Anda di halaman 1dari 61

Conceptos básicos

Resumen Técnico de Active Directory

Windows® 2000

Sistema Operativo de Servidor

Documentos Estratégicos

Resumen

Introducción

Este documento proporciona una introducción técnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectónicos y características. La sección Conceptos Importantes describe los términos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran más en detalle sobre lo que realiza el Active Directory, qué características trae a Windows y como está implementado. La sección Migración cubre modelos de dominio de migración y estructuras de directorio de Windows NT 4.0 a Windows 2000. La última sección, Preguntas Más Frecuentes, responde preguntas sobre el Active Directory y cómo funciona.

Un directorio es una fuente de información usada para almacenar información sobre objetos interesantes. Un directorio telefónico almacena información sobre los subscriptores. En un sistema de archivo, el directorio almacena información sobre los archivos.

En un sistema computacional distribuido o una red computacional pública como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos.

En este documento, los "términos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes públicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de información del directorio como los servicios que hacen la información disponible y utilizable para los usuarios.

Un servicio de directorio es uno de los más importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y

los administradores no saben el nombre exacto de los objetos en los cuales están interesados. Pueden conocer uno o más atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos.

Un servicio de directorio puede:

Reforzar la seguridad definida por los administradores para mantener la

información segura ante intrusos. Distribuir un directorio a través de muchas computadoras en una red.

Hacer duplicados del directorio para que esté disponible para más usuarios y sea

resistente a las fallas. Separar un directorio en almacenes múltiples para permitir el almacenaje de un

gran número de objetos.

gran número de objetos.

Un servicio de directorio es tanto una herramienta de manejo como una herramienta de usuario final. Conforme aumenta el número de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido.

El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Amplía las características de previos servicios de directorio basados en Windows y agrega características totalmente nuevas. El Active Directory es seguro, distribuido, separado, y duplicado. Está diseñado para funcionar bien en instalaciones de cualquier tamaño, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas características nuevas que hacen fácil navegar y manejar grandes cantidades de información, generando ahorros de tiempo tanto para los administradores como para los usuarios finales.

Conceptos Importantes

Algunos conceptos y términos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han existido por un tiempo son usados para que signifiquen más que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y términos en el contexto del Active Directory.

El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de área amplia. También puede incluir varias redes de área amplia combinadas, así es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas.

El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es

cualquier área limitada en la cual puede ser incluido un nombre dado. La inclusión del nombre es el proceso de adaptar un nombre a algún objeto o información que representa. Un directorio telefónico forma un espacio para nombres para el cual los nombres de los subscriptores de teléfono pueden ser incluidos en números telefónicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo.

El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo.

Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicación. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y dirección de correo electrónico.

cualquier área limitada en la cual puede ser incluido un nombre dado. La inclusión del nombre

Figura 1. Un objeto de usuario y sus atributos

Un contenedor es como un objeto en que tiene atributos y es parte del espacio para nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores.

Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es también un contenedor. Un subárbol colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los miembros de cualquier contenedor en ese camino.

cualquier área limitada en la cual puede ser incluido un nombre dado. La inclusión del nombre
  • Figura 2. Un subárbol colindante de un directorio de archivo

Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres.

Nombre Único

Cada objeto en el Active Directory tiene un nombre único (Distinguished
Name, DN). El nombre único identifica el dominio que conserva el objeto, así como el camino completo a través de la jerarquía del contenedor por el cual se llega al objeto. Un típico DN puede ser

/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith

Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com

Figura 2. Un subárbol colindante de un directorio de archivo Se usa un nombre (name)

Figura 3. Una representación gráfica de un nombre único

Nombre único Relativo

El Nombre único Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users.

El Active Directory está compuesto de uno a más contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subárbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres.

El esquema

La configuración (topología de partición y metadatos relacionados)

Uno o más contextos para dar nombres de usuario (subárboles conteniendo los objetos reales en el directorio).

Un dominio es un solo límite de seguridad de una red computacional de Windows NT o Windows 2000. (Para más información sobre dominios, vea la documentación de Windows). El Active Directory está compuesto de uno o más dominios. En una sola

estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar más de una ubicación física. Cada dominio tiene sus propias políticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios múltiples son conectados por relaciones de confianza y comparten un esquema común, configuración, y catálogo global, tienen un árbol dominio. Arboles de dominio múltiples pueden conectarse juntos en un bosque.

estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar más de una

Un árbol de dominio comprende varios dominios que comparten un esquema común y configuración, formando un colindante espacio para nombres. Los dominios en un árbol están también vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o más árboles.

Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio.

Visualizando las Relaciones de confianza

Puede trazar un dibujo de un árbol de dominio basado en los dominios individuales y de cómo confían uno en el otro.

Windows 2000 establece las relaciones de confianza entre los dominios basándose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A confía también en el dominio C.

estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar más de una

Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza.

Visualizando el Espacio para nombres

También puede hacer un dibujo de un árbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre único de un objeto siguiendo el camino hacia el espacio para nombres del árbol de dominio. Esta vista es útil para agrupar objetos en una jerarquía lógica. La principal ventaja de un colindante espacio para nombres es que una búsqueda intensa desde la raíz del espacio para nombres buscará en la jerarquía completa.

Figura 5. Viendo un árbol dominio como espacio para nombres Un bosque es un conjunto de

Figura 5. Viendo un árbol dominio como espacio para nombres

Un bosque es un conjunto de uno o más árboles que NO forman un espacio para nombres colindante. Todos los árboles en un bosque comparten un esquema común, configuración, y Catalogo Global. Todos los árboles en un bosque dado confían uno en el otro vía relaciones de confianza Kerberos transitivas jerárquicas. A diferencia de un árbol, un bosque no necesita un nombre único. Un bosque existe como un conjunto de objetos de referencia recíproca y relaciones de confianza Kerberos conocidas para los árboles miembros. Los árboles en un bosque forman una jerarquía para los propósitos de confianza Kerberos; el nombre del árbol en la raíz del árbol de confianza puede ser usado para referirse a un bosque dado.

Figura 5. Viendo un árbol dominio como espacio para nombres Un bosque es un conjunto de

Figura 6. Árboles múltiples en un bosque

Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory. Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas" significa que la conectividad de la red es altamente confiable y rápida (por ejemplo:

velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir un sitio como un conjunto de subredes permite a los administradores configurar rápidamente y fácilmente el acceso al Active Directory y la topología de replicación para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya que las máquinas en el mismo sitio están cerca una de otra en términos de red, la comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio local en tiempo de conexión se logra fácilmente debido a que la estación de trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se adaptan directamente a los sitios del Active Directory.

Figura 5. Viendo un árbol dominio como espacio para nombres Un bosque es un conjunto de

Arquitectura

Esta corta sección presenta algunos de los principales componentes arquitectónicos del Active Directory.

El modelo de datos del Active Directory se deriva del modelo de datos X.500. El directorio conserva objetos que representan cosas de diferentes tipos, descritos por características. El universo de objetos que pueden ser almacenados en el directorio está

Arquitectura de Active Directory

Sistema operativo

Notas del producto

Resumen

Para usar el sistema operativo Microsoft® Windows® 2000 Server con la máxima eficacia, primero debe comprender qué es el servicio de directorio Active Directory™. Active Directory, una novedad del sistema operativo Windows 2000, desempeña una función importante en la implementación de la red de la organización y, por tanto, en conseguir sus objetivos comerciales. Este documento presenta Active Directory a los administradores de red, explica su arquitectura y describe cómo interactúa con las aplicaciones y con otros servicios de directorio. El presente documento se basa en la información disponible en el momento de publicarse la versión Beta 3 de Windows 2000. La información proporcionada aquí está sujeta a cambios antes de la versión final de Windows 2000 Server.

Introducción

Comprender el servicio de directorio Active Directory™ es el primer paso para entender cómo funciona el sistema operativo Windows® 2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos empresariales. En este documento se examina Active Directory desde estas tres perspectivas:

Almacén. Active Directory, el servicio de directorio de Windows 2000 Server,

almacena de forma jerárquica la información acerca de los objetos de la red, y la pone a disposición de administradores, usuarios y aplicaciones. En la primera sección de este documento se explica lo que es un servicio de directorio, la integración del servicio Active Directory con el Sistema de nombres de dominio (DNS) de Internet y cómo se actualiza Active Directory cuando se designa un servidor como controlador de dominio 1 . Estructura. Con Active Directory, la red y sus objetos se organizan mediante

elementos como dominios, árboles, bosques, relaciones de confianza, unidades organizativas (OU) y sitios. En la próxima sección de este documento se describe la estructura y la función de estos componentes de Active Directory, y cómo esta estructura permite a los administradores controlar la red de modo que los usuarios puedan alcanzar sus objetivos empresariales. Intercomunicación. Puesto que Active Directory se basa en los protocolos estándar de acceso a directorios, puede interoperar con otros servicios de directorio y otras aplicaciones de terceros que sigan estos protocolos pueden

tener acceso a él. En la última sección se describe cómo Active Directory puede comunicarse con numerosas tecnologías.

Ventajas de Active Directory

La inclusión de Active Directory en el sistema operativo Windows 2000 proporciona las siguientes ventajas:

Integración con DNS. Active Directory utiliza el Sistema de nombres de

dominio (DNS). DNS es un servicio estándar de Internet que traduce los nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en direcciones numéricas (cuatro números separados por puntos) de Protocolo de Internet (IP) legibles por los equipos. De esta forma, los procesos que se ejecutan en equipos que están en redes TCP/IP pueden identificarse y conectarse entre sí. Consultas flexibles. Los usuarios y los administradores pueden utilizar el

comando Buscar del menú Inicio, el icono Mis sitios de red del escritorio o el complemento Usuarios y equipos de Active Directory para buscar rápidamente un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un usuario por nombre, apellido, nombre de correo electrónico, ubicación en la oficina u otras propiedades de su cuenta de usuario. La búsqueda de información está optimizada gracias al uso del catálogo global. Capacidad de ampliación. Active Directory es ampliable, lo que significa que

los administradores pueden agregar nuevas clases de objetos al esquema y nuevos atributos a las clases existentes de objetos. El esquema contiene una definición de cada clase de objeto y los atributos de las mismas, que se pueden almacenar en el directorio. Por ejemplo, podría agregar un atributo Autorización de compra al objeto Usuario y después almacenar el límite de autorización de compra de cada usuario como parte de su cuenta. Administración basada en políticas. Las políticas de grupo son valores de

configuración que se aplican a equipos o usuarios cuando se inicializan. Todos los valores de Política de grupo están contenidos en los Objetos de política de grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de Active Directory. Los valores de GPO determinan el acceso a objetos de directorios y recursos de dominios, a qué recursos de dominios (como las aplicaciones) tienen acceso los usuarios y cómo están configurados dichos recursos. Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los

cuales tiene uno o varios controladores, lo que permite escalar el directorio para satisfacer cualquier requisito de red. Es posible combinar varios dominios en un árbol de dominios y varios árboles en un bosque. En la estructura más simple, una red con un único dominio es a la vez un único árbol y un único bosque. Replicación de la información. Active Directory utiliza la replicación de múltiples maestros, que permite actualizar el directorio en cualquier controlador de dominio. Al distribuir varios controladores de dominio en un único dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento, se detiene o produce un error, otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio, ya que contienen los mismos datos.

Seguridad de la información. La administración de la autenticación de usuarios

y el control de acceso, ambos integrados plenamente en Active Directory, son características de seguridad clave del sistema operativo Windows 2000. Active Directory centraliza la autenticación. El control de acceso puede definirse no sólo para cada objeto del directorio, sino también para todas las propiedades de cada objeto. Además, Active Directory proporciona el almacén y el ámbito de aplicación de las políticas de seguridad. (Para obtener más información acerca de la autenticación de inicio de sesión y el control de acceso de Active Directory, consulte la sección "Para obtener más información" al final de este documento.) Interoperabilidad. Puesto que Active Directory se basa en protocolos estándar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP), puede interoperar con otros servicios de directorio que empleen estos protocolos. Varias interfaces de programación de aplicaciones (API), como las Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores acceso a estos protocolos.

El final de este documento, en "Apéndice A: Herramientas", se proporciona una breve introducción a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.

Servicio de directorio Active Directory

Antes de pasar a las secciones principales de este documento, la arquitectura e interoperabilidad de Active Directory, en esta sección preliminar se examina brevemente Active Directory desde dos puntos de vista muy diferentes:

El primero es el lado más abstracto de Active Directory, es decir, como un

espacio de nombres que está integrado con el Sistema de nombres de dominio (DNS) de Internet. El segundo es el lado más cotidiano de Active Directory, es decir, como el software que convierte a un servidor en un controlador de dominio.

En el contexto de una red de equipos, un directorio (también denominado almacén de datos) es una estructura jerárquica que almacena información acerca de los objetos de la red. Los objetos incluyen recursos compartidos como servidores, volúmenes compartidos e impresoras, cuentas de usuarios y equipos, así como dominios, aplicaciones, servicios, políticas de seguridad y cualquier elemento de la red. Un ejemplo de los tipos específicos de información que un directorio de red puede almacenar acerca de un determinado tipo de objeto es aquél en el que un directorio normalmente almacena un nombre de usuario, una clave de acceso, una dirección de correo electrónico, un número de teléfono, etc. de una cuenta de usuario.

La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al origen de información del directorio como a los servicios que posibilitan que la información esté disponible y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones. En una situación ideal, un servicio de directorio hace que la topología de la red física y los protocolos (formatos para transmitir datos entre dos dispositivos) sean transparentes, de modo que un usuario pueda tener acceso a cualquier recurso sin saber dónde ni cómo está conectado físicamente. Siguiendo con el ejemplo de la cuenta de usuario, es el servicio de directorio el que permite que otros usuarios autorizados de la misma red tengan acceso a la información de directorio almacenada (como una dirección de correo electrónico) acerca del objeto de cuenta de usuario. Los servicios de directorio admiten numerosas capacidades. Algunos servicios de directorio están integrados en un sistema operativo y otros son aplicaciones, como los directorios de correo electrónico. Los servicios de directorio del sistema operativo, como Active Directory, proporcionan administración de usuarios, equipos y recursos compartidos. Los servicios de directorio que administran el correo electrónico, como Microsoft Exchange, permiten que los usuarios busquen a otros usuarios y envíen correo electrónico. Active Directory, el nuevo centro de servicios de directorio para el sistema operativo Windows 2000 Server, sólo se ejecuta en controladores de dominio. Active Directory, además de proporcionar un lugar para almacenar datos y servicios para que estén disponibles dichos datos, también protege los objetos de la red frente al acceso no autorizado y los replica a través de una red para que no se pierdan datos si se produce un error en un controlador de dominio.

Active Directory incorpora DNS

Tanto Active Directory como DNS son espacios de nombres. Un espacio de nombres es cualquier área limitada donde se puede resolver un nombre dado. La resolución de nombres es el proceso de traducir un nombre en algún objeto o información que representa dicho nombre. Una libreta de teléfonos forma un espacio de nombres en el que los nombres de los abonados telefónicos pueden resolverse a números de teléfono. El sistema de archivos NTFS de Windows 2000 forma un espacio de nombres en el que el nombre de un archivo puede resolverse al archivo propiamente dicho.

DNS e Internet

Entender cómo Windows 2000 trata los espacios de nombres de Active Directory y DNS requiere comprender algunos conceptos básicos acerca del propio DNS y su relación con Internet y TCP/IP. Internet es una red TCP/IP. Los protocolos de comunicaciones TCP/IP conectan equipos y les permiten transmitir datos a través de las redes. Todos los equipos de Internet o de cualquier otra red TCP/IP

(como muchas redes de Windows) tienen una dirección IP. DNS encuentra los hosts TCP/IP (equipos) mediante la resolución de los nombres de equipo que los usuarios finales entienden a las direcciones IP que los equipos entienden. Las direcciones IP de Internet se administran mediante la base de datos de DNS distribuida globalmente, pero también es posible implementar DNS localmente para administrar direcciones de redes TCP/IP privadas. DNS, que está organizado en una jerarquía de dominios, convierte toda la red Internet en un único espacio de nombres. DNS tiene varios dominios de nivel superior que, a su vez, se subdividen en dominios de segundo nivel. Una autoridad de Internet (actualmente, Internet Network Information Center, o InterNIC) administra la raíz del espacio de nombres de dominios de Internet; esta autoridad delega la responsabilidad administrativa de los dominios de nivel superior del espacio de nombres de DNS y registra los nombres de dominio de segundo nivel. Los dominios de nivel superior son las categorías de dominios conocidas: comercial (.com), educación (.edu), gobierno (.gov), etc. Fuera de los Estados Unidos se utilizan códigos de región o de país de dos letras, como .mx para México o .es para España. Los dominios de segundo nivel representan espacios de nombres que se registran formalmente a nombre de instituciones (e individuos) para proporcionarles una presencia en Internet. En la figura 1 se muestra cómo se conecta la red de una organización al espacio de nombres DNS de Internet.

(como muchas redes de Windows) tienen una dirección IP. DNS encuentra los hosts TCP/IP (equipos) mediante

Figura 1. Cómo encaja Microsoft en el espacio de nombres DNS de Internet

Integración de los espacios de nombres de DNS y de Active Directory

La integración de DNS y Active Directory es una característica fundamental del sistema operativo Windows 2000 Server. Los dominios de DNS y los dominios de Active Directory usan nombres de dominio idénticos para espacios de nombres distintos. Puesto que los dos espacios de nombres comparten una estructura de dominios idéntica, es importante comprende que no se trata del mismo espacio de nombres. Cada uno almacena datos diferentes y, por tanto, administra objetos distintos. DNS almacena sus zonas 2 y registros de recursos, mientras que Active Directory almacena sus dominios y objetos de dominio. Los nombres de dominio de DNS se basan en la estructura de nomenclatura jerárquica de DNS, que es una estructura de árbol invertido: un único dominio raíz, bajo el cual están los dominios principales y secundarios (ramas y hojas). Por ejemplo, un nombre de dominio de Windows 2000 como secundario.principal.microsoft.com identifica un dominio denominado secundario, que es un dominio secundario del dominio llamado principal que, a su vez, es secundario del dominio microsoft.com. Cada equipo de un dominio DNS se identifica de manera única mediante su nombre de dominio completo (FQDN). El FQDN de un equipo que se encuentra en el dominio secundario.principal.microsoft.com es nombreEquipo.secundario.principal.microsoft.com. Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo, NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre DNS (por ejemplo, ServidorCuentas.NombreOrg.com). Así, los dominios y los equipos se representan como objetos de Active Directory y como nodos de DNS (un nodo en la jerarquía DNS representa un dominio o un equipo). Tanto DNS como Active Directory utilizan una base de datos para resolver nombres:

DNS es un servicio de resolución de nombres. DNS resuelve los nombres de

dominio y de equipo a direcciones IP mediante solicitudes que hacen los servidores DNS en forma de consultas a la base de datos. En concreto, los clientes DNS envían consultas de nombres a su servidor DNS configurado. El servidor DNS recibe la consulta de nombre y la resuelve mediante archivos almacenados localmente o consulta a otro servidor DNS para que la resuelva. DNS no requiere Active Directory para funcionar. Active Directory es un servicio de directorio. Active Directory resuelve los objetos de nombre de dominio a registros de objeto mediante las solicitudes que hacen los controladores de dominio, como una búsqueda del Protocolo compacto de acceso a directorios (LDAP) 3 o solicitudes de modificación de la base de datos de Active Directory. Específicamente, los clientes de Active Directory utilizan LDAP para enviar consultas a los servidores de Active Directory. Para buscar un servidor de Active Directory, un cliente de Active Directory consulta

a DNS. Es decir, Active Directory usa DNS como servicio de búsqueda para resolver nombres de dominios, sitios y servicios de Active Directory a una dirección IP. Por ejemplo, para iniciar la sesión en un dominio de Active Directory, un cliente de Active Directory consulta a su servidor DNS configurado la dirección IP del servicio LDAP que se ejecuta en un controlador de un dominio especificado. Active Directory requiere DNS para funcionar.

En la práctica, para comprender que los espacios de nombres de DNS y de Active Directory en un entorno Windows 2000 son diferentes, es necesario entender que un registro de host de DNS, que representa un equipo específico en una zona de DNS, se encuentra en un espacio de nombres diferente del objeto de cuenta de equipo de dominio de Active Directory que representa el mismo equipo. En resumen, Active Directory está integrado con DNS de las siguientes formas:

Los dominios de Active Directory y los dominios de DNS tienen la misma

estructura jerárquica. Aunque son independientes y se implementan de forma diferente para propósitos distintos, los espacios de nombres de una organización para dominios de DNS y de Active Directory tienen una estructura idéntica. Por

ejemplo, microsoft.com es un dominio de DNS y un dominio de Active Directory. Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el servicio DNS de Windows 2000, es posible almacenar las zonas principales en Active Directory para replicarlas en otros controladores de dominio de Active Directory y proporcionar seguridad mejorada al servicio DNS.

Los clientes de Active Directory utilizan DNS para buscar controladores de

dominio. Para buscar el controlador de un dominio específico, los clientes de Active Directory consultan su servidor DNS configurado en busca de registros de recursos específicos.

Active Directory y el espacio de nombres global de DNS

Active Directory está diseñado de forma que pueda existir en el ámbito del espacio de nombres global de DNS de Internet. Cuando una organización que utiliza Windows 2000 Server como sistema operativo de red requiere presencia en Internet, el espacio de nombres de Active Directory se mantiene como uno o varios dominios jerárquicos de Windows 2000 bajo un dominio raíz que está registrado como un espacio de nombres de DNS. (Una organización puede decidir no formar parte del espacio de nombres global de DNS de Internet, pero si lo hace, sigue siendo necesario el servicio DNS para buscar equipos basados en Windows 2000.) Según las convenciones de nomenclatura de DNS, cada parte de un nombre DNS separado por un punto (.) representa un nodo en la estructura jerárquica en árbol de DNS y un nombre de dominio de Active Directory potencial en la estructura jerárquica en árbol de dominios de Windows 2000. Tal como se muestra en la figura 2, la raíz de la jerarquía DNS es un nodo que tiene una etiqueta nula (" "). La raíz del espacio de nombres de Active Directory (la raíz del

bosque) no tiene principal y proporciona el punto de entrada de LDAP a Active Directory.

Figura 2. Comparación de las raíces de los espacios de nombres de DNS y de Active Directory

Registros de recursos SRV y actualizaciones dinámicas

DNS existe independientemente de Active Directory, mientras que Active Directory está diseñado específicamente para trabajar con DNS. Para que Active Directory funcione correctamente, los servidores DNS deben admitir registros de recursos de ubicación de servicio (SRV) 4 . Los registros de recursos SRV asignan el nombre de un servicio al nombre de un servidor que ofrece dicho servicio. Los controladores de dominio y los clientes de Active Directory utilizan los registros de recursos SRV para averiguar las direcciones IP de los controladores de dominio. Nota Para obtener más información acerca de cómo planear la distribución de servidores DNS como apoyo a los dominios de Active Directory, así como otras cuestiones relacionadas con la distribución, consulte la Guía de diseño de la distribución de Microsoft Windows 2000 Server en la sección "Para obtener más información" de este documento. Además del requisito de que los servidores DNS de una red de Windows 2000 admitan registros de recursos SRV, Microsoft también recomienda que los servidores DNS admitan las actualizaciones dinámicas de DNS 5 . Las actualizaciones dinámicas de DNS definen un protocolo para actualizar dinámicamente un servidor DNS con valores nuevos o modificados. Sin el protocolo de actualización dinámica de DNS, los administradores deben configurar manualmente los registros creados por los controladores de dominio y almacenados por los servidores DNS. El nuevo servicio DNS de Windows 2000 admite tanto los registros de recursos SRV como las actualizaciones dinámicas. Si decide utilizar un servidor DNS que no esté basado en Windows 2000, debe comprobar que admite los registros de recursos SRV o actualizarlo a una versión que los admita. En el caso de un servidor DNS heredado que admita registros de recursos SRV pero no admita actualizaciones dinámicas, se deben actualizar manualmente sus registros de recursos cuando se promueva un equipo con Windows 2000 Server a controlador de dominio. Esto se realiza mediante el archivo Netlogon.dns (que se encuentra en la carpeta %systemroot%\System32\config), creado por el Asistente para instalación de Active Directory.

Active Directory crea controladores de dominio

La implementación y la administración de una red son actividades tangibles. Para entender cómo encaja Active Directory en la situación

en la práctica, lo primero que necesita saber es que la instalación de Active Directory en un equipo que ejecute el sistema operativo Windows 2000 Server es el acto que transforma el servidor en un controlador de dominio. Un controlador de dominio sólo puede alojar un dominio. En concreto, un controlador de dominio es un equipo que ejecuta Windows 2000 Server y que se ha configurado con el Asistente para instalación de Active Directory, que instala y configura los componentes que proporcionan los servicios de directorio de Active Directory a los usuarios y los equipos de la red. Los controladores de dominio almacenan datos de directorio de todo el dominio (como las políticas de seguridad del sistema y datos de autenticación de usuarios) y administran las interacciones de usuarios y dominios, incluidos los procesos de inicio de sesión, autenticación y búsquedas en el directorio. Al promover un servidor a controlador de dominio con el Asistente para instalación de Active Directory también se crea un dominio de Windows 2000 o se agregan controladores adicionales a un dominio existente. En esta sección se describe qué es un controlador de dominio de Active Directory y algunas de las funciones principales que desempeña en la red. Con la presentación de Active Directory, los controladores de dominio de Windows 2000 funcionan como homólogos. Esto representa un cambio con respecto a las funciones de principal-subordinado que desempeñaban los controladores principales de dominio (PDC) y los controladores de reserva (BDC) de Windows NT Server. Los controladores de dominio homólogos admiten la replicación de múltiples maestros, con lo que se replica la información de Active Directory en todos los controladores de dominio. La presentación de la replicación de múltiples maestros significa que los administradores pueden efectuar actualizaciones de Active Directory en cualquier controlador de dominio de Windows 2000 del dominio. En el sistema operativo Windows NT Server, sólo el PDC tiene una copia de lectura y escritura del directorio; el PDC replica a los BDC una copia de sólo lectura de la información del directorio. (Para obtener más información acerca de la replicación de múltiples maestros, consulte la sección "Replicación de múltiples maestros".) Si realiza la actualización al sistema operativo Windows 2000 desde un dominio existente, puede realizar la actualización por etapas y según le convenga. Si va a crear el primer controlador de dominio para una instalación nueva, se materializan algunas entidades automáticamente al mismo tiempo que se carga Active Directory. Las dos subsecciones siguientes explican estos aspectos relacionados con la instalación de un controlador de dominio de Active Directory en una red nueva:

El primer controlador de dominio es un servidor de catálogo global.

El primer controlador de dominio contiene las funciones de maestro de operaciones.

Catálogo global

El sistema operativo Windows 2000 presenta el catálogo global, una base de datos que se mantiene en uno o varios controladores de dominio. El catálogo global desempeña las funciones principales en los inicios de sesión de los usuarios y en las consultas. De forma predeterminada, se crea automáticamente un catálogo global en el controlador de dominio inicial del bosque de Windows 2000 y cada bosque debe tener al menos un catálogo global. Si utiliza varios sitios, es recomendable que asigne un controlador de dominio de cada sitio como catálogo global, ya que es necesario tener un catálogo global (que determina la pertenencia a grupos de una cuenta) para llevar a cabo el proceso de autenticación del inicio de sesión. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catálogo global para realizar el inicio de sesión. Después de instalar controladores de dominio adicionales en el bosque, puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante la herramienta Sitios y servicios de Active Directory. Opcionalmente puede configurar cualquier controlador de dominio para que aloje un catálogo global, según los requisitos de la organización para atender las solicitudes de inicio de sesión y las consultas de búsqueda. Cuantos más servidores de catálogo global haya, más rápidas serán las respuestas a las consultas de los usuarios; el inconveniente es que habilitar muchos controladores de dominio como servidores de catálogo global aumenta el tráfico de replicación en la red. El catálogo global desempeña dos funciones clave de Active Directory, inicio de sesión y consultas:

Inicio de sesión. En un dominio de modo nativo, el catálogo global permite el inicio de sesión de los clientes de Active Directory al proporcionar información universal de pertenencia a grupos 6 para la cuenta que envía la solicitud de inicio de sesión a un controlador de dominio. De hecho, no sólo los usuarios sino cualquier objeto que se autentique en Active Directory debe hacer consultar el servidor de catálogo global, incluidos todos los equipos que se inicien. En una configuración de varios dominios, al menos un controlador de dominio que contenga el catálogo global debe estar en funcionamiento y disponible para que los usuarios puedan iniciar una sesión. También debe haber disponible un servidor de catálogo global cuando un usuario inicie la sesión con un nombre principal de usuario (UPN) no predeterminado. (Para obtener más información acerca del inicio de sesión, consulte la sección "Nombres de inicio de sesión:

UPN y nombres de cuentas SAM".)

Si no hay disponible un catálogo global cuando un usuario inicia un proceso de inicio de sesión en la red, el usuario sólo podrá iniciar la sesión en el equipo local y no en la red. La única excepción es la de los usuarios que son miembros del grupo de administradores de dominios (Administrador del dominio), que

pueden iniciar la sesión en la red incluso aunque no haya disponible un catálogo global.

Consultas. En un bosque que contiene muchos dominios, el catálogo global permite que los usuarios efectúen búsquedas en todos los dominios de forma rápida y sencilla, sin tener que buscar en cada dominio individualmente. El catálogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan información. La mayor parte del tráfico de red de Active Directory está relacionado con las consultas:

usuarios, administradores y programas que solicitan información acerca de objetos del directorio. Las consultas son mucho más frecuentes que las actualizaciones del directorio. Asignar varios controladores de dominio como servidores de catálogo global mejora el tiempo de respuesta a los usuarios que buscan información del directorio, pero debe sopesar esta ventaja frente al hecho de que también puede aumentar el tráfico de replicación de la red.

Funciones de maestro de operaciones

La replicación de múltiples maestros en controladores de dominio homólogos no resulta práctica para algunos tipos de cambios, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta solicitudes para dichos cambios. Como la replicación de múltiples maestros desempeña una función fundamental en una red basada en Active Directory, es importante saber cuáles son estas excepciones. En cualquier bosque de Active Directory, al menos las últimas cinco funciones de maestro de operaciones se asignan al controlador de dominio inicial durante la instalación. Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del único maestro de operaciones se asignan automáticamente al primer controlador de dicho dominio. En un bosque pequeño de Active Directory con sólo un dominio y un controlador de dominio, dicho controlador sigue teniendo todas las funciones del maestro de operaciones. En una red mayor, con uno o varios dominios, se pueden asignar estas funciones a uno o varios controladores de dominio. Algunas funciones deben aparecer en todos los bosques. Otras funciones deben aparecer en cada dominio del bosque. Las dos funciones siguientes de maestro de operaciones en todo el bosque deben ser únicas en el bosque; es decir, sólo puede haber una de ellas en todo el bosque:

Maestro de esquema. El controlador de dominio que tiene la función de

maestro de esquema controla todas las actualizaciones y modificaciones del esquema. El esquema define todos los objetos (y sus atributos) que pueden almacenarse en el directorio. Para actualizar el esquema de un bosque, debe disponer de acceso al maestro de esquema. Maestro de nombres de dominio. El controlador de dominio que tiene la función de maestro de nombres de dominio controla la incorporación o eliminación de dominios en el bosque.

Las tres funciones siguientes de maestro de operaciones en todo el dominio deben ser únicas en cada dominio y sólo puede haber una en cada dominio del bosque:

Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a

cada controlador de su dominio. Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) único. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es único para cada Id. de seguridad creado en el dominio). Cuando el controlador de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID. Emulador de controlador principal de dominio (PDC). Si el dominio

contiene equipos que no ejecutan el software cliente de Windows 2000, o si contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC actúa como controlador principal de dominio (PDC) de Windows NT. Procesa los cambios de clave de acceso de los clientes y replica las actualizaciones en los BDC. El emulador de PCD recibe replicación preferente de los cambios de clave de acceso realizados por otros controladores del dominio. Si se produce un error en una autenticación de inicio de sesión en otro controlador de dominio debido a una clave de acceso incorrecta, dicho controlador reenvía la solicitud de autenticación al emulador de PDC antes de rechazar el intento de inicio de sesión. Maestro de infraestructuras. El maestro de infraestructuras es el encargado de actualizar todas las referencias entre dominios siempre que se mueve un objeto al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el nombre o se cambian los miembros de los grupos, el maestro de infraestructuras actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto del grupo), es posible que parezca temporalmente que el grupo no contiene a ese miembro. El maestro de infraestructuras del dominio del grupo es el encargado de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva ubicación del miembro.

El maestro de infraestructuras distribuye la actualización mediante la replicación de múltiples maestros. A menos que sólo haya un único controlador en el dominio, no asigne la función de maestro de infraestructuras al controlador de dominio que aloja el catálogo global. Si lo hace, no funcionará el maestro de infraestructuras. Si todos los controladores de un dominio también alojan el catálogo global (incluido el caso donde sólo exista un controlador de dominio), todos los controladores de dominio tienen datos actualizados y, por tanto, no es necesario el maestro de infraestructuras.

Arquitectura

Una vez instalado un controlador de dominio de Active Directory, se ha creado a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo controlador a un dominio existente. ¿Cómo

encajan el controlador y el dominio en la arquitectura global de la red? En esta sección se explican los componentes de una red basada en Active Directory y cómo están organizados. Además, describe cómo puede delegar la responsabilidad administrativa de las unidades organizativas (OU), dominios o sitios a los usuarios adecuados y cómo asignar valores de configuración a estos tres mismos contenedores de Active Directory. Se tratan los siguientes temas:

Objetos (incluido el esquema).

Convenciones de nomenclatura de objetos (incluyendo nombres de principales

de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres de inicio de sesión). Publicación de objetos.

Dominios (incluyendo árboles, bosques, confianzas y unidades organizativas).

Sitios (incluida la replicación).

Cómo se aplican la delegación y Política de grupo a unidades organizativas, dominios y sitios.

Objetos

Los objetos de Active Directory son las entidades que componen una red. Un objeto es un conjunto diferenciado con nombre de atributos que representa algo concreto, como un usuario, una impresora o una aplicación. Cuando crea un objeto de Active Directory, éste genera valores para algunas propiedades del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario, Active Directory asigna el identificador único global (GUID) y usted debe proporcionar valores para atributos como el nombre, el apellido, el identificador de inicio de sesión, etc. del usuario.

El esquema

El esquema es una descripción de las clases de objeto (los distintos tipos de objetos) y los atributos de dichas clases. Para cada clase de objeto, el esquema define qué atributos debe tener, qué atributos adicionales puede tener y qué clase de objeto puede ser su objeto primario. Cada objeto de Active Directory es una instancia de una clase de objeto. Cada atributo sólo se define una vez y puede utilizarse en varias clases. Por ejemplo, el atributo Descripción se define una vez pero se utiliza en muchas clases distintas. El esquema se almacena en Active Directory. Las definiciones de esquema también se almacenan como objetos: Esquema de clase y Esquema de atributos. De esta forma, Active Directory administra los objetos de clase y de atributos de la misma manera en que administra otros objetos del directorio. Las aplicaciones que crean o modifican objetos de Active Directory utilizan el esquema para determinar los atributos que debe o podría

tener el objeto y cómo deben ser esos atributos en lo que respecta a estructuras de datos y restricciones de sintaxis. Los objetos pueden ser objetos contenedor u objetos hoja (también denominados objetos no contenedor). Un objeto contenedor almacena otros objetos, pero los objetos hoja no. Por ejemplo, una carpeta es un objeto contenedor de archivos, que son objetos hoja. Cada clase de objetos del esquema de Active Directory tiene atributos que aseguran:

Identificación única de cada objeto en un almacén de datos del directorio.

Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad

con los identificadores de seguridad (SID) utilizados en el sistema operativo Windows NT 4.0 y anteriores. Compatibilidad con los estándares LDAP para nombres de objetos de directorio.

Consultas y atributos de esquema

Con la herramienta Esquema de Active Directory puede marcar un atributo como indizado. Al hacerlo, se agregan al índice todas las instancias de dicho atributo, no sólo las instancias que son miembros de una clase determinada. Al indizar un atributo podrá encontrar más rápidamente los objetos que tengan ese atributo. También puede incluir atributos en el catálogo global. El catálogo global contiene un conjunto predeterminado de atributos para cada objeto del bosque y puede agregarles los que desee. Los usuarios y las aplicaciones utilizan el catálogo global para buscar objetos en el bosque. Incluya sólo los atributos que tengan las siguientes características:

Útil globalmente. El atributo debe ser necesario para buscar objetos (incluso

aunque sólo sea para acceso de lectura) que pueda haber en cualquier lugar del bosque. No volátil. El atributo deber ser invariable o cambiar con muy poca frecuencia.

Los atributos de un catálogo global se replican a todos los demás catálogos globales del bosque. Si el atributo cambia con frecuencia, genera mucho tráfico de replicación. Pequeño. Los atributos de un catálogo global se replican a todos los catálogos globales del bosque. Cuanto menor sea el atributo, menor será el impacto de la replicación.

Nombres de objetos de esquema

Como se ha indicado anteriormente, las clases y los atributos son objetos de esquema. Se puede hacer referencia a cualquier objeto de esquema mediante los siguientes tipos de nombres:

Nombre LDAP para mostrar. El nombre LDAP para mostrar es único globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta de una o varias palabras combinadas, con la letra inicial de cada palabra en mayúsculas después de la primera palabra. Por ejemplo, mailAddress y

machinePasswordChangeInterval son los nombres LDAP para mostrar de dos atributos de esquema. Esquema de Active Directory y otras herramientas administrativas de Windows 2000 muestran el nombre LDAP para mostrar de los objetos, y los programadores y administradores utilizan este nombre para hacer referencia al objeto mediante programa. Consulte la próxima subsección para obtener información acerca de cómo ampliar el esquema mediante programa; consulte la sección "Protocolo compacto de acceso a directorios" para obtener más información acerca de LDAP. Nombre común. Los nombres comunes de los objetos de esquema también son

únicos globalmente. El nombre común se especifica cuando se crea una nueva clase o atributo de objeto en el esquema; se trata del nombre en referencia relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para obtener más información acerca de los RDN, consulte la sección "Nombres DN y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos mencionados en el párrafo anterior son SMTP-Mail-Address y Machine- Password-Change-Interval. Identificador de objeto (OID). El identificador de un objeto de esquema es un número emitido por una entidad como Organización internacional de normalización (ISO) y American National Standards Institute (ANSI). Por ejemplo, el OID para el atributo SMTP-Mail-Address es 1.2.840.113556.1.4.786. Se garantiza que los OID son únicos en todas las redes de todo el mundo. Una vez que obtenga un OID raíz de una entidad emisora, puede utilizarlo para asignar OID adicionales. Los OID forman una jerarquía. Por ejemplo, Microsoft ha emitido el OID raíz 1.2.840.113556. Microsoft administra internamente otras ramas adicionales desde esta raíz. Una de las ramas se utiliza para asignar OID a las clases de esquema de Active Directory y otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es 1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede analizarse como se muestra en la tabla 1.

Tabla 1. Identificador de objeto

Número de Id. de objeto
Número de Id.
de objeto
Identifica
Identifica
1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI,
  • 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI,

Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2
2 ANSI emitió 1.2.840 para EE.UU.,
  • 2 ANSI emitió 1.2.840 para EE.UU.,

Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2
840 EE.UU. emitió 1.2.840.113556 para Microsoft,
  • 840 EE.UU. emitió 1.2.840.113556 para Microsoft,

Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2
Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2
  • 113556 Microsoft administra internamente varias ramas de

identificadores de objeto bajo 1.2.840.113556, que incluyen:

1 una rama denominada Active Directory que incluye
  • 1 una rama denominada Active Directory que incluye

Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2
5 una rama denominada clases que incluye
  • 5 una rama denominada clases que incluye

Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2
4 una rama denominada Dominio integrado
  • 4 una rama denominada Dominio integrado

Número de Id. de objeto Identifica 1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI, 2

Para obtener más información acerca de los OID y cómo obtenerlos, consulte "Para obtener más información" al final de este documento.

Ampliar el esquema

El sistema operativo Windows 2000 Server proporciona un conjunto predeterminado de clases y atributos de objeto que son suficientes

para muchas organizaciones. Aunque no puede eliminar objetos del esquema, puede marcarlos como desactivados. Los programadores y los administradores de redes con experiencia pueden ampliar dinámicamente el esquema si definen nuevas clases y nuevos atributos para las clases existentes. La forma recomendada de ampliar el esquema de Active Directory es mediante programa, a través de las Interfaces de servicio de Active Directory (ADSI). También puede emplear la utilidad Formato de intercambio de datos LDAP (LDIFDE). (Para obtener más información acerca de ADSI y LDIFDE, consulte las secciones "Interfaz de servicio de Active Directory" y "Active Directory y LDIFDE".) Para propósitos de desarrollo y de pruebas, también puede ver y modificar el esquema de Active Directory con la herramienta Esquema de Active Directory. Cuando se plantee cambiar el esquema, recuerde estos puntos clave:

Los cambios del esquema son globales en todo el bosque.

Las ampliaciones del esquema no son reversibles (aunque puede modificar

algunos atributos). Microsoft requiere que no se amplíe el esquema para adherirse a las reglas de

nomenclatura (descritas en la subsección anterior), tanto para el nombre LDAP para mostrar como para el nombre común. El programa del logotipo Certificado para Windows 7 exige el cumplimiento. Visite el sitio Web Microsoft Developer Network para obtener más información al respecto. Todas las clases del esquema derivan de la clase especial Top. A excepción de Top, todas las clases son subclases derivadas de otra clase. La herencia de atributos permite crear nuevas clases a partir de las ya existentes. La nueva subclase hereda los atributos de su superclase (clase principal).

La ampliación del esquema es una operación avanzada. Para obtener información detallada acerca de cómo ampliar el esquema mediante programa, consulte la sección "Para obtener más información" al final de este documento.

Convenciones de nomenclatura de objetos

Active Directory admite varios formatos de nombres de objeto para admitir las distintas formas que puede adoptar un nombre, dependiendo del contexto en que se utilice (algunos nombres tienen formato numérico). En las siguientes subsecciones se describen estos tipos de convenciones de nomenclatura para los objetos de Active Directory:

Nombres de principales de seguridad.

Identificadores de seguridad (también denominados Id. de seguridad o SID).

Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y

nombres canónicos). GUID de objeto.

Nombres de inicio de sesión (incluidos UPN y nombres de cuentas SAM).

Si la organización tiene varios dominios, es posible utilizar el mismo nombre de usuario o de equipo en diferentes dominios. El Id. de seguridad, el GUID, el nombre completo LDAP y el nombre canónico generados por Active Directory identifican de forma única a cada usuario o equipo del directorio. Si se cambia el nombre del objeto de usuario o de equipo, o se mueve a otro dominio, el Id. de seguridad, el nombre en referencia relativa LDAP, el nombre completo y el nombre canónico cambian, pero el GUID generado por Active Directory no cambia.

Nombres de principales de seguridad

Un principal de seguridad es un objeto de Windows 2000 administrado por Active Directory al que se asigna automáticamente un identificador de seguridad (SID) para la autenticación de inicio de sesión y el acceso a los recursos. Un principal de seguridad puede ser una cuenta de usuario, una cuenta de equipo o un grupo, de modo que un nombre de principal de seguridad identifica de forma única a un usuario, un equipo o un grupo dentro de un único dominio. Un objeto de principal de seguridad debe estar autenticado por un controlador del dominio en el que se encuentra el objeto y se le puede conceder o denegar el acceso a los recursos de la red. Un nombre de principal de seguridad no es único entre dominios pero, por compatibilidad con versiones anteriores, debe ser único en su propio dominio. Se puede cambiar el nombre de los objetos de principales de seguridad , se pueden mover o pueden estar dentro de una jerarquía de dominios anidados. Los nombres de los objetos de principales de seguridad deben ajustarse a las siguientes directrices:

El nombre no puede ser idéntico a otro nombre de usuario, equipo o grupo del

dominio. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los siguientes: " / \ [ ] : ; | = , + * ? <> Un nombre de usuario, equipo o grupo no puede contener sólo puntos (.) o espacios en blanco.

Id. de seguridad (SID)

Un identificador de seguridad (SID) es un nombre único creado por el subsistema de seguridad del sistema operativo Windows 2000 y se asigna a objetos de principales de seguridad; es decir, a cuentas de usuario, grupo y equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos internos del sistema operativo Windows 2000 hacen referencia al SID de las cuentas en vez de a los nombres de usuario o de grupo de las cuentas.

Cada objeto de Active Directory está protegido mediante entradas de control de acceso (ACE) que identifican los usuarios o grupos que pueden tener acceso al objeto. Cada ACE contiene el SID de cada usuario o grupo con permiso de acceso a dicho objeto y define el nivel de acceso permitido. Por ejemplo, un usuario podría tener acceso de sólo lectura a determinados archivos, acceso de lectura y escritura a otros y no tener acceso a otros archivos. Si crea una cuenta, la elimina y después crea otra cuenta con el mismo nombre de usuario, la nueva cuenta no tendrá los derechos o permisos concedidos anteriormente a la cuenta antigua, ya que los SID correspondientes a las cuentas son diferentes.

Nombres relacionados con LDAP

Active Directory es un servicio de directorio compatible con el Protocolo compacto de acceso a directorios (LDAP). En el sistema operativo Windows 2000, todos los accesos a los objetos de Active Directory se producen a través de LDAP. LDAP define las operaciones que se pueden realizar para consultar y modificar información en un directorio, y cómo se puede tener acceso de forma segura a la información de un directorio. Por tanto, se utiliza LDAP para buscar o enumerar objetos del directorio y para consultar o administrar Active Directory. (Para obtener más información acerca de LDAP, consulte la sección "Protocolo compacto de acceso a directorios".) Es posible consultar mediante el nombre completo LDAP (que es un atributo del objeto), pero como resulta difícil de recordar, LDAP también admite la consulta por otros atributos (por ejemplo, color para buscar las impresoras en color). De esta forma puede buscar un objeto sin tener que saber su nombre completo. En las tres subsecciones siguientes se describen los formatos de nomenclatura de objetos admitidos por Active Directory, que se basan todos en el nombre completo LDAP:

Nombres DN y RDN de LDAP.

Direcciones URL de LDAP.

Nombres canónicos basados en LDAP.

Nombres DN y RDN de LDAP

LDAP proporciona nombres completos (DN) y nombres en referencia relativa (RDN) para los objetos 8 . Active Directory implementa estas convenciones de nomenclatura LDAP con las variaciones que se muestran en la tabla 2.

Tabla 2. Convenciones de nomenclatura de LDAP y sus correspondientes en Active Directory

Convención de nomenclatura DN y RDN de LDAP

correspondiente en Active Directory

Convención de nomenclatura

cn=nombre común

cn=nombre común

ou=unidad organizativa

ou=unidad organizativa

o=organización

dc=componente de dominio

c=país

(no se admite)

Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se utiliza para describir el RDN de un objeto se denomina atributo de nomenclatura. Los atributos de nomenclatura de Active Directory, que se muestran en la columna derecha, corresponden a las siguientes clases de objetos de Active Directory:

cn se utiliza para la clase de objeto usuario

ou se utiliza para la clase de objeto unidad organizativa (OU)

dc se utiliza para la clase de objeto DnsDominio

Todos los objetos de Active Directory tienen un DN de LDAP. Los objetos se encuentran dentro de dominios de Active Directory según una ruta de acceso jerárquica, que incluye las etiquetas del nombre de dominio de Active Directory y cada nivel de los objetos contenedores. La ruta de acceso completa al objeto la define el DN. El RDN define el nombre del objeto. El RDN es el segmento del DN de un objeto que es un atributo del propio objeto. Al usar la ruta de acceso completa a un objeto, incluido el nombre de objeto y todos los objetos principales hasta la raíz del dominio, el DN identifica un objeto único dentro de la jerarquía de dominios. Cada RDN se almacena en la base de datos de Active Directory y contiene una referencia a su principal. Durante una operación LDAP, se construye todo el DN siguiendo las referencias hasta la raíz. En un DN de LDAP completo, el RDN del objeto que se va a identificar aparece a la izquierda con el nombre de la rama y termina a la derecha con el nombre de la raíz, según se muestra en este ejemplo:

cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU

,dcNombreOrganización.dc=com

El RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente (el objeto principal de JDoe) es ou=Componentes, etc. Las herramientas de Active Directory no muestran las abreviaturas de LDAP para los atributos de nomenclatura (dc=, ou= o cn=). Estas abreviaturas sólo se muestran para ilustrar la forma en que LDAP reconoce las partes del DN. La mayoría de las herramientas de Active Directory muestran los nombres de objeto en formato canónico (descrito más adelante). El sistema operativo Windows 2000 utiliza el DN para permitir que un cliente LDAP recupere la información de un objeto del directorio, pero ninguna interfaz de usuario de Windows 2000 requiere escribir los DN. El uso explícito de DN, RDN y atributos de nomenclatura sólo es necesario al escribir programas o secuencias de comandos compatibles con LDAP.

Nombres de direcciones URL de LDAP

Active Directory admite el acceso mediante el protocolo LDAP desde cualquier cliente habilitado para LDAP. En RFC 1959 se describe un formato para el Localizador de recursos universal (dirección URL) de

LDAP que permite que los clientes de Internet tengan acceso directo al protocolo LDAP. Las direcciones URL de LDAP también se utilizan en secuencias de comandos. Una dirección URL de LDAP empieza con el prefijo "LDAP" y después contiene el nombre del servidor que aloja los servicios de Active Directory, seguido del nombre de atributo del objeto (el nombre completo). Por ejemplo:

LDAP://servidor1.RegiónEEUU.nombreOrg.com/cn=JDoe,

ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg,dc=com

Nombres canónicos de Active Directory basados en LDAP

De forma predeterminada, las herramientas administrativas de Active Directory muestran los nombres de objeto con el formato de nombre canónico, que enumera los RDN desde la raíz hacia abajo y sin los descriptores de atributos de nomenclatura de RFC 1779 (dc=, ou= o cn=). El nombre canónico utiliza el formato de nombres de dominio de DNS; es decir, los constituyentes de la sección de etiquetas de dominio están separados por puntos: RegiónEEUU.NombreOrg.com.

En la tabla 3 se muestran las diferencias entre el DN de LDAP y el mismo nombre en formato canónico.

Tabla 3. Diferencias entre el formato de DN de LDAP y el formato de nombre canónico

El mismo nombre en dos formatos

 
Nombre DN de LDAP: Nombre canónico:
Nombre
DN de
LDAP:
Nombre
canónico:

cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg.dc=com

RegiónEEUU.NombreOrg.com/Fabricación/Componentes/JDoe

GUID de objeto

Además de su DN de LDAP, cada objeto de Active Directory tiene un identificador único global (GUID), un número de 128 bits que asigna el Agente del sistema del directorio cuando se crea el objeto. El GUID, que no se puede modificar ni mover, se almacena en un atributo, objectGUID, que es necesario para cada objeto. A diferencia de un DN o un RDN, que se puede modificar, el GUID nunca cambia. Cuando se almacena una referencia a un objeto de Active Directory en un almacén externo (por ejemplo, una base de datos de Microsoft SQL Server™), debe utilizarse el valor de objectGUID.

Nombres de inicio de sesión: UPN y nombres de cuentas SAM

Como se ha descrito anteriormente, los principales de seguridad son objetos a los se aplica la seguridad basada en Windows tanto para la autenticación de inicio de sesión como para la autorización de acceso a los recursos. Los usuarios son un tipo de principal de seguridad. En el sistema operativo Windows 2000, los principales de seguridad de

usuario requieren un nombre único de inicio de sesión para obtener acceso a un dominio y sus recursos. En las dos subsecciones siguientes se describen los dos tipos de nombres de inicio de sesión:

UPN y nombres de cuentas SAM.

Nombre de principal de usuario

En Active Directory, cada cuenta de usuario tiene un nombre de principal de usuario (UPN) con el formato <usuario>@<nombreDominioDNS>. Un UPN es un nombre descriptivo asignado por un administrador que es más corto que el nombre completo LDAP utilizado el sistema y más fácil de recordar. El UPN es independiente del DN del objeto de usuario, por lo que el objeto de usuario se puede mover o cambiar de nombre sin que ello afecte al nombre de inicio de sesión del usuario. Cuando se inicia una sesión con un UPN, los usuarios ya no tienen que elegir un dominio de una lista en el cuadro de diálogo de inicio de sesión. Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesión del usuario), el carácter @ y el sufijo UPN (normalmente un nombre de dominio). El sufijo UPN predeterminado de una cuenta de usuario es el nombre DNS del dominio de Active Directory en el que se encuentra la cuenta de usuario 9 . Por ejemplo, el UPN del usuario John Doe, que tiene una cuenta de usuario en el dominio NombreOrg.com (si NombreOrg.com es el único dominio del árbol), es JDoe@NombreOrg.com. El UPN es un atributo (userPrincipalName) del objeto de principal de seguridad. Si el atributo userPrincipalName de un objeto de usuario no tiene valor, el objeto tiene como UPN predeterminado nombreUsuario@nombreDominioDns. Si la organización tiene muchos dominios que forman un árbol de dominios profundo, organizado por departamentos y regiones, los nombres UPN predeterminados pueden llegar a ser bastante farragosos. Por ejemplo, el UPN predeterminado de un usuario podría ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesión para un usuario de dicho dominio es usuario@ventas.costaoeste.microsoft.com. En vez de aceptar el nombre de dominio DNS predeterminado como el sufijo UPN, puede simplificar los procesos de administración y de inicio de sesión de usuario si proporciona un único sufijo UPN a todos los usuarios. (El sufijo UPN sólo se utiliza dentro del dominio de Windows 2000 y no es necesario que sea un nombre válido de dominio DNS.) Puede utilizar su nombre de dominio de correo electrónico como sufijo UPN:

nombreUsuario@nombreOrganización.com. Así, el usuario del ejemplo tendría el nombre UPN usuario@microsoft.com. En el caso de un inicio de sesión basado en UPN, quizás sea necesario un catálogo global, dependiendo del usuario que inicie la sesión y la pertenencia al dominio del equipo del usuario. Se necesita un catálogo global si el usuario inicia la sesión con un nombre UPN que no sea el predeterminado y la cuenta de equipo del usuario se encuentra en un dominio distinto que la cuenta del usuario. Es decir, si en lugar de aceptar el nombre de dominio DNS predeterminado

como sufijo UPN (como en el ejemplo anterior, usuario@ventas.costaoeste.microsoft.com), proporciona un único sufijo UPN para todos los usuarios (de forma que el usuario sea usuario@microsoft.com), se necesita un catálogo global para el inicio de sesión. La herramienta Dominios y confianza de Active Directory se utiliza para administrar los sufijos UPN de un dominio. Los UPN se asignan en el momento de crear un usuario. Si ha creado sufijos adicionales para el dominio, puede elegir uno en la lista de sufijos disponibles al crear la cuenta de usuario o de grupo. Los sufijos aparecen en la lista en el siguiente orden:

Sufijos alternativos (si hay alguno, el último que se ha creado aparecerá en

primer lugar). Dominio raíz.

Dominio actual.

Nombre de cuenta SAM

Un nombre de cuenta del Administrador de cuentas de seguridad (SAM) es necesario por compatibilidad con los dominios de Windows NT 3.x y Windows NT 4.0. La interfaz de usuario de Windows 2000 se refiere al nombre de cuenta SAM como "Nombre de inicio de sesión de usuario (anterior a Windows 2000)". Los nombres de cuentas SAM a veces se denominan nombres planos ya que, a diferencia de los nombres DNS, los nombres de cuentas SAM no utilizan una nomenclatura jerárquica. Como los nombres SAM son planos, cada uno debe ser único en el dominio.

Publicación de objetos

Publicar es el acto de crear objetos en el directorio que contengan directamente la información que desea que esté disponible o que proporcionen una referencia a dicha información. Por ejemplo, un objeto de usuario contiene información útil acerca de los usuarios, como sus números de teléfono y sus direcciones de correo electrónico, y un objeto de volumen contiene una referencia a un volumen compartido de un sistema de archivos. A continuación se ofrecen dos ejemplos: publicar objetos de archivo e impresión en Active Directory:

Publicación de recursos compartidos. Puede publicar una carpeta compartida

como un objeto de volumen (también denominado objeto de carpeta compartida) en Active Directory con el complemento Usuarios y grupos de Active Directory. Esto significa que los usuarios ahora pueden consultar fácil y rápidamente dicha carpeta compartida en Active Directory. Publicación de impresoras. En un dominio de Windows 2000, la forma más sencilla de administrar, buscar y conectarse a impresoras es mediante Active Directory. De forma predeterminada 10 , cuando agrega una impresora con el

Asistente para agregar impresoras y decide compartirla, Windows 2000 Server la publica en el dominio como un objeto de Active Directory. Publicar (enumerar) impresoras en Active Directory permite a los usuarios encontrar la impresora más adecuada. Ahora los usuarios pueden consultar fácilmente cualquiera de estas impresoras en Active Directory y buscar por atributos de impresora como tipo (PostScript, color, papel de tamaño oficio, etc.) y ubicación. Cuando se quita una impresora del servidor, éste anula la publicación.

También puede publicar en Active Directory impresoras que no estén basadas en Windows 2000 (es decir, impresoras que estén servidores de impresión no basados en Windows 2000). Para ello, utilice la herramienta Usuarios y equipos de Active Directory para escribir la ruta de acceso a la impresora según la convención de nomenclatura universal (UNC). De forma alternativa, utilice la secuencia de comandos Pubprn.vbs que se encuentra en la carpeta System32. La política de grupo Eliminación de impresora de bajo nivel determina cómo el servicio de eliminación (eliminación automática de impresoras) trata las impresoras que están en servidores de impresión no basados en Windows 2000 cuando una impresora no está disponible.

Cuándo publicar

Debe publicar la información en Active Directory cuando sea útil o interesante para una gran parte de la comunidad de usuarios y cuando sea necesario que esté fácilmente accesible. La información publicada en Active Directory tiene dos características principales:

Relativamente estática. Sólo se publica la información que cambia con poca

frecuencia. Los números de teléfono y las direcciones de correo electrónico son ejemplos de información relativamente estática adecuada para publicar. El mensaje de correo electrónico seleccionado actualmente del usuario es un ejemplo de información que cambia con mucha frecuencia. Estructurada. Publicar información estructurada y que puede representarse como un conjunto de atributos discretos. La dirección comercial de un usuario es un ejemplo de información estructurada adecuada para publicar. Un clip de audio con la voz del usuario es un ejemplo de información sin estructurar más adecuada para el sistema de archivos.

La información operativa utilizada por las aplicaciones es un candidato excelente para su publicación en Active Directory. Esto incluye información de configuración global que se aplica a todas las instancias de una aplicación dada. Por ejemplo, un producto de base de datos relacional podría almacenar como un objeto de Active Directory la configuración predeterminada de los servidores de bases de datos. Las nuevas instalaciones de ese producto podrían recopilar la configuración predeterminada de ese objeto, lo que simplifica el

proceso de instalación y mejora la coherencia de las instalaciones en una organización. Las aplicaciones también pueden publicar sus puntos de conexión en Active Directory. Los puntos de conexión se utilizan en los encuentros cliente-servidor. Active Directory define una arquitectura para la administración de servicios integrados mediante objetos de Punto de administración de servicios y proporciona puntos de conexión estándar para aplicaciones basadas en Llamada a procedimiento remoto (RPC), Winsock y Modelo de objetos componentes (COM). Las aplicaciones que no utilizan las interfaces RPC o Winsock para publicar sus puntos de conexión pueden publicar explícitamente en Active Directory objetos de Punto de conexión de servicios. También es posible publicar en el directorio los datos de aplicaciones utilizando objetos específicos de la aplicación. Los datos específicos de una aplicación deben cumplir los criterios descritos anteriormente. Es decir, la información debe ser de interés global, relativamente no volátil y estructurada.

Cómo publicar

Los métodos de publicar información varían dependiendo de la aplicación o el servicio:

Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la

familia RpcNs* de API para publicar sus puntos de conexión en el directorio y para consultar los puntos de conexión de servicios que han publicado los suyos. Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API

Registration and Resolution (Registro y resolución) disponibles en Winsock 2.0 para publicar sus puntos de conexión y para consultar los puntos de conexión de servicios que han publicado los suyos. Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM publican sus puntos de conexión mediante DCOM Class Store, que reside en Active Directory. DCOM es la especificación del Modelo de objetos componentes (COM) de Microsoft que define cómo se comunican los componentes a través de redes basadas en Windows. Utilice la herramienta Configuración de DCOM para integrar aplicaciones cliente-servidor en varios equipos. DCOM también puede utilizarse para integrar aplicaciones robustas de explorador Web.

Dominios: árboles, bosques, confianzas y unidades organizativas

Active Directory consta de uno o varios dominios. Al crear el controlador de dominio inicial en una red también se crea el dominio; no puede haber un dominio sin que haya al menos un controlador de dominio. Cada dominio del directorio se identifica mediante un nombre de dominio DNS. La herramienta Dominios y confianza de Active Directory se utiliza para administrar dominios.

Los dominios se utilizan para llevar a cabo los siguientes objetivos de administración de red:

Delimitar la seguridad. Un dominio de Windows 2000 define un límite de

seguridad: Las políticas y la configuración de seguridad (como los derechos administrativos y las listas de control de acceso) no cruzan de un dominio a otro. Active Directory puede incluir uno o varios dominios, cada uno con sus propias políticas de seguridad. Información de replicación. Un dominio es una partición del directorio de

Windows 2000 (también denominado un contexto de nombres). Estas particiones del directorio son las unidades de replicación. Cada dominio sólo almacena la información acerca de los objetos que se encuentran en dicho dominio. Todos los controladores de un dominio pueden recibir cambios efectuados en los objetos y pueden replicar esos cambios a todos los demás controladores de dicho dominio. Aplicar Política de grupo. Un dominio define un ámbito posible para la política

(la configuración de Política de grupo también puede aplicarse a unidades organizativas o a sitios). Al aplicar un objeto de política de grupo (GPO) al dominio se establece cómo se pueden configurar y utilizar los recursos del dominio. Por ejemplo, puede utilizar Política de grupo para controlar la configuración del escritorio, como el bloqueo del escritorio y la distribución de aplicaciones. Estas políticas sólo se aplican dentro del dominio, no entre varios dominios. Estructurar la red. Como un dominio de Active Directory puede abarcar varios

sitios y contener millones de objetos 11 , la mayoría de las organizaciones no necesitan crear dominios independientes para reflejar las divisiones y los departamentos de la organización. Nunca debe ser necesario crear dominios adicionales para administrar objetos adicionales. Sin embargo, algunas organizaciones requieren varios dominios para incorporar, por ejemplo, unidades de negocio independientes o completamente autónomas que no desean que nadie externo a la unidad tenga autorización sobre sus objetos. Dichas organizaciones pueden crear dominios adicionales y organizarlos en un bosque de Active Directory. Otro motivo para dividir la red en dominios independientes es si dos partes de la red están separadas por un vínculo tan lento que nunca se desea que tenga tráfico de replicación completa. (En el caso de los vínculos lentos que aún pueden tratar tráfico de replicación con menos frecuencia, puede configurar un único dominio con varios sitios.) Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000 puede delegar restrictivamente la autoridad administrativa tanto de unidades organizativas como de dominios individuales, lo que reduce el número de administradores necesarios con autoridad administrativa amplia. Como un dominio es un límite de seguridad, los permisos administrativos de un dominio están limitados al dominio de forma predeterminada. Por ejemplo, a un administrador con permisos para establecer políticas de seguridad en un dominio no se le concede automáticamente autoridad para establecer políticas de seguridad en otro dominio del directorio.

Comprender los dominios incluye entender los árboles, bosques, confianzas y unidades organizativas, y cómo se relaciona cada una de

estas estructuras con los dominios. En las siguientes subsecciones se describen cada uno de estos componentes de dominio:

Árboles

Bosques

Relaciones de confianza

Unidades organizativas

El sistema operativo Windows 2000 también presenta el concepto relacionado de sitios, pero la estructura de sitio y la estructura de dominio son independientes, con el fin de proporcionar administración flexible, por lo que los sitios se tratarán en una sección posterior. Este documento presenta los conceptos básicos acerca de los dominios y los sitios basados en Windows 2000. Para obtener información detallada acerca de cómo planear su estructura y distribución, consulte la Guía de diseño de la distribución de Microsoft Windows 2000 Server en la sección "Para obtener más información", al final de este documento. Cuando lea las próximas subsecciones en las que se describen posibles estructuras de dominio, tenga en cuenta que, para muchas organizaciones, una estructura que conste de un único dominio que sea a la vez un bosque con un único árbol no sólo es posible, sino que es la forma óptima de organizar la red. Empiece siempre con la estructura más sencilla y aumente su complejidad sólo cuando pueda justificarlo.

Árboles

En el sistema operativo Windows 2000, un árbol es un conjunto de uno o varios dominios con nombres contiguos. Si hay varios dominios, puede combinarlos en estructuras jerárquicas de árbol. Un posible motivo para tener varios árboles en el bosque es si una división de la organización tiene su propio nombre DNS registrado y ejecuta sus propios servidores DNS. El primer dominio creado es el dominio raíz del primer árbol. Los dominios adicionales del mismo árbol son dominios secundarios. Un dominio situado inmediatamente por encima de otro dominio en el mismo árbol es su principal. Todos los dominios que tienen un dominio raíz común se dice que forman un espacio de nombres contiguos. Los dominios de un espacio de nombres contiguos (es decir, en un único árbol) tiene nombres de dominio DNS contiguos que se forman de la siguiente manera: El nombre del dominio secundario aparece a la izquierda, separado del nombre de su dominio principal a la derecha por un punto. Cuando hay más de dos dominios, cada uno tiene su principal a la derecha del nombre de dominio, tal como se muestra en la figura 3. Los dominios basados en Windows 2000 que forman un árbol están vinculados mediante relaciones de confianza bidireccionales y transitivas. Estas relaciones de confianza se describen más adelante.

Figura 3. Dominios principales y secundarios en un árbol de dominios. Las flechas de dos puntas

Figura 3. Dominios principales y secundarios en un árbol de dominios. Las flechas de dos puntas indican relaciones de confianza bidireccionales transitivas

La relación principal-secundario entre dominios de un árbol sólo es una relación de nomenclatura y una relación de confianza. Los administradores de un dominio principal no lo son automáticamente de un dominio secundario y las políticas establecidas en un dominio principal no se aplican automáticamente a los dominios secundarios.

Bosques

Un bosque de Active Directory es una base de datos distribuida, que está compuesta de varias bases de datos parciales repartidas en varios equipos. La distribución de la base de datos aumenta la eficacia de la red, ya que permite ubicar los datos donde más se utilizan. Los dominios definen las particiones de la base de datos del bosque; es decir, un bosque consta de uno o varios dominios. Todos los controladores de dominio de un bosque contienen una copia de los contenedores Configuración y Esquema del bosque, además de una base de datos del dominio. Una base de datos del dominio es una parte de una base de datos del bosque. Cada base de datos del dominio contiene objetos de directorio, como los objetos de principales de seguridad (usuarios, equipos y grupos) a los que puede conceder o denegar acceso a los recursos de la red. Con frecuencia, un único bosque, que resulta fácil de crear y mantener, puede satisfacer las necesidades de una organización. Con un único bosque no es necesario que los usuarios conozcan la estructura del directorio, ya que todos ven un único directorio a través del catálogo global. Cuando se agrega un dominio nuevo al bosque, no se requiere ninguna configuración adicional de la confianza, ya que todos los dominios de un bosque están conectados por una confianza bidireccional transitiva. En un bosque con varios dominios, sólo es necesario aplicar una vez los cambios a la configuración para que afecten a todos los dominios. No debe crear bosques adicionales a menos que tenga necesidad evidente de hacerlo, ya que cada bosque que cree supondrá una carga adicional de administración 12 . Un motivo posible para crear varios bosques es si la administración de la red está distribuida entre varias divisiones autónomas que no están de acuerdo en la administración común del esquema y los contenedores de configuración. Otro motivo para crear un bosque independiente es asegurarse de que a determinados usuarios nunca se les concederá

acceso a ciertos recursos (en un bosque único, todos los usuarios pueden incluirse en cualquier grupo o pueden aparecer en una lista de control de acceso discrecional, o DACL 13 , en cualquier equipo del bosque). Con bosques independientes, es posible definir relaciones de confianza explícita para conceder a los usuarios de un bosque acceso a determinados recursos del otro bosque. (Para ver un ejemplo de dos bosques, consulte la figura 7 en la sección "Ejemplo: entorno mixto de dos bosques y una extranet".) Varios árboles de dominio dentro de un único bosque no constituyen un espacio de nombres contiguos; es decir, tienen nombres de dominio DNS que no son contiguos. Aunque los árboles de un bosque no comparten un espacio de nombres, un bosque tiene un único dominio raíz, denominado dominio raíz del bosque. El dominio raíz del bosque es, por definición, el primer dominio creado en el bosque. Los dos grupos predefinidos para todo el bosque, Administradores de empresa y Administradores del esquema, residen en este dominio. Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de los tres árboles de dominios (RRHH-Raíz.com, RaízEuropa.com y RaízAsia.com) tiene un dominio secundario para Contabilidad denominado "Contab", los nombres DNS de estos dominios secundarios son Contab.OfC-Raíz.com, Contab.RaízEuropa.com y Contab.RaízAsia.com, respectivamente. No hay ningún espacio de nombres compartido.

Figura 4. Un bosque con tres árboles de dominios. Los tres dominios raíz no son contiguos, pero RaízEuropa.com y RaízAsia.com son dominios secundarios de OfC-Raíz.com.

El dominio raíz de cada árbol de dominios del bosque establece una relación de confianza transitiva (que se explica con más detalle en la próxima sección) con el dominio raíz del bosque. En la figura 4, OfC- Raíz.com es el dominio raíz del bosque. Los dominios raíz de los demás árboles de dominios, RaízEuropa.com y RaízAsia.com, tienen relaciones de confianza transitiva con OfC-Raíz.com, que establece la confianza entre todos los árboles de dominios del bosque. Todos los dominios de Windows 2000 en todos los árboles de dominios de un bosque tienen las siguientes características:

Tienen relaciones de confianza transitiva entre los dominios de cada árbol.

Tienen relaciones de confianza transitiva entre los árboles de dominios de un

bosque. Comparten información de configuración común.

Comparten un esquema común.

Comparten un catálogo global común.

Importante Es fácil agregar nuevos dominios a un bosque. Sin embargo, no puede mover dominios existentes de Active Directory de Windows 2000 de un bosque a otro. Sólo puede quitar un dominio del bosque si no tiene dominios secundarios. Después de establecer un dominio raíz del árbol no puede agregar un dominio con un nombre nivel superior al bosque. No puede crear un dominio principal de uno ya existente; sólo puede crear uno secundario.

La implementación de árboles de dominios y de bosques permite utilizar convenciones de nomenclatura tanto contiguas como no contiguas. Esta flexibilidad puede resultar útil, por ejemplo, en organizaciones con divisiones independientes cada una de las cuales desee mantener su propio nombre DNS, como Microsoft.com y MSNBC.com.

Relaciones de confianza

Una relación de confianza es una relación que se establece entre dos dominios y permite que un controlador del otro dominio reconozca los usuarios de un dominio. Las confianzas permiten que los usuarios tengan acceso a los recursos del otro dominio y también permite que los administradores controlen los derechos de los usuarios del otro dominio. Para los equipos que ejecutan Windows 2000, la autenticación de cuentas entre dominios se habilita mediante relaciones de confianza transitivas bidireccionales. Todas las confianzas de dominio en un bosque basado en Windows 2000 son bidireccionales y transitivas, definidas de la siguiente forma:

Bidireccional. Cuando crea un nuevo dominio secundario, éste confía

automáticamente en el dominio principal y viceversa. En la práctica, esto significa que las solicitudes de autenticación pueden pasarse entre los dos dominios en ambas direcciones. Transitiva. Una confianza transitiva va más allá de los dos dominios de la relación de confianza inicial. Funciona del siguiente modo: Si el dominio A y el dominio B (principal y secundario) confían el uno en el otro y si el dominio B y el dominio C (también principal y secundario) confían el uno en el otro, entonces el dominio A y el dominio C confían entre sí (implícitamente), incluso aunque no exista una relación de confianza directa entre ellos. En el nivel del bosque, se crea automáticamente una relación de confianza entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominios agregado al bosque, con lo que existe una confianza completa entre todos los dominios de un bosque de Active Directory. En la práctica, como las relaciones de confianza son transitivas, un proceso de inicio de sesión único permite que el sistema autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este proceso de inicio de sesión único permite que la cuenta tenga acceso a los recursos de cualquier dominio del bosque.

Sin embargo, tenga en cuenta que el inicio de sesión único habilitado mediante confianzas no implica necesariamente que el usuario autenticado tenga derechos y permisos en todos los dominios del bosque. Además de las confianzas bidireccionales transitivas en todo el bosque generadas automáticamente en el sistema operativo Windows 2000, puede crear explícitamente los dos tipos siguientes de relaciones de confianza adicionales:

No hay una conexión necesaria entre espacios de nombres de sitios y dominios.

No hay una correlación necesaria entre la estructura física de la red y su

estructura de dominios. Sin embargo, en muchas organizaciones los dominios se configuran para reflejar la estructura física de la red. Esto se debe a que los dominios son particiones y este hecho influye en la replicación: al dividir el bosque en varios dominios más pequeños se puede reducir el tráfico de replicación. Active Directory permite que aparezcan varios dominios en un único sitio y que un único dominio aparezca en varios sitios.

Cómo utiliza Active Directory la información de sitios

La información de sitios se especifica mediante Sitios y servicios de Active Directory; a continuación, Active Directory usa esta información para determinar cómo utilizar mejor los recursos de red disponibles. Usar sitios hace que los siguientes tipos de operaciones sean más eficaces:

Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio

de un controlador de dominio, éste dirige la solicitud a un controlador del mismo sitio, si hay alguno disponible. Seleccionar un controlador de dominio que esté bien conectado al cliente que realizó la solicitud hace que el tratamiento de la solicitud sea más eficaz. Por ejemplo, cuando un cliente inicia la sesión mediante una cuenta de dominio, el mecanismo de inicio de sesión busca primero controladores de dominio que se encuentren en el mismo sitio que el cliente. Si se intenta usar primero los controladores de dominio en el sitio del cliente se delimita el tráfico de red, con lo que se aumenta la eficacia del proceso de autenticación. Replicar datos del directorio. Los sitios permiten la replicación de los datos del directorio tanto dentro como entre sitios. Active Directory replica la información dentro de un sitio con más frecuencia que entre sitios, lo que significa que los controladores de dominio mejor conectados, aquéllos que con más probabilidad de necesitan determinada información de directorio, reciben las réplicas en primer lugar. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menos frecuencia, con lo que se reduce el consumo del ancho de banda de la red. Replicar datos de Active Directory entre controladores de dominio proporciona disponibilidad de la información, tolerancia a errores, equilibrio de la carga y ventajas de rendimiento. (Para obtener una explicación de cómo implementa la replicación el sistema operativo Windows 2000, consulte la subsección "Replicación de múltiples maestros", al final de esta sección acerca de los sitios.)

Controladores de dominio, catálogos globales y datos replicados

La información almacenada en Active Directory en cada controlador de dominio (independientemente de si se trata de un servidor de catálogo global o no) se divide en tres categorías: datos de dominio, esquema y configuración. Cada una de estas categorías es una partición independiente del directorio, denominada también un contexto de nombres. Estas particiones del directorio son las

unidades de replicación. Las tres particiones del directorio que cada servidor de Active Directory contiene se definen a continuación:

Partición del directorio con datos de dominios. Contiene todos los objetos del

directorio para este dominio. Los datos de cada dominio se replican a todos los controladores de dicho dominio, pero no salen de él. Partición del directorio con datos del esquema. Contiene todos los tipos de

objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son comunes a todos los dominios del árbol de dominios o del bosque. Los datos del esquema se replican en todos los controladores de dominio del bosque. Partición del directorio con datos de configuración. Contiene la topología de replicación y los metadatos relacionados. Las aplicaciones compatibles con Active Directory almacenan la información en la partición del directorio de configuración. Estos datos son comunes a todos los dominios del árbol de dominios o del bosque. Los datos de configuración se replican en todos los controladores de dominio del bosque.

Si el controlador de dominio es un servidor de catálogo global, también contiene una cuarta categoría de información:

Réplica parcial de la partición del directorio con datos de dominios para

todos los dominios. Además de almacenar y replicar un conjunto completo de todos los objetos del directorio para su propio dominio host, un servidor de catálogo global almacena y replica una réplica parcial de la partición del directorio de dominios para todos los demás dominios del bosque. Esta réplica parcial, por definición, contiene un subconjunto de las propiedades para todos los objetos de todos los dominios del bosque. (Una réplica parcial es de sólo lectura, mientras que una réplica completa es de lectura y escritura.)

Si un dominio contiene un catálogo global, otros controladores de dominio replican todos los objetos de dicho dominio (con un subconjunto de sus propiedades) en el catálogo global y, después, la replicación de réplicas parciales se efectúa entre catálogos globales. Si un dominio no tiene catálogo global, un controlador de dominio normal sirve de origen de la réplica parcial.

De forma predeterminada, el conjunto parcial de atributos almacenados en el catálogo global incluye los atributos que se utilizan con más frecuencia en las operaciones de búsqueda, ya que una de las funciones principales del catálogo global es ofrecer soporte a los clientes que consultan el directorio. El uso de catálogos globales para realizar la replicación parcial de dominios en lugar de efectuar la replicación completa reduce el tráfico de WAN.

Replicación dentro de un sitio

Si la red consta de una única red de área local (LAN) o un conjunto de LAN conectadas mediante una red troncal de alta velocidad, toda la

red puede ser un único sitio. El primer controlador de dominio que instala crea automáticamente el primer sitio, denominado NombrePredeterminadoPrimerSitio. Después de instalar el primer controlador de dominio, todos los controladores adicionales se agregan automáticamente al mismo sitio que el controlador de dominio original. (Más adelante, si lo desea, puede moverlos a otros sitios.) La única excepción es la siguiente: Si en el momento de instalar un controlador de dominio su dirección IP está dentro de la subred especificada anteriormente en un sitio alternativo, el controlador de dominio se agregará a este sitio. La información de directorio dentro de un sitio se replica con frecuencia y automáticamente. La replicación dentro del sitio está optimizada para reducir al mínimo la latencia, es decir, para mantener los datos lo más actualizados posible. Las actualizaciones de directorio dentro del sitio no se comprimen. Los intercambios sin comprimir utilizan más recursos de red pero requieren menos capacidad de procesamiento de los controladores de dominio. En la figura 9 se ilustra la replicación dentro de un sitio. Tres controladores de dominio (uno de los cuales es un catálogo global) replican los datos de esquema y de configuración del bosque, así como todos los objetos del directorio (con un conjunto completo de los atributos de cada objeto).

red puede ser un único sitio. El primer controlador de dominio que instala crea automáticamente el

Figura 9. Replicación dentro del sitio con un único dominio

El servicio Comprobador de coherencia de réplica (KCC) de Active Directory genera automáticamente la configuración que forman las conexiones utilizadas para replicar la información de directorio entre los controladores de dominio, denominada topología de replicación. La topología de sitios de Active Directory es una representación lógica de una red física y se define para cada bosque. Active Directory intenta establecer una topología que permita al menos dos conexiones a cada controlador de dominio, de modo que si un

controlador no está disponible, la información del directorio pueda seguir llegando a todos los controladores de dominio conectados a través de la otra conexión. Active Directory evalúa y ajusta automáticamente la topología de replicación para adaptarse al estado cambiante de la red. Por ejemplo, cuando se agrega un controlador de dominio a un sitio, la topología de replicación se ajusta para incorporar esta adición de una forma eficaz. Los clientes y servidores de Active Directory usan la topología de sitios del bosque para enrutar el tráfico de consultas y replicación de forma eficaz. Si amplía la distribución desde el primer controlador de dominio en un dominio a varios controladores en varios dominios (dentro de un único sitio), la información de directorio que se replica cambia para incluir la replicación de la réplica parcial entre los catálogos globales en dominios diferentes. En la figura 10 se muestran dos dominios, cada uno de los cuales contiene tres controladores de dominio. Uno de los controladores de cada sitio también es un servidor de catálogo global. Dentro de cada dominio, los controladores de dominio replican los datos de esquema y de configuración del bosque, así como todos los objetos del directorio (con un conjunto completo de los atributos

de cada objeto), tal como se muestra en la figura 9. Además, cada catálogo global replica los objetos del directorio (sólo con un subconjunto de sus atributos) de su propio dominio al otro catálogo global.

Figura 10. Replicación dentro del sitio con dos dominios y dos catálogos globales

Replicación entre sitios

Cree varios sitios para optimizar el tráfico de servidor a servidor y de cliente a servidor a través de vínculos WAN. En el sistema operativo Windows 2000, la replicación entre sitios reduce automáticamente el consumo de ancho de banda entre sitios. Se recomienda tener en cuenta lo siguiente al configurar varios sitios:

Geografía. Establezca como un sitio cada área geográfica que requiera acceso

rápido a la información de directorio más reciente. Al establecer como sitios independientes áreas que requieren acceso inmediato a la información actualizada de Active Directory se proporcionan los recursos necesarios para satisfacer las necesidades de los usuarios. Controladores de dominio y catálogos globales. Coloque al menos un controlador de dominio en cada sitio y convierta al menos un controlador de dominio de cada sitio en un catálogo global. Los sitios que no tienen sus propios controladores de dominio y al menos un catálogo global dependen de otros sitos para obtener la información del directorio y son menos eficaces.

Cómo se conectan los sitios

Las conexiones de red entre los sitios se representan mediante vínculos a sitios. Un vínculo a sitios es una conexión de ancho de banda bajo o no confiable entre dos o varios sitios. Una WAN que conecta dos redes rápidas es un ejemplo de un vínculo a sitios. En general, se considera que dos redes cualesquiera unidas por un vínculo que es más lento que una red de área local están conectadas por un vínculo a sitios. Además, un vínculo rápido que está casi al límite de su capacidad tiene poco ancho de banda eficaz y se considera también un vínculo a sitios. Cuando hay varios sitios, los que están conectados mediante vínculos a sitios forman parte de la topología de replicación. En una red basada en Windows 2000, los vínculos a sitios no se generan automáticamente; debe crearlos mediante Sitios y servicios de Active Directory. Al crear los vínculos a sitios y configurar su disponibilidad de replicación, costo relativo y frecuencia de replicación, se proporciona información a Active Directory acerca de qué objetos de conexión debe crear para replicar los datos de directorio. Active Directory utiliza vínculos a sitios como indicadores de que debe crear objetos de conexión y éstos utilizan las conexiones de red reales para intercambiar información de directorio. Un vínculo a sitios tiene una programación asociada que indica a qué horas del día está disponible el vínculo para llevar tráfico de replicación. De forma predeterminada, los vínculos a sitios son transitivos, lo que significa que un controlador de dominio de un sitio puede efectuar

conexiones de replicación con los controladores de dominio de cualquier otro sitio. Es decir, si el sitio A está conectado al sitio B y éste lo está al sitio C, los controladores de dominio del sitio A pueden comunicarse con los controladores del sitio C. Cuando cree un sitio, quizás desee crear vínculos adicionales para habilitar conexiones específicas entre sitios y personalizar los vínculos existentes que conectan los sitios. En la figura 11 se muestran dos sitios conectados mediante un vínculo a sitios. De los seis controladores de dominio de la ilustración, dos son servidores cabeza de puente (el sistema asigna automáticamente esta función).

Figura 11. Dos sitios conectados mediante un vínculo a sitios. El servidor cabeza de puente preferido de cada sitio se utiliza principalmente para el intercambio de información entre sitios.

Los servidores cabeza de puente son los preferidos para la replicación, pero también puede configurar los demás controladores de dominio del sitio para replicar los cambios del directorio entre sitios. Una vez replicadas las actualizaciones de un sitio al servidor cabeza de puente del otro sitio, éstas se replican a otros controladores de dominio del mismo sitio mediante la replicación dentro del sitio. Aunque un único controlador de dominio recibe la actualización inicial de directorio entre sitios, todos los controladores de dominio atienden las solicitudes de los clientes.

Protocolos de replicación

La información de directorio puede intercambiarse mediante los siguientes protocolos de red:

Replicación IP. La replicación IP utiliza llamadas a procedimiento remoto

(RPC) para la replicación dentro de un sitio y a través de vínculos a sitios (entre sitios). De forma predeterminada, la replicación IP entre sitios se ajusta a las programaciones de replicación. La replicación IP no requiere una entidad emisora de certificados (CA). Replicación SMTP. Si tiene un sitio que no dispone de conexión física con el resto de la red pero al que se puede llegar a través del Protocolo simple de transferencia de correo (SMTP), dicho sitio sólo tiene conectividad basada en correo. La replicación SMTP sólo se utiliza para la replicación entre sitios. No puede utilizar la replicación SMTP para replicar entre controladores de dominio del mismo dominio; sólo se admite la replicación entre dominios a través de SMTP (es decir, SMTP sólo puede utilizarse para la replicación entre sitios y entre dominios). La replicación SMTP sólo puede utilizarse para la replicación de réplicas parciales del esquema, la configuración y el catálogo global. La replicación SMTP tiene en cuenta la programación de replicación generada automáticamente.

Si decide utilizar SMTP a través de vínculos a sitios, debe instalar y configurar una entidad emisora de certificados (CA) de empresa. Los controladores de dominio obtienen certificados de la entidad emisora y los utilizan para firmar y cifrar los mensajes de correo que contienen la información de replicación de directorio, con lo que se asegura la autenticidad de las actualizaciones. La replicación SMTP usa cifrado de 56 bits.

Replicación de múltiples maestros

Los controladores de dominio de Active Directory admiten la replicación de múltiples maestros, con lo que se sincronizan los datos en cada controlador y se asegura la coherencia de la información con el paso del tiempo. La replicación de múltiples maestros replica la información de Active Directory entre controladores de dominio homólogos, cada uno de los cuales contiene una copia de lectura y escritura del directorio. Esto representa un cambio con relación al sistema operativo Windows NT Server, en el que sólo el PDC tenía una copia de lectura y escritura del directorio (los BDC recibían copias de sólo lectura del PDC). Una vez configurada, la replicación es automática y transparente.

Propagación de actualizaciones y números de secuencia de actualización

Algunos servicios de directorio utilizan marcas temporales para detectar y propagar los cambios. En estos sistemas es esencial

mantener sincronizados los relojes de todos los servidores de directorio. La sincronización temporal de una red es muy difícil. Incluso con una sincronización temporal de la red excelente, es posible que la hora de un servidor de directorio dado sea incorrecta. Esto puede dar como resultado la pérdida de actualizaciones. El sistema de replicación de Active Directory no depende de la hora para propagar las actualizaciones. En su lugar, utiliza Números de secuencia de actualización (USN). Un USN es un número de 64 bits que mantiene cada controlador de dominio de Active Directory para realizar un seguimiento de las actualizaciones. Cuando el servidor escribe en un atributo o en una propiedad de un objeto de Active Directory (incluida la modificación de origen o una modificación replicada), se incrementa el USN y se almacena con la propiedad actualizada y con una propiedad que es específica del controlador de dominio. Esta operación se realiza de manera atómica; es decir, el incremento y almacenamiento del USN y la escritura del valor de la propiedad se realizan correctamente o fracasan como una unidad. Cada servidor de Active Directory también mantiene una tabla de los USN recibidos de los asociados de replicación. En esta tabla se almacena el mayor USN recibido de cada asociado. Cuando un asociado dado notifica al servidor de directorio que es necesario hacer una replicación, ese servidor pide todos los cambios cuyos USN sean mayores que el último valor recibido. Este enfoque simple no depende de la precisión de las marcas de tiempo. Puesto que el USN almacenado en la tabla se actualiza de forma atómica con cada actualización recibida, si se produce un error en un servidor también es sencillo recuperarlo. Para reiniciar la replicación, un servidor únicamente debe pedir a sus asociados todos los cambios cuyos USN sean mayores que la última entrada válida de la tabla. Como la tabla se actualiza de forma atómica a medida que se aplican los cambios, un ciclo de replicación interrumpido siempre se reiniciará exactamente donde se detuvo, sin que haya pérdida ni duplicación de actualizaciones.

Detección de colisiones y números de versión de propiedad

En un sistema de replicación de múltiples maestros como Active Directory, es posible que dos o más réplicas diferentes actualicen la misma propiedad. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) réplica antes de que se haya propagado totalmente un cambio de la primera réplica, se produce una colisión de replicación. Las colisiones se detectan mediante los números de versión de propiedad. A diferencia de los USN, que son valores específicos del servidor, los números de versión de propiedad son específicos de la propiedad de un objeto de Active Directory. Cuando se escribe por primera vez una propiedad en un objeto de Active Directory, se inicializa su número de versión. Las modificaciones de origen incrementan el número de versión de propiedad. Las modificaciones de origen son modificaciones de una propiedad del sistema que producen un cambio. Las modificaciones

de propiedades producidas por una replicación no son modificaciones de origen y no incrementan el número de versión. Por ejemplo, cuando un usuario actualiza su clave de acceso se produce una modificación de origen y se incrementa el número de versión de propiedad de la clave de acceso. Replicar la modificación de la clave de acceso en otros servidores no hace que se incremente el número de versión de propiedad. Se detecta una colisión cuando se recibe un cambio a través de una replicación cuyo número de versión de propiedad es igual al número de versión de propiedad almacenado localmente, y los valores recibido y almacenado son diferentes. Cuando esto ocurre, el sistema receptor aplicará la actualización que tenga la marca de tiempo posterior. Esta es la única situación en la que se utiliza la hora en la replicación. Cuando el número de versión de propiedad recibido es inferior al almacenado localmente, se considera que la actualización está anticuada y se descarta. Cuando el número de versión de propiedad recibido es superior al almacenado localmente, se acepta la actualización.

Disminución de la propagación

El sistema de replicación de Active Directory permite realizar bucles en la topología de replicación. Esto permite al administrador configurar una topología de replicación con múltiples rutas entre los servidores para conseguir un mejor rendimiento y disponibilidad. El sistema de replicación de Active Directory se encarga de disminuir la propagación para evitar que los cambios se propaguen indefinidamente y para eliminar la transmisión redundante de cambios a réplicas que ya están actualizadas. El sistema de replicación de Active Directory utiliza vectores de actualización para disminuir la propagación. El vector de actualización es una lista de pares de servidor y USN que cada servidor mantiene. El vector de actualización de cada servidor indica el mayor USN de las modificaciones de origen recibidas de los servidores en el par servidor–USN. Un vector de actualización para un servidor de un sitio determinado enumera todos los demás servidores de ese sitio 15 . Cuando se inicia un ciclo de replicación, el servidor solicitante envía su vector de actualización al servidor remitente. El servidor remitente utiliza el vector de actualización para filtrar los cambios enviados al servidor solicitante. Si el mayor USN de una modificación de origen dada es mayor o igual al USN de una modificación de origen para una actualización determinada, el servidor remitente no necesita enviar el cambio; el servidor solicitante ya está actualizado con respecto al de origen.

Usar delegación y Política de grupo con unidades organizativas, dominios y sitios

Puede delegar los permisos administrativos y asociar Política de grupo con los siguientes contenedores de Active Directory:

Unidades organizativas

Dominios

Sitios

Una unidad organizativa es el menor contenedor de Windows 2000 al que puede delegar autoridad o aplicar Política de grupo 16 . Tanto la delegación como Política de grupo son características de seguridad del sistema operativo Windows 2000. En este documento se describen brevemente en el contexto limitado de la arquitectura para mostrar que la estructura de Active Directory determina la forma de usar la delegación de contenedores y Política de grupo. Asignar la autoridad administrativa sobre unidades organizativas, dominios o sitios permite delegar la administración de usuarios y recursos. Asignar objetos de política de grupo (GPO) a cualquiera de estos tres tipos de contenedores permite definir configuraciones de escritorio y políticas de seguridad para los usuarios y los equipos del contenedor. En las dos subsecciones siguientes se describen estos temas con más detalle.

Delegación de contenedores

En el sistema operativo Windows 2000, la delegación permite que una autoridad administrativa superior conceda derechos administrativos específicos a unidades organizativas, dominios o sitios a grupos (o usuarios). De esta forma se reduce considerablemente el número de administradores necesarios con la autoridad buscada en grandes segmentos de usuarios. Delegar el control de un contenedor permite especificar quién dispone de permisos para tener acceso o modificar dicho objeto o sus objetos secundarios. La delegación es una de las características de seguridad más importantes de Active Directory.

Delegación de dominios y unidades organizativas

En el sistema operativo Windows NT 4.0, los administradores a veces delegan la administración mediante la creación de varios dominios con el fin de tener conjuntos distintos de administradores de dominio. En el sistema operativo Windows 2000, las unidades organizativas son más sencillas de crear, eliminar, mover y modificar que los dominios y, por tanto, son más adecuadas para la función de delegación.

Para delegar la autoridad administrativa (distinta de la autoridad sobre sitios, que se trata más adelante), se concede a un grupo derechos específicos sobre un dominio o unidad organizativa mediante la modificación de la lista de control de acceso discrecional (DACL) 17 del contenedor. De forma predeterminada, los miembros del grupo de seguridad Administradores del dominio tienen autoridad sobre todo el dominio, pero puede restringir la pertenencia a este grupo a un número limitado de administradores de confianza. Para establecer administradores con menor ámbito, puede delegar la autoridad al nivel más bajo de la organización; para ello, cree un árbol de unidades organizativas dentro de cada dominio y delegue la autoridad a partes del subárbol de unidades organizativas. Los administradores de dominio tienen un control total sobre cada objeto de su dominio. Sin embargo, no tienen derechos administrativos sobre los objetos de otros dominios 18 . Para delegar la administración de un dominio o una unidad organizativa se utiliza el Asistente para delegación de control, que está disponible en el complemento Usuarios y equipos de Active Directory. Haga clic con el botón secundario del mouse (ratón) en el dominio o en la unidad organizativa, seleccione Delegar control, agregue los grupos (o usuarios) a los que desee delegar el control y, a continuación, delegue las tareas comunes enumeradas o cree una tarea personalizada para delegar. En la tabla siguiente se enumeran las tareas comunes que puede delegar.

Tareas comunes de dominio que puede delegar

organizativas que puede delegar

Tareas comunes de unidades

· Unir un equipo a un dominio · Administrar vínculos de Política de grupo

· Crear, eliminar y administrar cuentas de usuario · Restablecer claves de acceso de cuentas de usuario · Leer toda la información de usuario · Crear, eliminar y administrar grupos · Modificar la pertenencia a un grupo · Administrar impresoras · Crear y eliminar impresoras · Administrar vínculos de Política de

grupo

Mediante una combinación de unidades organizativas, grupos y permisos, es posible definir el ámbito administrativo más apropiado para un grupo determinado: un dominio entero, un subárbol de unidades organizativas o una única unidad organizativa. Por ejemplo, puede crear una unidad organizativa que le permita conceder control administrativo para todas las cuentas de usuarios y equipos en todas las divisiones de un departamento, como el departamento de contabilidad. Por otra parte, puede conceder control administrativo sólo a algunos recursos dentro del departamento, como las cuentas de equipo. Un tercer ejemplo es conceder control administrativo a la unidad organizativa de contabilidad, pero no a ninguna unidad organizativa contenida dentro de ella.

Puesto que las unidades organizativas se utilizan para la delegación administrativa y no son principales de seguridad por sí mismas, la unidad organizativa principal de un objeto de usuario indica quién administra el objeto de usuario. No indica a qué recursos puede tener acceso dicho usuario.

Delegación de sitios

Sitios y servicios de Active Directory se utiliza para delegar el control de sitios, contenedores de servidor, transportes entre sitios (IP o SMTP) o subredes. Delegar el control de una de estas entidades ofrece al administrador delegado la capacidad de manipular dicha entidad, pero no de administrar los usuarios o los equipos que se encuentran en ella. Por ejemplo, cuando delega el control de un sitio puede elegir entre delegar el control de todos los objetos o delegar el control de uno o varios objetos que se encuentran en dicho sitio. Los objetos para los que puede delegar el control son: usuarios, equipos, grupos, impresoras, unidades organizativas, carpetas compartidas, sitios, vínculos a sitios, puentes de vínculos a sitios, etc. A continuación, se le pedirá que seleccione el ámbito de los permisos que desea delegar (general, específico de propiedades o simplemente la creación o eliminación de determinados objetos secundarios). Si especifica general, se le pedirá que conceda uno o varios de los permisos siguientes: Control total, Lectura, Escritura, Crear todos los objeto secundarios, Eliminar todos los objetos secundarios, Leer todas las propiedades o Escribir todas las propiedades.

Política de grupo

En Windows NT 4.0 se utiliza el Editor de políticas del sistema para definir las configuraciones de usuarios, grupos y equipos almacenadas en la base de datos del Registro de Windows NT. En el sistema operativo Windows 2000, Política de grupo define más componentes en el entorno del usuario que los administradores pueden controlar. Estos componentes incluyen opciones para las políticas basadas en el Registro, opciones de seguridad, opciones de distribución de software, secuencias de comandos (para iniciar y apagar el equipo, y para el inicio y cierre de sesión de usuarios) y la redirección de carpetas especiales 19 . El sistema aplica los valores de configuración de Política de grupo a los equipos durante el inicio o a los usuarios cuando inician la sesión. Los valores de Política de grupo se aplican a los usuarios o equipos en sitios, dominios y unidades organizativas mediante la vinculación del GPO al contenedor de Active Directory donde residen los usuarios o los equipos. De forma predeterminada, Política de grupo afecta a todos los usuarios y equipos del contenedor vinculado. La pertenencia a grupos de seguridad se utiliza para filtrar los GPO que afectan a los usuarios

y equipos de una unidad organizativa, un dominio o un sitio. Esto permite aplicar la política en un nivel más granular; es decir, el uso de grupos de seguridad permite aplicar la política a grupos específicos de objetos de un contenedor. Para filtrar la política de grupo de esta forma se utiliza la ficha Seguridad en la página Propiedades de un GPO para controlar quién puede leerlo. A los usuarios que no tengan Aplicar política de grupo y Leer establecidos a Permitir como miembros de un grupo de seguridad no se les aplicará dicho GPO. Sin embargo, puesto que los usuarios normales tienen estos permisos de forma predeterminada, Política de grupo afecta a todos los usuarios y equipos del contenedor vinculado a menos que cambie estos permisos explícitamente. La ubicación de un grupo de seguridad en Active Directory no tiene importancia para Política de grupo. Para el contenedor específico al que se aplica el GPO, los valores del GPO determinan lo siguiente:

Qué recursos del dominio (como las aplicaciones) están disponibles para los

usuarios. Cómo está configurado el uso de estos recursos del dominio.

Por ejemplo, un GPO puede determinar qué aplicaciones tienen disponibles los usuarios en su equipo cuando inician la sesión, cuántos usuarios pueden conectarse a Microsoft SQL Server cuando se inicie en un servidor o a qué servicios tienen acceso los usuarios cuando se mueven a otros departamentos o grupos. Política de grupo permite administrar un número pequeño de GPO en lugar de un gran número de usuarios y equipos. Los sitios, los dominios y las unidades organizativas, a diferencia de los grupos de seguridad, no confieren la pertenencia. En su lugar, contienen y organizan objetos del directorio. Utilice los grupos de seguridad para conceder derechos y permisos a los usuarios y, a continuación, utilice los tres tipos de contenedores de Active Directory para alojar los usuarios y los equipos, y para asignar valores de Política de grupo. Como el acceso a los recursos se concede mediante grupos de seguridad, verá que es más eficaz utilizar grupos de seguridad para representar la estructura organizativa de su empresa que usar dominios o unidades organizativas para reflejar la estructura de la organización. De forma predeterminada, los contenedores secundarios heredan los valores de la política que afectan a todo el dominio o que se aplican a una unidad organizativa que contiene otras unidades organizativas, a menos que el administrador especifique explícitamente que la herencia no se aplica a uno o varios contenedores secundarios.

Delegar el control de Política de grupo

Los administradores de la red (miembros del grupo Administradores de empresa o Administradores del dominio) pueden utilizar la ficha Seguridad de la página Propiedades del GPO para averiguar qué

grupos de administradores pueden modificar los valores de la política en los GPO. Para ello, un administrador de la red define primero los grupos de administradores (por ejemplo, administradores de mercadotecnia) y, a continuación, les proporciona acceso de lectura y escritura a los GPO seleccionados. Tener control total de un GPO no permite a un administrador vincularlo a un sitio, dominio o unidad organizativa. Sin embargo, los administradores de la red también pueden conceder esta posibilidad mediante el Asistente para delegación de control. En el sistema operativo Windows 2000 puede delegar independientemente las tres tareas siguientes de Política de grupo:

Administrar los vínculos de Política de grupo de un sitio, un dominio o una

unidad organizativa. Crear objetos de Política de grupo.

Modificar los objetos de Política de grupo.

Política de grupo, al igual que la mayoría de las demás herramientas administrativas de Windows 2000, se encuentra en las consolas de MMC. Por tanto, los derechos para crear, configurar y utilizar consolas de MMC tienen implicaciones sobre la política. Puede controlar estos derechos mediante Política de grupo en

<Nombre de objeto de política de grupo>/Configuración de usuario/Plantillas

administrativas/Componentes de Windows/Microsoft Management Console/

y sus subcarpetas. En la tabla 4 se enumeran los valores de los permisos de seguridad para un objeto de política de grupo.

Tabla 4. Valores de permisos de seguridad para un GPO

Grupos (o usuarios)

Permiso de seguridad

Usuario autenticado

Lectura con ACE Aplicar Política de

grupo

Administradores de dominio Administradores de empresa Creador propietario del sistema local

Control total sin ACE Aplicar Política de grupo

Nota De forma predeterminada, los administradores también son usuarios autenticados, lo que significa que tienen configurado el atributo Aplicar Política de grupo. Para obtener más información acerca de Política de grupo, consulte la sección "Para obtener más información" al final de este documento.

Interoperabilidad

Muchas organizaciones dependen de un conjunto variado de tecnologías que deben funcionar conjuntamente. Active Directory

admite una serie de estándares para garantizar la interoperabilidad del entorno Windows 2000 con otros productos de Microsoft y una amplia variedad de productos de otros proveedores. En esta sección se describen los siguientes tipos de interoperabilidad admitidos por Active Directory:

Protocolo LDAP.

Interfaces de programación de aplicaciones.

Sincronizar Active Directory con otros servicios de directorio.

Función de contenedores virtuales y ajenos en interoperabilidad.

Función Kerberos en interoperabilidad.

Compatibilidad con el sistema operativo Windows NT.

Protocolo compacto de acceso a directorios

El Protocolo compacto de acceso a directorios (LDAP) es el estándar para el acceso a directorios. Internet Engineering Task Force (IETF) desea convertir LDAP en el estándar de Internet.

Active Directory y LDAP

LDAP es el principal protocolo de acceso a directorios que se utiliza para agregar, modificar y eliminar información almacenada en Active Directory, así como para consultar y recuperar datos de Active Directory. El sistema operativo Windows 2000 admite las versiones 2 y 3 de LDAP 20 . LDAP define cómo un cliente de directorio puede tener acceso a un servidor de directorio y cómo el cliente puede realizar operaciones y compartir datos del directorio. Es decir, los clientes de Active Directory deben utilizar LDAP para obtener o mantener la información en Active Directory. Active Directory utiliza LDAP para permitir la interoperabilidad con otras aplicaciones cliente compatibles con LDAP. Con el permiso adecuado, puede utilizar cualquier aplicación cliente compatible con LDAP para examinar, consultar, agregar, modificar o eliminar información en Active Directory.

Interfaces de programación de aplicaciones

Puede utilizar las siguientes interfaces de programación de aplicaciones (API) para tener acceso a la información de Active Directory:

Interfaz de servicio de Active Directory (ADSI).

API C de LDAP.

Estas API se describen en las dos subsecciones siguientes.

Interfaz de servicio de Active Directory

La Interfaz de servicio de Active Directory (ADSI) permite el acceso a Active Directory mediante la exposición de objetos almacenados en el directorio como objetos del Modelo de objetos componentes (COM). Un objeto de directorio se manipula mediante los métodos disponibles en una o varias interfaces COM. ADSI tiene una arquitectura de proveedor que permite que COM tenga acceso a diferentes tipos de directorios para los que existe un proveedor. Actualmente, Microsoft suministra proveedores ADSI para Servicios de directorio de Novell NetWare (NDS) y NetWare 3, Windows NT, LDAP y la metabase de Servicios de Internet Information Server (IIS). (La metabase de IIS contiene los valores de configuración de IIS.) El proveedor LDAP puede utilizarse con cualquier directorio LDAP, incluido Active Directory, Microsoft Exchange 5.5 o Netscape. Puede utilizar ADSI desde muchas herramientas, que van desde aplicaciones de Microsoft Office hasta C/C++. ADSI es extensible, con lo que puede agregar funcionalidad a un objeto ADSI para admitir propiedades y métodos nuevos. Por ejemplo, puede agregar un método al objeto de usuario que crea un buzón de Exchange para un usuario cuando se invoque el método. ADSI tiene un modelo de programación muy sencillo. Simplifica la carga de administración de datos que es característica de las interfaces que no son COM, como las API C de LDAP. Como ADSI puede utilizarse en secuencias de comandos, resulta fácil desarrollar aplicaciones Web completas. ADSI admite ActiveX® Data Objects (ADO) y la base de datos de vinculación e incrustación de objetos (OLE DB) para realizar consultas. Los programadores y los administradores pueden agregar objetos y atributos a Active Directory mediante la creación de secuencias de comandos basadas en ADSI (así como secuencias de comandos basadas en LDIFDE, que se describe más adelante en este documento).

API C de LDAP

La API C de LDAP, definida en el estándar de Internet RFC 1823, es un conjunto de API de bajo nivel del lenguaje C para el protocolo LDAP. Microsoft admite las API C de LDAP en todas las plataformas Windows. Los programadores pueden escribir aplicaciones compatibles con Active Directory mediante las API C de LDAP o ADSI. Las API C de LDAP son las que suelen utilizarse para facilitar el transporte de las aplicaciones de directorio a la plataforma Windows. Por otra parte, ADSI es un lenguaje más eficaz y más adecuado para los programadores que escriben código de directorio en la plataforma Windows.

Sincronizar Active Directory con otros servicios de directorio

Microsoft proporciona servicios de sincronización de directorios que permiten sincronizar la información de Active Directory con Microsoft Exchange 5.5, Novell NDS y NetWare, Lotus Notes y GroupWise. Además, las utilidades de la línea de comandos permiten importar y exportar información de directorio desde otros servicios de directorio.

Active Directory y Microsoft Exchange

El sistema operativo Windows 2000 contiene un servicio denominado Active Directory Connector que ofrece sincronización bidireccional con Microsoft Exchange 5.5. Active Directory Connector proporciona una asignación rica de objetos y atributos cuando sincroniza los datos entre los dos directorios. Para obtener más información acerca de Active Directory Connector, consulte la sección "Para obtener más información" al final de este documento.

Active Directory y Novell NDS y NetWare

Como parte de Servicios para NetWare 5.0, Microsoft pretende distribuir un servicio de sincronización de directorios que efectúe la sincronización bidireccional con Novell NDS y NetWare.

Active Directory y Lotus Notes

Como parte de Platinum, el nombre en código de la próxima versión de Microsoft Exchange, Microsoft va a incluir un servicio de sincronización de directorios que efectúe la sincronización bidireccional con Lotus Notes para sincronizar el correo electrónico y otros atributos comunes.

Active Directory y GroupWise

Como parte de Platinum, el nombre en código de la próxima versión de Microsoft Exchange, Microsoft va a incluir un servicio de sincronización de directorios que efectúe la sincronización bidireccional con GroupWise para sincronizar el correo electrónico y otros atributos comunes.

Active Directory y LDIFDE

El sistema operativo Windows 2000 proporciona la utilidad de línea de comandos Formato de intercambio de datos LDAP (LDIFDE) para permitir la importación y exportación de información de directorio. Formato de intercambio de datos LDAP (LDIF) es un borrador de Internet que es un estándar en el que se define el formato de archivo

utilizado para intercambiar información de directorio. La utilidad de Windows 2000 que admite importar y exportar al directorio mediante LDIF se denomina LDIFDE. LDIFDE permite exportar información de Active Directory en formato LDIF, de forma que se pueda importar posteriormente a otro directorio. También puede utilizar LDIFDE para importar información desde otro directorio. Puede emplear LDIFDE para realizar operaciones por lotes, como agregar, eliminar, cambiar el nombre o modificar. También puede llenar Active Directory con información obtenida de otros orígenes, como otros servicios de directorio. Además, puesto que el esquema de Active Directory se almacena en el propio directorio, puede utilizar LDIFDE para realizar una copia de seguridad o ampliar el esquema. Para obtener una lista de los parámetros de LDIFDE y su función, consulte la Ayuda de Windows 2000. Para obtener información acerca de cómo utilizar LDIFDE en operaciones por lotes con Active Directory, consulte la sección "Para obtener más información" al final de este documento.

Referencias internas y externas

Un administrador puede crear un objeto de referencia cruzada que señale a un servidor de un directorio externo al bosque. Cuando un usuario busca en un subárbol que contiene este objeto de referencia cruzada, Active Directory devuelve una referencia a dicho servidor como parte del conjunto de resultados y el cliente LDAP sigue la referencia para obtener los datos solicitados por el usuario. Dichas referencias son objetos contenedores de Active Directory que hacen referencia a un directorio externo al bosque. La diferencia estriba en que una referencia interna se refiere a un directorio externo que aparece en el espacio de nombres de Active Directory como secundario de un objeto existente de Active Directory, mientras que una referencia externa se refiere a un directorio externo que no aparece en el espacio de nombres de Active Directory como secundario. Para las referencias internas y externas, Active Directory contiene el nombre DNS de un servidor que tiene una copia del directorio externo y el nombre completo de la raíz del mismo en la que empiezan las operaciones de búsqueda en el directorio externo.

Función Kerberos en interoperabilidad

.

El sistema operativo Windows 2000 admite varias configuraciones

para la interoperabilidad multiplataforma:

Clientes. Un controlador de dominio de Windows 2000 puede proporcionar autenticación para los sistemas cliente que ejecuten implementaciones de Kerberos RFC-1510, incluidos los clientes que ejecuten un sistema operativo

distinto de Windows 2000. Las cuentas de usuarios y equipos de Windows 2000

pueden utilizarse como principales de Kerberos para servicios de Unix. Clientes y servicios Unix. En un dominio de Windows 2000, los clientes y servicios Unix pueden tener cuentas de Active Directory y, por tanto, pueden obtener la autenticación de un controlador de dominio. En este escenario, un principal de Kerberos se asigna a una cuenta de usuario o equipo de Windows

2000.

Aplicaciones y sistemas operativos. Las aplicaciones cliente para Win32® y los sistemas operativos distintos de Windows 2000 que se basan en la Interfaz de programación de aplicaciones de servicios de seguridad generales (API GSS) pueden obtener vales de sesión para los servicios dentro de un dominio de

Windows 2000.

En un entorno que ya utiliza un territorio Kerberos, el sistema operativo Windows 2000 admite interoperabilidad con los servicios Kerberos:

Territorio Kerberos. Los sistemas basados en Windows 2000 Professional

pueden autenticar un servidor Kerberos RFC-1510 dentro de un territorio con un inicio de sesión único en el servidor y una cuenta local de Windows 2000 Professional. Relaciones de confianza con territorios Kerberos. Se puede establecer una relación de confianza entre un dominio y un territorio Kerberos. Esto significa que un cliente de un territorio Kerberos puede autenticarse en un dominio de Active Directory para tener acceso a los recursos de red de dicho dominio.

Compatibilidad con el sistema operativo Windows NT

Un tipo especial de interoperabilidad consiste en mantener la compatibilidad con versiones anteriores del sistema operativo actual. De forma predeterminada, el sistema operativo Windows 2000 se instala en una configuración de red de modo mixto. Un dominio de modo mixto es un conjunto de equipos en red que ejecutan controladores de dominio de Windows NT y Windows 2000. Puesto que Active Directory admite el modo mixto, puede actualizar los dominios y los equipos a la velocidad que desee, dependiendo de las necesidades de la organización. Active Directory admite el protocolo de autenticación LAN Manager de Windows NT (NTLM) utilizado por el sistema operativo Windows NT, lo que significa que los usuarios y equipos de Windows NT autorizados pueden iniciar la sesión y tener acceso a los recursos de un dominio de Windows 2000. Para los clientes de Windows NT y los clientes de Windows 95 o 98 que no ejecuten software cliente de Active Directory, un dominio de Windows 2000 aparece como un dominio de Windows NT Server 4.0.

Resumen

Entre las muchas mejoras que ofrece el sistema operativo Windows 2000 Server, la más importante es la presentación del servicio de directorio Active Directory. Active Directory ayuda a centralizar y simplificar la administración de la red y, de este modo, mejora la capacidad de la red para respaldar los objetivos de la organización. Active Directory almacena información acerca de los objetos de la red y pone esta información a disposición de los administradores, los usuarios y las aplicaciones. Se trata de un espacio de nombres integrado con el Sistema de nombres de dominio (DNS) de Internet y, al mismo tiempo, es el software que define un servidor como controlador de dominio. Los dominios, los árboles, los bosques, las relaciones de confianza, las unidades organizativas y los sitios se utilizan para estructurar la red de Active Directory y sus objetos. Puede delegar la responsabilidad administrativa de las unidades organizativas, dominios o sitios a los usuarios o grupos adecuados y puede asignar valores de configuración a estos tres mismos contenedores de Active Directory. Esta estructura permite que los administradores controlen la red de modo que los usuarios puedan concentrarse en alcanzar sus objetivos empresariales. Actualmente, la norma es que las organizaciones dependan de tecnologías diversas que necesitan funcionar conjuntamente. Active Directory se ha creado a partir de protocolos estándar de acceso a directorios, lo cual, junto con varias API, permite que Active Directory interopere con otros servicios de directorio y una amplia variedad de aplicaciones de terceros. Además, Active Directory puede sincronizar datos con Microsoft Exchange y proporciona utilidades de la línea de comandos para importar y exportar datos a y desde otros servicios de directorio.

Para obtener más información

Para obtener la información más reciente acerca del sistema

operativo Windows 2000, consulte Microsoft TechNet o el sitio Web de Microsoft Windows 2000 Server

sumen/), el foro de Windows NT Server en MSN™ y el servicio en línea The Microsoft Network (GO WORD: MSNTS). Además, puede consultar los vínculos siguientes para obtener más información:

(http://www.microsoft.com/windows2000/en/server/help/) para Active Directory Connector: cómo sincroniza Active Directory Connector los datos entre Active Directory y Microsoft Exchange.

cómo utilizar LDIFDE para operaciones por lotes con Active Directory. Sitio Web de Internet Engineering Task Force (IETF) (http://www.ietf.org/) :

para obtener RFC de IETF y borradores de Internet.

La Guía de diseño de la distribución de Microsoft Windows 2000 Server, que describe cómo planear la estructura y la distribución de los dominios y los sitios de Windows 2000, se pondrá a la venta a principios del año 2000. También se encuentra en los CD de Windows 2000 Server y Windows 2000 Advanced Server como parte de las herramientas auxiliares.

Apéndice A: Herramientas

En este apéndice se proporciona una breve introducción a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.

Microsoft Management Console

En el sistema operativo Windows 2000 Server, Microsoft Management Console (MMC) proporciona interfaces coherentes para permitir que los administradores examinen las funciones de la red y utilicen las herramientas administrativas. Los administradores utilizan la misma consola tanto si son responsables de una única estación de trabajo como de una red completa de equipos. MMC contiene programas denominados complementos y cada uno de ellos trata tareas específicas de administración de la red. Cuatro de estos complementos son herramientas de Active Directory.

Complementos de Active Directory

Las herramientas administrativas de Active Directory que se incluyen con el sistema operativo Windows 2000 Server simplifican la administración de los servicios de directorio. Puede utilizar las herramientas estándar o MMC para crear herramientas personalizadas centradas en tareas de administración únicas. Puede

combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas. Los siguientes complementos de Active Directory están disponibles en el menú Herramientas administrativas de Windows 2000 Server de todos los controladores de dominio de Windows 2000:

Usuarios y equipos de Active Directory

Dominios y confianza de Active Directory

Sitios y servicios de Active Directory

El cuarto complemento de Active Directory es:

Esquema de Active Directory

La forma recomendada para ampliar el esquema de Active Directory es mediante programa, a través de las Interfaces de servicio de Active Directory (ADSI) o la utilidad Formato de intercambio de datos LDAP (LDIFDE). Sin embargo, para propósitos de desarrollo y de pruebas, también puede ver y modificar el esquema de Active Directory con el complemento Esquema de Active Directory. Esquema de Active Directory no está disponible en el menú Herramientas administrativas de Windows 2000 Server. Debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlas a una consola de MMC. Un quinto complemento, que está relacionado con las tareas de Active Directory, es:

Complemento Política de grupo

Configurar las políticas de grupo es una tarea relacionada con la administración de usuarios, equipos y grupos de Active Directory. Los objetos de política de grupo (GPO), que contienen valores de políticas, controlan la configuración de usuarios y equipos en sitios, dominios y unidades organizativas. Para crear o modificar GPO, utilice el complemento Política de grupo, al que se tiene acceso a través de Usuarios y equipos de Active Directory o mediante Sitios y servicios de Active Directory (dependiendo de la tarea que desee realizar). Para utilizar las herramientas administrativas de Active Directory de forma remota, desde un equipo que no sea un controlador de dominio (por ejemplo, uno que ejecute Windows 2000 Professional), debe instalar las herramientas administrativas de Windows 2000.

Formas nuevas de realizar tareas conocidas

En la tabla 5 se enumeran las tareas comunes que puede realizar mediante los complementos de Active Directory y las herramientas

administrativas relacionadas. Para los usuarios del sistema operativo Windows NT Server, en la tabla también se muestra dónde se realizan estas tareas cuando se utilizan las herramientas de administración proporcionadas por Windows NT Server 4.0.

Tabla 5. Tareas realizadas con las herramientas de Active Directory y Política de grupo

Si desea:
Si desea:
controlador de Instalar un dominio
controlador de
Instalar un
dominio

Administrar cuentas de usuario

Administrar grupos

Administrar cuentas de equipo

Agregar un equipo a un dominio

Crear o administrar relaciones de confianza

Administrar políticas de cuentas

Administrar derechos de usuario

Administrar políticas de auditoría
Administrar
políticas de
auditoría

Configurar políticas para usuarios y equipos de un sitio

Configurar políticas para usuarios y equipos de un dominio

Configurar políticas para usuarios y equipos de un unidad organizativa

Usar grupos de seguridad para filtrar el ámbito de

En Windows NT

4.0, utilice:

Instalación de

Windows

Administrador de

usuarios

Administrador de

usuarios

Administrador de

servidores

Administrador de

servidores

Administrador de usuarios

Administrador de

usuarios

Administrador de usuarios

Administrador de usuarios

Editor de políticas del sistema

Editor de políticas del sistema

No aplicable

No aplicable

En Windows 2000, utilice:

Asistente para instalación de Active Directory (al que se tiene acceso desde

Configurar el servidor).

Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory

Dominios y confianza de Active Directory.

Usuarios y equipos de Active Directory

Modifique el objeto de política de grupo para el dominio o la unidad organizativa que contenga los equipos a los que se

Usuarios y equipos de Active Directory:

aplican los derechos de usuario.

Modifique el objeto de política de grupo asignado a la unidad organizativa

Usuarios y equipos de Active Directory:

Controladores de dominio.

Política de grupo, al que se tiene acceso a través de Sitios y servicios de Active

Directory

Política de grupo, al que se tiene acceso a través de Usuarios y equipos de Active Directory

Política de grupo, al que se tiene acceso a través de Usuarios y equipos de Active Directory

Modificar la entrada de permiso para Aplicar Política de grupo en la ficha

Seguridad de la hoja de propiedades del

la política
la política
la política objeto de política de grupo.

objeto de política de grupo.

Herramientas de la línea de comandos de Active Directory

Los administradores avanzados y los especialistas de soporte técnico

de redes también pueden utilizar diversas herramientas de la línea de comandos para configurar, administrar y solucionar problemas de Active Directory. Estas herramientas se denominan herramientas auxiliares y están disponibles en el disco compacto de Windows 2000 Server en la carpeta \SUPPORT\RESKIT. Se describen en la tabla 6.

Tabla 6. Herramientas de la línea de comandos relacionadas con Active Directory

Descripción
Descripción

Mover objetos de un dominio a otro.

Configurar las listas de control de acceso para objetos que pertenecían anteriormente a cuentas que se han movido, han

quedado huérfanas o se han eliminado.

Permite realizar operaciones LDAP en Active Directory. Esta

herramienta tiene una interfaz gráfica de usuario.

Comprobar el registro dinámico de registros de recursos DNS, incluida la actualización segura de DNS, así como la anulación

del registro de los registros de recursos.

Ver o modificar las listas de control de acceso de los objetos del

directorio.

Administración por lotes de confianzas, unión de equipos a

dominios, comprobación de confianzas y canales seguros.

Comprobar de un extremo a otro la red y las funciones de

servicios distribuidos.

Comprobar que el ubicador y el canal seguro están funcionando.

Comprobar la coherencia de replicación entre asociados de replicación, supervisar el estado de replicación, mostrar los metadatos de replicación, forzar los eventos de replicación y

actualizar el Comprobador de coherencia de réplica (KCC).

Mostrar la topología de replicación, supervisar el estado de replicación (incluidas las políticas de grupo), forzar los eventos de replicación y actualizar el Comprobador de coherencia de réplica.

Esta herramienta tiene una interfaz gráfica de usuario.

Comparar la información de directorio en controladores de

dominio y detectar las diferencias.

Complemento de Microsoft Management Console (MMC) que se utiliza para ver todos los objetos del directorio (incluida la información de esquema y de configuración), modificar objetos y

configurar listas de control de acceso para los objetos.

Comprobar la propagación y la replicación de las listas de control

de acceso de los objetos especificados del directorio. Esta

ACLDiag DFSCheck
ACLDiag
DFSCheck

herramienta permite que un administrador determine si las listas de control de acceso se heredan correctamente y si los cambios de

las mismas se replican de un controlador de dominio a otro.

Determinar si a un usuario se le ha concedido o denegado el acceso a un objeto del directorio. También puede utilizarse para restablecer las listas de control de acceso a su estado

predeterminado.

Utilidad de la línea de comandos para administrar todos los aspectos del Sistema de archivos distribuido (Dfs), comprobar la simultaneidad de configuración de los servidores Dfs y mostrar la

topología Dfs.

Página de referencia de comandos de Windows 2000

En la Ayuda de Windows 2000 encontrará una lista completa de los comandos de Windows 2000, con información acerca de cómo utilizar cada uno. Escriba "referencia de comandos" en la ficha Índice o en la ficha Buscar.

Interfaz de servicio de Active Directory

Puede utilizar las Interfaces de servicio de Active Directory (ADSI) para crear secuencias de comandos para diversos propósitos. El CD de Windows 2000 Server contiene varias secuencias de comandos ADSI de ejemplo. Para obtener más información acerca de ADSI, consulte las secciones "Interfaz de servicio de Active Directory" y "Para obtener más información". © 1999 Microsoft Corporation. Reservados todos los derechos. La información contenida en este documento representa la visión actual de Microsoft Corporation acerca de los asuntos abordados en la fecha de su publicación. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la información que se presenta después de la fecha de publicación. Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, NI IMPLÍCITA NI EXPLÍCITA, EN ESTE DOCUMENTO. Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows y Windows NT son marcas o marcas registradas de Microsoft Corporation en EE.UU. y/o en otros países. Los nombres de otras compañías y productos aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios. Microsoft Corporation • One Microsoft Way • Redmond, WA 98052- 6399 • USA

1

En un dominio de Windows 2000 Server, un controlador de dominio

es un equipo que ejecuta el sistema operativo Windows 2000 Server que administra el acceso de los usuarios a una red (esto incluye el

inicio de sesión, la autenticación y el acceso al directorio y a recursos compartidos).

  • 2 Una zona DNS es una partición contigua del espacio de nombres

DNS que contiene los registros de recursos para los dominios DNS de

dicha zona.

  • 3 LDAP es un protocolo que se utilizar para tener acceso a un servicio de directorio; consulte las secciones "Nombres relacionados con

LDAP" y "Protocolo compacto de acceso a directorios".

  • 4 Descrito en el borrador de Internet del Internet Engineering Task

Force (IETF) denominado draft-ietf-dnsind-rfc2052bis-02.txt, "A DNS RR for specifying the location of services (DNS SRV)". (Los borradores de Internet son documentos de trabajo del Internet Engineering Task Force (IETF), sus áreas y sus grupos de trabajo.)

  • 5 Descrito en RFC 2136, Observations on the use of Components of the Class A Address Space within the Internet.

  • 6 Los grupos de Windows 2000 se definen de forma diferente a

Windows NT. Windows 2000 incluye dos tipos de grupos: 1, grupos de seguridad (para administrar el acceso de usuarios y equipos a recursos compartidos y para filtrar los valores de política de grupo) y 2, grupos de distribución (para crear listas de distribución de correo electrónico). Windows 2000 también incluye tres ámbitos de grupo: 1, grupos con ámbito local de dominio (para definir y administrar el

acceso a los recursos dentro de un único dominio); 2, grupos con ámbito global (para administrar objetos de directorio que precisan mantenimiento diario, como las cuentas de usuario y equipo; el ámbito global se utiliza para agrupar cuentas dentro de un dominio); y 3, grupos con ámbito universal (para consolidar grupos que abarcan dominios; puede agregar cuentas de usuario a grupos con ámbito global y, a continuación, anidar estos grupos dentro de grupos que tengan ámbito universal). (Para obtener más información acerca de los grupos de Windows 2000, incluido el nuevo tipo de grupo universal, consulte la sección "Para obtener más información" al final de este documento.)

  • 7 Para poder obtener el logotipo Certificado para Windows, VeriTest

debe probar la aplicación con el fin de comprobar que cumpla la

Especificación de aplicaciones para Windows 2000. Puede elegir cualquier combinación de plataformas, siempre y cuando se incluya al menos un sistema operativo Windows 2000. Las aplicaciones pueden llevar el logotipo "Certificado para Microsoft Windows" una vez hayan superado las pruebas de conformidad y se haya establecido un contrato de licencia de logotipo con Microsoft. El logotipo que se obtiene indica las versiones de Windows para las que está certificado

el producto. Consulte

  • 8 Active Directory admite LDAP v2 y LDAP v3, que reconocen las

convenciones de nomenclatura de RFC 1779 y RFC 2247.

9 Si no se ha agregado ningún UPN, los usuarios pueden iniciar la sesión explícitamente si proporcionan su nombre de usuario y el nombre DNS del dominio raíz.

  • 10 Las políticas de grupo que controlan los valores predeterminados

de las impresoras de publicación son Publicar automáticamente impresoras nuevas en Active Directory y Permitir que se

publiquen impresoras (esta última controla si se pueden publicar o no las impresoras de ese equipo).

  • 11 En comparación con versiones anteriores de Windows NT Server,

la base de datos de SAM tenía un límite de unos 40000 objetos por

dominio.

  • 12 Para obtener una descripción de esta sobrecarga adicional,

consulte la "Guía de diseño de la distribución de Windows 2000 Server", que describe cómo planear la estructura y la distribución de

dominios y sitios de Windows 2000, en la sección "Para obtener más información" al final de este documento.

  • 13 Una DACL concede o deniega permisos para un objeto a

determinados usuarios o grupos.

  • 14 Para obtener más información acerca de la interoperabilidad con

territorios Kerberos, consulte la sección "Función Kerberos en

interoperabilidad".

  • 15 Los vectores de actualización no son específicos del sitio. Un

vector de actualización contiene una entrada por cada servidor en el

que se puede escribir en la partición del directorio (contexto de nombres).

  • 16 Además de delegar la autoridad en contenedores, puede conceder

permisos (como lectura y escritura) hasta el nivel de atributo de un

objeto.

  • 17 Las entradas de control de acceso (ACE) de la DACL de un objeto

determinan quién tiene acceso a dicho objeto y qué tipo de acceso

tiene. Cuando se crea un objeto en el directorio, se le aplica una DACL predeterminada (definida en el esquema).

  • 18 De forma predeterminada, al grupo Administradores de empresa

se concede Control total sobre todos los objetos de un bosque.

  • 19 La extensión Redirección de carpetas se utiliza para redirigir

cualquier carpeta especial de un perfil de usuario a una ubicación

alternativa (por ejemplo, un recurso compartido de red): Datos de programa, Escritorio, Mis documentos (y/o Mis imágenes), Menú Inicio.

  • 20 LDAP versión 2 se describe en RFC 1777; LDAP versión 3 se

describe en RFC 2251.