Conceptos básicos

Resumen Técnico de Active Directory

Windows® 2000

Sistema Operativo de Servidor

Documentos Estratégicos

Resumen

Introducción

Este documento proporciona una introducción técnica al Active

Directory, el nuevo servicio de directorio proporcionado por el sistema
operativo del Servidor Windows 2000 de Microsoft. Este documento
incluye explicaciones detalladas de los conceptos importantes del
Active Directory, elementos arquitectónicos y características. La
sección Conceptos Importantes describe los términos que necesita
comprender antes de abordar el Active Directory mismo. Las
siguientes dos secciones, Arquitectura y Funciones del Active
Directory entran más en detalle sobre lo que realiza el Active
Directory, qué características trae a Windows y como está
implementado. La sección Migración cubre modelos de dominio de
migración y estructuras de directorio de Windows NT 4.0 a Windows
2000. La última sección, Preguntas Más Frecuentes, responde
preguntas sobre el Active Directory y cómo funciona.

Un directorio es una fuente de información usada para almacenar

información sobre objetos interesantes. Un directorio telefónico
almacena información sobre los subscriptores. En un sistema de
archivo, el directorio almacena información sobre los archivos.

En un sistema computacional distribuido o una red computacional

pública como Internet, hay muchos objetos interesantes, tales como
impresoras, servidores de fax, aplicaciones, bases de datos y otros
usuarios. Los usuarios quieren encontrar y usar estos objetos. Los
administradores quieren manejar como se usan estos objetos.

En este documento, los "términos directorio" y "servicio de directorio"

se refieren a los directorios que se encuentran en redes públicas y
privadas. Un servicio de directorio difiere de un directorio en que es
tanto la fuente de información del directorio como los servicios que
hacen la información disponible y utilizable para los usuarios.

Un servicio de directorio es uno de los más importantes componentes

de un sistema computacional extenso. Con frecuencia los usuarios y
los administradores no saben el nombre exacto de los objetos en los
cuales están interesados. Pueden conocer uno o más atributos de los
objetos y pueden consultar el directorio para obtener una lista de
objetos que igualen los atributos: por ejemplo, "Encuentre todas las
impresoras bidireccional en el Edificio 26". Un servicio de directorio le
permite al usuario encontrar cualquier objeto dada uno de sus
atributos.

Un servicio de directorio puede:

• Reforzar la seguridad definida por los administradores para mantener la

información segura ante intrusos.
• Distribuir un directorio a través de muchas computadoras en una red.
• Hacer duplicados del directorio para que esté disponible para más usuarios y sea
resistente a las fallas.
• Separar un directorio en almacenes múltiples para permitir el almacenaje de un
gran número de objetos.

Un servicio de directorio es tanto una herramienta de manejo como una herramienta de

usuario final. Conforme aumenta el número de objetos en una red, el servicio de
directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un
gran sistema distribuido.

El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000.

Amplía las características de previos servicios de directorio basados en Windows y
agrega características totalmente nuevas. El Active Directory es seguro, distribuido,
separado, y duplicado. Está diseñado para funcionar bien en instalaciones de cualquier
tamaño, desde un solo servidor con unos cuantos cientos de objetos hasta miles de
servidores y millones de objetos. El Active Directory agrega muchas características
nuevas que hacen fácil navegar y manejar grandes cantidades de información, generando
ahorros de tiempo tanto para los administradores como para los usuarios finales.

Conceptos Importantes
Algunos conceptos y términos que son empleados para describir al Active Directory son
nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han
existido por un tiempo son usados para que signifiquen más que una cosa en particular.
Antes de continuar, es importante que entienda como se definen los siguientes conceptos
y términos en el contexto del Active Directory.

El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora,
archivo o usuario), cada servidor y cada dominio en una sola red de área amplia.
También puede incluir varias redes de área amplia combinadas, así es que es importante
tener en mente que el Active Directory puede escalar desde una sola computadora, a una
sola red computacional, hasta muchas redes computacionales combinadas.

El Active Directory es principalmente un espacio para nombres, como cualquier servicio

de directorio. El directorio es un espacio para nombres. Un espacio para nombres es
cualquier área limitada en la cual puede ser incluido un nombre dado. La inclusión del
nombre es el proceso de adaptar un nombre a algún objeto o información que representa.
Un directorio telefónico forma un espacio para nombres para el cual los nombres de los
subscriptores de teléfono pueden ser incluidos en números telefónicos. El sistema de
archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo
puede ser incluido al archivo mismo.

El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en

el directorio puede ser incluido al objeto mismo.

Un objeto es un juego de nombres preciso de atributos que representa algo en concreto,

como un usuario, una impresora, o una aplicación. Los atributos mantienen datos que
describen al sujeto que es identificado por el objeto del directorio. Los atributos de un
usuario pueden incluir su nombre, apellido y dirección de correo electrónico.

Figura 1. Un objeto de usuario y sus atributos

Un contenedor es como un objeto en que tiene atributos y es parte del espacio para
nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa
algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores.

Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y
contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el
árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son
conectados los objetos o el camino de un objeto a otro. Un simple directorio es un
contenedor. Una red computacional o dominio es también un contenedor. Un subárbol
colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los
miembros de cualquier contenedor en ese camino.
 Figura 2. Un subárbol colindante de un directorio de archivo

Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos
tipos diferentes de nombres.

Nombre Único
Cada objeto en el Active Directory tiene un nombre único (Distinguished
Name, DN). El nombre único identifica el dominio que conserva el objeto, así
como el camino completo a través de la jerarquía del contenedor por el cual se llega al
objeto. Un típico DN puede ser

/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith

Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com

Figura 3. Una representación gráfica de un nombre único

Nombre único Relativo

El Nombre único Relativo (Relative Distinguished Name , RDN) de un objeto es la
parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el
RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es
CN=Users.

El Active Directory está compuesto de uno a más contextos para dar nombres o
particiones. Un contexto para dar nombres es cualquier subárbol colindante del
directorio. Los contextos para dar nombres son las unidades de duplicado.
En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos
para dar nombres.

• El esquema
• La configuración (topología de partición y metadatos relacionados)
• Uno o más contextos para dar nombres de usuario (subárboles conteniendo los
objetos reales en el directorio).

Un dominio es un solo límite de seguridad de una red computacional de Windows NT o

Windows 2000. (Para más información sobre dominios, vea la documentación de
Windows). El Active Directory está compuesto de uno o más dominios. En una sola
estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar
más de una ubicación física. Cada dominio tiene sus propias políticas de seguridad y
relaciones de seguridad con otros dominios. Cuando dominios múltiples son
conectados por relaciones de confianza y comparten un esquema común,
configuración, y catálogo global, tienen un árbol dominio. Arboles de dominio múltiples
pueden conectarse juntos en un bosque.

Un árbol de dominio comprende varios dominios que comparten un esquema común y

configuración, formando un colindante espacio para nombres. Los dominios en un árbol
están también vinculados por relaciones de confianza. El Active Directory es un
conjunto de uno o más árboles.

Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de
confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio.

Visualizando las Relaciones de confianza

Puede trazar un dibujo de un árbol de dominio basado en los dominios individuales y de
cómo confían uno en el otro.

Windows 2000 establece las relaciones de confianza entre los dominios basándose en el
protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si
el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A
confía también en el dominio C.

Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza.

Visualizando el Espacio para nombres

También puede hacer un dibujo de un árbol de dominio basado en el espacio para
nombres (Namespace). Puede determinar el nombre único de un objeto siguiendo el
camino hacia el espacio para nombres del árbol de dominio. Esta vista es útil para
agrupar objetos en una jerarquía lógica. La principal ventaja de un colindante espacio
para nombres es que una búsqueda intensa desde la raíz del espacio para nombres
buscará en la jerarquía completa.
Figura 5. Viendo un árbol dominio como espacio para nombres

Un bosque es un conjunto de uno o más árboles que NO forman un espacio para

nombres colindante. Todos los árboles en un bosque comparten un esquema común,
configuración, y Catalogo Global. Todos los árboles en un bosque dado confían uno en
el otro vía relaciones de confianza Kerberos transitivas jerárquicas. A diferencia de un
árbol, un bosque no necesita un nombre único. Un bosque existe como un conjunto de
objetos de referencia recíproca y relaciones de confianza Kerberos conocidas para los
árboles miembros. Los árboles en un bosque forman una jerarquía para los propósitos de
confianza Kerberos; el nombre del árbol en la raíz del árbol de confianza puede ser
usado para referirse a un bosque dado.

Figura 6. Árboles múltiples en un bosque

Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory.
Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas"
significa que la conectividad de la red es altamente confiable y rápida (por ejemplo:
velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir
un sitio como un conjunto de subredes permite a los administradores configurar
rápidamente y fácilmente el acceso al Active Directory y la topología de replicación
para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active
Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya
que las máquinas en el mismo sitio están cerca una de otra en términos de red, la
comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio
local en tiempo de conexión se logra fácilmente debido a que la estación de
trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes
se adaptan directamente a los sitios del Active Directory.

Arquitectura
Esta corta sección presenta algunos de los principales componentes arquitectónicos del
Active Directory.

El modelo de datos del Active Directory se deriva del modelo de datos X.500. El
directorio conserva objetos que representan cosas de diferentes tipos, descritos por
características. El universo de objetos que pueden ser almacenados en el directorio está
Arquitectura de Active Directory

Sistema operativo

Notas del producto

Resumen
Para usar el sistema operativo Microsoft® Windows® 2000 Server
con la máxima eficacia, primero debe comprender qué es el servicio
de directorio Active Directory™. Active Directory, una novedad del
sistema operativo Windows 2000, desempeña una función importante
en la implementación de la red de la organización y, por tanto, en
conseguir sus objetivos comerciales. Este documento presenta Active
Directory a los administradores de red, explica su arquitectura y
describe cómo interactúa con las aplicaciones y con otros servicios de
directorio.
El presente documento se basa en la información disponible en el
momento de publicarse la versión Beta 3 de Windows 2000. La
información proporcionada aquí está sujeta a cambios antes de la
versión final de Windows 2000 Server.

Introducción
Comprender el servicio de directorio Active Directory™ es el primer
paso para entender cómo funciona el sistema operativo Windows®
2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos
empresariales. En este documento se examina Active Directory desde
estas tres perspectivas:

• Almacén. Active Directory, el servicio de directorio de Windows 2000 Server,

almacena de forma jerárquica la información acerca de los objetos de la red, y la
pone a disposición de administradores, usuarios y aplicaciones. En la primera
sección de este documento se explica lo que es un servicio de directorio, la
integración del servicio Active Directory con el Sistema de nombres de dominio
(DNS) de Internet y cómo se actualiza Active Directory cuando se designa un
servidor como controlador de dominio1.
• Estructura. Con Active Directory, la red y sus objetos se organizan mediante
elementos como dominios, árboles, bosques, relaciones de confianza, unidades
organizativas (OU) y sitios. En la próxima sección de este documento se
describe la estructura y la función de estos componentes de Active Directory, y
cómo esta estructura permite a los administradores controlar la red de modo que
los usuarios puedan alcanzar sus objetivos empresariales.
• Intercomunicación. Puesto que Active Directory se basa en los protocolos
estándar de acceso a directorios, puede interoperar con otros servicios de
directorio y otras aplicaciones de terceros que sigan estos protocolos pueden
 tener acceso a él. En la última sección se describe cómo Active Directory puede
comunicarse con numerosas tecnologías.

Ventajas de Active Directory

La inclusión de Active Directory en el sistema operativo Windows
2000 proporciona las siguientes ventajas:

• Integración con DNS. Active Directory utiliza el Sistema de nombres de

dominio (DNS). DNS es un servicio estándar de Internet que traduce los
nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en
direcciones numéricas (cuatro números separados por puntos) de Protocolo de
Internet (IP) legibles por los equipos. De esta forma, los procesos que se
ejecutan en equipos que están en redes TCP/IP pueden identificarse y conectarse
entre sí.
• Consultas flexibles. Los usuarios y los administradores pueden utilizar el
comando Buscar del menú Inicio, el icono Mis sitios de red del escritorio o el
complemento Usuarios y equipos de Active Directory para buscar rápidamente
un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un
usuario por nombre, apellido, nombre de correo electrónico, ubicación en la
oficina u otras propiedades de su cuenta de usuario. La búsqueda de información
está optimizada gracias al uso del catálogo global.
• Capacidad de ampliación. Active Directory es ampliable, lo que significa que
los administradores pueden agregar nuevas clases de objetos al esquema y
nuevos atributos a las clases existentes de objetos. El esquema contiene una
definición de cada clase de objeto y los atributos de las mismas, que se pueden
almacenar en el directorio. Por ejemplo, podría agregar un atributo Autorización
de compra al objeto Usuario y después almacenar el límite de autorización de
compra de cada usuario como parte de su cuenta.
• Administración basada en políticas. Las políticas de grupo son valores de
configuración que se aplican a equipos o usuarios cuando se inicializan. Todos
los valores de Política de grupo están contenidos en los Objetos de política de
grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de
Active Directory. Los valores de GPO determinan el acceso a objetos de
directorios y recursos de dominios, a qué recursos de dominios (como las
aplicaciones) tienen acceso los usuarios y cómo están configurados dichos
recursos.
• Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los
cuales tiene uno o varios controladores, lo que permite escalar el directorio para
satisfacer cualquier requisito de red. Es posible combinar varios dominios en un
árbol de dominios y varios árboles en un bosque. En la estructura más simple,
una red con un único dominio es a la vez un único árbol y un único bosque.
• Replicación de la información. Active Directory utiliza la replicación de
múltiples maestros, que permite actualizar el directorio en cualquier controlador
de dominio. Al distribuir varios controladores de dominio en un único dominio
se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de
dominio se vuelve lento, se detiene o produce un error, otros controladores del
mismo dominio pueden proporcionar el acceso necesario al directorio, ya que
contienen los mismos datos.
 • Seguridad de la información. La administración de la autenticación de usuarios
y el control de acceso, ambos integrados plenamente en Active Directory, son
características de seguridad clave del sistema operativo Windows 2000. Active
Directory centraliza la autenticación. El control de acceso puede definirse no
sólo para cada objeto del directorio, sino también para todas las propiedades de
cada objeto. Además, Active Directory proporciona el almacén y el ámbito de
aplicación de las políticas de seguridad. (Para obtener más información acerca
de la autenticación de inicio de sesión y el control de acceso de Active
Directory, consulte la sección "Para obtener más información" al final de este
documento.)
• Interoperabilidad. Puesto que Active Directory se basa en protocolos estándar
de acceso a directorios, como el Protocolo compacto de acceso a directorios
(LDAP), puede interoperar con otros servicios de directorio que empleen estos
protocolos. Varias interfaces de programación de aplicaciones (API), como las
Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores
acceso a estos protocolos.

El final de este documento, en "Apéndice A: Herramientas", se

proporciona una breve introducción a las herramientas de software
que puede utilizar para llevar a cabo las tareas asociadas a Active
Directory.

Servicio de directorio Active

Directory
Antes de pasar a las secciones principales de este documento, la
arquitectura e interoperabilidad de Active Directory, en esta sección
preliminar se examina brevemente Active Directory desde dos puntos
de vista muy diferentes:

• El primero es el lado más abstracto de Active Directory, es decir, como un

espacio de nombres que está integrado con el Sistema de nombres de dominio
(DNS) de Internet.
• El segundo es el lado más cotidiano de Active Directory, es decir, como el
software que convierte a un servidor en un controlador de dominio.

En el contexto de una red de equipos, un directorio (también

denominado almacén de datos) es una estructura jerárquica que
almacena información acerca de los objetos de la red. Los objetos
incluyen recursos compartidos como servidores, volúmenes
compartidos e impresoras, cuentas de usuarios y equipos, así como
dominios, aplicaciones, servicios, políticas de seguridad y cualquier
elemento de la red. Un ejemplo de los tipos específicos de
información que un directorio de red puede almacenar acerca de un
determinado tipo de objeto es aquél en el que un directorio
normalmente almacena un nombre de usuario, una clave de acceso,
una dirección de correo electrónico, un número de teléfono, etc. de
una cuenta de usuario.
La diferencia entre un servicio de directorio y un directorio es que se
refiere tanto al origen de información del directorio como a los
servicios que posibilitan que la información esté disponible y al
alcance de los administradores, los usuarios, los servicios de red y las
aplicaciones. En una situación ideal, un servicio de directorio hace
que la topología de la red física y los protocolos (formatos para
transmitir datos entre dos dispositivos) sean transparentes, de modo
que un usuario pueda tener acceso a cualquier recurso sin saber
dónde ni cómo está conectado físicamente. Siguiendo con el ejemplo
de la cuenta de usuario, es el servicio de directorio el que permite
que otros usuarios autorizados de la misma red tengan acceso a la
información de directorio almacenada (como una dirección de correo
electrónico) acerca del objeto de cuenta de usuario.
Los servicios de directorio admiten numerosas capacidades. Algunos
servicios de directorio están integrados en un sistema operativo y
otros son aplicaciones, como los directorios de correo electrónico. Los
servicios de directorio del sistema operativo, como Active Directory,
proporcionan administración de usuarios, equipos y recursos
compartidos. Los servicios de directorio que administran el correo
electrónico, como Microsoft Exchange, permiten que los usuarios
busquen a otros usuarios y envíen correo electrónico.
Active Directory, el nuevo centro de servicios de directorio para el
sistema operativo Windows 2000 Server, sólo se ejecuta en
controladores de dominio. Active Directory, además de proporcionar
un lugar para almacenar datos y servicios para que estén disponibles
dichos datos, también protege los objetos de la red frente al acceso
no autorizado y los replica a través de una red para que no se pierdan
datos si se produce un error en un controlador de dominio.

Active Directory incorpora DNS

Tanto Active Directory como DNS son espacios de nombres. Un
espacio de nombres es cualquier área limitada donde se puede
resolver un nombre dado. La resolución de nombres es el proceso de
traducir un nombre en algún objeto o información que representa
dicho nombre. Una libreta de teléfonos forma un espacio de nombres
en el que los nombres de los abonados telefónicos pueden resolverse
a números de teléfono. El sistema de archivos NTFS de Windows 2000
forma un espacio de nombres en el que el nombre de un archivo
puede resolverse al archivo propiamente dicho.

DNS e Internet

Entender cómo Windows 2000 trata los espacios de nombres de

Active Directory y DNS requiere comprender algunos conceptos
básicos acerca del propio DNS y su relación con Internet y TCP/IP.
Internet es una red TCP/IP. Los protocolos de comunicaciones TCP/IP
conectan equipos y les permiten transmitir datos a través de las
redes. Todos los equipos de Internet o de cualquier otra red TCP/IP
(como muchas redes de Windows) tienen una dirección IP. DNS
encuentra los hosts TCP/IP (equipos) mediante la resolución de los
nombres de equipo que los usuarios finales entienden a las
direcciones IP que los equipos entienden. Las direcciones IP de
Internet se administran mediante la base de datos de DNS distribuida
globalmente, pero también es posible implementar DNS localmente
para administrar direcciones de redes TCP/IP privadas.
DNS, que está organizado en una jerarquía de dominios, convierte
toda la red Internet en un único espacio de nombres. DNS tiene varios
dominios de nivel superior que, a su vez, se subdividen en dominios
de segundo nivel. Una autoridad de Internet (actualmente, Internet
Network Information Center, o InterNIC) administra la raíz del espacio
de nombres de dominios de Internet; esta autoridad delega la
responsabilidad administrativa de los dominios de nivel superior del
espacio de nombres de DNS y registra los nombres de dominio de
segundo nivel. Los dominios de nivel superior son las categorías de
dominios conocidas: comercial (.com), educación (.edu), gobierno
(.gov), etc. Fuera de los Estados Unidos se utilizan códigos de región
o de país de dos letras, como .mx para México o .es para España. Los
dominios de segundo nivel representan espacios de nombres que se
registran formalmente a nombre de instituciones (e individuos) para
proporcionarles una presencia en Internet. En la figura 1 se muestra
cómo se conecta la red de una organización al espacio de nombres
DNS de Internet.

Figura 1. Cómo encaja Microsoft en el espacio de nombres

DNS de Internet
Integración de los espacios de nombres de DNS y de
Active Directory

La integración de DNS y Active Directory es una característica

fundamental del sistema operativo Windows 2000 Server. Los
dominios de DNS y los dominios de Active Directory usan nombres de
dominio idénticos para espacios de nombres distintos. Puesto que los
dos espacios de nombres comparten una estructura de dominios
idéntica, es importante comprende que no se trata del mismo espacio
de nombres. Cada uno almacena datos diferentes y, por tanto,
administra objetos distintos. DNS almacena sus zonas2 y registros de
recursos, mientras que Active Directory almacena sus dominios y
objetos de dominio.
Los nombres de dominio de DNS se basan en la estructura de
nomenclatura jerárquica de DNS, que es una estructura de árbol
invertido: un único dominio raíz, bajo el cual están los dominios
principales y secundarios (ramas y hojas). Por ejemplo, un nombre de
dominio de Windows 2000 como secundario.principal.microsoft.com
identifica un dominio denominado secundario, que es un dominio
secundario del dominio llamado principal que, a su vez, es secundario
del dominio microsoft.com.
Cada equipo de un dominio DNS se identifica de manera única
mediante su nombre de dominio completo (FQDN). El FQDN de un
equipo que se encuentra en el dominio
secundario.principal.microsoft.com es
nombreEquipo.secundario.principal.microsoft.com.
Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo,
NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre
DNS (por ejemplo, ServidorCuentas.NombreOrg.com). Así, los
dominios y los equipos se representan como objetos de Active
Directory y como nodos de DNS (un nodo en la jerarquía DNS
representa un dominio o un equipo).
Tanto DNS como Active Directory utilizan una base de datos para
resolver nombres:

• DNS es un servicio de resolución de nombres. DNS resuelve los nombres de

dominio y de equipo a direcciones IP mediante solicitudes que hacen los
servidores DNS en forma de consultas a la base de datos. En concreto, los
clientes DNS envían consultas de nombres a su servidor DNS configurado. El
servidor DNS recibe la consulta de nombre y la resuelve mediante archivos
almacenados localmente o consulta a otro servidor DNS para que la resuelva.
DNS no requiere Active Directory para funcionar.
• Active Directory es un servicio de directorio. Active Directory resuelve los
objetos de nombre de dominio a registros de objeto mediante las solicitudes que
hacen los controladores de dominio, como una búsqueda del Protocolo compacto
de acceso a directorios (LDAP)3 o solicitudes de modificación de la base de
datos de Active Directory. Específicamente, los clientes de Active Directory
utilizan LDAP para enviar consultas a los servidores de Active Directory. Para
buscar un servidor de Active Directory, un cliente de Active Directory consulta
 a DNS. Es decir, Active Directory usa DNS como servicio de búsqueda para
resolver nombres de dominios, sitios y servicios de Active Directory a una
dirección IP. Por ejemplo, para iniciar la sesión en un dominio de Active
Directory, un cliente de Active Directory consulta a su servidor DNS
configurado la dirección IP del servicio LDAP que se ejecuta en un controlador
de un dominio especificado. Active Directory requiere DNS para funcionar.

En la práctica, para comprender que los espacios de nombres de DNS

y de Active Directory en un entorno Windows 2000 son diferentes, es
necesario entender que un registro de host de DNS, que representa
un equipo específico en una zona de DNS, se encuentra en un espacio
de nombres diferente del objeto de cuenta de equipo de dominio de
Active Directory que representa el mismo equipo.
En resumen, Active Directory está integrado con DNS de las
siguientes formas:

• Los dominios de Active Directory y los dominios de DNS tienen la misma

estructura jerárquica. Aunque son independientes y se implementan de forma
diferente para propósitos distintos, los espacios de nombres de una organización
para dominios de DNS y de Active Directory tienen una estructura idéntica. Por
ejemplo, microsoft.com es un dominio de DNS y un dominio de Active
Directory.
• Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el
servicio DNS de Windows 2000, es posible almacenar las zonas principales en
Active Directory para replicarlas en otros controladores de dominio de Active
Directory y proporcionar seguridad mejorada al servicio DNS.
• Los clientes de Active Directory utilizan DNS para buscar controladores de
dominio. Para buscar el controlador de un dominio específico, los clientes de
Active Directory consultan su servidor DNS configurado en busca de registros
de recursos específicos.

Active Directory y el espacio de nombres global de DNS

Active Directory está diseñado de forma que pueda existir en el

ámbito del espacio de nombres global de DNS de Internet. Cuando
una organización que utiliza Windows 2000 Server como sistema
operativo de red requiere presencia en Internet, el espacio de
nombres de Active Directory se mantiene como uno o varios dominios
jerárquicos de Windows 2000 bajo un dominio raíz que está registrado
como un espacio de nombres de DNS. (Una organización puede
decidir no formar parte del espacio de nombres global de DNS de
Internet, pero si lo hace, sigue siendo necesario el servicio DNS para
buscar equipos basados en Windows 2000.)
Según las convenciones de nomenclatura de DNS, cada parte de un
nombre DNS separado por un punto (.) representa un nodo en la
estructura jerárquica en árbol de DNS y un nombre de dominio de
Active Directory potencial en la estructura jerárquica en árbol de
dominios de Windows 2000. Tal como se muestra en la figura 2, la
raíz de la jerarquía DNS es un nodo que tiene una etiqueta nula (" ").
La raíz del espacio de nombres de Active Directory (la raíz del
bosque) no tiene principal y proporciona el punto de entrada de LDAP
a Active Directory.
Figura 2. Comparación de las raíces de los espacios de
nombres de DNS y de Active Directory

Registros de recursos SRV y actualizaciones dinámicas

DNS existe independientemente de Active Directory, mientras que

Active Directory está diseñado específicamente para trabajar con
DNS. Para que Active Directory funcione correctamente, los
servidores DNS deben admitir registros de recursos de ubicación de
servicio (SRV)4. Los registros de recursos SRV asignan el nombre de
un servicio al nombre de un servidor que ofrece dicho servicio. Los
controladores de dominio y los clientes de Active Directory utilizan los
registros de recursos SRV para averiguar las direcciones IP de los
controladores de dominio.
Nota Para obtener más información acerca de cómo planear la
distribución de servidores DNS como apoyo a los dominios de Active
Directory, así como otras cuestiones relacionadas con la distribución,
consulte la Guía de diseño de la distribución de Microsoft Windows
2000 Server en la sección "Para obtener más información" de este
documento.
Además del requisito de que los servidores DNS de una red de
Windows 2000 admitan registros de recursos SRV, Microsoft también
recomienda que los servidores DNS admitan las actualizaciones
dinámicas de DNS5. Las actualizaciones dinámicas de DNS definen un
protocolo para actualizar dinámicamente un servidor DNS con valores
nuevos o modificados. Sin el protocolo de actualización dinámica de
DNS, los administradores deben configurar manualmente los registros
creados por los controladores de dominio y almacenados por los
servidores DNS.
El nuevo servicio DNS de Windows 2000 admite tanto los registros de
recursos SRV como las actualizaciones dinámicas. Si decide utilizar un
servidor DNS que no esté basado en Windows 2000, debe comprobar
que admite los registros de recursos SRV o actualizarlo a una versión
que los admita. En el caso de un servidor DNS heredado que admita
registros de recursos SRV pero no admita actualizaciones dinámicas,
se deben actualizar manualmente sus registros de recursos cuando se
promueva un equipo con Windows 2000 Server a controlador de
dominio. Esto se realiza mediante el archivo Netlogon.dns (que se
encuentra en la carpeta %systemroot%\System32\config), creado por
el Asistente para instalación de Active Directory.

Active Directory crea controladores de

dominio
La implementación y la administración de una red son actividades
tangibles. Para entender cómo encaja Active Directory en la situación
en la práctica, lo primero que necesita saber es que la instalación de
Active Directory en un equipo que ejecute el sistema operativo
Windows 2000 Server es el acto que transforma el servidor en un
controlador de dominio. Un controlador de dominio sólo puede alojar
un dominio.
En concreto, un controlador de dominio es un equipo que ejecuta
Windows 2000 Server y que se ha configurado con el Asistente para
instalación de Active Directory, que instala y configura los
componentes que proporcionan los servicios de directorio de Active
Directory a los usuarios y los equipos de la red. Los controladores de
dominio almacenan datos de directorio de todo el dominio (como las
políticas de seguridad del sistema y datos de autenticación de
usuarios) y administran las interacciones de usuarios y dominios,
incluidos los procesos de inicio de sesión, autenticación y búsquedas
en el directorio.
Al promover un servidor a controlador de dominio con el Asistente
para instalación de Active Directory también se crea un dominio de
Windows 2000 o se agregan controladores adicionales a un dominio
existente.
En esta sección se describe qué es un controlador de dominio de
Active Directory y algunas de las funciones principales que
desempeña en la red.
Con la presentación de Active Directory, los controladores de dominio
de Windows 2000 funcionan como homólogos. Esto representa un
cambio con respecto a las funciones de principal-subordinado que
desempeñaban los controladores principales de dominio (PDC) y los
controladores de reserva (BDC) de Windows NT Server. Los
controladores de dominio homólogos admiten la replicación de
múltiples maestros, con lo que se replica la información de Active
Directory en todos los controladores de dominio. La presentación de
la replicación de múltiples maestros significa que los administradores
pueden efectuar actualizaciones de Active Directory en cualquier
controlador de dominio de Windows 2000 del dominio. En el sistema
operativo Windows NT Server, sólo el PDC tiene una copia de lectura
y escritura del directorio; el PDC replica a los BDC una copia de sólo
lectura de la información del directorio. (Para obtener más
información acerca de la replicación de múltiples maestros, consulte
la sección "Replicación de múltiples maestros".)
Si realiza la actualización al sistema operativo Windows 2000 desde
un dominio existente, puede realizar la actualización por etapas y
según le convenga. Si va a crear el primer controlador de dominio
para una instalación nueva, se materializan algunas entidades
automáticamente al mismo tiempo que se carga Active Directory. Las
dos subsecciones siguientes explican estos aspectos relacionados con
la instalación de un controlador de dominio de Active Directory en
una red nueva:

• El primer controlador de dominio es un servidor de catálogo global.

• El primer controlador de dominio contiene las funciones de maestro de
operaciones.
Catálogo global

El sistema operativo Windows 2000 presenta el catálogo global, una

base de datos que se mantiene en uno o varios controladores de
dominio. El catálogo global desempeña las funciones principales en
los inicios de sesión de los usuarios y en las consultas.
De forma predeterminada, se crea automáticamente un catálogo
global en el controlador de dominio inicial del bosque de Windows
2000 y cada bosque debe tener al menos un catálogo global. Si utiliza
varios sitios, es recomendable que asigne un controlador de dominio
de cada sitio como catálogo global, ya que es necesario tener un
catálogo global (que determina la pertenencia a grupos de una
cuenta) para llevar a cabo el proceso de autenticación del inicio de
sesión. Esto se refiere a un dominio de modo nativo. Los dominios de
modo mixto no requieren una consulta al catálogo global para realizar
el inicio de sesión.
Después de instalar controladores de dominio adicionales en el
bosque, puede cambiar la ubicación predeterminada del catálogo
global a otro controlador de dominio mediante la herramienta Sitios y
servicios de Active Directory. Opcionalmente puede configurar
cualquier controlador de dominio para que aloje un catálogo global,
según los requisitos de la organización para atender las solicitudes de
inicio de sesión y las consultas de búsqueda. Cuantos más servidores
de catálogo global haya, más rápidas serán las respuestas a las
consultas de los usuarios; el inconveniente es que habilitar muchos
controladores de dominio como servidores de catálogo global
aumenta el tráfico de replicación en la red.
El catálogo global desempeña dos funciones clave de Active
Directory, inicio de sesión y consultas:

• Inicio de sesión. En un dominio de modo nativo, el catálogo global permite el

inicio de sesión de los clientes de Active Directory al proporcionar información
universal de pertenencia a grupos6 para la cuenta que envía la solicitud de inicio
de sesión a un controlador de dominio. De hecho, no sólo los usuarios sino
cualquier objeto que se autentique en Active Directory debe hacer consultar el
servidor de catálogo global, incluidos todos los equipos que se inicien. En una
configuración de varios dominios, al menos un controlador de dominio que
contenga el catálogo global debe estar en funcionamiento y disponible para que
los usuarios puedan iniciar una sesión. También debe haber disponible un
servidor de catálogo global cuando un usuario inicie la sesión con un nombre
principal de usuario (UPN) no predeterminado. (Para obtener más información
acerca del inicio de sesión, consulte la sección "Nombres de inicio de sesión:
UPN y nombres de cuentas SAM".)

Si no hay disponible un catálogo global cuando un usuario inicia

un proceso de inicio de sesión en la red, el usuario sólo podrá
iniciar la sesión en el equipo local y no en la red. La única
excepción es la de los usuarios que son miembros del grupo de
administradores de dominios (Administrador del dominio), que
 pueden iniciar la sesión en la red incluso aunque no haya
disponible un catálogo global.

• Consultas. En un bosque que contiene muchos dominios, el catálogo global

permite que los usuarios efectúen búsquedas en todos los dominios de forma
rápida y sencilla, sin tener que buscar en cada dominio individualmente. El
catálogo global hace que las estructuras del directorio dentro de un bosque sean
transparentes para los usuarios finales que buscan información. La mayor parte
del tráfico de red de Active Directory está relacionado con las consultas:
usuarios, administradores y programas que solicitan información acerca de
objetos del directorio. Las consultas son mucho más frecuentes que las
actualizaciones del directorio. Asignar varios controladores de dominio como
servidores de catálogo global mejora el tiempo de respuesta a los usuarios que
buscan información del directorio, pero debe sopesar esta ventaja frente al hecho
de que también puede aumentar el tráfico de replicación de la red.

Funciones de maestro de operaciones

La replicación de múltiples maestros en controladores de dominio

homólogos no resulta práctica para algunos tipos de cambios, por lo
que sólo un controlador de dominio, denominado maestro de
operaciones, acepta solicitudes para dichos cambios. Como la
replicación de múltiples maestros desempeña una función
fundamental en una red basada en Active Directory, es importante
saber cuáles son estas excepciones. En cualquier bosque de Active
Directory, al menos las últimas cinco funciones de maestro de
operaciones se asignan al controlador de dominio inicial durante la
instalación.
Cuando crea el primer dominio en un bosque nuevo, las cinco
funciones del único maestro de operaciones se asignan
automáticamente al primer controlador de dicho dominio. En un
bosque pequeño de Active Directory con sólo un dominio y un
controlador de dominio, dicho controlador sigue teniendo todas las
funciones del maestro de operaciones. En una red mayor, con uno o
varios dominios, se pueden asignar estas funciones a uno o varios
controladores de dominio. Algunas funciones deben aparecer en
todos los bosques. Otras funciones deben aparecer en cada dominio
del bosque.
Las dos funciones siguientes de maestro de operaciones en todo el
bosque deben ser únicas en el bosque; es decir, sólo puede haber una
de ellas en todo el bosque:

• Maestro de esquema. El controlador de dominio que tiene la función de

maestro de esquema controla todas las actualizaciones y modificaciones del
esquema. El esquema define todos los objetos (y sus atributos) que pueden
almacenarse en el directorio. Para actualizar el esquema de un bosque, debe
disponer de acceso al maestro de esquema.
• Maestro de nombres de dominio. El controlador de dominio que tiene la
función de maestro de nombres de dominio controla la incorporación o
eliminación de dominios en el bosque.
Las tres funciones siguientes de maestro de operaciones en todo el
dominio deben ser únicas en cada dominio y sólo puede haber una en
cada dominio del bosque:

• Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a

cada controlador de su dominio. Cada vez que un controlador de dominio crea
un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) único.
El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo
para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es
único para cada Id. de seguridad creado en el dominio). Cuando el controlador
de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID.
• Emulador de controlador principal de dominio (PDC). Si el dominio
contiene equipos que no ejecutan el software cliente de Windows 2000, o si
contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC
actúa como controlador principal de dominio (PDC) de Windows NT. Procesa
los cambios de clave de acceso de los clientes y replica las actualizaciones en los
BDC. El emulador de PCD recibe replicación preferente de los cambios de clave
de acceso realizados por otros controladores del dominio. Si se produce un error
en una autenticación de inicio de sesión en otro controlador de dominio debido a
una clave de acceso incorrecta, dicho controlador reenvía la solicitud de
autenticación al emulador de PDC antes de rechazar el intento de inicio de
sesión.
• Maestro de infraestructuras. El maestro de infraestructuras es el encargado de
actualizar todas las referencias entre dominios siempre que se mueve un objeto
al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el
nombre o se cambian los miembros de los grupos, el maestro de infraestructuras
actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve
un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto
del grupo), es posible que parezca temporalmente que el grupo no contiene a ese
miembro. El maestro de infraestructuras del dominio del grupo es el encargado
de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva
ubicación del miembro.

El maestro de infraestructuras distribuye la actualización

mediante la replicación de múltiples maestros. A menos que
sólo haya un único controlador en el dominio, no asigne la
función de maestro de infraestructuras al controlador de
dominio que aloja el catálogo global. Si lo hace, no funcionará el
maestro de infraestructuras. Si todos los controladores de un
dominio también alojan el catálogo global (incluido el caso
donde sólo exista un controlador de dominio), todos los
controladores de dominio tienen datos actualizados y, por
tanto, no es necesario el maestro de infraestructuras.

Arquitectura
Una vez instalado un controlador de dominio de Active Directory, se
ha creado a la vez el dominio inicial de Windows 2000 o se ha
agregado el nuevo controlador a un dominio existente. ¿Cómo
encajan el controlador y el dominio en la arquitectura global de la
red?
En esta sección se explican los componentes de una red basada en
Active Directory y cómo están organizados. Además, describe cómo
puede delegar la responsabilidad administrativa de las unidades
organizativas (OU), dominios o sitios a los usuarios adecuados y cómo
asignar valores de configuración a estos tres mismos contenedores
de Active Directory. Se tratan los siguientes temas:

• Objetos (incluido el esquema).

• Convenciones de nomenclatura de objetos (incluyendo nombres de principales
de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres
de inicio de sesión).
• Publicación de objetos.
• Dominios (incluyendo árboles, bosques, confianzas y unidades organizativas).
• Sitios (incluida la replicación).
• Cómo se aplican la delegación y Política de grupo a unidades organizativas,
dominios y sitios.

Objetos
Los objetos de Active Directory son las entidades que componen una
red. Un objeto es un conjunto diferenciado con nombre de atributos
que representa algo concreto, como un usuario, una impresora o una
aplicación. Cuando crea un objeto de Active Directory, éste genera
valores para algunas propiedades del objeto y otros debe
proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario,
Active Directory asigna el identificador único global (GUID) y usted
debe proporcionar valores para atributos como el nombre, el apellido,
el identificador de inicio de sesión, etc. del usuario.

El esquema

El esquema es una descripción de las clases de objeto (los distintos

tipos de objetos) y los atributos de dichas clases. Para cada clase de
objeto, el esquema define qué atributos debe tener, qué atributos
adicionales puede tener y qué clase de objeto puede ser su objeto
primario. Cada objeto de Active Directory es una instancia de una
clase de objeto. Cada atributo sólo se define una vez y puede
utilizarse en varias clases. Por ejemplo, el atributo Descripción se
define una vez pero se utiliza en muchas clases distintas.
El esquema se almacena en Active Directory. Las definiciones de
esquema también se almacenan como objetos: Esquema de clase y
Esquema de atributos. De esta forma, Active Directory administra los
objetos de clase y de atributos de la misma manera en que
administra otros objetos del directorio.
Las aplicaciones que crean o modifican objetos de Active Directory
utilizan el esquema para determinar los atributos que debe o podría
tener el objeto y cómo deben ser esos atributos en lo que respecta a
estructuras de datos y restricciones de sintaxis.
Los objetos pueden ser objetos contenedor u objetos hoja (también
denominados objetos no contenedor). Un objeto contenedor almacena
otros objetos, pero los objetos hoja no. Por ejemplo, una carpeta es
un objeto contenedor de archivos, que son objetos hoja.
Cada clase de objetos del esquema de Active Directory tiene atributos
que aseguran:

• Identificación única de cada objeto en un almacén de datos del directorio.

• Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad
con los identificadores de seguridad (SID) utilizados en el sistema operativo
Windows NT 4.0 y anteriores.
• Compatibilidad con los estándares LDAP para nombres de objetos de directorio.

Consultas y atributos de esquema

Con la herramienta Esquema de Active Directory puede marcar un

atributo como indizado. Al hacerlo, se agregan al índice todas las
instancias de dicho atributo, no sólo las instancias que son miembros
de una clase determinada. Al indizar un atributo podrá encontrar más
rápidamente los objetos que tengan ese atributo.
También puede incluir atributos en el catálogo global. El catálogo
global contiene un conjunto predeterminado de atributos para cada
objeto del bosque y puede agregarles los que desee. Los usuarios y
las aplicaciones utilizan el catálogo global para buscar objetos en el
bosque. Incluya sólo los atributos que tengan las siguientes
características:

• Útil globalmente. El atributo debe ser necesario para buscar objetos (incluso
aunque sólo sea para acceso de lectura) que pueda haber en cualquier lugar del
bosque.
• No volátil. El atributo deber ser invariable o cambiar con muy poca frecuencia.
Los atributos de un catálogo global se replican a todos los demás catálogos
globales del bosque. Si el atributo cambia con frecuencia, genera mucho tráfico
de replicación.
• Pequeño. Los atributos de un catálogo global se replican a todos los catálogos
globales del bosque. Cuanto menor sea el atributo, menor será el impacto de la
replicación.

Nombres de objetos de esquema

Como se ha indicado anteriormente, las clases y los atributos son

objetos de esquema. Se puede hacer referencia a cualquier objeto de
esquema mediante los siguientes tipos de nombres:

• Nombre LDAP para mostrar. El nombre LDAP para mostrar es único

globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta
de una o varias palabras combinadas, con la letra inicial de cada palabra en
mayúsculas después de la primera palabra. Por ejemplo, mailAddress y
 machinePasswordChangeInterval son los nombres LDAP para mostrar de dos
atributos de esquema. Esquema de Active Directory y otras herramientas
administrativas de Windows 2000 muestran el nombre LDAP para mostrar de
los objetos, y los programadores y administradores utilizan este nombre para
hacer referencia al objeto mediante programa. Consulte la próxima subsección
para obtener información acerca de cómo ampliar el esquema mediante
programa; consulte la sección "Protocolo compacto de acceso a directorios" para
obtener más información acerca de LDAP.
• Nombre común. Los nombres comunes de los objetos de esquema también son
únicos globalmente. El nombre común se especifica cuando se crea una nueva
clase o atributo de objeto en el esquema; se trata del nombre en referencia
relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para
obtener más información acerca de los RDN, consulte la sección "Nombres DN
y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos
mencionados en el párrafo anterior son SMTP-Mail-Address y Machine-
Password-Change-Interval.
• Identificador de objeto (OID). El identificador de un objeto de esquema es un
número emitido por una entidad como Organización internacional de
normalización (ISO) y American National Standards Institute (ANSI). Por
ejemplo, el OID para el atributo SMTP-Mail-Address es
1.2.840.113556.1.4.786. Se garantiza que los OID son únicos en todas las redes
de todo el mundo. Una vez que obtenga un OID raíz de una entidad emisora,
puede utilizarlo para asignar OID adicionales. Los OID forman una jerarquía.
Por ejemplo, Microsoft ha emitido el OID raíz 1.2.840.113556. Microsoft
administra internamente otras ramas adicionales desde esta raíz. Una de las
ramas se utiliza para asignar OID a las clases de esquema de Active Directory y
otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es
1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede
analizarse como se muestra en la tabla 1.

Tabla 1. Identificador de objeto

Número de Id.
Identifica
de objeto
1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI,
2 ANSI emitió 1.2.840 para EE.UU.,
840 EE.UU. emitió 1.2.840.113556 para Microsoft,
Microsoft administra internamente varias ramas de
113556
identificadores de objeto bajo 1.2.840.113556, que incluyen:
1 una rama denominada Active Directory que incluye
5 una rama denominada clases que incluye
4 una rama denominada Dominio integrado
Para obtener más información acerca de los OID y cómo obtenerlos,
consulte "Para obtener más información" al final de este documento.

Ampliar el esquema

El sistema operativo Windows 2000 Server proporciona un conjunto

predeterminado de clases y atributos de objeto que son suficientes
para muchas organizaciones. Aunque no puede eliminar objetos del
esquema, puede marcarlos como desactivados.
Los programadores y los administradores de redes con experiencia
pueden ampliar dinámicamente el esquema si definen nuevas clases
y nuevos atributos para las clases existentes. La forma recomendada
de ampliar el esquema de Active Directory es mediante programa, a
través de las Interfaces de servicio de Active Directory (ADSI).
También puede emplear la utilidad Formato de intercambio de datos
LDAP (LDIFDE). (Para obtener más información acerca de ADSI y
LDIFDE, consulte las secciones "Interfaz de servicio de Active
Directory" y "Active Directory y LDIFDE".)
Para propósitos de desarrollo y de pruebas, también puede ver y
modificar el esquema de Active Directory con la herramienta
Esquema de Active Directory.
Cuando se plantee cambiar el esquema, recuerde estos puntos clave:

• Los cambios del esquema son globales en todo el bosque.

• Las ampliaciones del esquema no son reversibles (aunque puede modificar
algunos atributos).
• Microsoft requiere que no se amplíe el esquema para adherirse a las reglas de
nomenclatura (descritas en la subsección anterior), tanto para el nombre LDAP
para mostrar como para el nombre común. El programa del logotipo Certificado
para Windows7 exige el cumplimiento. Visite el sitio Web Microsoft Developer
Network para obtener más información al respecto.
• Todas las clases del esquema derivan de la clase especial Top. A excepción de
Top, todas las clases son subclases derivadas de otra clase. La herencia de
atributos permite crear nuevas clases a partir de las ya existentes. La nueva
subclase hereda los atributos de su superclase (clase principal).

La ampliación del esquema es una operación avanzada. Para obtener

información detallada acerca de cómo ampliar el esquema mediante
programa, consulte la sección "Para obtener más información" al final
de este documento.

Convenciones de nomenclatura de
objetos
Active Directory admite varios formatos de nombres de objeto para
admitir las distintas formas que puede adoptar un nombre,
dependiendo del contexto en que se utilice (algunos nombres tienen
formato numérico). En las siguientes subsecciones se describen estos
tipos de convenciones de nomenclatura para los objetos de Active
Directory:

• Nombres de principales de seguridad.

• Identificadores de seguridad (también denominados Id. de seguridad o SID).
• Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y
nombres canónicos).
• GUID de objeto.
 • Nombres de inicio de sesión (incluidos UPN y nombres de cuentas SAM).

Si la organización tiene varios dominios, es posible utilizar el mismo

nombre de usuario o de equipo en diferentes dominios. El Id. de
seguridad, el GUID, el nombre completo LDAP y el nombre canónico
generados por Active Directory identifican de forma única a cada
usuario o equipo del directorio. Si se cambia el nombre del objeto de
usuario o de equipo, o se mueve a otro dominio, el Id. de seguridad,
el nombre en referencia relativa LDAP, el nombre completo y el
nombre canónico cambian, pero el GUID generado por Active
Directory no cambia.

Nombres de principales de seguridad

Un principal de seguridad es un objeto de Windows 2000

administrado por Active Directory al que se asigna automáticamente
un identificador de seguridad (SID) para la autenticación de inicio de
sesión y el acceso a los recursos. Un principal de seguridad puede ser
una cuenta de usuario, una cuenta de equipo o un grupo, de modo
que un nombre de principal de seguridad identifica de forma única a
un usuario, un equipo o un grupo dentro de un único dominio. Un
objeto de principal de seguridad debe estar autenticado por un
controlador del dominio en el que se encuentra el objeto y se le
puede conceder o denegar el acceso a los recursos de la red.
Un nombre de principal de seguridad no es único entre dominios pero,
por compatibilidad con versiones anteriores, debe ser único en su
propio dominio. Se puede cambiar el nombre de los objetos de
principales de seguridad , se pueden mover o pueden estar dentro de
una jerarquía de dominios anidados.
Los nombres de los objetos de principales de seguridad deben
ajustarse a las siguientes directrices:

• El nombre no puede ser idéntico a otro nombre de usuario, equipo o grupo del
dominio. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas,
excepto los siguientes: " / \ [ ] : ; | = , + * ? <>
• Un nombre de usuario, equipo o grupo no puede contener sólo puntos (.) o
espacios en blanco.

Id. de seguridad (SID)

Un identificador de seguridad (SID) es un nombre único creado por el

subsistema de seguridad del sistema operativo Windows 2000 y se
asigna a objetos de principales de seguridad; es decir, a cuentas de
usuario, grupo y equipo. A cada cuenta de la red se le asigna un SID
único cuando se crea por primera vez. Los procesos internos del
sistema operativo Windows 2000 hacen referencia al SID de las
cuentas en vez de a los nombres de usuario o de grupo de las
cuentas.
Cada objeto de Active Directory está protegido mediante entradas de
control de acceso (ACE) que identifican los usuarios o grupos que
pueden tener acceso al objeto. Cada ACE contiene el SID de cada
usuario o grupo con permiso de acceso a dicho objeto y define el nivel
de acceso permitido. Por ejemplo, un usuario podría tener acceso de
sólo lectura a determinados archivos, acceso de lectura y escritura a
otros y no tener acceso a otros archivos.
Si crea una cuenta, la elimina y después crea otra cuenta con el
mismo nombre de usuario, la nueva cuenta no tendrá los derechos o
permisos concedidos anteriormente a la cuenta antigua, ya que los
SID correspondientes a las cuentas son diferentes.

Nombres relacionados con LDAP

Active Directory es un servicio de directorio compatible con el

Protocolo compacto de acceso a directorios (LDAP). En el sistema
operativo Windows 2000, todos los accesos a los objetos de Active
Directory se producen a través de LDAP. LDAP define las operaciones
que se pueden realizar para consultar y modificar información en un
directorio, y cómo se puede tener acceso de forma segura a la
información de un directorio. Por tanto, se utiliza LDAP para buscar o
enumerar objetos del directorio y para consultar o administrar Active
Directory. (Para obtener más información acerca de LDAP, consulte la
sección "Protocolo compacto de acceso a directorios".)
Es posible consultar mediante el nombre completo LDAP (que es un
atributo del objeto), pero como resulta difícil de recordar, LDAP
también admite la consulta por otros atributos (por ejemplo, color
para buscar las impresoras en color). De esta forma puede buscar un
objeto sin tener que saber su nombre completo.
En las tres subsecciones siguientes se describen los formatos de
nomenclatura de objetos admitidos por Active Directory, que se basan
todos en el nombre completo LDAP:

• Nombres DN y RDN de LDAP.

• Direcciones URL de LDAP.
• Nombres canónicos basados en LDAP.

Nombres DN y RDN de LDAP

LDAP proporciona nombres completos (DN) y nombres en referencia

relativa (RDN) para los objetos8. Active Directory implementa estas
convenciones de nomenclatura LDAP con las variaciones que se
muestran en la tabla 2.
Tabla 2. Convenciones de nomenclatura de LDAP y sus
correspondientes en Active Directory
Convención de nomenclatura Convención de nomenclatura
DN y RDN de LDAP correspondiente en Active Directory
cn=nombre común cn=nombre común
ou=unidad organizativa ou=unidad organizativa
o=organización dc=componente de dominio
c=país (no se admite)
Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se
utiliza para describir el RDN de un objeto se denomina atributo de
nomenclatura. Los atributos de nomenclatura de Active Directory, que
se muestran en la columna derecha, corresponden a las siguientes
clases de objetos de Active Directory:

• cn se utiliza para la clase de objeto usuario

• ou se utiliza para la clase de objeto unidad organizativa (OU)
• dc se utiliza para la clase de objeto DnsDominio

Todos los objetos de Active Directory tienen un DN de LDAP. Los

objetos se encuentran dentro de dominios de Active Directory según
una ruta de acceso jerárquica, que incluye las etiquetas del nombre
de dominio de Active Directory y cada nivel de los objetos
contenedores. La ruta de acceso completa al objeto la define el DN. El
RDN define el nombre del objeto. El RDN es el segmento del DN de un
objeto que es un atributo del propio objeto.
Al usar la ruta de acceso completa a un objeto, incluido el nombre de
objeto y todos los objetos principales hasta la raíz del dominio, el DN
identifica un objeto único dentro de la jerarquía de dominios. Cada
RDN se almacena en la base de datos de Active Directory y contiene
una referencia a su principal. Durante una operación LDAP, se
construye todo el DN siguiendo las referencias hasta la raíz. En un DN
de LDAP completo, el RDN del objeto que se va a identificar aparece a
la izquierda con el nombre de la rama y termina a la derecha con el
nombre de la raíz, según se muestra en este ejemplo:
cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU
,dcNombreOrganización.dc=com
El RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente
(el objeto principal de JDoe) es ou=Componentes, etc.
Las herramientas de Active Directory no muestran las abreviaturas de
LDAP para los atributos de nomenclatura (dc=, ou= o cn=). Estas
abreviaturas sólo se muestran para ilustrar la forma en que LDAP
reconoce las partes del DN. La mayoría de las herramientas de Active
Directory muestran los nombres de objeto en formato canónico
(descrito más adelante). El sistema operativo Windows 2000 utiliza el
DN para permitir que un cliente LDAP recupere la información de un
objeto del directorio, pero ninguna interfaz de usuario de Windows
2000 requiere escribir los DN. El uso explícito de DN, RDN y atributos
de nomenclatura sólo es necesario al escribir programas o secuencias
de comandos compatibles con LDAP.

Nombres de direcciones URL de LDAP

Active Directory admite el acceso mediante el protocolo LDAP desde

cualquier cliente habilitado para LDAP. En RFC 1959 se describe un
formato para el Localizador de recursos universal (dirección URL) de
LDAP que permite que los clientes de Internet tengan acceso directo
al protocolo LDAP. Las direcciones URL de LDAP también se utilizan en
secuencias de comandos. Una dirección URL de LDAP empieza con el
prefijo "LDAP" y después contiene el nombre del servidor que aloja los
servicios de Active Directory, seguido del nombre de atributo del
objeto (el nombre completo). Por ejemplo:
LDAP://servidor1.RegiónEEUU.nombreOrg.com/cn=JDoe,
ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg,dc=com

Nombres canónicos de Active Directory basados en LDAP

De forma predeterminada, las herramientas administrativas de Active

Directory muestran los nombres de objeto con el formato de nombre
canónico, que enumera los RDN desde la raíz hacia abajo y sin los
descriptores de atributos de nomenclatura de RFC 1779 (dc=, ou= o
cn=). El nombre canónico utiliza el formato de nombres de dominio
de DNS; es decir, los constituyentes de la sección de etiquetas de
dominio están separados por puntos: RegiónEEUU.NombreOrg.com.
En la tabla 3 se muestran las diferencias entre el DN de LDAP y el
mismo nombre en formato canónico.
Tabla 3. Diferencias entre el formato de DN de LDAP y el
formato de nombre canónico
El mismo nombre en dos formatos
Nombre
DN de cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg.dc=com
LDAP:
Nombre
RegiónEEUU.NombreOrg.com/Fabricación/Componentes/JDoe
canónico:

GUID de objeto

Además de su DN de LDAP, cada objeto de Active Directory tiene un

identificador único global (GUID), un número de 128 bits que asigna el
Agente del sistema del directorio cuando se crea el objeto. El GUID,
que no se puede modificar ni mover, se almacena en un atributo,
objectGUID, que es necesario para cada objeto. A diferencia de un DN
o un RDN, que se puede modificar, el GUID nunca cambia.
Cuando se almacena una referencia a un objeto de Active Directory
en un almacén externo (por ejemplo, una base de datos de Microsoft
SQL Server™), debe utilizarse el valor de objectGUID.

Nombres de inicio de sesión: UPN y nombres de

cuentas SAM

Como se ha descrito anteriormente, los principales de seguridad son

objetos a los se aplica la seguridad basada en Windows tanto para la
autenticación de inicio de sesión como para la autorización de acceso
a los recursos. Los usuarios son un tipo de principal de seguridad. En
el sistema operativo Windows 2000, los principales de seguridad de
usuario requieren un nombre único de inicio de sesión para obtener
acceso a un dominio y sus recursos. En las dos subsecciones
siguientes se describen los dos tipos de nombres de inicio de sesión:
UPN y nombres de cuentas SAM.

Nombre de principal de usuario

En Active Directory, cada cuenta de usuario tiene un nombre de

principal de usuario (UPN) con el formato
<usuario>@<nombreDominioDNS>. Un UPN es un nombre
descriptivo asignado por un administrador que es más corto que el
nombre completo LDAP utilizado el sistema y más fácil de recordar. El
UPN es independiente del DN del objeto de usuario, por lo que el
objeto de usuario se puede mover o cambiar de nombre sin que ello
afecte al nombre de inicio de sesión del usuario. Cuando se inicia una
sesión con un UPN, los usuarios ya no tienen que elegir un dominio de
una lista en el cuadro de diálogo de inicio de sesión.
Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesión
del usuario), el carácter @ y el sufijo UPN (normalmente un nombre
de dominio). El sufijo UPN predeterminado de una cuenta de usuario
es el nombre DNS del dominio de Active Directory en el que se
encuentra la cuenta de usuario9. Por ejemplo, el UPN del usuario John
Doe, que tiene una cuenta de usuario en el dominio NombreOrg.com
(si NombreOrg.com es el único dominio del árbol), es
JDoe@NombreOrg.com. El UPN es un atributo (userPrincipalName) del
objeto de principal de seguridad. Si el atributo userPrincipalName de
un objeto de usuario no tiene valor, el objeto tiene como UPN
predeterminado nombreUsuario@nombreDominioDns.
Si la organización tiene muchos dominios que forman un árbol de
dominios profundo, organizado por departamentos y regiones, los
nombres UPN predeterminados pueden llegar a ser bastante
farragosos. Por ejemplo, el UPN predeterminado de un usuario podría
ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesión
para un usuario de dicho dominio es
usuario@ventas.costaoeste.microsoft.com. En vez de aceptar el
nombre de dominio DNS predeterminado como el sufijo UPN, puede
simplificar los procesos de administración y de inicio de sesión de
usuario si proporciona un único sufijo UPN a todos los usuarios. (El
sufijo UPN sólo se utiliza dentro del dominio de Windows 2000 y no es
necesario que sea un nombre válido de dominio DNS.) Puede utilizar
su nombre de dominio de correo electrónico como sufijo UPN:
nombreUsuario@nombreOrganización.com. Así, el usuario del ejemplo
tendría el nombre UPN usuario@microsoft.com.
En el caso de un inicio de sesión basado en UPN, quizás sea necesario
un catálogo global, dependiendo del usuario que inicie la sesión y la
pertenencia al dominio del equipo del usuario. Se necesita un
catálogo global si el usuario inicia la sesión con un nombre UPN que
no sea el predeterminado y la cuenta de equipo del usuario se
encuentra en un dominio distinto que la cuenta del usuario. Es decir,
si en lugar de aceptar el nombre de dominio DNS predeterminado
como sufijo UPN (como en el ejemplo anterior,
usuario@ventas.costaoeste.microsoft.com), proporciona un único
sufijo UPN para todos los usuarios (de forma que el usuario sea
usuario@microsoft.com), se necesita un catálogo global para el inicio
de sesión.
La herramienta Dominios y confianza de Active Directory se utiliza
para administrar los sufijos UPN de un dominio. Los UPN se asignan
en el momento de crear un usuario. Si ha creado sufijos adicionales
para el dominio, puede elegir uno en la lista de sufijos disponibles al
crear la cuenta de usuario o de grupo. Los sufijos aparecen en la lista
en el siguiente orden:

• Sufijos alternativos (si hay alguno, el último que se ha creado aparecerá en

primer lugar).
• Dominio raíz.
• Dominio actual.

Nombre de cuenta SAM

Un nombre de cuenta del Administrador de cuentas de seguridad

(SAM) es necesario por compatibilidad con los dominios de Windows
NT 3.x y Windows NT 4.0. La interfaz de usuario de Windows 2000 se
refiere al nombre de cuenta SAM como "Nombre de inicio de sesión
de usuario (anterior a Windows 2000)".
Los nombres de cuentas SAM a veces se denominan nombres planos
ya que, a diferencia de los nombres DNS, los nombres de cuentas
SAM no utilizan una nomenclatura jerárquica. Como los nombres SAM
son planos, cada uno debe ser único en el dominio.

Publicación de objetos
Publicar es el acto de crear objetos en el directorio que contengan
directamente la información que desea que esté disponible o que
proporcionen una referencia a dicha información. Por ejemplo, un
objeto de usuario contiene información útil acerca de los usuarios,
como sus números de teléfono y sus direcciones de correo
electrónico, y un objeto de volumen contiene una referencia a un
volumen compartido de un sistema de archivos.
A continuación se ofrecen dos ejemplos: publicar objetos de archivo e
impresión en Active Directory:

• Publicación de recursos compartidos. Puede publicar una carpeta compartida

como un objeto de volumen (también denominado objeto de carpeta compartida)
en Active Directory con el complemento Usuarios y grupos de Active Directory.
Esto significa que los usuarios ahora pueden consultar fácil y rápidamente dicha
carpeta compartida en Active Directory.
• Publicación de impresoras. En un dominio de Windows 2000, la forma más
sencilla de administrar, buscar y conectarse a impresoras es mediante Active
Directory. De forma predeterminada10, cuando agrega una impresora con el
 Asistente para agregar impresoras y decide compartirla, Windows 2000 Server
la publica en el dominio como un objeto de Active Directory. Publicar
(enumerar) impresoras en Active Directory permite a los usuarios encontrar la
impresora más adecuada. Ahora los usuarios pueden consultar fácilmente
cualquiera de estas impresoras en Active Directory y buscar por atributos de
impresora como tipo (PostScript, color, papel de tamaño oficio, etc.) y
ubicación. Cuando se quita una impresora del servidor, éste anula la publicación.

También puede publicar en Active Directory impresoras que no

estén basadas en Windows 2000 (es decir, impresoras que
estén servidores de impresión no basados en Windows 2000).
Para ello, utilice la herramienta Usuarios y equipos de Active
Directory para escribir la ruta de acceso a la impresora según la
convención de nomenclatura universal (UNC). De forma
alternativa, utilice la secuencia de comandos Pubprn.vbs que se
encuentra en la carpeta System32. La política de grupo
Eliminación de impresora de bajo nivel determina cómo el
servicio de eliminación (eliminación automática de impresoras)
trata las impresoras que están en servidores de impresión no
basados en Windows 2000 cuando una impresora no está
disponible.

Cuándo publicar

Debe publicar la información en Active Directory cuando sea útil o

interesante para una gran parte de la comunidad de usuarios y
cuando sea necesario que esté fácilmente accesible.
La información publicada en Active Directory tiene dos características
principales:

• Relativamente estática. Sólo se publica la información que cambia con poca

frecuencia. Los números de teléfono y las direcciones de correo electrónico son
ejemplos de información relativamente estática adecuada para publicar. El
mensaje de correo electrónico seleccionado actualmente del usuario es un
ejemplo de información que cambia con mucha frecuencia.
• Estructurada. Publicar información estructurada y que puede representarse
como un conjunto de atributos discretos. La dirección comercial de un usuario es
un ejemplo de información estructurada adecuada para publicar. Un clip de
audio con la voz del usuario es un ejemplo de información sin estructurar más
adecuada para el sistema de archivos.

La información operativa utilizada por las aplicaciones es un

candidato excelente para su publicación en Active Directory. Esto
incluye información de configuración global que se aplica a todas las
instancias de una aplicación dada. Por ejemplo, un producto de base
de datos relacional podría almacenar como un objeto de Active
Directory la configuración predeterminada de los servidores de bases
de datos. Las nuevas instalaciones de ese producto podrían recopilar
la configuración predeterminada de ese objeto, lo que simplifica el
proceso de instalación y mejora la coherencia de las instalaciones en
una organización.
Las aplicaciones también pueden publicar sus puntos de conexión en
Active Directory. Los puntos de conexión se utilizan en los encuentros
cliente-servidor. Active Directory define una arquitectura para la
administración de servicios integrados mediante objetos de Punto de
administración de servicios y proporciona puntos de conexión
estándar para aplicaciones basadas en Llamada a procedimiento
remoto (RPC), Winsock y Modelo de objetos componentes (COM). Las
aplicaciones que no utilizan las interfaces RPC o Winsock para
publicar sus puntos de conexión pueden publicar explícitamente en
Active Directory objetos de Punto de conexión de servicios.
También es posible publicar en el directorio los datos de aplicaciones
utilizando objetos específicos de la aplicación. Los datos específicos
de una aplicación deben cumplir los criterios descritos anteriormente.
Es decir, la información debe ser de interés global, relativamente no
volátil y estructurada.

Cómo publicar

Los métodos de publicar información varían dependiendo de la

aplicación o el servicio:

• Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la

familia RpcNs* de API para publicar sus puntos de conexión en el directorio y
para consultar los puntos de conexión de servicios que han publicado los suyos.
• Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API
Registration and Resolution (Registro y resolución) disponibles en Winsock 2.0
para publicar sus puntos de conexión y para consultar los puntos de conexión de
servicios que han publicado los suyos.
• Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM
publican sus puntos de conexión mediante DCOM Class Store, que reside en
Active Directory. DCOM es la especificación del Modelo de objetos
componentes (COM) de Microsoft que define cómo se comunican los
componentes a través de redes basadas en Windows. Utilice la herramienta
Configuración de DCOM para integrar aplicaciones cliente-servidor en varios
equipos. DCOM también puede utilizarse para integrar aplicaciones robustas de
explorador Web.

Dominios: árboles, bosques, confianzas y

unidades organizativas
Active Directory consta de uno o varios dominios. Al crear el
controlador de dominio inicial en una red también se crea el dominio;
no puede haber un dominio sin que haya al menos un controlador de
dominio. Cada dominio del directorio se identifica mediante un
nombre de dominio DNS. La herramienta Dominios y confianza de
Active Directory se utiliza para administrar dominios.
Los dominios se utilizan para llevar a cabo los siguientes objetivos de
administración de red:

• Delimitar la seguridad. Un dominio de Windows 2000 define un límite de

seguridad: Las políticas y la configuración de seguridad (como los derechos
administrativos y las listas de control de acceso) no cruzan de un dominio a otro.
Active Directory puede incluir uno o varios dominios, cada uno con sus propias
políticas de seguridad.
• Información de replicación. Un dominio es una partición del directorio de
Windows 2000 (también denominado un contexto de nombres). Estas
particiones del directorio son las unidades de replicación. Cada dominio sólo
almacena la información acerca de los objetos que se encuentran en dicho
dominio. Todos los controladores de un dominio pueden recibir cambios
efectuados en los objetos y pueden replicar esos cambios a todos los demás
controladores de dicho dominio.
• Aplicar Política de grupo. Un dominio define un ámbito posible para la política
(la configuración de Política de grupo también puede aplicarse a unidades
organizativas o a sitios). Al aplicar un objeto de política de grupo (GPO) al
dominio se establece cómo se pueden configurar y utilizar los recursos del
dominio. Por ejemplo, puede utilizar Política de grupo para controlar la
configuración del escritorio, como el bloqueo del escritorio y la distribución de
aplicaciones. Estas políticas sólo se aplican dentro del dominio, no entre varios
dominios.
• Estructurar la red. Como un dominio de Active Directory puede abarcar varios
sitios y contener millones de objetos11, la mayoría de las organizaciones no
necesitan crear dominios independientes para reflejar las divisiones y los
departamentos de la organización. Nunca debe ser necesario crear dominios
adicionales para administrar objetos adicionales. Sin embargo, algunas
organizaciones requieren varios dominios para incorporar, por ejemplo,
unidades de negocio independientes o completamente autónomas que no desean
que nadie externo a la unidad tenga autorización sobre sus objetos. Dichas
organizaciones pueden crear dominios adicionales y organizarlos en un bosque
de Active Directory. Otro motivo para dividir la red en dominios independientes
es si dos partes de la red están separadas por un vínculo tan lento que nunca se
desea que tenga tráfico de replicación completa. (En el caso de los vínculos
lentos que aún pueden tratar tráfico de replicación con menos frecuencia, puede
configurar un único dominio con varios sitios.)
• Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000
puede delegar restrictivamente la autoridad administrativa tanto de unidades
organizativas como de dominios individuales, lo que reduce el número de
administradores necesarios con autoridad administrativa amplia. Como un
dominio es un límite de seguridad, los permisos administrativos de un dominio
están limitados al dominio de forma predeterminada. Por ejemplo, a un
administrador con permisos para establecer políticas de seguridad en un dominio
no se le concede automáticamente autoridad para establecer políticas de
seguridad en otro dominio del directorio.

Comprender los dominios incluye entender los árboles, bosques,

confianzas y unidades organizativas, y cómo se relaciona cada una de
estas estructuras con los dominios. En las siguientes subsecciones se
describen cada uno de estos componentes de dominio:

• Árboles
• Bosques
• Relaciones de confianza
• Unidades organizativas

El sistema operativo Windows 2000 también presenta el concepto

relacionado de sitios, pero la estructura de sitio y la estructura de
dominio son independientes, con el fin de proporcionar administración
flexible, por lo que los sitios se tratarán en una sección posterior. Este
documento presenta los conceptos básicos acerca de los dominios y
los sitios basados en Windows 2000. Para obtener información
detallada acerca de cómo planear su estructura y distribución,
consulte la Guía de diseño de la distribución de Microsoft Windows
2000 Server en la sección "Para obtener más información", al final de
este documento.
Cuando lea las próximas subsecciones en las que se describen
posibles estructuras de dominio, tenga en cuenta que, para muchas
organizaciones, una estructura que conste de un único dominio que
sea a la vez un bosque con un único árbol no sólo es posible, sino que
es la forma óptima de organizar la red. Empiece siempre con la
estructura más sencilla y aumente su complejidad sólo cuando pueda
justificarlo.

Árboles

En el sistema operativo Windows 2000, un árbol es un conjunto de

uno o varios dominios con nombres contiguos. Si hay varios dominios,
puede combinarlos en estructuras jerárquicas de árbol. Un posible
motivo para tener varios árboles en el bosque es si una división de la
organización tiene su propio nombre DNS registrado y ejecuta sus
propios servidores DNS.
El primer dominio creado es el dominio raíz del primer árbol. Los
dominios adicionales del mismo árbol son dominios secundarios. Un
dominio situado inmediatamente por encima de otro dominio en el
mismo árbol es su principal.
Todos los dominios que tienen un dominio raíz común se dice que
forman un espacio de nombres contiguos. Los dominios de un espacio
de nombres contiguos (es decir, en un único árbol) tiene nombres de
dominio DNS contiguos que se forman de la siguiente manera: El
nombre del dominio secundario aparece a la izquierda, separado del
nombre de su dominio principal a la derecha por un punto. Cuando
hay más de dos dominios, cada uno tiene su principal a la derecha del
nombre de dominio, tal como se muestra en la figura 3. Los dominios
basados en Windows 2000 que forman un árbol están vinculados
mediante relaciones de confianza bidireccionales y transitivas. Estas
relaciones de confianza se describen más adelante.
Figura 3. Dominios principales y secundarios en un árbol de
dominios. Las flechas de dos puntas indican relaciones de
confianza bidireccionales transitivas
La relación principal-secundario entre dominios de un árbol sólo es
una relación de nomenclatura y una relación de confianza. Los
administradores de un dominio principal no lo son automáticamente
de un dominio secundario y las políticas establecidas en un dominio
principal no se aplican automáticamente a los dominios secundarios.

Bosques

Un bosque de Active Directory es una base de datos distribuida, que

está compuesta de varias bases de datos parciales repartidas en
varios equipos. La distribución de la base de datos aumenta la
eficacia de la red, ya que permite ubicar los datos donde más se
utilizan. Los dominios definen las particiones de la base de datos del
bosque; es decir, un bosque consta de uno o varios dominios.
Todos los controladores de dominio de un bosque contienen una
copia de los contenedores Configuración y Esquema del bosque,
además de una base de datos del dominio. Una base de datos del
dominio es una parte de una base de datos del bosque. Cada base de
datos del dominio contiene objetos de directorio, como los objetos de
principales de seguridad (usuarios, equipos y grupos) a los que puede
conceder o denegar acceso a los recursos de la red.
Con frecuencia, un único bosque, que resulta fácil de crear y
mantener, puede satisfacer las necesidades de una organización. Con
un único bosque no es necesario que los usuarios conozcan la
estructura del directorio, ya que todos ven un único directorio a
través del catálogo global. Cuando se agrega un dominio nuevo al
bosque, no se requiere ninguna configuración adicional de la
confianza, ya que todos los dominios de un bosque están conectados
por una confianza bidireccional transitiva. En un bosque con varios
dominios, sólo es necesario aplicar una vez los cambios a la
configuración para que afecten a todos los dominios.
No debe crear bosques adicionales a menos que tenga necesidad
evidente de hacerlo, ya que cada bosque que cree supondrá una
carga adicional de administración12. Un motivo posible para crear
varios bosques es si la administración de la red está distribuida entre
varias divisiones autónomas que no están de acuerdo en la
administración común del esquema y los contenedores de
configuración. Otro motivo para crear un bosque independiente es
asegurarse de que a determinados usuarios nunca se les concederá
acceso a ciertos recursos (en un bosque único, todos los usuarios
pueden incluirse en cualquier grupo o pueden aparecer en una lista
de control de acceso discrecional, o DACL13, en cualquier equipo del
bosque). Con bosques independientes, es posible definir relaciones de
confianza explícita para conceder a los usuarios de un bosque acceso
a determinados recursos del otro bosque. (Para ver un ejemplo de dos
bosques, consulte la figura 7 en la sección "Ejemplo: entorno mixto de
dos bosques y una extranet".)
Varios árboles de dominio dentro de un único bosque no constituyen
un espacio de nombres contiguos; es decir, tienen nombres de
dominio DNS que no son contiguos. Aunque los árboles de un bosque
no comparten un espacio de nombres, un bosque tiene un único
dominio raíz, denominado dominio raíz del bosque. El dominio raíz del
bosque es, por definición, el primer dominio creado en el bosque. Los
dos grupos predefinidos para todo el bosque, Administradores de
empresa y Administradores del esquema, residen en este dominio.
Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de
los tres árboles de dominios (RRHH-Raíz.com, RaízEuropa.com y
RaízAsia.com) tiene un dominio secundario para Contabilidad
denominado "Contab", los nombres DNS de estos dominios
secundarios son Contab.OfC-Raíz.com, Contab.RaízEuropa.com y
Contab.RaízAsia.com, respectivamente. No hay ningún espacio de
nombres compartido.
Figura 4. Un bosque con tres árboles de dominios. Los tres
dominios raíz no son contiguos, pero RaízEuropa.com y
RaízAsia.com son dominios secundarios de OfC-Raíz.com.
El dominio raíz de cada árbol de dominios del bosque establece una
relación de confianza transitiva (que se explica con más detalle en la
próxima sección) con el dominio raíz del bosque. En la figura 4, OfC-
Raíz.com es el dominio raíz del bosque. Los dominios raíz de los
demás árboles de dominios, RaízEuropa.com y RaízAsia.com, tienen
relaciones de confianza transitiva con OfC-Raíz.com, que establece la
confianza entre todos los árboles de dominios del bosque.
Todos los dominios de Windows 2000 en todos los árboles de
dominios de un bosque tienen las siguientes características:

• Tienen relaciones de confianza transitiva entre los dominios de cada árbol.

• Tienen relaciones de confianza transitiva entre los árboles de dominios de un
bosque.
• Comparten información de configuración común.
• Comparten un esquema común.
• Comparten un catálogo global común.

Importante Es fácil agregar nuevos dominios a un bosque. Sin

embargo, no puede mover dominios existentes de Active Directory de
Windows 2000 de un bosque a otro. Sólo puede quitar un dominio del
bosque si no tiene dominios secundarios. Después de establecer un
dominio raíz del árbol no puede agregar un dominio con un nombre
nivel superior al bosque. No puede crear un dominio principal de uno
ya existente; sólo puede crear uno secundario.
La implementación de árboles de dominios y de bosques permite
utilizar convenciones de nomenclatura tanto contiguas como no
contiguas. Esta flexibilidad puede resultar útil, por ejemplo, en
organizaciones con divisiones independientes cada una de las cuales
desee mantener su propio nombre DNS, como Microsoft.com y
MSNBC.com.

Relaciones de confianza

Una relación de confianza es una relación que se establece entre dos

dominios y permite que un controlador del otro dominio reconozca los
usuarios de un dominio. Las confianzas permiten que los usuarios
tengan acceso a los recursos del otro dominio y también permite que
los administradores controlen los derechos de los usuarios del otro
dominio. Para los equipos que ejecutan Windows 2000, la
autenticación de cuentas entre dominios se habilita mediante
relaciones de confianza transitivas bidireccionales.
Todas las confianzas de dominio en un bosque basado en Windows
2000 son bidireccionales y transitivas, definidas de la siguiente
forma:

• Bidireccional. Cuando crea un nuevo dominio secundario, éste confía

automáticamente en el dominio principal y viceversa. En la práctica, esto
significa que las solicitudes de autenticación pueden pasarse entre los dos
dominios en ambas direcciones.
• Transitiva. Una confianza transitiva va más allá de los dos dominios de la
relación de confianza inicial. Funciona del siguiente modo: Si el dominio A y el
dominio B (principal y secundario) confían el uno en el otro y si el dominio B y
el dominio C (también principal y secundario) confían el uno en el otro,
entonces el dominio A y el dominio C confían entre sí (implícitamente), incluso
aunque no exista una relación de confianza directa entre ellos. En el nivel del
bosque, se crea automáticamente una relación de confianza entre el dominio raíz
del bosque y el dominio raíz de cada árbol de dominios agregado al bosque, con
lo que existe una confianza completa entre todos los dominios de un bosque de
Active Directory. En la práctica, como las relaciones de confianza son
transitivas, un proceso de inicio de sesión único permite que el sistema
autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este
proceso de inicio de sesión único permite que la cuenta tenga acceso a los
recursos de cualquier dominio del bosque.

Sin embargo, tenga en cuenta que el inicio de sesión único habilitado

mediante confianzas no implica necesariamente que el usuario
autenticado tenga derechos y permisos en todos los dominios del
bosque.
Además de las confianzas bidireccionales transitivas en todo el
bosque generadas automáticamente en el sistema operativo Windows
2000, puede crear explícitamente los dos tipos siguientes de
relaciones de confianza adicionales:
No hay una conexión necesaria entre espacios de nombres de sitios y
dominios.
 • No hay una correlación necesaria entre la estructura física de la red y su
estructura de dominios. Sin embargo, en muchas organizaciones los dominios se
configuran para reflejar la estructura física de la red. Esto se debe a que los
dominios son particiones y este hecho influye en la replicación: al dividir el
bosque en varios dominios más pequeños se puede reducir el tráfico de
replicación.
• Active Directory permite que aparezcan varios dominios en un único sitio y que
un único dominio aparezca en varios sitios.

Cómo utiliza Active Directory la información de sitios

La información de sitios se especifica mediante Sitios y servicios de

Active Directory; a continuación, Active Directory usa esta
información para determinar cómo utilizar mejor los recursos de red
disponibles. Usar sitios hace que los siguientes tipos de operaciones
sean más eficaces:

• Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio

de un controlador de dominio, éste dirige la solicitud a un controlador del mismo
sitio, si hay alguno disponible. Seleccionar un controlador de dominio que esté
bien conectado al cliente que realizó la solicitud hace que el tratamiento de la
solicitud sea más eficaz. Por ejemplo, cuando un cliente inicia la sesión
mediante una cuenta de dominio, el mecanismo de inicio de sesión busca
primero controladores de dominio que se encuentren en el mismo sitio que el
cliente. Si se intenta usar primero los controladores de dominio en el sitio del
cliente se delimita el tráfico de red, con lo que se aumenta la eficacia del proceso
de autenticación.
• Replicar datos del directorio. Los sitios permiten la replicación de los datos
del directorio tanto dentro como entre sitios. Active Directory replica la
información dentro de un sitio con más frecuencia que entre sitios, lo que
significa que los controladores de dominio mejor conectados, aquéllos que con
más probabilidad de necesitan determinada información de directorio, reciben
las réplicas en primer lugar. Los controladores de dominio de otros sitios reciben
todos los cambios efectuados en el directorio, pero con menos frecuencia, con lo
que se reduce el consumo del ancho de banda de la red. Replicar datos de Active
Directory entre controladores de dominio proporciona disponibilidad de la
información, tolerancia a errores, equilibrio de la carga y ventajas de
rendimiento. (Para obtener una explicación de cómo implementa la replicación
el sistema operativo Windows 2000, consulte la subsección "Replicación de
múltiples maestros", al final de esta sección acerca de los sitios.)

Controladores de dominio, catálogos globales y datos

replicados

La información almacenada en Active Directory en cada controlador

de dominio (independientemente de si se trata de un servidor de
catálogo global o no) se divide en tres categorías: datos de dominio,
esquema y configuración. Cada una de estas categorías es una
partición independiente del directorio, denominada también un
contexto de nombres. Estas particiones del directorio son las
unidades de replicación. Las tres particiones del directorio que cada
servidor de Active Directory contiene se definen a continuación:

• Partición del directorio con datos de dominios. Contiene todos los objetos del
directorio para este dominio. Los datos de cada dominio se replican a todos los
controladores de dicho dominio, pero no salen de él.
• Partición del directorio con datos del esquema. Contiene todos los tipos de
objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son
comunes a todos los dominios del árbol de dominios o del bosque. Los datos del
esquema se replican en todos los controladores de dominio del bosque.
• Partición del directorio con datos de configuración. Contiene la topología de
replicación y los metadatos relacionados. Las aplicaciones compatibles con
Active Directory almacenan la información en la partición del directorio de
configuración. Estos datos son comunes a todos los dominios del árbol de
dominios o del bosque. Los datos de configuración se replican en todos los
controladores de dominio del bosque.

Si el controlador de dominio es un servidor de catálogo global,

también contiene una cuarta categoría de información:

• Réplica parcial de la partición del directorio con datos de dominios para

todos los dominios. Además de almacenar y replicar un conjunto completo de
todos los objetos del directorio para su propio dominio host, un servidor de
catálogo global almacena y replica una réplica parcial de la partición del
directorio de dominios para todos los demás dominios del bosque. Esta réplica
parcial, por definición, contiene un subconjunto de las propiedades para todos
los objetos de todos los dominios del bosque. (Una réplica parcial es de sólo
lectura, mientras que una réplica completa es de lectura y escritura.)

Si un dominio contiene un catálogo global, otros controladores

de dominio replican todos los objetos de dicho dominio (con un
subconjunto de sus propiedades) en el catálogo global y,
después, la replicación de réplicas parciales se efectúa entre
catálogos globales. Si un dominio no tiene catálogo global, un
controlador de dominio normal sirve de origen de la réplica
parcial.

De forma predeterminada, el conjunto parcial de atributos

almacenados en el catálogo global incluye los atributos que se
utilizan con más frecuencia en las operaciones de búsqueda, ya
que una de las funciones principales del catálogo global es
ofrecer soporte a los clientes que consultan el directorio. El uso
de catálogos globales para realizar la replicación parcial de
dominios en lugar de efectuar la replicación completa reduce el
tráfico de WAN.

Replicación dentro de un sitio

Si la red consta de una única red de área local (LAN) o un conjunto de

LAN conectadas mediante una red troncal de alta velocidad, toda la
red puede ser un único sitio. El primer controlador de dominio que
instala crea automáticamente el primer sitio, denominado
NombrePredeterminadoPrimerSitio. Después de instalar el primer
controlador de dominio, todos los controladores adicionales se
agregan automáticamente al mismo sitio que el controlador de
dominio original. (Más adelante, si lo desea, puede moverlos a otros
sitios.) La única excepción es la siguiente: Si en el momento de
instalar un controlador de dominio su dirección IP está dentro de la
subred especificada anteriormente en un sitio alternativo, el
controlador de dominio se agregará a este sitio.
La información de directorio dentro de un sitio se replica con
frecuencia y automáticamente. La replicación dentro del sitio está
optimizada para reducir al mínimo la latencia, es decir, para
mantener los datos lo más actualizados posible. Las actualizaciones
de directorio dentro del sitio no se comprimen. Los intercambios sin
comprimir utilizan más recursos de red pero requieren menos
capacidad de procesamiento de los controladores de dominio.
En la figura 9 se ilustra la replicación dentro de un sitio. Tres
controladores de dominio (uno de los cuales es un catálogo global)
replican los datos de esquema y de configuración del bosque, así
como todos los objetos del directorio (con un conjunto completo de
los atributos de cada objeto).

Figura 9. Replicación dentro del sitio con un único dominio

El servicio Comprobador de coherencia de réplica (KCC) de Active
Directory genera automáticamente la configuración que forman las
conexiones utilizadas para replicar la información de directorio entre
los controladores de dominio, denominada topología de replicación.
La topología de sitios de Active Directory es una representación lógica
de una red física y se define para cada bosque. Active Directory
intenta establecer una topología que permita al menos dos
conexiones a cada controlador de dominio, de modo que si un
controlador no está disponible, la información del directorio pueda
seguir llegando a todos los controladores de dominio conectados a
través de la otra conexión.
Active Directory evalúa y ajusta automáticamente la topología de
replicación para adaptarse al estado cambiante de la red. Por
ejemplo, cuando se agrega un controlador de dominio a un sitio, la
topología de replicación se ajusta para incorporar esta adición de una
forma eficaz.
Los clientes y servidores de Active Directory usan la topología de
sitios del bosque para enrutar el tráfico de consultas y replicación de
forma eficaz.
Si amplía la distribución desde el primer controlador de dominio en un
dominio a varios controladores en varios dominios (dentro de un
único sitio), la información de directorio que se replica cambia para
incluir la replicación de la réplica parcial entre los catálogos globales
en dominios diferentes. En la figura 10 se muestran dos dominios,
cada uno de los cuales contiene tres controladores de dominio. Uno
de los controladores de cada sitio también es un servidor de catálogo
global. Dentro de cada dominio, los controladores de dominio replican
los datos de esquema y de configuración del bosque, así como todos
los objetos del directorio (con un conjunto completo de los atributos
de cada objeto), tal como se muestra en la figura 9. Además, cada
catálogo global replica los objetos del directorio (sólo con un
subconjunto de sus atributos) de su propio dominio al otro catálogo
global.
Figura 10. Replicación dentro del sitio con dos dominios y dos
catálogos globales

Replicación entre sitios

Cree varios sitios para optimizar el tráfico de servidor a servidor y de

cliente a servidor a través de vínculos WAN. En el sistema operativo
Windows 2000, la replicación entre sitios reduce automáticamente el
consumo de ancho de banda entre sitios.
Se recomienda tener en cuenta lo siguiente al configurar varios sitios:

• Geografía. Establezca como un sitio cada área geográfica que requiera acceso
rápido a la información de directorio más reciente. Al establecer como sitios
independientes áreas que requieren acceso inmediato a la información
actualizada de Active Directory se proporcionan los recursos necesarios para
satisfacer las necesidades de los usuarios.
• Controladores de dominio y catálogos globales. Coloque al menos un
controlador de dominio en cada sitio y convierta al menos un controlador de
dominio de cada sitio en un catálogo global. Los sitios que no tienen sus propios
controladores de dominio y al menos un catálogo global dependen de otros sitos
para obtener la información del directorio y son menos eficaces.

Cómo se conectan los sitios

Las conexiones de red entre los sitios se representan mediante
vínculos a sitios. Un vínculo a sitios es una conexión de ancho de
banda bajo o no confiable entre dos o varios sitios. Una WAN que
conecta dos redes rápidas es un ejemplo de un vínculo a sitios. En
general, se considera que dos redes cualesquiera unidas por un
vínculo que es más lento que una red de área local están conectadas
por un vínculo a sitios. Además, un vínculo rápido que está casi al
límite de su capacidad tiene poco ancho de banda eficaz y se
considera también un vínculo a sitios. Cuando hay varios sitios, los
que están conectados mediante vínculos a sitios forman parte de la
topología de replicación.
En una red basada en Windows 2000, los vínculos a sitios no se
generan automáticamente; debe crearlos mediante Sitios y servicios
de Active Directory. Al crear los vínculos a sitios y configurar su
disponibilidad de replicación, costo relativo y frecuencia de
replicación, se proporciona información a Active Directory acerca de
qué objetos de conexión debe crear para replicar los datos de
directorio. Active Directory utiliza vínculos a sitios como indicadores
de que debe crear objetos de conexión y éstos utilizan las conexiones
de red reales para intercambiar información de directorio.
Un vínculo a sitios tiene una programación asociada que indica a qué
horas del día está disponible el vínculo para llevar tráfico de
replicación.
De forma predeterminada, los vínculos a sitios son transitivos, lo que
significa que un controlador de dominio de un sitio puede efectuar
conexiones de replicación con los controladores de dominio de
cualquier otro sitio. Es decir, si el sitio A está conectado al sitio B y
éste lo está al sitio C, los controladores de dominio del sitio A pueden
comunicarse con los controladores del sitio C. Cuando cree un sitio,
quizás desee crear vínculos adicionales para habilitar conexiones
específicas entre sitios y personalizar los vínculos existentes que
conectan los sitios.
En la figura 11 se muestran dos sitios conectados mediante un
vínculo a sitios. De los seis controladores de dominio de la ilustración,
dos son servidores cabeza de puente (el sistema asigna
automáticamente esta función).
Figura 11. Dos sitios conectados mediante un vínculo a sitios.
El servidor cabeza de puente preferido de cada sitio se utiliza
principalmente para el intercambio de información entre
sitios.
Los servidores cabeza de puente son los preferidos para la
replicación, pero también puede configurar los demás controladores
de dominio del sitio para replicar los cambios del directorio entre
sitios.
Una vez replicadas las actualizaciones de un sitio al servidor cabeza
de puente del otro sitio, éstas se replican a otros controladores de
dominio del mismo sitio mediante la replicación dentro del sitio.
Aunque un único controlador de dominio recibe la actualización inicial
de directorio entre sitios, todos los controladores de dominio atienden
las solicitudes de los clientes.
Protocolos de replicación

La información de directorio puede intercambiarse mediante los

siguientes protocolos de red:

• Replicación IP. La replicación IP utiliza llamadas a procedimiento remoto

(RPC) para la replicación dentro de un sitio y a través de vínculos a sitios (entre
sitios). De forma predeterminada, la replicación IP entre sitios se ajusta a las
programaciones de replicación. La replicación IP no requiere una entidad
emisora de certificados (CA).
• Replicación SMTP. Si tiene un sitio que no dispone de conexión física con el
resto de la red pero al que se puede llegar a través del Protocolo simple de
transferencia de correo (SMTP), dicho sitio sólo tiene conectividad basada en
correo. La replicación SMTP sólo se utiliza para la replicación entre sitios. No
puede utilizar la replicación SMTP para replicar entre controladores de dominio
del mismo dominio; sólo se admite la replicación entre dominios a través de
SMTP (es decir, SMTP sólo puede utilizarse para la replicación entre sitios y
entre dominios). La replicación SMTP sólo puede utilizarse para la replicación
de réplicas parciales del esquema, la configuración y el catálogo global. La
replicación SMTP tiene en cuenta la programación de replicación generada
automáticamente.

Si decide utilizar SMTP a través de vínculos a sitios, debe

instalar y configurar una entidad emisora de certificados (CA)
de empresa. Los controladores de dominio obtienen certificados
de la entidad emisora y los utilizan para firmar y cifrar los
mensajes de correo que contienen la información de replicación
de directorio, con lo que se asegura la autenticidad de las
actualizaciones. La replicación SMTP usa cifrado de 56 bits.

Replicación de múltiples maestros

Los controladores de dominio de Active Directory admiten la

replicación de múltiples maestros, con lo que se sincronizan los datos
en cada controlador y se asegura la coherencia de la información con
el paso del tiempo. La replicación de múltiples maestros replica la
información de Active Directory entre controladores de dominio
homólogos, cada uno de los cuales contiene una copia de lectura y
escritura del directorio. Esto representa un cambio con relación al
sistema operativo Windows NT Server, en el que sólo el PDC tenía una
copia de lectura y escritura del directorio (los BDC recibían copias de
sólo lectura del PDC). Una vez configurada, la replicación es
automática y transparente.

Propagación de actualizaciones y números de secuencia de

actualización

Algunos servicios de directorio utilizan marcas temporales para

detectar y propagar los cambios. En estos sistemas es esencial
mantener sincronizados los relojes de todos los servidores de
directorio. La sincronización temporal de una red es muy difícil.
Incluso con una sincronización temporal de la red excelente, es
posible que la hora de un servidor de directorio dado sea incorrecta.
Esto puede dar como resultado la pérdida de actualizaciones.
El sistema de replicación de Active Directory no depende de la hora
para propagar las actualizaciones. En su lugar, utiliza Números de
secuencia de actualización (USN). Un USN es un número de 64 bits
que mantiene cada controlador de dominio de Active Directory para
realizar un seguimiento de las actualizaciones. Cuando el servidor
escribe en un atributo o en una propiedad de un objeto de Active
Directory (incluida la modificación de origen o una modificación
replicada), se incrementa el USN y se almacena con la propiedad
actualizada y con una propiedad que es específica del controlador de
dominio. Esta operación se realiza de manera atómica; es decir, el
incremento y almacenamiento del USN y la escritura del valor de la
propiedad se realizan correctamente o fracasan como una unidad.
Cada servidor de Active Directory también mantiene una tabla de los
USN recibidos de los asociados de replicación. En esta tabla se
almacena el mayor USN recibido de cada asociado. Cuando un
asociado dado notifica al servidor de directorio que es necesario
hacer una replicación, ese servidor pide todos los cambios cuyos USN
sean mayores que el último valor recibido. Este enfoque simple no
depende de la precisión de las marcas de tiempo.
Puesto que el USN almacenado en la tabla se actualiza de forma
atómica con cada actualización recibida, si se produce un error en un
servidor también es sencillo recuperarlo. Para reiniciar la replicación,
un servidor únicamente debe pedir a sus asociados todos los cambios
cuyos USN sean mayores que la última entrada válida de la tabla.
Como la tabla se actualiza de forma atómica a medida que se aplican
los cambios, un ciclo de replicación interrumpido siempre se reiniciará
exactamente donde se detuvo, sin que haya pérdida ni duplicación de
actualizaciones.

Detección de colisiones y números de versión de propiedad

En un sistema de replicación de múltiples maestros como Active

Directory, es posible que dos o más réplicas diferentes actualicen la
misma propiedad. Cuando una propiedad cambia en una segunda (o
tercera, o cuarta, etc.) réplica antes de que se haya propagado
totalmente un cambio de la primera réplica, se produce una colisión
de replicación. Las colisiones se detectan mediante los números de
versión de propiedad. A diferencia de los USN, que son valores
específicos del servidor, los números de versión de propiedad son
específicos de la propiedad de un objeto de Active Directory. Cuando
se escribe por primera vez una propiedad en un objeto de Active
Directory, se inicializa su número de versión.
Las modificaciones de origen incrementan el número de versión de
propiedad. Las modificaciones de origen son modificaciones de una
propiedad del sistema que producen un cambio. Las modificaciones
de propiedades producidas por una replicación no son modificaciones
de origen y no incrementan el número de versión. Por ejemplo,
cuando un usuario actualiza su clave de acceso se produce una
modificación de origen y se incrementa el número de versión de
propiedad de la clave de acceso. Replicar la modificación de la clave
de acceso en otros servidores no hace que se incremente el número
de versión de propiedad.
Se detecta una colisión cuando se recibe un cambio a través de una
replicación cuyo número de versión de propiedad es igual al número
de versión de propiedad almacenado localmente, y los valores
recibido y almacenado son diferentes. Cuando esto ocurre, el sistema
receptor aplicará la actualización que tenga la marca de tiempo
posterior. Esta es la única situación en la que se utiliza la hora en la
replicación.
Cuando el número de versión de propiedad recibido es inferior al
almacenado localmente, se considera que la actualización está
anticuada y se descarta. Cuando el número de versión de propiedad
recibido es superior al almacenado localmente, se acepta la
actualización.

Disminución de la propagación

El sistema de replicación de Active Directory permite realizar bucles

en la topología de replicación. Esto permite al administrador
configurar una topología de replicación con múltiples rutas entre los
servidores para conseguir un mejor rendimiento y disponibilidad. El
sistema de replicación de Active Directory se encarga de disminuir la
propagación para evitar que los cambios se propaguen
indefinidamente y para eliminar la transmisión redundante de
cambios a réplicas que ya están actualizadas.
El sistema de replicación de Active Directory utiliza vectores de
actualización para disminuir la propagación. El vector de actualización
es una lista de pares de servidor y USN que cada servidor mantiene.
El vector de actualización de cada servidor indica el mayor USN de las
modificaciones de origen recibidas de los servidores en el par
servidor–USN. Un vector de actualización para un servidor de un sitio
determinado enumera todos los demás servidores de ese sitio15.
Cuando se inicia un ciclo de replicación, el servidor solicitante envía
su vector de actualización al servidor remitente. El servidor remitente
utiliza el vector de actualización para filtrar los cambios enviados al
servidor solicitante. Si el mayor USN de una modificación de origen
dada es mayor o igual al USN de una modificación de origen para una
actualización determinada, el servidor remitente no necesita enviar el
cambio; el servidor solicitante ya está actualizado con respecto al de
origen.
Usar delegación y Política de grupo con
unidades organizativas, dominios y
sitios
Puede delegar los permisos administrativos y asociar Política de
grupo con los siguientes contenedores de Active Directory:

• Unidades organizativas
• Dominios
• Sitios

Una unidad organizativa es el menor contenedor de Windows 2000 al

que puede delegar autoridad o aplicar Política de grupo16. Tanto la
delegación como Política de grupo son características de seguridad
del sistema operativo Windows 2000. En este documento se
describen brevemente en el contexto limitado de la arquitectura para
mostrar que la estructura de Active Directory determina la forma de
usar la delegación de contenedores y Política de grupo.
Asignar la autoridad administrativa sobre unidades organizativas,
dominios o sitios permite delegar la administración de usuarios y
recursos. Asignar objetos de política de grupo (GPO) a cualquiera de
estos tres tipos de contenedores permite definir configuraciones de
escritorio y políticas de seguridad para los usuarios y los equipos del
contenedor. En las dos subsecciones siguientes se describen estos
temas con más detalle.

Delegación de contenedores

En el sistema operativo Windows 2000, la delegación permite que una

autoridad administrativa superior conceda derechos administrativos
específicos a unidades organizativas, dominios o sitios a grupos (o
usuarios). De esta forma se reduce considerablemente el número de
administradores necesarios con la autoridad buscada en grandes
segmentos de usuarios. Delegar el control de un contenedor permite
especificar quién dispone de permisos para tener acceso o modificar
dicho objeto o sus objetos secundarios. La delegación es una de las
características de seguridad más importantes de Active Directory.

Delegación de dominios y unidades organizativas

En el sistema operativo Windows NT 4.0, los administradores a veces

delegan la administración mediante la creación de varios dominios
con el fin de tener conjuntos distintos de administradores de dominio.
En el sistema operativo Windows 2000, las unidades organizativas
son más sencillas de crear, eliminar, mover y modificar que los
dominios y, por tanto, son más adecuadas para la función de
delegación.
 Para delegar la autoridad administrativa (distinta de la autoridad
sobre sitios, que se trata más adelante), se concede a un grupo
derechos específicos sobre un dominio o unidad organizativa
mediante la modificación de la lista de control de acceso discrecional
(DACL)17 del contenedor. De forma predeterminada, los miembros del
grupo de seguridad Administradores del dominio tienen autoridad
sobre todo el dominio, pero puede restringir la pertenencia a este
grupo a un número limitado de administradores de confianza. Para
establecer administradores con menor ámbito, puede delegar la
autoridad al nivel más bajo de la organización; para ello, cree un árbol
de unidades organizativas dentro de cada dominio y delegue la
autoridad a partes del subárbol de unidades organizativas.
Los administradores de dominio tienen un control total sobre cada
objeto de su dominio. Sin embargo, no tienen derechos
administrativos sobre los objetos de otros dominios18.
Para delegar la administración de un dominio o una unidad
organizativa se utiliza el Asistente para delegación de control, que
está disponible en el complemento Usuarios y equipos de Active
Directory. Haga clic con el botón secundario del mouse (ratón) en el
dominio o en la unidad organizativa, seleccione Delegar control,
agregue los grupos (o usuarios) a los que desee delegar el control y, a
continuación, delegue las tareas comunes enumeradas o cree una
tarea personalizada para delegar. En la tabla siguiente se enumeran
las tareas comunes que puede delegar.
Tareas comunes de dominio que Tareas comunes de unidades
puede delegar organizativas que puede delegar
· Crear, eliminar y administrar cuentas
de usuario
· Restablecer claves de acceso de
cuentas de usuario
· Unir un equipo a un dominio · Leer toda la información de usuario
· Administrar vínculos de Política de · Crear, eliminar y administrar grupos
grupo · Modificar la pertenencia a un grupo
· Administrar impresoras
· Crear y eliminar impresoras
· Administrar vínculos de Política de
grupo
Mediante una combinación de unidades organizativas, grupos y
permisos, es posible definir el ámbito administrativo más apropiado
para un grupo determinado: un dominio entero, un subárbol de
unidades organizativas o una única unidad organizativa. Por ejemplo,
puede crear una unidad organizativa que le permita conceder control
administrativo para todas las cuentas de usuarios y equipos en todas
las divisiones de un departamento, como el departamento de
contabilidad. Por otra parte, puede conceder control administrativo
sólo a algunos recursos dentro del departamento, como las cuentas
de equipo. Un tercer ejemplo es conceder control administrativo a la
unidad organizativa de contabilidad, pero no a ninguna unidad
organizativa contenida dentro de ella.
Puesto que las unidades organizativas se utilizan para la delegación
administrativa y no son principales de seguridad por sí mismas, la
unidad organizativa principal de un objeto de usuario indica quién
administra el objeto de usuario. No indica a qué recursos puede tener
acceso dicho usuario.

Delegación de sitios

Sitios y servicios de Active Directory se utiliza para delegar el control

de sitios, contenedores de servidor, transportes entre sitios (IP o
SMTP) o subredes. Delegar el control de una de estas entidades
ofrece al administrador delegado la capacidad de manipular dicha
entidad, pero no de administrar los usuarios o los equipos que se
encuentran en ella.
Por ejemplo, cuando delega el control de un sitio puede elegir entre
delegar el control de todos los objetos o delegar el control de uno o
varios objetos que se encuentran en dicho sitio. Los objetos para los
que puede delegar el control son: usuarios, equipos, grupos,
impresoras, unidades organizativas, carpetas compartidas, sitios,
vínculos a sitios, puentes de vínculos a sitios, etc. A continuación, se
le pedirá que seleccione el ámbito de los permisos que desea delegar
(general, específico de propiedades o simplemente la creación o
eliminación de determinados objetos secundarios). Si especifica
general, se le pedirá que conceda uno o varios de los permisos
siguientes: Control total, Lectura, Escritura, Crear todos los objeto
secundarios, Eliminar todos los objetos secundarios, Leer todas las
propiedades o Escribir todas las propiedades.

Política de grupo

En Windows NT 4.0 se utiliza el Editor de políticas del sistema para

definir las configuraciones de usuarios, grupos y equipos
almacenadas en la base de datos del Registro de Windows NT. En el
sistema operativo Windows 2000, Política de grupo define más
componentes en el entorno del usuario que los administradores
pueden controlar. Estos componentes incluyen opciones para las
políticas basadas en el Registro, opciones de seguridad, opciones de
distribución de software, secuencias de comandos (para iniciar y
apagar el equipo, y para el inicio y cierre de sesión de usuarios) y la
redirección de carpetas especiales19.
El sistema aplica los valores de configuración de Política de grupo a
los equipos durante el inicio o a los usuarios cuando inician la sesión.
Los valores de Política de grupo se aplican a los usuarios o equipos en
sitios, dominios y unidades organizativas mediante la vinculación del
GPO al contenedor de Active Directory donde residen los usuarios o
los equipos.
De forma predeterminada, Política de grupo afecta a todos los
usuarios y equipos del contenedor vinculado. La pertenencia a grupos
de seguridad se utiliza para filtrar los GPO que afectan a los usuarios
y equipos de una unidad organizativa, un dominio o un sitio. Esto
permite aplicar la política en un nivel más granular; es decir, el uso de
grupos de seguridad permite aplicar la política a grupos específicos
de objetos de un contenedor. Para filtrar la política de grupo de esta
forma se utiliza la ficha Seguridad en la página Propiedades de un
GPO para controlar quién puede leerlo. A los usuarios que no tengan
Aplicar política de grupo y Leer establecidos a Permitir como
miembros de un grupo de seguridad no se les aplicará dicho GPO. Sin
embargo, puesto que los usuarios normales tienen estos permisos de
forma predeterminada, Política de grupo afecta a todos los usuarios y
equipos del contenedor vinculado a menos que cambie estos
permisos explícitamente.
La ubicación de un grupo de seguridad en Active Directory no tiene
importancia para Política de grupo. Para el contenedor específico al
que se aplica el GPO, los valores del GPO determinan lo siguiente:

• Qué recursos del dominio (como las aplicaciones) están disponibles para los
usuarios.
• Cómo está configurado el uso de estos recursos del dominio.

Por ejemplo, un GPO puede determinar qué aplicaciones tienen

disponibles los usuarios en su equipo cuando inician la sesión,
cuántos usuarios pueden conectarse a Microsoft SQL Server cuando
se inicie en un servidor o a qué servicios tienen acceso los usuarios
cuando se mueven a otros departamentos o grupos. Política de grupo
permite administrar un número pequeño de GPO en lugar de un gran
número de usuarios y equipos.
Los sitios, los dominios y las unidades organizativas, a diferencia de
los grupos de seguridad, no confieren la pertenencia. En su lugar,
contienen y organizan objetos del directorio. Utilice los grupos de
seguridad para conceder derechos y permisos a los usuarios y, a
continuación, utilice los tres tipos de contenedores de Active
Directory para alojar los usuarios y los equipos, y para asignar valores
de Política de grupo.
Como el acceso a los recursos se concede mediante grupos de
seguridad, verá que es más eficaz utilizar grupos de seguridad para
representar la estructura organizativa de su empresa que usar
dominios o unidades organizativas para reflejar la estructura de la
organización.
De forma predeterminada, los contenedores secundarios heredan los
valores de la política que afectan a todo el dominio o que se aplican a
una unidad organizativa que contiene otras unidades organizativas, a
menos que el administrador especifique explícitamente que la
herencia no se aplica a uno o varios contenedores secundarios.

Delegar el control de Política de grupo

Los administradores de la red (miembros del grupo Administradores

de empresa o Administradores del dominio) pueden utilizar la ficha
Seguridad de la página Propiedades del GPO para averiguar qué
grupos de administradores pueden modificar los valores de la política
en los GPO. Para ello, un administrador de la red define primero los
grupos de administradores (por ejemplo, administradores de
mercadotecnia) y, a continuación, les proporciona acceso de lectura y
escritura a los GPO seleccionados. Tener control total de un GPO no
permite a un administrador vincularlo a un sitio, dominio o unidad
organizativa. Sin embargo, los administradores de la red también
pueden conceder esta posibilidad mediante el Asistente para
delegación de control.
En el sistema operativo Windows 2000 puede delegar
independientemente las tres tareas siguientes de Política de grupo:

• Administrar los vínculos de Política de grupo de un sitio, un dominio o una

unidad organizativa.
• Crear objetos de Política de grupo.
• Modificar los objetos de Política de grupo.

Política de grupo, al igual que la mayoría de las demás herramientas

administrativas de Windows 2000, se encuentra en las consolas de
MMC. Por tanto, los derechos para crear, configurar y utilizar consolas
de MMC tienen implicaciones sobre la política. Puede controlar estos
derechos mediante Política de grupo en
<Nombre
de objeto de política de grupo>/Configuración de
usuario/Plantillas

administrativas/Componentes de Windows/Microsoft Management Console/

y sus subcarpetas.
En la tabla 4 se enumeran los valores de los permisos de seguridad
para un objeto de política de grupo.
Tabla 4. Valores de permisos de seguridad para un GPO
Grupos (o usuarios) Permiso de seguridad
Lectura con ACE Aplicar Política de
Usuario autenticado
grupo
Administradores de dominio
Control total sin ACE Aplicar Política
Administradores de empresa
de grupo
Creador propietario del sistema local
Nota De forma predeterminada, los administradores también son
usuarios autenticados, lo que significa que tienen configurado el
atributo Aplicar Política de grupo.
Para obtener más información acerca de Política de grupo, consulte la
sección "Para obtener más información" al final de este documento.

Interoperabilidad
Muchas organizaciones dependen de un conjunto variado de
tecnologías que deben funcionar conjuntamente. Active Directory
admite una serie de estándares para garantizar la interoperabilidad
del entorno Windows 2000 con otros productos de Microsoft y una
amplia variedad de productos de otros proveedores.
En esta sección se describen los siguientes tipos de interoperabilidad
admitidos por Active Directory:

• Protocolo LDAP.
• Interfaces de programación de aplicaciones.
• Sincronizar Active Directory con otros servicios de directorio.
• Función de contenedores virtuales y ajenos en interoperabilidad.
• Función Kerberos en interoperabilidad.
• Compatibilidad con el sistema operativo Windows NT.

Protocolo compacto de acceso a

directorios
El Protocolo compacto de acceso a directorios (LDAP) es el estándar
para el acceso a directorios. Internet Engineering Task Force (IETF)
desea convertir LDAP en el estándar de Internet.

Active Directory y LDAP

LDAP es el principal protocolo de acceso a directorios que se utiliza

para agregar, modificar y eliminar información almacenada en Active
Directory, así como para consultar y recuperar datos de Active
Directory. El sistema operativo Windows 2000 admite las versiones 2
y 3 de LDAP20. LDAP define cómo un cliente de directorio puede tener
acceso a un servidor de directorio y cómo el cliente puede realizar
operaciones y compartir datos del directorio. Es decir, los clientes de
Active Directory deben utilizar LDAP para obtener o mantener la
información en Active Directory.
Active Directory utiliza LDAP para permitir la interoperabilidad con
otras aplicaciones cliente compatibles con LDAP. Con el permiso
adecuado, puede utilizar cualquier aplicación cliente compatible con
LDAP para examinar, consultar, agregar, modificar o eliminar
información en Active Directory.

Interfaces de programación de
aplicaciones
Puede utilizar las siguientes interfaces de programación de
aplicaciones (API) para tener acceso a la información de Active
Directory:

• Interfaz de servicio de Active Directory (ADSI).

• API C de LDAP.

Estas API se describen en las dos subsecciones siguientes.

Interfaz de servicio de Active Directory

La Interfaz de servicio de Active Directory (ADSI) permite el acceso a

Active Directory mediante la exposición de objetos almacenados en el
directorio como objetos del Modelo de objetos componentes (COM).
Un objeto de directorio se manipula mediante los métodos disponibles
en una o varias interfaces COM. ADSI tiene una arquitectura de
proveedor que permite que COM tenga acceso a diferentes tipos de
directorios para los que existe un proveedor.
Actualmente, Microsoft suministra proveedores ADSI para Servicios
de directorio de Novell NetWare (NDS) y NetWare 3, Windows NT,
LDAP y la metabase de Servicios de Internet Information Server (IIS).
(La metabase de IIS contiene los valores de configuración de IIS.) El
proveedor LDAP puede utilizarse con cualquier directorio LDAP,
incluido Active Directory, Microsoft Exchange 5.5 o Netscape.
Puede utilizar ADSI desde muchas herramientas, que van desde
aplicaciones de Microsoft Office hasta C/C++. ADSI es extensible, con
lo que puede agregar funcionalidad a un objeto ADSI para admitir
propiedades y métodos nuevos. Por ejemplo, puede agregar un
método al objeto de usuario que crea un buzón de Exchange para un
usuario cuando se invoque el método. ADSI tiene un modelo de
programación muy sencillo. Simplifica la carga de administración de
datos que es característica de las interfaces que no son COM, como
las API C de LDAP. Como ADSI puede utilizarse en secuencias de
comandos, resulta fácil desarrollar aplicaciones Web completas. ADSI
admite ActiveX® Data Objects (ADO) y la base de datos de
vinculación e incrustación de objetos (OLE DB) para realizar
consultas.
Los programadores y los administradores pueden agregar objetos y
atributos a Active Directory mediante la creación de secuencias de
comandos basadas en ADSI (así como secuencias de comandos
basadas en LDIFDE, que se describe más adelante en este
documento).

API C de LDAP

La API C de LDAP, definida en el estándar de Internet RFC 1823, es un

conjunto de API de bajo nivel del lenguaje C para el protocolo LDAP.
Microsoft admite las API C de LDAP en todas las plataformas Windows.
Los programadores pueden escribir aplicaciones compatibles con
Active Directory mediante las API C de LDAP o ADSI. Las API C de
LDAP son las que suelen utilizarse para facilitar el transporte de las
aplicaciones de directorio a la plataforma Windows. Por otra parte,
ADSI es un lenguaje más eficaz y más adecuado para los
programadores que escriben código de directorio en la plataforma
Windows.
Sincronizar Active Directory con otros
servicios de directorio
Microsoft proporciona servicios de sincronización de directorios que
permiten sincronizar la información de Active Directory con Microsoft
Exchange 5.5, Novell NDS y NetWare, Lotus Notes y GroupWise.
Además, las utilidades de la línea de comandos permiten importar y
exportar información de directorio desde otros servicios de directorio.

Active Directory y Microsoft Exchange

El sistema operativo Windows 2000 contiene un servicio denominado

Active Directory Connector que ofrece sincronización bidireccional
con Microsoft Exchange 5.5. Active Directory Connector proporciona
una asignación rica de objetos y atributos cuando sincroniza los datos
entre los dos directorios. Para obtener más información acerca de
Active Directory Connector, consulte la sección "Para obtener más
información" al final de este documento.

Active Directory y Novell NDS y NetWare

Como parte de Servicios para NetWare 5.0, Microsoft pretende

distribuir un servicio de sincronización de directorios que efectúe la
sincronización bidireccional con Novell NDS y NetWare.

Active Directory y Lotus Notes

Como parte de Platinum, el nombre en código de la próxima versión

de Microsoft Exchange, Microsoft va a incluir un servicio de
sincronización de directorios que efectúe la sincronización
bidireccional con Lotus Notes para sincronizar el correo electrónico y
otros atributos comunes.

Active Directory y GroupWise

Como parte de Platinum, el nombre en código de la próxima versión

de Microsoft Exchange, Microsoft va a incluir un servicio de
sincronización de directorios que efectúe la sincronización
bidireccional con GroupWise para sincronizar el correo electrónico y
otros atributos comunes.

Active Directory y LDIFDE

El sistema operativo Windows 2000 proporciona la utilidad de línea de

comandos Formato de intercambio de datos LDAP (LDIFDE) para
permitir la importación y exportación de información de directorio.
Formato de intercambio de datos LDAP (LDIF) es un borrador de
Internet que es un estándar en el que se define el formato de archivo
utilizado para intercambiar información de directorio. La utilidad de
Windows 2000 que admite importar y exportar al directorio mediante
LDIF se denomina LDIFDE. LDIFDE permite exportar información de
Active Directory en formato LDIF, de forma que se pueda importar
posteriormente a otro directorio. También puede utilizar LDIFDE para
importar información desde otro directorio.
Puede emplear LDIFDE para realizar operaciones por lotes, como
agregar, eliminar, cambiar el nombre o modificar. También puede
llenar Active Directory con información obtenida de otros orígenes,
como otros servicios de directorio. Además, puesto que el esquema
de Active Directory se almacena en el propio directorio, puede utilizar
LDIFDE para realizar una copia de seguridad o ampliar el esquema.
Para obtener una lista de los parámetros de LDIFDE y su función,
consulte la Ayuda de Windows 2000. Para obtener información acerca
de cómo utilizar LDIFDE en operaciones por lotes con Active
Directory, consulte la sección "Para obtener más información" al final
de este documento.

Referencias internas y externas

Un administrador puede crear un objeto de referencia cruzada que
señale a un servidor de un directorio externo al bosque. Cuando un
usuario busca en un subárbol que contiene este objeto de referencia
cruzada, Active Directory devuelve una referencia a dicho servidor
como parte del conjunto de resultados y el cliente LDAP sigue la
referencia para obtener los datos solicitados por el usuario.
Dichas referencias son objetos contenedores de Active Directory que
hacen referencia a un directorio externo al bosque. La diferencia
estriba en que una referencia interna se refiere a un directorio
externo que aparece en el espacio de nombres de Active Directory
como secundario de un objeto existente de Active Directory, mientras
que una referencia externa se refiere a un directorio externo que no
aparece en el espacio de nombres de Active Directory como
secundario.
Para las referencias internas y externas, Active Directory contiene el
nombre DNS de un servidor que tiene una copia del directorio externo
y el nombre completo de la raíz del mismo en la que empiezan las
operaciones de búsqueda en el directorio externo.

Función Kerberos en interoperabilidad

.
El sistema operativo Windows 2000 admite varias configuraciones
para la interoperabilidad multiplataforma:

• Clientes. Un controlador de dominio de Windows 2000 puede proporcionar

autenticación para los sistemas cliente que ejecuten implementaciones de
Kerberos RFC-1510, incluidos los clientes que ejecuten un sistema operativo
 distinto de Windows 2000. Las cuentas de usuarios y equipos de Windows 2000
pueden utilizarse como principales de Kerberos para servicios de Unix.
• Clientes y servicios Unix. En un dominio de Windows 2000, los clientes y
servicios Unix pueden tener cuentas de Active Directory y, por tanto, pueden
obtener la autenticación de un controlador de dominio. En este escenario, un
principal de Kerberos se asigna a una cuenta de usuario o equipo de Windows
2000.
• Aplicaciones y sistemas operativos. Las aplicaciones cliente para Win32® y
los sistemas operativos distintos de Windows 2000 que se basan en la Interfaz de
programación de aplicaciones de servicios de seguridad generales (API GSS)
pueden obtener vales de sesión para los servicios dentro de un dominio de
Windows 2000.

En un entorno que ya utiliza un territorio Kerberos, el sistema

operativo Windows 2000 admite interoperabilidad con los servicios
Kerberos:

• Territorio Kerberos. Los sistemas basados en Windows 2000 Professional

pueden autenticar un servidor Kerberos RFC-1510 dentro de un territorio con un
inicio de sesión único en el servidor y una cuenta local de Windows 2000
Professional.
• Relaciones de confianza con territorios Kerberos. Se puede establecer una
relación de confianza entre un dominio y un territorio Kerberos. Esto significa
que un cliente de un territorio Kerberos puede autenticarse en un dominio de
Active Directory para tener acceso a los recursos de red de dicho dominio.

Compatibilidad con el sistema operativo

Windows NT
Un tipo especial de interoperabilidad consiste en mantener la
compatibilidad con versiones anteriores del sistema operativo actual.
De forma predeterminada, el sistema operativo Windows 2000 se
instala en una configuración de red de modo mixto. Un dominio de
modo mixto es un conjunto de equipos en red que ejecutan
controladores de dominio de Windows NT y Windows 2000. Puesto
que Active Directory admite el modo mixto, puede actualizar los
dominios y los equipos a la velocidad que desee, dependiendo de las
necesidades de la organización.
Active Directory admite el protocolo de autenticación LAN Manager de
Windows NT (NTLM) utilizado por el sistema operativo Windows NT, lo
que significa que los usuarios y equipos de Windows NT autorizados
pueden iniciar la sesión y tener acceso a los recursos de un dominio
de Windows 2000. Para los clientes de Windows NT y los clientes de
Windows 95 o 98 que no ejecuten software cliente de Active
Directory, un dominio de Windows 2000 aparece como un dominio de
Windows NT Server 4.0.

Resumen
Entre las muchas mejoras que ofrece el sistema operativo Windows
2000 Server, la más importante es la presentación del servicio de
directorio Active Directory. Active Directory ayuda a centralizar y
simplificar la administración de la red y, de este modo, mejora la
capacidad de la red para respaldar los objetivos de la organización.
Active Directory almacena información acerca de los objetos de la red
y pone esta información a disposición de los administradores, los
usuarios y las aplicaciones. Se trata de un espacio de nombres
integrado con el Sistema de nombres de dominio (DNS) de Internet y,
al mismo tiempo, es el software que define un servidor como
controlador de dominio.
Los dominios, los árboles, los bosques, las relaciones de confianza, las
unidades organizativas y los sitios se utilizan para estructurar la red
de Active Directory y sus objetos. Puede delegar la responsabilidad
administrativa de las unidades organizativas, dominios o sitios a los
usuarios o grupos adecuados y puede asignar valores de
configuración a estos tres mismos contenedores de Active Directory.
Esta estructura permite que los administradores controlen la red de
modo que los usuarios puedan concentrarse en alcanzar sus objetivos
empresariales.
Actualmente, la norma es que las organizaciones dependan de
tecnologías diversas que necesitan funcionar conjuntamente. Active
Directory se ha creado a partir de protocolos estándar de acceso a
directorios, lo cual, junto con varias API, permite que Active Directory
interopere con otros servicios de directorio y una amplia variedad de
aplicaciones de terceros. Además, Active Directory puede sincronizar
datos con Microsoft Exchange y proporciona utilidades de la línea de
comandos para importar y exportar datos a y desde otros servicios de
directorio.

Para obtener más información

Para obtener la información más reciente acerca del sistema
operativo Windows 2000, consulte Microsoft TechNet o el sitio Web de
Microsoft Windows 2000 Server
(http://www.microsoft.com/latam/windows2000/2/producto/servidor/re
sumen/), el foro de Windows NT Server en MSN™ y el servicio en línea
The Microsoft Network (GO WORD: MSNTS).
Además, puede consultar los vínculos siguientes para obtener más
información:

• Ayuda del producto Windows 2000

(http://windows.microsoft.com/windows2000/en/server/help/): cómo obtener un
Id. de objeto de esquema (OID).
• Kit de desarrollo de software de la plataforma Windows 2000
(http://msdn.microsoft.com/developer/sdk/Platform.asp): cómo utilizar ADSI
para ampliar el esquema mediante programa.
"Notas del producto "Introducción a Política de grupo de Windows
2000"
(http://www.microsoft.com/windows/server/Technical/management/Gr
oupPolicyIntro.asp): Detalles de Política de grupo de Windows 2000.

• Ayuda del producto Windows 2000

(http://www.microsoft.com/windows2000/en/server/help/) para Active Directory
Connector: cómo sincroniza Active Directory Connector los datos entre Active
Directory y Microsoft Exchange.
• Novedades técnicas de Beta 3, "Importación y exportación masiva a Active
Directory"
(http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp):
cómo utilizar LDIFDE para operaciones por lotes con Active Directory.
• Sitio Web de Internet Engineering Task Force (IETF) (http://www.ietf.org/):
para obtener RFC de IETF y borradores de Internet.

La Guía de diseño de la distribución de Microsoft Windows 2000

Server, que describe cómo planear la estructura y la distribución de
los dominios y los sitios de Windows 2000, se pondrá a la venta a
principios del año 2000. También se encuentra en los CD de Windows
2000 Server y Windows 2000 Advanced Server como parte de las
herramientas auxiliares.

Apéndice A: Herramientas
En este apéndice se proporciona una breve introducción a las
herramientas de software que puede utilizar para llevar a cabo las
tareas asociadas a Active Directory.

Microsoft Management Console

En el sistema operativo Windows 2000 Server, Microsoft Management
Console (MMC) proporciona interfaces coherentes para permitir que
los administradores examinen las funciones de la red y utilicen las
herramientas administrativas. Los administradores utilizan la misma
consola tanto si son responsables de una única estación de trabajo
como de una red completa de equipos. MMC contiene programas
denominados complementos y cada uno de ellos trata tareas
específicas de administración de la red. Cuatro de estos
complementos son herramientas de Active Directory.

Complementos de Active Directory

Las herramientas administrativas de Active Directory que se incluyen
con el sistema operativo Windows 2000 Server simplifican la
administración de los servicios de directorio. Puede utilizar las
herramientas estándar o MMC para crear herramientas
personalizadas centradas en tareas de administración únicas. Puede
combinar varias herramientas en una única consola. También puede
asignar herramientas personalizadas a administradores individuales
con responsabilidades administrativas específicas.
Los siguientes complementos de Active Directory están disponibles en
el menú Herramientas administrativas de Windows 2000 Server de
todos los controladores de dominio de Windows 2000:

• Usuarios y equipos de Active Directory

• Dominios y confianza de Active Directory
• Sitios y servicios de Active Directory

El cuarto complemento de Active Directory es:

• Esquema de Active Directory

La forma recomendada para ampliar el esquema de Active Directory

es mediante programa, a través de las Interfaces de servicio de
Active Directory (ADSI) o la utilidad Formato de intercambio de datos
LDAP (LDIFDE). Sin embargo, para propósitos de desarrollo y de
pruebas, también puede ver y modificar el esquema de Active
Directory con el complemento Esquema de Active Directory.
Esquema de Active Directory no está disponible en el menú
Herramientas administrativas de Windows 2000 Server. Debe instalar
las Herramientas de administración de Windows 2000 desde el disco
compacto de Windows 2000 Server y agregarlas a una consola de
MMC.
Un quinto complemento, que está relacionado con las tareas de
Active Directory, es:

• Complemento Política de grupo

Configurar las políticas de grupo es una tarea relacionada con la

administración de usuarios, equipos y grupos de Active Directory. Los
objetos de política de grupo (GPO), que contienen valores de políticas,
controlan la configuración de usuarios y equipos en sitios, dominios y
unidades organizativas. Para crear o modificar GPO, utilice el
complemento Política de grupo, al que se tiene acceso a través de
Usuarios y equipos de Active Directory o mediante Sitios y servicios
de Active Directory (dependiendo de la tarea que desee realizar).
Para utilizar las herramientas administrativas de Active Directory de
forma remota, desde un equipo que no sea un controlador de dominio
(por ejemplo, uno que ejecute Windows 2000 Professional), debe
instalar las herramientas administrativas de Windows 2000.

Formas nuevas de realizar tareas

conocidas
En la tabla 5 se enumeran las tareas comunes que puede realizar
mediante los complementos de Active Directory y las herramientas
 administrativas relacionadas. Para los usuarios del sistema operativo
Windows NT Server, en la tabla también se muestra dónde se realizan
estas tareas cuando se utilizan las herramientas de administración
proporcionadas por Windows NT Server 4.0.
Tabla 5. Tareas realizadas con las herramientas de Active
Directory y Política de grupo
En Windows NT
Si desea: En Windows 2000, utilice:
4.0, utilice:
Instalar un Asistente para instalación de Active
Instalación de
controlador de Directory (al que se tiene acceso desde
Windows
dominio Configurar el servidor).
Administrar cuentas Administrador de
Usuarios y equipos de Active Directory
de usuario usuarios
Administrador de
Administrar grupos Usuarios y equipos de Active Directory
usuarios
Administrar cuentas Administrador de
Usuarios y equipos de Active Directory
de equipo servidores
Agregar un equipo a Administrador de
Usuarios y equipos de Active Directory
un dominio servidores
Crear o administrar
Administrador de Dominios y confianza de Active
relaciones de
usuarios Directory.
confianza
Administrar Administrador de
Usuarios y equipos de Active Directory
políticas de cuentas usuarios
Usuarios y equipos de Active Directory:
Modifique el objeto de política de grupo
Administrar Administrador de
para el dominio o la unidad organizativa
derechos de usuario usuarios
que contenga los equipos a los que se
aplican los derechos de usuario.
Usuarios y equipos de Active Directory:
Administrar
Administrador de Modifique el objeto de política de grupo
políticas de
usuarios asignado a la unidad organizativa
auditoría
Controladores de dominio.
Configurar políticas Política de grupo, al que se tiene acceso
Editor de políticas
para usuarios y a través de Sitios y servicios de Active
del sistema
equipos de un sitio Directory
Configurar políticas
Política de grupo, al que se tiene acceso
para usuarios y Editor de políticas
a través de Usuarios y equipos de
equipos de un del sistema
Active Directory
dominio
Configurar políticas
Política de grupo, al que se tiene acceso
para usuarios y
No aplicable a través de Usuarios y equipos de
equipos de un
Active Directory
unidad organizativa
Usar grupos de No aplicable Modificar la entrada de permiso para
seguridad para Aplicar Política de grupo en la ficha
filtrar el ámbito de Seguridad de la hoja de propiedades del
la política objeto de política de grupo.

Herramientas de la línea de comandos de

Active Directory
Los administradores avanzados y los especialistas de soporte técnico
de redes también pueden utilizar diversas herramientas de la línea de
comandos para configurar, administrar y solucionar problemas de
Active Directory. Estas herramientas se denominan herramientas
auxiliares y están disponibles en el disco compacto de Windows 2000
Server en la carpeta \SUPPORT\RESKIT. Se describen en la tabla 6.
Tabla 6. Herramientas de la línea de comandos relacionadas
con Active Directory
Herramienta Descripción
MoveTree Mover objetos de un dominio a otro.
Configurar las listas de control de acceso para objetos que
SIDWalker pertenecían anteriormente a cuentas que se han movido, han
quedado huérfanas o se han eliminado.
Permite realizar operaciones LDAP en Active Directory. Esta
LDP
herramienta tiene una interfaz gráfica de usuario.
Comprobar el registro dinámico de registros de recursos DNS,
DNSCMD incluida la actualización segura de DNS, así como la anulación
del registro de los registros de recursos.
Ver o modificar las listas de control de acceso de los objetos del
DSACLS
directorio.
Administración por lotes de confianzas, unión de equipos a
NETDOM
dominios, comprobación de confianzas y canales seguros.
Comprobar de un extremo a otro la red y las funciones de
NETDIAG
servicios distribuidos.
NLTest Comprobar que el ubicador y el canal seguro están funcionando.
Comprobar la coherencia de replicación entre asociados de
replicación, supervisar el estado de replicación, mostrar los
REPAdmin
metadatos de replicación, forzar los eventos de replicación y
actualizar el Comprobador de coherencia de réplica (KCC).
Mostrar la topología de replicación, supervisar el estado de
replicación (incluidas las políticas de grupo), forzar los eventos de
REPLMon
replicación y actualizar el Comprobador de coherencia de réplica.
Esta herramienta tiene una interfaz gráfica de usuario.
Comparar la información de directorio en controladores de
DSAStat
dominio y detectar las diferencias.
Complemento de Microsoft Management Console (MMC) que se
utiliza para ver todos los objetos del directorio (incluida la
ADSIEdit
información de esquema y de configuración), modificar objetos y
configurar listas de control de acceso para los objetos.
SDCheck Comprobar la propagación y la replicación de las listas de control
de acceso de los objetos especificados del directorio. Esta
 herramienta permite que un administrador determine si las listas
de control de acceso se heredan correctamente y si los cambios de
las mismas se replican de un controlador de dominio a otro.
Determinar si a un usuario se le ha concedido o denegado el
acceso a un objeto del directorio. También puede utilizarse para
ACLDiag
restablecer las listas de control de acceso a su estado
predeterminado.
Utilidad de la línea de comandos para administrar todos los
aspectos del Sistema de archivos distribuido (Dfs), comprobar la
DFSCheck
simultaneidad de configuración de los servidores Dfs y mostrar la
topología Dfs.

Página de referencia de comandos de

Windows 2000
En la Ayuda de Windows 2000 encontrará una lista completa de los
comandos de Windows 2000, con información acerca de cómo utilizar
cada uno. Escriba "referencia de comandos" en la ficha Índice o en la
ficha Buscar.

Interfaz de servicio de Active Directory

Puede utilizar las Interfaces de servicio de Active Directory (ADSI)
para crear secuencias de comandos para diversos propósitos. El CD
de Windows 2000 Server contiene varias secuencias de comandos
ADSI de ejemplo. Para obtener más información acerca de ADSI,
consulte las secciones "Interfaz de servicio de Active Directory" y
"Para obtener más información".
© 1999 Microsoft Corporation. Reservados todos los derechos.
La información contenida en este documento representa la visión
actual de Microsoft Corporation acerca de los asuntos abordados en la
fecha de su publicación. Como Microsoft debe responder a
condiciones de mercado variables, no debe interpretarse como un
compromiso por parte de Microsoft y Microsoft no puede garantizar la
precisión de la información que se presenta después de la fecha de
publicación.
Este documento se proporciona con propósito informativo
únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, NI
IMPLÍCITA NI EXPLÍCITA, EN ESTE DOCUMENTO.
Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows y
Windows NT son marcas o marcas registradas de Microsoft
Corporation en EE.UU. y/o en otros países.
Los nombres de otras compañías y productos aquí mencionados
pueden ser marcas comerciales de sus respectivos propietarios.
Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-
6399 • USA
0x99
1 En un dominio de Windows 2000 Server, un controlador de dominio
es un equipo que ejecuta el sistema operativo Windows 2000 Server
que administra el acceso de los usuarios a una red (esto incluye el
inicio de sesión, la autenticación y el acceso al directorio y a recursos
compartidos).
2 Una zona DNS es una partición contigua del espacio de nombres
DNS que contiene los registros de recursos para los dominios DNS de
dicha zona.
3 LDAP es un protocolo que se utilizar para tener acceso a un servicio
de directorio; consulte las secciones "Nombres relacionados con
LDAP" y "Protocolo compacto de acceso a directorios".
4 Descrito en el borrador de Internet del Internet Engineering Task
Force (IETF) denominado draft-ietf-dnsind-rfc2052bis-02.txt, "A DNS
RR for specifying the location of services (DNS SRV)". (Los borradores
de Internet son documentos de trabajo del Internet Engineering Task
Force (IETF), sus áreas y sus grupos de trabajo.)
5 Descrito en RFC 2136, Observations on the use of Components of
the Class A Address Space within the Internet.
6 Los grupos de Windows 2000 se definen de forma diferente a
Windows NT. Windows 2000 incluye dos tipos de grupos: 1, grupos de
seguridad (para administrar el acceso de usuarios y equipos a
recursos compartidos y para filtrar los valores de política de grupo) y
2, grupos de distribución (para crear listas de distribución de correo
electrónico). Windows 2000 también incluye tres ámbitos de grupo: 1,
grupos con ámbito local de dominio (para definir y administrar el
acceso a los recursos dentro de un único dominio); 2, grupos con
ámbito global (para administrar objetos de directorio que precisan
mantenimiento diario, como las cuentas de usuario y equipo; el
ámbito global se utiliza para agrupar cuentas dentro de un dominio);
y 3, grupos con ámbito universal (para consolidar grupos que abarcan
dominios; puede agregar cuentas de usuario a grupos con ámbito
global y, a continuación, anidar estos grupos dentro de grupos que
tengan ámbito universal). (Para obtener más información acerca de
los grupos de Windows 2000, incluido el nuevo tipo de grupo
universal, consulte la sección "Para obtener más información" al final
de este documento.)
7 Para poder obtener el logotipo Certificado para Windows, VeriTest
debe probar la aplicación con el fin de comprobar que cumpla la
Especificación de aplicaciones para Windows 2000. Puede elegir
cualquier combinación de plataformas, siempre y cuando se incluya al
menos un sistema operativo Windows 2000. Las aplicaciones pueden
llevar el logotipo "Certificado para Microsoft Windows" una vez hayan
superado las pruebas de conformidad y se haya establecido un
contrato de licencia de logotipo con Microsoft. El logotipo que se
obtiene indica las versiones de Windows para las que está certificado
el producto. Consulte
8 Active Directory admite LDAP v2 y LDAP v3, que reconocen las
convenciones de nomenclatura de RFC 1779 y RFC 2247.
9 Si no se ha agregado ningún UPN, los usuarios pueden iniciar la
sesión explícitamente si proporcionan su nombre de usuario y el
nombre DNS del dominio raíz.
10 Las políticas de grupo que controlan los valores predeterminados
de las impresoras de publicación son Publicar automáticamente
impresoras nuevas en Active Directory y Permitir que se
publiquen impresoras (esta última controla si se pueden publicar o
no las impresoras de ese equipo).
11 En comparación con versiones anteriores de Windows NT Server,
la base de datos de SAM tenía un límite de unos 40000 objetos por
dominio.
12 Para obtener una descripción de esta sobrecarga adicional,
consulte la "Guía de diseño de la distribución de Windows 2000
Server", que describe cómo planear la estructura y la distribución de
dominios y sitios de Windows 2000, en la sección "Para obtener más
información" al final de este documento.
13 Una DACL concede o deniega permisos para un objeto a
determinados usuarios o grupos.
14 Para obtener más información acerca de la interoperabilidad con
territorios Kerberos, consulte la sección "Función Kerberos en
interoperabilidad".
15 Los vectores de actualización no son específicos del sitio. Un
vector de actualización contiene una entrada por cada servidor en el
que se puede escribir en la partición del directorio (contexto de
nombres).
16 Además de delegar la autoridad en contenedores, puede conceder
permisos (como lectura y escritura) hasta el nivel de atributo de un
objeto.
17 Las entradas de control de acceso (ACE) de la DACL de un objeto
determinan quién tiene acceso a dicho objeto y qué tipo de acceso
tiene. Cuando se crea un objeto en el directorio, se le aplica una DACL
predeterminada (definida en el esquema).
18 De forma predeterminada, al grupo Administradores de empresa
se concede Control total sobre todos los objetos de un bosque.
19 La extensión Redirección de carpetas se utiliza para redirigir
cualquier carpeta especial de un perfil de usuario a una ubicación
alternativa (por ejemplo, un recurso compartido de red): Datos de
programa, Escritorio, Mis documentos (y/o Mis imágenes), Menú
Inicio.
20 LDAP versión 2 se describe en RFC 1777; LDAP versión 3 se
describe en RFC 2251.