Windows® 2000
Documentos Estratégicos
Resumen
Introducción
Conceptos Importantes
Algunos conceptos y términos que son empleados para describir al Active Directory son
nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han
existido por un tiempo son usados para que signifiquen más que una cosa en particular.
Antes de continuar, es importante que entienda como se definen los siguientes conceptos
y términos en el contexto del Active Directory.
El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora,
archivo o usuario), cada servidor y cada dominio en una sola red de área amplia.
También puede incluir varias redes de área amplia combinadas, así es que es importante
tener en mente que el Active Directory puede escalar desde una sola computadora, a una
sola red computacional, hasta muchas redes computacionales combinadas.
Un contenedor es como un objeto en que tiene atributos y es parte del espacio para
nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa
algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores.
Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y
contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el
árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son
conectados los objetos o el camino de un objeto a otro. Un simple directorio es un
contenedor. Una red computacional o dominio es también un contenedor. Un subárbol
colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los
miembros de cualquier contenedor en ese camino.
Figura 2. Un subárbol colindante de un directorio de archivo
Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos
tipos diferentes de nombres.
Nombre Único
Cada objeto en el Active Directory tiene un nombre único (Distinguished
Name, DN). El nombre único identifica el dominio que conserva el objeto, así
como el camino completo a través de la jerarquía del contenedor por el cual se llega al
objeto. Un típico DN puede ser
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith
El Active Directory está compuesto de uno a más contextos para dar nombres o
particiones. Un contexto para dar nombres es cualquier subárbol colindante del
directorio. Los contextos para dar nombres son las unidades de duplicado.
En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos
para dar nombres.
• El esquema
• La configuración (topología de partición y metadatos relacionados)
• Uno o más contextos para dar nombres de usuario (subárboles conteniendo los
objetos reales en el directorio).
Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de
confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio.
Windows 2000 establece las relaciones de confianza entre los dominios basándose en el
protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si
el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A
confía también en el dominio C.
Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory.
Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas"
significa que la conectividad de la red es altamente confiable y rápida (por ejemplo:
velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir
un sitio como un conjunto de subredes permite a los administradores configurar
rápidamente y fácilmente el acceso al Active Directory y la topología de replicación
para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active
Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya
que las máquinas en el mismo sitio están cerca una de otra en términos de red, la
comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio
local en tiempo de conexión se logra fácilmente debido a que la estación de
trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes
se adaptan directamente a los sitios del Active Directory.
Arquitectura
Esta corta sección presenta algunos de los principales componentes arquitectónicos del
Active Directory.
El modelo de datos del Active Directory se deriva del modelo de datos X.500. El
directorio conserva objetos que representan cosas de diferentes tipos, descritos por
características. El universo de objetos que pueden ser almacenados en el directorio está
Arquitectura de Active Directory
Sistema operativo
Resumen
Para usar el sistema operativo Microsoft® Windows® 2000 Server
con la máxima eficacia, primero debe comprender qué es el servicio
de directorio Active Directory™. Active Directory, una novedad del
sistema operativo Windows 2000, desempeña una función importante
en la implementación de la red de la organización y, por tanto, en
conseguir sus objetivos comerciales. Este documento presenta Active
Directory a los administradores de red, explica su arquitectura y
describe cómo interactúa con las aplicaciones y con otros servicios de
directorio.
El presente documento se basa en la información disponible en el
momento de publicarse la versión Beta 3 de Windows 2000. La
información proporcionada aquí está sujeta a cambios antes de la
versión final de Windows 2000 Server.
Introducción
Comprender el servicio de directorio Active Directory™ es el primer
paso para entender cómo funciona el sistema operativo Windows®
2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos
empresariales. En este documento se examina Active Directory desde
estas tres perspectivas:
DNS e Internet
Arquitectura
Una vez instalado un controlador de dominio de Active Directory, se
ha creado a la vez el dominio inicial de Windows 2000 o se ha
agregado el nuevo controlador a un dominio existente. ¿Cómo
encajan el controlador y el dominio en la arquitectura global de la
red?
En esta sección se explican los componentes de una red basada en
Active Directory y cómo están organizados. Además, describe cómo
puede delegar la responsabilidad administrativa de las unidades
organizativas (OU), dominios o sitios a los usuarios adecuados y cómo
asignar valores de configuración a estos tres mismos contenedores
de Active Directory. Se tratan los siguientes temas:
Objetos
Los objetos de Active Directory son las entidades que componen una
red. Un objeto es un conjunto diferenciado con nombre de atributos
que representa algo concreto, como un usuario, una impresora o una
aplicación. Cuando crea un objeto de Active Directory, éste genera
valores para algunas propiedades del objeto y otros debe
proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario,
Active Directory asigna el identificador único global (GUID) y usted
debe proporcionar valores para atributos como el nombre, el apellido,
el identificador de inicio de sesión, etc. del usuario.
El esquema
• Útil globalmente. El atributo debe ser necesario para buscar objetos (incluso
aunque sólo sea para acceso de lectura) que pueda haber en cualquier lugar del
bosque.
• No volátil. El atributo deber ser invariable o cambiar con muy poca frecuencia.
Los atributos de un catálogo global se replican a todos los demás catálogos
globales del bosque. Si el atributo cambia con frecuencia, genera mucho tráfico
de replicación.
• Pequeño. Los atributos de un catálogo global se replican a todos los catálogos
globales del bosque. Cuanto menor sea el atributo, menor será el impacto de la
replicación.
Ampliar el esquema
Convenciones de nomenclatura de
objetos
Active Directory admite varios formatos de nombres de objeto para
admitir las distintas formas que puede adoptar un nombre,
dependiendo del contexto en que se utilice (algunos nombres tienen
formato numérico). En las siguientes subsecciones se describen estos
tipos de convenciones de nomenclatura para los objetos de Active
Directory:
• El nombre no puede ser idéntico a otro nombre de usuario, equipo o grupo del
dominio. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas,
excepto los siguientes: " / \ [ ] : ; | = , + * ? <>
• Un nombre de usuario, equipo o grupo no puede contener sólo puntos (.) o
espacios en blanco.
GUID de objeto
Publicación de objetos
Publicar es el acto de crear objetos en el directorio que contengan
directamente la información que desea que esté disponible o que
proporcionen una referencia a dicha información. Por ejemplo, un
objeto de usuario contiene información útil acerca de los usuarios,
como sus números de teléfono y sus direcciones de correo
electrónico, y un objeto de volumen contiene una referencia a un
volumen compartido de un sistema de archivos.
A continuación se ofrecen dos ejemplos: publicar objetos de archivo e
impresión en Active Directory:
Cuándo publicar
Cómo publicar
• Árboles
• Bosques
• Relaciones de confianza
• Unidades organizativas
Árboles
Bosques
Relaciones de confianza
• Partición del directorio con datos de dominios. Contiene todos los objetos del
directorio para este dominio. Los datos de cada dominio se replican a todos los
controladores de dicho dominio, pero no salen de él.
• Partición del directorio con datos del esquema. Contiene todos los tipos de
objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son
comunes a todos los dominios del árbol de dominios o del bosque. Los datos del
esquema se replican en todos los controladores de dominio del bosque.
• Partición del directorio con datos de configuración. Contiene la topología de
replicación y los metadatos relacionados. Las aplicaciones compatibles con
Active Directory almacenan la información en la partición del directorio de
configuración. Estos datos son comunes a todos los dominios del árbol de
dominios o del bosque. Los datos de configuración se replican en todos los
controladores de dominio del bosque.
• Geografía. Establezca como un sitio cada área geográfica que requiera acceso
rápido a la información de directorio más reciente. Al establecer como sitios
independientes áreas que requieren acceso inmediato a la información
actualizada de Active Directory se proporcionan los recursos necesarios para
satisfacer las necesidades de los usuarios.
• Controladores de dominio y catálogos globales. Coloque al menos un
controlador de dominio en cada sitio y convierta al menos un controlador de
dominio de cada sitio en un catálogo global. Los sitios que no tienen sus propios
controladores de dominio y al menos un catálogo global dependen de otros sitos
para obtener la información del directorio y son menos eficaces.
Disminución de la propagación
• Unidades organizativas
• Dominios
• Sitios
Delegación de contenedores
Delegación de sitios
Política de grupo
• Qué recursos del dominio (como las aplicaciones) están disponibles para los
usuarios.
• Cómo está configurado el uso de estos recursos del dominio.
y sus subcarpetas.
En la tabla 4 se enumeran los valores de los permisos de seguridad
para un objeto de política de grupo.
Tabla 4. Valores de permisos de seguridad para un GPO
Grupos (o usuarios) Permiso de seguridad
Lectura con ACE Aplicar Política de
Usuario autenticado
grupo
Administradores de dominio
Control total sin ACE Aplicar Política
Administradores de empresa
de grupo
Creador propietario del sistema local
Nota De forma predeterminada, los administradores también son
usuarios autenticados, lo que significa que tienen configurado el
atributo Aplicar Política de grupo.
Para obtener más información acerca de Política de grupo, consulte la
sección "Para obtener más información" al final de este documento.
Interoperabilidad
Muchas organizaciones dependen de un conjunto variado de
tecnologías que deben funcionar conjuntamente. Active Directory
admite una serie de estándares para garantizar la interoperabilidad
del entorno Windows 2000 con otros productos de Microsoft y una
amplia variedad de productos de otros proveedores.
En esta sección se describen los siguientes tipos de interoperabilidad
admitidos por Active Directory:
• Protocolo LDAP.
• Interfaces de programación de aplicaciones.
• Sincronizar Active Directory con otros servicios de directorio.
• Función de contenedores virtuales y ajenos en interoperabilidad.
• Función Kerberos en interoperabilidad.
• Compatibilidad con el sistema operativo Windows NT.
Interfaces de programación de
aplicaciones
Puede utilizar las siguientes interfaces de programación de
aplicaciones (API) para tener acceso a la información de Active
Directory:
API C de LDAP
Resumen
Entre las muchas mejoras que ofrece el sistema operativo Windows
2000 Server, la más importante es la presentación del servicio de
directorio Active Directory. Active Directory ayuda a centralizar y
simplificar la administración de la red y, de este modo, mejora la
capacidad de la red para respaldar los objetivos de la organización.
Active Directory almacena información acerca de los objetos de la red
y pone esta información a disposición de los administradores, los
usuarios y las aplicaciones. Se trata de un espacio de nombres
integrado con el Sistema de nombres de dominio (DNS) de Internet y,
al mismo tiempo, es el software que define un servidor como
controlador de dominio.
Los dominios, los árboles, los bosques, las relaciones de confianza, las
unidades organizativas y los sitios se utilizan para estructurar la red
de Active Directory y sus objetos. Puede delegar la responsabilidad
administrativa de las unidades organizativas, dominios o sitios a los
usuarios o grupos adecuados y puede asignar valores de
configuración a estos tres mismos contenedores de Active Directory.
Esta estructura permite que los administradores controlen la red de
modo que los usuarios puedan concentrarse en alcanzar sus objetivos
empresariales.
Actualmente, la norma es que las organizaciones dependan de
tecnologías diversas que necesitan funcionar conjuntamente. Active
Directory se ha creado a partir de protocolos estándar de acceso a
directorios, lo cual, junto con varias API, permite que Active Directory
interopere con otros servicios de directorio y una amplia variedad de
aplicaciones de terceros. Además, Active Directory puede sincronizar
datos con Microsoft Exchange y proporciona utilidades de la línea de
comandos para importar y exportar datos a y desde otros servicios de
directorio.
Apéndice A: Herramientas
En este apéndice se proporciona una breve introducción a las
herramientas de software que puede utilizar para llevar a cabo las
tareas asociadas a Active Directory.