2008R2soportacuatronivelesfuncionalesdedominioytres nivelesfuncionalesdebosque,explicadosacontinuacin. UndominioWindowsServer2008R2puedeestarencuatronivelesfuncionales: Windows2000nativo.Enestenivelfuncional,losDCsdeWindowsServer2008son compatiblesdentrodelmismodominioconDCsqueejecutenversionespreviasapartirde Windows2000(seexcluyeWindowsNT4).Setieneunafuncionalidadcompletadel DirectorioActivoaniveldeWindows2000,incluyendoporejemploelanidamientode grupos,losgruposuniversalesolaconversinentregruposdeseguridadydedistribucin. WindowsServer2003.Enestenivelfuncional,losDCsdeWindowsServer2008son compatiblesdentrodelmismodominioconDcsqueejecutenversionespreviasapartirde WindowsServer2003.Estenivelofrecelafuncionalidadprevia,mscaractersticasnuevas comoporejemploelcambiodenombredeunDC(sindespromocinprevia),lainclusin deunatributodeusuarioquealmacenalahoradelltimoiniciodesesineneldominio,o laposiblidadderedirigirloscontenedorespordefectoparanuevosusuariosyequipos. WindowsServer2008.Enestenivelfuncional,losDCsdeWindowsServer2008son compatiblesdentrodelmismodominioconDcsqueejecutenversionespreviasapartirde WindowsServer2008.Estenivelofrecelafuncionalidadprevia,mscaractersticasnuevas comoporejemplolaspolticasdecontraseasespecficasparausuarios/gruposdentrodel dominio,mayorseguridaddecifradoenelprotocoloKerberos,ounnuevosistemade replicacinparaelrecursoSYSVOL(compartidoportodoslosDCs).

 WindowsServer2008R2.Enestenivelfuncional,losDCsdeWindowsServer2008R2 soncompatiblesdentrodelmismodominiosloconotrosDcsqueejecutenestaversin deWindowsServer.Estenivelofrecelafuncionalidadprevia,msalgunacaracterstica nuevarelacionadaconeliniciodesesinendominiosqueincorporanunentornode identidadesfederadas(quequedafueradelmbitodeestetexto). Porotrolado,unbosquededominiosWindowsServer2008R2puedeestarentresniveles funcionales: Windows2000.Enestenivelfuncional,losDCsdeWindowsServer2008son compatiblesdentrodelbosqueconDCsqueejecutenversionespreviasdeWindowsa partirdeWindows2000.Setieneunafuncionalidadcompletadelbosqueanivelde Windows2000. WindowsServer2003.Enestenivelfuncional,losDCsdeWindowsServer2008son compatiblesdentrodelbosqueconDcsqueejecutenversionespreviasapartirde WindowsServer2003.Estenivelofrecelafuncionalidadprevia,mscaractersticascomo porejemplo:cambiodenombredeundominio,confianzaentrebosques,replicacin mejoradadelatributoquedefinelapertenciadeungrupo,DCsdeslolectura, desactivacinynuevadefinicindeatributosyclasesenelesquema,etc. WindowsServer2008.Enestenivelfuncional,losDCsdeWindowsServer2008son compatiblesdentrodelbosqueconDcsqueejecutenversionespreviasapartirde WindowsServer2008.Estenivelofrecelafuncionalidadprevia,peronoincorporanuevas caractersticas. WindowsServer2008R2.Enestenivelfuncional,losDCsdeWindowsServer2008R2 soncompatiblesdentrodelmismobosquesloconotrosDcsqueejecutenestaversinde WindowsServer.Estenivelofrecelafuncionalidadprevia,mslaexistenciadelapapelera dereciclajedelDirectorioActivo,quepermiterestaurarobjetosdeldirectoriopreviamente eliminados. Comosecomentabaarriba,latransicinentrenivelesfuncionalestantoaniveldedominio comodebosquesloesposibleelevandoelnivelactual,esdecir,pasandoaunnivelcon mayorfuncionalidad.Laelevacindenivelfuncionales,portanto,unpasoirreversible,yslo debehacersecuandoseestsegurodequeenelfuturonovanaaadirsesistemasanteriores comoDCsaldominio,oalbosque. AdiferenciadeversionespreviasdeWindowsServer,duranteelprocesodepromocindel primerDCdeundominio/bosquesepuedeelegirelnivelfuncionalenelquesesituardicho dominio/bosque.Siposteriormentesedeseaelevarelnivelelegido,estaaccinserealiza desdelaherramientaadministrativa"DominiosyConfianzasdeActiveDirectory".

Relacionesdeconfianza Unarelacindeconfianzaesunarelacinestablecidaentredosdominiosdeformaque permitealosusuariosdeundominioserreconocidosporlosDCsdeotrodominio.Estas relacionespermitenalosusuariosaccederalosrecursosdeotrodominioyalos administradoresdefinirlospermisosyderechosdeusuarioparalosusuariosdelotrodominio. WindowsServer2008soportavariostiposderelacionesdeconfianza,queveremos posteriormente.Almargendesuuso,losdiferentestiposderelacionessediferencianen funcindetresrasgoscaractersticos: Mtododecreacin:algunostiposderelacionesdeconfianzasecreandeforma automtica(implcita)yotrosdeformamanual(explcita). Direccin:algunostiposderelacionessonunidireccionalesyotrosbidireccionales.Sila relacinesunidireccional,losusuariosdeldominioA(deconfianza)puedenutilizarlos recursosdeldominioB(queconfa),peronoalrevs.Enunarelacinbidireccional,ambas accionessonposibles. Transitividad:algunostiposderelacionessontransitivasyotrasno.Unarelacinde confianzatransitivaesaquellaquepermitequesiundominioAconfaenotroB,ysteconfa enunterceroC,entoncesdeformaautomtica,AconfaenC.Enlasrelacionesnotransitivas, laconfianzaentreAyCtendraqueaadirseexplcitamente. Despusdeverlascaractersticasdelasrelacionesdeconfianza,seexplicanacontinuacinlos tiposderelacionesdeconfianzavlidosendominiosybosquesWindowsServer2008: Confianzarazderbol.Estarelacinseestablecedeformaautomticaentrelosdominios razdelmismobosque.Esbidireccionalytransitiva. Confianzaprincipalsecundario.Estarelacinseestablecedeformaautomticaentreun dominiodadoycadaunodesussubdominios(odominiossecundarios).Esbidireccionaly transitiva. Confianzadeaccesodirecto.Estetipoderelacindebeestablecersedeformamanual,ytiene comoobjetivomejorarlaeficienciaenlosiniciosdesesinremotos.Silosusuariosdeun dominioAnecesitanaccederfrecuentementealosrecursosdeundominioB,yambos dominiosseencuentran"lejos"entres(conmuchosdominiosintermedios),laconfianza permiteunarelacindirectaqueacortaeltiemponecesarioparalaautentificacindelos usuarios.Estransitivayunidireccional(sisenecesitaenambossentidos,debencrearsedos relacionesdeconfianza). Confianzaexterna.Estetipoderelacinsecreamanualmenteypermiteausuariosdeun dominioWindows2003accederarecursosubicadosendominiosdeotrobosque,obien dominiosWindowsNT4.Esunidireccionaleintransitiva. Confianzadebosque.Estetipoderelacindebecrearsedeformamanualentrelosdominios razdedosbosquesdistintos,ypermitealosusuariosdecualquierdominiodeunbosque accederalosrecursosdecualquierdominiodelotrobosque.Esunidireccionalysloes transitivaentredosbosques.Estetipoderelacionessloestndisponiblessiambosbosques sesitancomomnimoenelnivelfuncional"WindowsServer2003".

Confianzadeterritorio.Estetipoderelacindebecrearsedeformamanualentreundominio WindowsServer2008yunterritorio(realm)Kerberos(versin5)quenoseaWindows,y permiteinteroperabilidadentreambos.Esunidireccionalypuedesertransitivaono. Portanto,lasrelacionesdeconfianzaautomticas(implcitas)secreanpordefectoalir aadiendodominiosalbosque,ymantienenrelacionadostodosesosdominiosdeforma bidireccionalytransitiva.Elefectodeestasrelacionesesquedeformaautomtica,los usuariosdecualquierdominiodelbosquesonconocidos(ypuedenaccederalosrecursos)en todoslosdominiosdedichobosque.Lasrelacionesdeconfianzamanuales(explcitas)estn reservadasparacasosendondesebuscamejorarlaeficienciaopermitirinteractuarconotros bosquesocondominiosquenosonWindows. UnidadesOrganizativas UnaUnidadOrganizativa(OrganizationalUnit,OU)esunobjetodelDirectorioActivoque puedeconteneraotrosobjetosdeldirectorio.Esdecir,esuncontenedordeotrosobjetos,de formaanlogaaunacarpetaodirectorioenunsistemadearchivostradicional.Enconcreto, dentrodeunaunidaddeestetipopuedencrearsecuentasdeusuario,degrupo,deequipo,de recursocompartido,deimpresoracompartida,etc.,ademsdeotrasunidadesorganizativas. Esdecir,medianteunidadesorganizativaspodemoscrearunajerarquadeobjetosenel directorio(locualseasemejaotravezaunsistemadearchivostpicodeWindows).Los objetosubicadosdentrodeunaunidadorganizativapuedenmoversemstardeaotra,sifuera necesario.Sinembargo,unobjetonopuedecopiarse,yaquesunombredistinguido(que incluyelasecuenciainvertidadecontenedoresdondeseubicahastaalcanzarelcontenedor querepresentaeldominio)essuclaveprimariaenlabasededatosdeldirectorio,yportanto debesernico. Portanto,elobjetivodelasunidadesorganizativasesestructuraruorganizarelconjuntode losobjetosdeldirectorio,agrupndolosdefomacoherente.EnelDirectorioActivo,las unidadesorganizativaspermiten: Delegarlaadministracin.Cadaunidadorganizativapuedeadministrarsedeforma independiente.Enconcreto,sepuedeotorgarlaadministracintotaloparcialdeunaunidad organizativaaunusuarioogrupodeusuarioscualquiera.Estopermitedelegarla administracindesubconjuntosestancosdeldominioaciertosusuariosqueposeanelnivelde responsabilidadadecuada. Establecerdeformacentralizadacomportamientosdistintosausuariosyequipos.Acada unidadorganizativapuedenvincularseobjetosdepolticasodirectivasdegrupo,queaplican comportamientosalosusuariosyequiposcuyascuentasseubicanendichaunidad.Deesta forma,podemosaplicarpolticasdistintasasubconjuntosdeusuariosyequiposdeldominio, enfuncinexclusivamentedelaunidadorganizativadondeseubican.Deestamanerapodra mos,porejemplo,limitaralosusuariosdeldepartamento(OU)decontabilidadparaqueslo pudieranutilizarciertasaplicaciones,oquenopudieranmodificarelaspectodesuescritorio, peroqueestonoseaplicaraalosusuariosdeldepartamento(OU)deinformtica.

 Enestesentido,esimportanteconocerqueenelDirectorioActivoexistencontenedoresque nosonenrealidadunidadesorganizativas(porejemplo,"Users"o"Computers"),yqueen estoscontenedoresnoesposibledefinirdirectivas. Enmuchossentidos,elconceptodeunidadorganizativasepuedeutilizarenWindows2003de lamismaformaqueseentendaelconceptodedominioenversionesanterioresdeWindows NT,esdecir,conjuntodeusuarios,equiposyrecursosadministradosindependientemente.En realidad,enWindowsServer2008elconceptodedominiovienemsbienasociadoala implementacindeDNSqueexista(oquieracrearse)enlaempresa. Deestemodo,enmuchasorganizacionesdepequeoomediotamaoresultamsadecuado implementarunmodelodedominionicoconmltiplesunidadesorganizativasqueun modelodemltiplesdominios.Siesnecesario,cadaunidadpuedeadministrarse independientemente,conunoovariosadministradoresdelegadosycomportamientos (polticas)diferentes. EnActiveDirectory,laestructuralgicaestseparadadelaestructurafsica.Laestructura lgicaseutilizaparaorganizarlosrecursosdelaorganizacinmientrasquelaestructurafsica seutilizafundamentalmenteparaconfiguraryadministrareltrficodered.Enconcreto,la estructurafsicadeActiveDirectorysecomponedesitiosycontroladoresdedominio. LaestructurafsicadeActiveDirectorycontroladndeycundoseproduceneltrficode replicacinydeiniciodesesin,conloqueunabuenacomprensindeloscomponentes fsicosdeActiveDirectorypermiteoptimizareltrficoderedyelprocesodeiniciodesesin, ascomosolventarproblemasdereplicacin. Sitios UnsitioesunacombinacindeunaovariassubredesIPqueestnconectadasporunvnculo dealtavelocidad.Definirsitiospermiteconfigurarlatopologadereplicacinyelaccesoa ActiveDirectorydeformaquelossistemasWindowsServer2008utilicenlosvnculosy programasmsefectivosparaeltrficodeiniciodesesinyreplicacin. Normalmentelossitiossecreanpordosrazonesprincipalmente: Paraoptimizareltrficodereplicacin. Parapermitirquelosusuariosseconectenauncontroladordedominioconcreto medianteunaconexinconfiabledealtavelocidad. Esdecir,lossitiosdefinenlaestructurafsicadelared,mientrasquelosdominiosdefinenla estructuralgicadelaorganizacin. Controladoresdedominio Uncontroladordedominio(DomainController,DC)esunequipodondeseejecutaWindows Server2008(ounaversinprevia)yquealmacenaunareplicadeldirectorio.Los controladoresdedominioofrecenautenticacindeusuariosmedianteelprotocoloKerberosy consultadeinformacindeldirectoriomedianteelprotocoloLDAP. Lainformacinalmacenadaencadacontroladordedominiosedivideencuatrocategoraso particiones(tambindenominadascontextosdenombrado):dominio,esquema,configuracin yaplicacin.Estasparticionesdeldirectorioconstituyenlasunidadesdereplicacin:

Particindeldirectoriodeesquema:contieneladefinicindelostiposdeobjetosyatributos quepuedensercreadosenActiveDirectory.Estosdatosdebemsercomunesatodoslos dominiosenelbosque,yportantolosdatosdelesquemasereplicanatodosloscontroladores dedominiodelbosque.SloexisteunDCencadabosquedondepuedemodificarseel esquema,yporlotantoenelrestodeDCsestaparticinesdeslolectura. Particindedirectoriodeconfiguracin:contienelaestructuradelosdominiosylatopologa dereplicacin.Estosdatossoncomunesatodoslosdominiosenelbosque,yportantose replicanatodosloscontroladoresdedominioenelbosque.CualquierDCdelbosquepuede modificarestaparticin,encuyocasolasmodificacionesdebenreplicarsealrestodeDCsdel bosque. Particindedirectoriodedominio:contienetodoslosobjetosdeldirectorioparaestedominio (usuarios,grupos,ordenadores,etc.).Dichosdatossereplicanatodosloscontroladoresdeese dominio,peronoaotrosdominios. Particionesdedirectoriodeaplicaciones:contienendatosespecficosdeaplicacin.Estos datospuedenserdecualquiertipoexceptoprincipalesdeseguridad(esdecir,cuentasde usuarios,gruposyequipos).Enestecaso,setieneuncontrolfinosobreelmbitodela replicacinylaubicacindelasrplicas.Estetipodeparticinestdisponibleapartirde WindowsServer2003.SialinstalarelprimerDCdelbosqueseeligeintegrarlaconfiguracin deDNSenActiveDirectory(opcinpordefecto),elservidorDNSutilizadosdeestas particiones(ForestDNSZonesyDomainDNSZones). Ademsdeestascuatroparticionesdedirectorio,existeunaquintacategoradeinformacin quepuedealmacenarseenuncontroladordedominio:elcatlogoglobal,quesedescribeen lasiguienteseccin. Funcionesdeloscontroladoresdedominio EnlosorgenesdeWindowsNTServer,undominiopodaincorporarmltiplescontroladores dedominioperoslosepermitaqueunodeellosactualizaselabasededatosdeldirectorio. Esteesquemadefuncionamiento,denominado"demaestronico",exigaquetodoslos cambiossereplicasendesdeelcontroladordedominioprincipal(PrimaryDomainController, PDC)aloscontroladoresdedominiosecundariosodereserva(BackupDomainControllers, BDCs). ApartirdeWindows2000,todosloscontroladoresdedominioadmitencambios,yestos cambiossereplicanalrestodeloscontroladoresdedominio,medianteloquesedenomina replicacinmultimaestro.Lasaccioneshabitualesdeadministracindeusuarios,grupos, equipos,etc.,sonoperacionestpicasdemltiplesmaestros(yportantopuedenrealizarseen cualquieradeloscontroladoresdeldominio). Sinembargo,enalgunoscasosconcretos,noresultaprcticoquealgunoscambiossepermitan enmltiplesmaestros,debidoaunexcesivotrficodereplicacinyaposiblesconflictosde operacionesmuybsicasy/omuypocofrecuentes.Porestosmotivos,existenunaseriede funcionesespeciales,comoladecatlogoglobal,olasdenominadasdemaestronico,quese asignansloadeterminadoscontroladoresdentrodeundominio,oinclusiveentodoel bosque.Acontinuacinveremosestasfunciones.

Servidordecatlogoglobal Elcatlogoglobalunaparticindeslolecturaquealmacenaunacopiaparcialdelas particionesdedominiodetodoslosdominiosdelbosque.Lacopiaesparcialporque,aunque incorporatodoslosobjetosdecadadominio,decadaunosloalmacenaunsubconjunto reducidodeatributos.Enparticular,seguardanaquellosqueseutilizanmsfrecuentemente paralasconsultas(estopuedeconfigurarseenelesquema).Porotrolado,elcatlogoglobal incorporalainformacinnecesariaparadeterminarlaubicacindecualquierobjetodel directorio. Unservidordecatlogoglobalesuncontroladordedominioquealmacenaunacopiadel catlogoyprocesalasconsultasalmismo.EncadabosquedebeexistiralmenosunDC configuradocomoservidordecatlogoglobal,yestafuncinpuedeincorporarseacualquier otroDCdelbosquequesedesee.Pordefecto,elprimercontroladordedominioquesecrea enelbosqueseconfiguraautomticamentecomounservidordecatlogoglobal.Enfuncin delacantidaddedominiosydelatopologadelared,puedeserconvenientedefinirotros servidoresdecatlogoglobal,conelfindeequilibrareltrficodeautenticacindeiniciosde sesinylatransferenciadeconsultas. Elcatlogoglobalcumpledosfuncionesimportanteseneldirectorio: Permitequeunusuarioinicieunasesinenlaredmedianteelsuministrodela informacindepertenenciaagruposuniversalesauncontroladordedominioduranteel procesodeiniciodesesin.Lapertenenciadelosgruposuniversalessealmacenasloenlos catlogosglobales. Permitequeunusuariobusqueinformacindedirectorioentodoelbosque,in dependientedelaubicacindelosdatos.

Operacionesdemaestronico Unmaestrodeoperacionesesuncontroladordedominioalqueselehaasignadounaovarias funcionesdemaestronicoenundominioobosquedeActiveDirectory.Loscontroladoresde dominioalosqueselesasignanestasfuncionesrealizanoperacionesquenopuedenocurrir simultneamenteenotroscontroladoresdedominiodelared.Lapropiedaddeestas operacionesdemaestronicopuedesertransferidaaotroscontroladoresdedominio. TodoslosbosquesdeActiveDirectorydebentenercontroladoresdedominioqueincorporen lasdossiguientesoperacionesdemaestronico(pordefecto,estasfuncioneslasposeeel primercontroladorqueseinstalaenelbosque): Maestrodeesquema.Elcontroladordedominiomaestrodeesquemacontrolatodaslas actualizacionesymodificacionesdelesquema.Laparticindeesquemasereplicaatodoslos controladoresdelbosque,perosloenunodeellos(elmaestrodeesquema),dichaparticin esdelectura/escritura. Maestrodenombresdedominio.Elcontroladordedominiomaestrodenombresde dominiocontrolalasoperacionesdeagregar,quitaryrenombrardominiosdelbosque, asegurandoquelosnombresdedominioseannicosenelbosque.Asimismo,estecontrolador debeautorizarlacreacinoeliminacindeparticionesdeaplicacinencualquierdominiodel bosque. TodoslosdominiosdeActiveDirectorydebentenercontroladoresdedominioquecumplanlas siguientestresoperacionesdemaestronico(pordefecto,estasfuncioneslasposeeelprimer controladorqueseinstalaeneldominio): Maestrodeidentificadoresrelativos(RID).ElcontroladordedominiomaestrodeRID asignasecuenciasdeidentificadoresrelativosacadaunodelosdistintoscontroladoresdesu dominio.Conesosegarantizaquedoscontroladoresdedominionopuedenasignarelmismo SIDadosobjetosprincipalesdeseguridad(usuarios,gruposoequipos). Cuandouncontroladordedominiocreaunobjetodeusuario,grupooequipo,asignaalobjeto unidentificadordeseguridadnico(SID).Esteidentificadorestformadoporunidentificador deseguridaddedominio,queeselmismoparatodoslosquesecreaneneldominio,yun identificadorrelativoqueesnicoparacadaidentificadordeseguridadquesecreaenese dominio. Emuladordecontroladordedominioprincipal(PDC).Aunquelacompatibilidadanivelde servidorconsistemasWindowsNT4sehaeliminadoenWindowsServer2008,elemuladorde PDCanesnecesarioparadosfunciones.Enprimerlugar,paraautenticarusuariosqueinicien sesinenmiembrosdeldominiopreviosaWindows2000.Yensegundolugar,siemprequese cambialacontraseadeunusuarioenunDCconcreto,serealizaunareplicacindeurgencia dedichocambioenelemuladordePDCdeldominio.Enestesentido,siuniniciodesesin fallaporcontraseaincorrecta,sereintentaelinicioenelemuladordePDC,porsihubiera habidouncambiorecientedecontraseaystenohubierallegadoanatodoslosDCs. Maestrodeinfraestructuras.Cuandounobjetosemuevedeunidadorganizativa(es decir,cambiadenombre)oseborra,esnecesarioactualizarlapertenenciadegruposdeotros dominiosquepudieranconteneradichoobjeto.Elmaestrodeinfraestructurasesel responsabledeactualizarlosidentificadoresdeseguridadynombrescompletosenlas referenciasdeobjetosentredominios.

Objetosqueadministraundominio ElDirectorioActivo,talcomosehavistoenseccionesanteriores,esenrealidadunabasede datosjerrquicadeobjetos,querepresentanlasentidadesquepuedenadministrarseenuna reddeordenadores,o,mscorrectamenteennuestrocaso,enundominiodesistemas WindowsServer2008.Estabasededatosdeobjetosdeadministracinescompartida,para consulta,portodoslosordenadoresmiembrosdeldominioy,paramodificacin,portodoslos controladoresdeldominio(oDCs,DomainControllers). Portanto,enWindowsServer2008,lagestindeundominiopuederealizarsedeforma centralizada,administrandonicamenteelDirectorioActivo.Enelcontextoparticulardeeste captulo,"administrar"significacrearyconfiguraradecuadamentelosobjetosdedirectorio querepresentanalasentidadesorecursosqueexisteneneldominio(recursoscomousuarios, grupos,equipos,directivas,etc.). Esteapartadoexponeendetallelostiposdeobjetosmsrelevantesquepuedencrearseenel DirectorioActivodeWindowsServer2008,planteandoencadacasosusopcionesde configuracinprincipalesysuutilidaddentrodelaadministracindeldominio. EnlaadministracindesistemasWindowsindependientes,oadministracinlocal,sepueden crearencadasistemacuentasdeusuarioydegrupo,quesirvenpara: 1.identificaryautenticaralaspersonas(usuarios)quedebenpoderaccederalsistema,y 2.administrarlospermisosyderechosquepermitirnaplicarelcontroldeaccesoadecuadoa dichosusuariosenelsistema. Porlotanto,enelcontextodelaproteccinlocal,siunapersonadebetrabajarenvarios ordenadoresdelaorganizacin,necesitaposeerunacuentadeusuarioencadaunodeellos. Comoveremosacontinuacin,aldisponerdeundominio,estonoesnecesario. EnundominioWindowsServer2008,cualquierservidorqueactacomoDCpuedecrear cuentasdeusuarioglobal,tambindenominadascuentasdeusuariodeldominio.Lascuentas deusuariodeldominiosealmacenanenelDirectorioActivoyportantosonconocidaspor todoslosordenadoresdeldominio;enrealidad,porsusdefinicinenelesquema,lascuentas deusuariosonvisiblesentodoslosordenadoresdelbosque,esdecir,detodalaorganizacin. Unusuariopuedeutilizarsucuentadeldominioparaaccederarecursossituadosencualquier dominiodelbosque,esdecir,adichacuentaselepuedenasignarindividualmentepermisosy derechosencualquierrecursoyordendordelaorganizacin.Paraello,resultanecesario poderdistinguirunvocamenteentrecualquierusuariodecualquierdominiodelbosquea efectosdeasignacinyproteccinderecursos.Porello,cadacuentadeusuariotieneunSID nicoenelbosque.Internamente,esteSIDconstadedospartes:unprefijocomnatodaslas cuentasdelmismodominio,yunidentificadorrelativo(RID),queesnicoparalascuentas dentrodedichodominio.EnundominioWindowsServer2008existenotrostiposdecuentas queposeenesteatributo,comoporejemplogruposyequipos(ordenadores).Porello,estos tiposdecuentasseconocencomo"principalesdeseguridad". Cuandounapersonainiciasesinencualquierordenadordelbosqueutilizandoparaellosu cuentadeusuariodeldominio,elordenadorencuestinrealizaunaconsultaalDirectorio Activo(enparticular,aalgunodelosDCsdeldominiodondesecrelacuenta),paraquese validenlascredencialesdelusuario.Elresultadodelavalidacinesenviadoalordenador dondeseestiniciandolasesin,concediendoorechazandolaconexin.

LosordenadoresmiembrosdeundominioquenoseanDCs,ademsdereconoceralos usuariosdeldominio,puedencreartambinsuspropiosusuarioslocales.Enestecaso,estos usuariossonnicamentevisiblesenelordenadorenelquehansidocreados.Cuandouna personainiciasesinenunsistemaWindowsmiembrodeldominioutilizandounacuenta local,dichacuentasevalidacontralabasededatoslocaldeeseordenador.Adems,es importanteresaltarqueadichousuariolocalnoselepuedenasignarpermisossobrerecursos queresidanenotrosistemadeldominio/bosque,puestoqueallnoexiste.Paraevitar confusiones,enlosucesivonosreferiremosalascuentasdeusuariocreadasenelDirectorio Activosimplementecomo"usuarios",ycomo"usuarioslocales"alascuentascreadas localmenteensistemasindependientesomiembrosdeldominio. AlcrearunacuentadeusuarioenelDirectorioActivo,enlafichadecreacincorrespondiente aparecenvariosnombresdistintos:"nombredepila","nombreparamostrar","nombre completo","nombredeiniciodesesindeusuario"y"nombredeiniciodesesin(anteriora Windows2000)".Entreellos,slolosdosltimossepuedenutilizarparaidentificaralos usuariosenlosprocesosdeiniciodesesin(losotrosnombresalmacenanlainformacin sobrela"persona"quehaydetrsdecadacuentadeusuario).Entrelosdosltimosnombres existendiferenciassignificativas: Nombredeiniciodesesin.EsteeselidentificadornativoenWindowsServer2008para iniciarsesinensistemasWindowsdecualquierdominiodelbosque.Poseedospartes:un identificadordeusuario,seguidodelsmbolo"@"yunnombrededominio(porejemplo, "pepito@admon.lab").Estenombretambinseconocecomonombreprincipaldelusuario (UserPrincipalName,oUPN).LaventajadeelUPNesqueelnombredeldominioaadidoal identificadordelusuarionotieneporqucoincidirconeldominiodondesehacreadola cuenta.Porlotanto,elUPNdecadausuariodebesernicoenelbosque.Laventajadelos UPNsesqueelnombradodelosusuariosesindependientedelosdominiosdeorigen,ypuede coincidir,porejemplo,conladireccindecorreoelectrnicodelusuario,paramayor comodidad.

Nombredeiniciodesesin(anterioraWindows2000).Esteeselidentificadorquese mantieneparapermitiriniciosdesesinensistemaspreviosaWindows2000.Poseedos partes:elnombreNetBiosdeldominiodondesecrealacuenta,seguidodelsmbolo"\"yel nombredeiniciodesesindelusuario(siguiendoconelejemploanterior,"ADMON\pepito"). Enestecaso,puestoqueelnombresiempreincluyeelidentificadordeldominiodeorigende lacuenta,elnombredeiniciodesesindelusuariodebesernicoeneldominiodondese crea. Alcrearundominio,secreapordefectounacuentadenominada"Administrador",quees quienposeecapacidadesadministrativascompletaseneldominio,esdecir,tantoenlabase dedatosdelDirectorioActivocomoencadaordenadormiembrodeldominio,almismonivel quesuadministradorlocal.Estacuentanopuedeborrarsenibloquearse,perosrenombrarse, pormotivosdeseguridad. Deformaanlogaalosusuarios,existengruposquesonalmacenadosenelDirectorioActivoy queportantosonvisiblesdesdetodoslosordenadoresdeldominio(y,enalgunoscasos, tambindeotrosdominiosdelbosque).Eneldirectoriopuedencrearsedostiposdegrupos: gruposdedistribucinygruposdeseguridad.Losprimerosseutilizanexclusivamentepara crearlistasdedistribucindecorreoelectrnico,mientrasquelossegundossonprincipalesde seguridad,yportantosonlosqueseutilizanconfinesadministrativos.Porestemotivo,a partirdeahoranosreferiremosexclusivamentealosgruposdeseguridad. Enconcreto,endominiosWindowsServerlosgruposdeseguridadpuedendefinirseentres mbitosdistintos:Gruposlocalesdedominio,gruposglobalesygruposuniversales.A continuacinseexplicanlasdiferenciasentreellos: Gruposlocalesdedominio.Puedencontenercuentasdeusuariodecualquierdominiodel bosque,ascomocuentasdegruposglobalesouniversalesdecualquierdominiodelbosque,y otrosgruposlocalesdedominiodelmismodominio(anidamiento).Slosonvisiblesenel dominioenquesecrean,ysuelenutilizarseparaadministrarrecursos(mediantelaconcesin depermisosyderechos)situadosencualquieradelosordenadoresdeldominio. Gruposglobales.Puedencontenerusuariosdelmismodominio,ascomootrosgrupos globalesdedichodominio(anidamiento).Sonvisiblesentodoslosdominiosdelbosque,y suelenutilizarseparaagruparalosusuariosdemaneraamplia,enfuncindelaslaboresque realizanolosrolesquejueganeneldominio. Gruposuniversales.Puedencontenercuentasdeusuarioygruposglobales,ascomootros gruposuniversales(anidamiento),decualquierdominiodelbosque.Sonvisiblesentodoel bosque,ysuelenutilizarseparaadministrarrecursos(mediantelaconcesindepermisosy derechos)situadosenordenadoresdevariosdominiosdelbosque. Enunordenadormiembrodeundominiotambinsepuedendefinirgruposlocales.Los gruposlocalespuedenestarformadosporcuentasdeusuariolocalesyusuariosygrupos globalesyuniversalesdecualquierdominiodelbosque.Losgruposlocalesnoadmiten anidamiento,esdecir,ungrupolocalnopuedesermiembrodeotrogrupolocal.Losgrupos localespuedenutilizarseparaadministrarrecursosenelequipoenquesoncreados.Sin embargo,eielordenadoresunmiembrodeldominio,serecomiendaadministrarsusrecursos mediantegruposlocalesdeldominio,pordosmotivos:primero,porqueseconsigueuna centralizacindetodaslascuentaseneldominio(losordenadoresmiembrossonliberadosde estatarea),ysegundo,porquelascuentasalmacenadasenelDirectorioActivosonreplicadas entrelosDCsdeldominio,yportantoseincrementalatoleranciaafallosanteunacatstrofe.

Enparticular,lareglaqueserecomiendaalahoradeutilizarlosgruposendominiosWindows Server2008eslasiguiente: Asignarusuariosagruposglobales,segnlaslaboresquedesempeenenlaorganizacin. Incluir(usuariosy/o)gruposglobalesengruposlocalesdeldominiosegnelnivelde accesoquevayanatenerenlosrecursosdeldominio. Asignarpermisosyderechosnicamenteaestosgruposlocalesdeldominioendichos recursos. Lautilizacindegruposuniversalesestrecomendadaencasosenlosqueunmismoconjunto deusuarios(y/ogrupos)pertenecientesavariosdominiosdebenrecibiraccesoarecursos situadosendominiosdistintos.Desdeelpuntodevistadesuformacinydesuvisibilidad,los gruposuniversalessonlosmsflexiblesquepuedencrearseenelDirectorioActivo,peroesta flexibilidadtieneuncosteasociado,queincluyedosaspectos.Enprimerlugar,lalista completademiembrosdeungrupouniversalsedebereplicaralcatlogoglobal,adiferencia delosgruposlocalesdedominiooglobales,paralosquelalistademiembrosslosealmacena eneldominiodondesecreaelgrupo.Portanto,siemprequesemodificalalistademiembros deungrupouniversal,elcambiohayquereplicarloentodoslosDCsqueseancatlogos globalesenelbosque.Yensegundolugar,lapertenenciadelosusuariosagruposuniversales puedeafectarsuhabilidaddeiniciarsesin.Cadavezqueunusuarioiniciansesinenun sistemadecualquierdominiodelbosque,elDCdeldominiodondeseautenticalacuentadel usuariodebecontactarconunservidordecatlogoglobalparaquesteleinformedeposibles gruposuniversalesalosquepertenece.Sienesemomentoelservidordecatlogoglobalno estdisponible,eliniciodesesinpuedefallar. Ambosproblemas,detectadosdesdelaaparicindegruposunivresalesenWindows2000,han sidosuavizadosconlaaparicindeversionesmsmodernasdeWindowsServer.Enparticular, elproblemadelaltotrficodereplicacinalcambiarlalistademiembrossedebaaqueen Windows2000,lareplicacindecualquiercambioenlalistademiembrosinclua necesariamentelalistacompleta,yaquesetratadeunsoloatributodelobjetogrupo.Si elevamoselnivelfuncionaldeldominioalmenosa"WindowsServer2003",laestrategiade replicacindeatributosmultivaludosutilizaunesquemadevaloresenlazados,quepermite replicarslolosvalores(miembrosdelgrupo)quehancambiado,disminuyendomuchoel trficodereplicacin.Respectoalproblemadeiniciodesesincuandoelservidordecatlogo globalnoestdisponible,apartirdeWindowsServer2003sehaincorporadolaposibilidadde quecuandounDCconsultalapertenenciadeunusuarioagruposglobalesenelcatlogo global,guardedichapertenciaenunacach,yluegolaactualiceperidicamente;deesta manera,mientrasesainformacinsigaactulizadaenlacach,noesnecesariovolvera contactarconelcatlogoglobalcuandodichousuarioiniciesesineneldominio. Equipos ExistennumerososgruposcreadospordefectoenActiveDirectory,tantoenelcontenedor "Builtin"comoenelcontenedor"Users".Enelprimercaso,losgrupossonlosequivalentesa losqueencontramoscomogruposlocalespordefectoencualquiersistemaWindows independienteomiembrodeldomino:bsicamente,losgruposquetienenconcedidosciertos accesospredeterminadoenelpropiosistema,talescomo"Administradores","Usuarios", "OperadoresdeCopia",etc.Enelsegundocaso,losgrupossonpropiosdelDirectorioActivo,y suusotienerelacinconciertasnivelesdeaccesopreasignadoseneldirectorio,aunqueenla mayoradecasos,estosgruposestninicialmentevacos.Entreestosgruposencontramoslos siguientes: Admins.deldomino.Tienenderechosadministrativossobretodalabasededatosdel DirectorioActivodeldominio,ascomolocalmenteencadaDCycadamiembrodeldominio.

Usuariosdeldomino.Losmiembrosdeestegruposeconsideranusuariosconvencionales eneldominio.Cadavezqueseaadeunusuarioaldominio,sucuentasehacemiembrode estegrupoautomticamente. Administradoresdeempresas.Tienenderechosadministrativossobretodalabasede datosdelDirectorioActivodelbosque. Propietariosdelcreadordedirectivasdegrupo(GroupPolicyCreatorOwners).Pueden crearnuevosobjetosdedirectivaopolticadegrupo(GPO)eneldominio. Enrelacinconesto,esimportantesaberquecuandounsistemaWindowspasaaser miembrodeundominio,elgrupoglobalAdmins.deldominioseincluyeautomticamenteen elgrupolocalAdministradoresdedichosistema.Deigualforma,elgrupoglobalUsuariosdel dominioseincluyedentrodelgrupolocalUsuarios.Deestaforma,losadministradoresy usuariosnormalesdeldominiotienenencadamiembrolosmismosderechosypermisosque losquetenganyadefinidoslosadministradoresyusuarioslocales,respectivamente. Comohemosvisto,enelDirectorioActivodeundominioseconservatodalainformacin relativaacuentasdeusuariosygruposglobales.Estamismabasededatosdedirectoiorecoge tambinunacuentadeequipoporcadaunodelosordenadoresdeldominio,tantodelosDCs comodelossistemasmiembro.Enparticular,lascuentasdelosDCsseubicanenlaunidad organizativadenominada"DomainControllers",mientrasquelasdelrestodeordenadoresse ubicanpordefectoenelcontenedor"Computers"(amboscontenedoressesitanjustodebajo delcontenedorquerepresentaeldominio). Entreotrosdatos,lacuentadeequipoquecadaordenadorposeeeneldominioincluyelos siguientesatributos: Nombredelequipo.Coincideconelnombrequeelequipotiene,sincontarconsusufijoDNS. Contrasea.Cadaequipoposeeunacontraseaqueelordenadorutilizaparaacreditarseenel dominio,deformaanlogaalosusuarioscuandoiniciansesin.Estacontraseasegenera automticamentecuandoseagregaelequipoaldominio,ysecambiaautomticamentecada 30das. SID.CadaequipoposeeunSID,igualqueocurreconlascuentasdeusuarioydegrupo(por ello,lostrestiposdecuentassedenominangenricamente"principalesdeseguridad").El hechodequeposeaunSIDpermiteaunacuentadeusuarioelqueseleconcedanpermisosy derechossobrerecursosdeldominio,biendirectamente,obienmediantelapertenenciaaun grupoqueasuveztengapermisossobrelosrecursos. Porejemplo,laaplicacindeunaobjetodedirectivadegrupo(GPO)sobreunequipodel dominiorequiereque,ademsdequeelequipoestsituadobajoelmbitodelGPO,elequipo tengaconcedidoslospermisos"Leer"y"Aplicardirectiva"delobjetoGPO.Encasocontrario, laspolticasdefinidasenelGPOnoseaplicaransobreelequipo.

WindowsServer2008incorporadosprotocolosqueimplementanlaautenticacindesistemas yusuariosenelprocesodeaccesoalosrecursoseneldominio.EstosprotocolossononNTLM yKerberosV5.NTLMeraelprotocolodeautenticacinnativoendominiosWindowsNT4,yse mantienebsicamenteporcompatibilidadhaciaatrsconestossistemas.Coneltiempose hanidogeneradoversionesmsmodernasdeNTLMquemejoranaspectosdeseguridad(por ejemplo,laltimaversin,NTLMv2,incorporaunprotocolodecifradode128bits).Sin embargo,sitodoslossistemasdeldominioincorporanlasversionesWindows2000,Windows XPoversionesmsmodernas,laautenticacinpordefectoeneldominioutilizaelprotocolo Kerberos.Entreotros,haytresmotivosmotivosfundamentalesporlosqueKerberoses preferiblesobreNTLM: EnNTLM,elservidorautentificaalcliente.EnKerberos,laautentificacinesmutua,conloque enlainteraccinentreservidorycliente,cadaunoautenticaalotro,ysegarantizaque ningunodeamboshansidosuplantados. EnNTLM,cadavezqueunusuariodeldominiointentaaccederaunrecursosituadoenun servidor,dichoservidortienequecontactarconunDCparaautenticaralusuario.EnKerberos, elordenadorcliente(dondeesttrabajandoelusuario)obtieneuntiquetdelDCconelque puedeaccederamltiplesservidoresdeldominio,sinquedichosservidorestenganquevolver acontactarconelDC. LasconfianzasenNTLMsonmanuales,unidireccionalesynotransitivas.Enelcasode Kerberos,lasconfianzassonbidireccionalesytransitivas,yseconfiguranautomticamente conformeseaadendominiosalbosque.Adems,Kerberosadmiteconfianzasentrebosques yentredominiosKerberosquenoseanWindows. ComohemosvistoenSeccin4.2.4.5,UnidadesOrganizativas,lasUnidadesOrganizativas (OrganizationalUnits)oUOs,sonobjetosdeldirectorioqueasuvez,puedencontenerotros objetos.ElusofundamentaldelasUOsesdelegarlaadministracindesusobjetosaotros usuariosdeldominiodistintosdelAdministrador,ascomopersonalizarelcomportamientode losusuariosy/oequiposmediantelaaplicacindedirectivasdegrupo(GPOs)especficasala unidad. Comparicinderecursos CuandounsistemaWindowsServer2008participaenunared(grupodetrabajoodominio), puedecompartirsusrecursosconelrestodeordenadoresdelared.Enestecontexto,slo vamosaconsiderarcomorecursosacompartirlascarpetasqueexistenenlossistemas Windowsdeldominio.Lacomparticindeotrosrecursos(talescomoimpresoras,porejemplo) quedafueradelmbitodeestetexto. Permisosyderechos CualquiersistemaWindowsServer2008puedecompartircarpetas,tantosiesunservidor comosiesunaestacindetrabajo,tantosiseencuentraformandopartedeundominiocomo sisetratadeunsistemaindependiente.Parapodercompartirunacarpetabastacondesplegar sumencontextualdesdeunaventanaodesdeelexploradordearchivos,yseleccionar Compartir....Enlaventanaasociadaaestaopcinsedeterminaelnombrequetendrel recurso(quepuedeserdistintodelnombredelapropiacarpeta),ascomolalistadepermisos quecontrolarquusuariosygruposvanapoderaccederalmismo.Enestesentido,existe unagrandiferenciaentrequelacarpetaresidaenunaparticinFATyquelohagaenunade tipoNTFS,comosepresentaacontinuacin.

 SilacarpetaresideenunaparticinFAT,estefiltrodeaccesoeselnicoquedeterminarqu usuariosygruposvanapoderaccederalcontenidodelacarpeta,puestoqueestetipode sistemadearchivosnoincorporalaposibilidaddedefinirpermisossobrelascarpetasylos ficherosalmacenadosenel.Esdecir,enestecasolospermisosdelrecursoconstituyenelnico filtroquecontrolarelaccesoalmismoyatodosucontenido.Siunusuariotienepermisos suficientesparaconectarseaunrecurso,tendresemismoaccesosobretodoslosarchivosy subcarpetasdelrecurso.Aestenivel,existenslotrespermisosdistintosquepueden concederseacadausuario/grupo:Lectura,EscriturayControlTotal. Porelcontrario,silacarpetaquevamosacompartirseencuentraenunaparticinNTFS,la propiacarpetaycadaunodesussubcarpetasyarchivostendrunospermisosestablecidos, siguiendoconelmodelodepermisosdeNTFS,almargendequesecompartaono.Eneste casotambinesposibleestablecerpermisosalpropiorecursodesdelaventanade Compartir...,peroentoncesslolosusuariosquepuedanpasarambosfiltrospodrnaccedera lacarpetacompartidayasucontenido.EnestecasoserecomiendadejarControlTotalsobre Todosenlospermisosasociadosalrecurso(opcinpordefecto),ycontrolarquinycmo puedeaccederalrecursoyasucontenidomediantelospermisosasociadosadichacarpetaya susarchivosysubcarpetas.EnWindowsServer2008estaeslaopcinpordefecto,aunqueno loeraenWindowsServer2003,quesloconcedainicialmenteelpermisodelecturaalgrupo Todosalcompartirunacarpeta. Estarecomendacinesmuytil,sitenemosencuentaquedeestaformaparacadacarpeta delsistemanoutilizamosdosgruposdepermisossinounosolo,independientementedeque lacarpetaseaonocompartida.Esteformadetrabajarobligaaladministradoraasociarlos permisoscorrectosacadaobjetodelsistema(aunquenoestcompartido),peroporotra parteseunificalavisindelaseguridaddelosarchivosycarpetas,conloquealalargaresulta msseguraymssencilla. Cuandocompartimosrecursosaotrosusuariosenlared,especialmentecuandosetratadeun dominio/bosque,hayquetenerencuentanoslolospermisosdelrecursoydelapropia carpeta,sinotambinlosderechosdelordenadorquecomparteelrecurso.Enconcreto,siun usuariodeseaaccederaunacarpetacompartidoporundeterminadoordenador,ademsde tenersuficientespermisos(sobreelrecursoysobrelapropiacarpetaysucontenido)necesita tenerconcedidoendichoordenadorelderechodenominado"Teneraccesoaesteequipo desdelared".Normalmente,estefiltroseencuentraabiertoparatodoslosusuuarios,yaque laopcinpordefectoentodoslossistemasWindowsesqueestederechoestconcedidoal grupo"Todos".ElAdministradorpuede,silodesea,restringirestederecho,limitandoquines puedenaccederarecursosendichoordenadoratravsdelared.Sinembargo,hayque advertirqueestaaccinesmuydelicada,ydebeprobarsedemaneraexhaustivaparaevitar queproduzcafallosenotrosserviciosderedproporcionadosporelordenador. Cuandolacomparticinderecursoslarealizanequiposqueformanpartedeundominio Windows,existenconsideracionesqueeladministracindebeconocer. Primero,unavezsehacompartidofsicamenteunacarpetaenlared(segnelprocedimiento descritoarriba),elAdministradordeldominiopuedeademspublicaresterecursoenel directorio.Paraellodebecrearunnuevoobjeto,enlaunidadorganizativaadecuada,detipo Recursocompartido.Aesteobjetoseledebeasociarunnombresimblicoyelnombrede recursoderedquerepresenta(delaforma\\equipo\recurso).Esimportantetenerencuenta quecuandosepublicaelrecursodeestaforma,nosecompruebasirealmenteexisteono,por loqueesresponsabilidaddeladministradorelhaberlocompartidoyquesunombrecoincida coneldelapublicacin.Unavezpublicado,elrecursopuedelocalizarsemediantebsquedas enelDirectorioActivo,comoelrestodeobjetosdelmismo,tantopornombrecomopor palabrasclave(descripcin).

Ysegundo,cuandounsistemaWindowsServer(Windows2000,WindowsServer2003,etc.) seagregaaundominio,lossiguientesrecursossecompartendeformaautomticaypor defecto(estascomparticionesnodebenmodificarseniprohibirse): letra_de_unidad$.PorcadaparticinexistenteenelsistemaWindowsServer(C:,D:,etc.)se creaunrecursocompartidodenominadoC$,D$,etc.Losadministradoresdeldominio,as comolosoperadoresdecopiadeldomino,puedenconectarsepordefectoaestasunidades. Estopermiteaccesocentralizadoalossistemasdearchivoslocalesdecadasistemamiembro deldominio. ADMIN$.Esunrecursoutilizadoporelpropiosistemadurantelaadministracinremotadeun ordenadorWindowsServer. IPC$.Recursoqueagrupalostubos(colasdemensajes)utilizadosporlosprogramaspara comunicarseentreellos.Seutilizainternamentedurantelaadministracinremotadeun ordenadorWindowsServer,ycuandoseobservalosrecursosquecomparte. NETLOGON.RecursoqueexportaunDCparaproporcionaralosordenadoresmiembrosdel dominioelserviciodevalidacindecuentasglobalesatravsdelared(NetLogonservice), quesemantieneporcompatibilidadhaciaatrsconsistemasWindowsanterioresaWindows 2000oWindowsXP. SYSVOL.RecursoqueexportacadaDCdeundominio.Contieneciertosdatosasociadosdel DirectorioActivodistintosdelabasededatosdeldirectorio(porejemplo,dedirectivasde grupo)quedebenreplicarseentodolosDCsdeldominio. Enrelacinconlosnombresdeestosrecursos,esinteresantesaberqueaadirelcarcter"$" alfinaldecualquiernombrederecursotieneunefectoespecfico:cuandoexploramoslos recursoscompartidosporunsistemaenlared,aquellosqueacabanenestesmbolonose visualizan.Esdecir,elrecursonoesvisibledesdeotrossistemasWindowsdelared,ypor tantounusuarioremotoslopodrconectarsealmismosiconocesunombredeantemano(y tienesuficientespermisos,obviamente). MandatosWindowsServerparacompartirrecursos LacomparticinderecursosenWindowsServerpuederealizarseenlneaderdenes utilizandolosmandatosnetshareynetuse.Lasintaxisdeambosmandatoseslasiguiente: 1.Mandatonetshare:Crea,eliminaomuestrarecursoscompartidos. netsharenetsharerecurso_compartidonetshare recurso_compartido=unidad:ruta_de_acceso [/users:nmero|/unlimited][/remark:"texto"]netsharerecurso_compartido[/users:nmero |unlimited][/remark:"texto"]netshare{recurso_compartido|unidad:ruta_de_acceso} /delete 2.Mandatonetuse:Conectaodesconectaunequipodeunrecursocompartidoomuestra informacinacercadelasconexionesdelequipo.Tambincontrolalasconexionesdered persistentes. netuse[nombre_dispositivo][\\nombre_equipo\recurso_compartido[\volumen]][contrasea |*]][/user:[nombre_dominio\]nombre_usuario][[/delete]|[/persistent:{yes|no}]] netusenombre_dispositivo[/home[contrasea|*]][/delete:{yes|no}]netuse [/persistent:{yes|no}]

Delegacindelaadministracin Paradelegar,totaloparcialmente,laadministracindeunaunidadorganizativaexisteun asistente(owizard)queaparececuandoseseleccionalaaccinDelegarcontrol...enelmen contextualdelaunidadorganizativa.Esteasistentepreguntabsicamentelosdosaspectos propiosdeladelegacin:aquinsedelegayqusedelega.Laprimerapreguntasecontestao bienconunusuariooconungrupo(serecomiendaungrupo).Pararesponderalasegunda pregunta,sepuedeelegirunatareapredefinidaadelegar(deentreunalistadetareas frecuentes),obienpodemosoptarporconstruirunatareapersonalizada.Enesteltimocaso, tenemosqueespecificarlatareamedianteunconjuntodepermisossobreunciertotipode objetosdeldirectorio.Estoseexplicaacontinuacin. Internamente,losderechosdeadministracin(ocontrol)sobrelosobjetosdeundominioo unidadorganizativafuncionandeformamuysimilaralospermisossobreunacarpetaNTFS: existeunaDACLpropiayotraheredada,quecontienencomoentradasaquellos usuarios/gruposquetienenconcedida(odenegada)unaciertaaccinsobrelaunidad organizativaosobresucontenido.Enestecaso,lasaccionessonlaspropiasdela administracindeobjetoseneldirectorio(controltotal,creacindeobjetos,modificacinde objetos,consultadeobjetos,etc.),dondelos"objetos"sonlasentidadesquepuedenser creadosdentrodelaunidad:usuarios,grupos,unidadesorganizativas,recursos,impresoras, etc. Enresumen,ladelegacindecontrolsobreunaunidadorganizativapuedehacersedeforma completa(ofreciendoelControlTotalsobrelaunidad)odeformaparcial(permitiendola lectura,modificaciny/oborradodelosobjetosdelamisma).Hayquetenerencuentaqueen elcasodeladelegacinparcial,elnmerodeposibilidadesesinmenso:porunaparte,se incluyelaposibilidaddeestablecerelpermisosobrecadaatributodecadatipodeobjeto posible;porotraparte,sepuedeestableceraquunidadessevaaaplicarlaregla(sloenesa unidadorganizativa,entodaslasquesesitanpordebajo,enpartedeellas,etc.).Portanto, paraunadelegacinparcialserecomiendaelusodelasistente,yaquesulistadedelegacin detareasmsfrecuentes(comoporejemplo"Crear,borraryadministrarcuentasdeusuario" o"Restablecercontraseasencuentasdeusuario")resultamuytil.Sinembargo,cuandola delegacinquebuscamosnoseencuentraenlalista,tendremosquedisearunaamedida, asignandolospermisosoportunossobrelosobjetosdeldirectorioqueseannecesarios.