Estrella 1: Capítulo 4

En este capítulo se mostrará la diferencia de cómo se trabaja en un modelo de Red Workgroup

donde todas las PC son de la misma jerarquía sin una centralización de la administración,
seguridad y el modelo de Domain, en el cual están todos los objetos de la red están
centralizados en los servidores de controladores del Dominio, donde la administración y la
seguridad son administrados centralizadamente.

La seguridad está integrada en Active Directory mediante la autenticación del inicio de sesión
y el control de acceso a los objetos del directorio. Con un único inicio de sesión en la red, los
administradores pueden administrar datos del directorio y de la organización en cualquier
punto de la red, y los usuarios autorizados de la red pueden tener acceso a recursos en
cualquier lugar de la misma. La administración basada en directivas facilita la tarea del
administrador incluso en las redes más complejas.

4. Modelos de trabajo en red

En este capítulo introduciremos los modos de trabajo en los que Windows Server 2003 puede
actuar, como también los componentes que forman un dominio, incluidos los objetos.

4.1. Workgroup o grupo de trabajo

En este tipo de modo de trabajo de red, no hay servidores dedicados. Todas las
computadoras son iguales en jerarquía, y sus funciones son de cliente-servidor.

Usualmente no hay un responsable de la administración de la red; la seguridad es

brindada por las bases locales de cada computadora, y cada usuario determina qué
comparte de su máquina con el resto. Tampoco hay depósito común de credenciales de
usuario y de contraseñas (y de sus privilegios asociados, como veremos en el punto
siguiente, en un dominio), es decir que los usuarios se deben crear manualmente en cada
cliente.

4.2. Domain Active Directory o Dominios

Antes de hacer la introducción al modelo Dominios, se debe tener claro un concepto: en

una red de Microsoft® Windows® Server 2003, el servicio de directorio Active Directory®
proporciona la estructura y las funciones para organizar, administrar y controlar el acceso
a los recursos de red. Para implementar y administrar una red de Windows Server 2003,
debe comprender el propósito y la estructura de Active Directory.

Active Directory proporciona también la capacidad de administrar centralmente la red de

Windows Server 2003. Esto significa que puede almacenar centralmente información
acerca de la empresa (por ejemplo, información de usuarios, grupos e impresoras) y que
los administradores pueden administrar la red desde una sola ubicación.

Active Directory admite la delegación del control administrativo sobre los objetos de Active
Directory. Esta delegación permite que los administradores asignen a un grupo específico
de administradores permisos administrativos específicos para objetos, como cuentas de
usuario o de grupo.

Active Directory es el servicio de directorio de una red de Windows Server 2003. Un

servicio de directorio es un servicio de red que almacena información acerca de los
recursos de la red y permite que éstos resulten accesibles a los usuarios y a las
aplicaciones. Los servicios de directorio proporcionan una manera coherente de nombrar,
describir, localizar, acceder, administrar y asegurar la información relativa a los recursos
de red.

La funcionalidad
Active Directory proporciona funcionalidad de servicio de directorio, como un medio de
organizar, administrar y controlar centralmente el acceso a los recursos de red. Hace que
la topología física de red y los protocolos pasen inadvertidos, de forma que un usuario de
una red puede tener acceso a cualquier recurso sin saber dónde está o cómo está
conectado físicamente a la red. Un ejemplo de este tipo de recurso es una impresora.

Active Directory está organizado en secciones que permiten el almacenamiento de una

gran cantidad de objetos. Como resultado, es posible ampliar Active Directory a medida
que una organización crece, lo que permite que una compañía que tiene un único servidor
con unos cuantos centenares de objetos crezca hasta tener miles de servidores y millones
de objetos.

Un servidor que ejecuta Windows Server 2003 almacena la configuración del sistema,
información de las aplicaciones e información acerca de la ubicación de los perfiles de
usuario en Active Directory. En combinación con las directivas de grupo, Active Directory
permite a los administradores controlar escritorios distribuidos, servicios de red y
aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de
administración coherente.

Active Directory brinda también un control centralizado del acceso a los recursos de red, al
permitir que los usuarios sólo inicien sesión una vez para obtener pleno acceso a los
recursos mediante Active Directory.

Estructura lógica de Active Directory

Active Directory proporciona el almacenamiento seguro de la información sobre objetos en
su estructura lógica jerárquica. Los objetos de Active Directory representan usuarios y
recursos; por ejemplo, las computadoras y las impresoras. Algunos objetos son containers
para otros objetos. Entendiendo el propósito y la función de estos objetos, usted puede
realizar una variedad de tareas, incluidas la instalación, la configuración, la administración,
y la resolución de problemas de Active Directory.

La estructura lógica de Active Directory incluye los siguientes componentes:

• Objetos (Objects). Éstos son los componentes más básicos de la

estructura lógica.
Clases de objeto (Object classes) son las plantillas o los modelos para los tipos de
objetos que usted puede crear en Active Directory. Cada clase de objeto es
definida por un grupo de atributos, los cuales definen los valores posibles que
usted puede asociar a un objeto. Cada objeto tiene una combinación única de los
valores de atributos.
• Unidad Organizativa (Organizational units). Estos container
Objetos (objects) se utilizan para organizar otros objetos con propósitos
administrativos. Organizando objetos en unidades organizativas (organizational
units), se hace más fácil localizarlos y administrarlos. Usted puede también
delegar la autoridad para administrar las Unidades Organizativas (organizational
units). Éstas pueden contener, a su vez, otras Unidades Organizativas
(organizational units), para simplificar la administración de objetos.
• Dominios (Domains). Son las unidades funcionales core de la
estructura lógica de Active Directory. Se trata de una colección de los objetos
administrativos definidos que comparten la base de datos común del directorio,
políticas de seguridad y relaciones de confianza con otros Dominios (domains). Los
Dominios (domains) proporcionan las siguientes tres funciones:

• Un límite administrativo para los objetos.

• Medios de administrar la seguridad para los recursos compartidos.
 • Una unidad de réplica para los objetos.

• Arbol de Dominio (Domain trees). Son Dominios (domains)

agrupados en estructuras de jerarquía llamadas Arbol de dominios (domain trees).
Cuando usted agrega un segundo dominio a un Arbol (tree), éste se convierte en
Hijo (child) del tree root domain. El dominio al cual se une un Dominio Hijo (child
domain) se llama Dominio Padre (parent domain). El Dominio Hijo (child domain)
puede tener sus propios Dominios Hijos (child domains). El nombre del Dominio
Hijo (child domain) se combina con el nombre de su dominio Padre (parent
domain) para formar su propio y único nombre Domain Name System (DNS); por
ejemplo, “corp.nwtraders.msft”. De este modo, un Arbol (tree) tiene un
namespace contiguo.
• Bosques (Forests). Un Bosque (forest) es una instancia completa de
Active Directory. Consiste en uno o más árboles (trees). En un solo two-level tree,
el cual se recomienda en la mayoría de las organizaciones, todos los Domino Hijo
(child domains) se hacen Hijos (children) del forest root domain para formar un
Arbol (tree) contiguo. El primer dominio en el Bosque (forest) se llama forest root
domain. El nombre de ese dominio refiere al Bosque (forest); por ejemplo,
“nwtraders.msft”. Por defecto, la información en Active Directory se comparte
solamente dentro del Bosque (forest). De esta manera, la seguridad del bosque
(forest) está contenida en una sola instancia de Active Directory.

La estructura física de Active Directory

En contraste con la estructura lógica y los requisitos administrativos de los modelos, la

estructura física de Active Directory optimiza el tráfico de red determinando cómo y cuándo
ocurre la replicación y el tráfico de logon. Para optimizar el uso del ancho de banda de la red
Active Directory, usted debe entender la estructura física. Los elementos de esta estructura
son:

• Controladores del Dominio (Domain controllers). Estas

computadoras corren Microsoft® Windows® Server 2003 o Windows 2000 Server, y
Active Directory. Cada Controlador del Dominio (domain controller) realiza funciones
de almacenamiento y replicación. Un Controlador de Dominio (domain controller)
soporta solamente un Dominio (domain). Para asegurar disponibilidad continua de
 Active Directory, cada Dominio (domain) debe tener más de un Controlador de
Dominio 9domain controller).
• Sitios de Active Directory (Active Directory sites). Los Sitios
(sites) son grupos de computadoras conectadas. Cuando usted establece Sitio (sites),
los Controladores de Dominio (domain controllers) dentro de un solo Sitio (site)
pueden comunicarse con frecuencia. Esta comunicación reduce al mínimo el estado de
la latencia dentro del Sitios (site); esto es, el tiempo requerido para que un cambio
que se realiza en un Controlador de Dominio (domain controller) sea replicado a otros
Controladores de Dominio (domain controllers). Usted puede crear Sitios (sites) para
optimizar el uso del ancho de banda entre Controladores de Dominio (domain
controllers) en diversas locaciones.
• Particiones de Active Directory (Active Directory partitions).
Cada Controlados de Dominio (domain controller) contiene las siguientes particiones
de Active Directory:
o Partición de Dominio (Domain partition) contiene la
réplica de todos los objetos en ese Domino (domain). Esta partición es
replicada solamente a otros Controlador de Dominio (domain controllers) en el
mismo Dominio (domain).
o Partición de Configuración (Configuración partition)
contiene la topología del Bosque (forest). La topología registra todas las
conexiones de los Controladores de Dominio (domain controllers) en el mismo
Bosque (forest).
o partición de Esquema (Eccema partition) contiene el
(esquema) schema del Bosque (forest). Cada Bosque (forest) tiene un
esquema (schema) de modo que la definición de cada clase del objeto sea
constante. Las particiones de Configuración (configuration) y Partición de
Esquema (schema partitions) son replicadas a cada Controlador de Dominio
(domain controller) en el Bosque (forest).
o Partición de Aplicación (Application partitions),
opcionales, contienen los objetos relacionados con la seguridad y que son
utilizados por una o más aplicaciones. Las Particiones de Aplicación
(Application partitions) son replicadas a los Controladores de Dominio (domain
controllers) específicos en el Bosque (forest).
4.2.1. Objetos de Active Directory

Icono Objeto Descripción

Usuario Un objeto de usuario es una credencial de seguridad

en el directorio. Un usuario puede iniciar sesión en la
red con esta credencial, y a los usuarios se les
pueden conceder permisos de acceso.

Contacto Un objeto de contacto es una cuenta que no tiene

ningún permiso de seguridad. No se puede iniciar
sesión como contacto. Los contactos se suelen
utilizar para representar a usuarios externos con
fines relacionados con el correo electrónico.

Equipo Objeto que representa un equipo en la red.

Unidad Las unidades organizativas se utilizan como

organizativa contenedores para organizar de manera lógica
objetos de directorio, tales como usuarios, grupos y
equipos, de forma muy parecida a como se utilizan
las carpetas para organizar archivos en el disco
duro.
 Icono Objeto Descripción

Grupo Los grupos pueden contener usuarios, equipos y

otros grupos. Los grupos simplifican la
administración de cantidades grandes de objetos.

Carpeta Una carpeta compartida es un recurso compartido

compartida de red que se ha publicado en el directorio.

Impresora Una impresora compartida es una impresora de red

compartida que se ha publicado en el directorio.

4.2.2. Árbol y bosque de Active Directory

Un bosque (forest) puede contener un árbol (tree) o varios, y a su vez, un árbol puede
contener varios dominios. Siempre que instalemos Active Directory, por más simple que
sea, tendremos esos tres componentes.

El caso más sencillo de estructura lógica es si hemos determinado que un único dominio
cumple con nuestras necesidades. Pero, como hemos visto, en algunos casos esto no va
a ser posible. Si debemos instalar varios dominios, éstos se pueden agrupar en
estructuras jerárquicas denominadas árboles (trees).

Para poder construir un árbol (tree) debemos comenzar por crear el primer dominio en
la estructura, root.com en este caso. A partir de esto podemos crear los subdominios,
hijoN.root.com en este caso.
Ejemplo de árbol de dominio en la siguiente imagen:

Ejemplo de bosque en la siguiente imagen