Conceptos básicos

Resumen Técnico de Active Directory

Windows® 2000

Sistema Operativo de Servidor

Documentos Estratégicos

Resumen

Introducción

Este documento proporciona una introducción técnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectónicos y características. La sección Conceptos Importantes describe los términos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran más en detalle sobre lo que realiza el Active Directory, qué características trae a Windows y como está implementado. La sección Migración cubre modelos de dominio de migración y estructuras de directorio de Windows NT 4.0 a Windows 2000. La última sección, Preguntas Más Frecuentes, responde preguntas sobre el Active Directory y cómo funciona.

Un directorio es una fuente de información usada para almacenar información sobre objetos interesantes. Un directorio telefónico almacena información sobre los subscriptores. En un sistema de archivo, el directorio almacena información sobre los archivos.

En un sistema computacional distribuido o una red computacional pública como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos.

En este documento, los "términos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes públicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de información del directorio como los servicios que hacen la información disponible y utilizable para los usuarios.

Un servicio de directorio es uno de los más importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y

los administradores no saben el nombre exacto de los objetos en los cuales están interesados. Pueden conocer uno o más atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos.

Un servicio de directorio puede:

Reforzar la seguridad definida por los administradores para mantener la información segura ante intrusos.

Distribuir un directorio a través de muchas computadoras en una red. Hacer duplicados del directorio para que esté disponible para más usuarios y sea

resistente a las fallas. Separar un directorio en almacenes múltiples para permitir el almacenaje de un

gran número de objetos.

Un servicio de directorio es tanto una herramienta de manejo como una herramienta de usuario final. Conforme aumenta el número de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido.

El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Amplía las características de previos servicios de directorio basados en Windows y agrega características totalmente nuevas. El Active Directory es seguro, distribuido, separado, y duplicado. Está diseñado para funcionar bien en instalaciones de cualquier tamaño, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas características nuevas que hacen fácil navegar y manejar grandes cantidades de información, generando ahorros de tiempo tanto para los administradores como para los usuarios finales.

Conceptos Importantes

Algunos conceptos y términos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han existido por un tiempo son usados para que signifiquen más que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y términos en el contexto del Active Directory.

El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de área amplia. También puede incluir varias redes de área amplia combinadas, así es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas.

El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es cualquier área limitada en la cual puede ser incluido un nombre dado. La inclusión del nombre es el proceso de adaptar un nombre a algún objeto o información que representa. Un directorio telefónico forma un espacio para nombres para el cual los nombres de los subscriptores de teléfono pueden ser incluidos en números telefónicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo.

El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo.

Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicación. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y dirección de correo electrónico.

Figura 1. Un objeto de usuario y sus atributos

Un contenedor es como un objeto en que tiene atributos y es parte del espacio para nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores.

Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es también un contenedor. Un subárbol colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los miembros de cualquier contenedor en ese camino.

Figura 2. Un subárbol colindante de un directorio de archivo

Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres.

Nombre Único

Cada objeto en el Active Directory tiene un nombre único (Distinguished Name, DN). El nombre único identifica el dominio que conserva el objeto, así como el camino completo a través de la jerarquía del contenedor por el cual se llega al objeto. Un típico DN puede ser

/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith

Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com

Figura 3. Una representación gráfica de un nombre único

Nombre único Relativo

El Nombre único Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es

CN=Users.

El Active Directory está compuesto de uno a más contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subárbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres.

El esquema La configuración (topología de partición y metadatos relacionados) Uno o más contextos para dar nombres de usuario (subárboles conteniendo los

objetos reales en el directorio).

Un dominio es un solo límite de seguridad de una red computacional de Windows NT o Windows 2000. (Para más información sobre dominios, vea la documentación de Windows). El Active Directory está compuesto de uno o más dominios. En una sola estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar más de una ubicación física. Cada dominio tiene sus propias políticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios múltiples son conectados por relaciones de confianza y comparten un esquema común, configuración, y catálogo global, tienen un árbol dominio. Arboles de dominio múltiples pueden conectarse juntos en un bosque.

Un árbol de dominio comprende varios dominios que comparten un esquema común y configuración, formando un colindante espacio para nombres. Los dominios en un árbol están también vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o más árboles.

Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio.

Visualizando las Relaciones de confianza

Puede trazar un dibujo de un árbol de dominio basado en los dominios individuales y de cómo confían uno en el otro.

Windows 2000 establece las relaciones de confianza entre los dominios basándose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A confía también en el dominio C.

Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza.

Visualizando el Espacio para nombres

También puede hacer un dibujo de un árbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre único de un objeto siguiendo el camino hacia el espacio para nombres del árbol de dominio. Esta vista es útil para agrupar objetos en una jerarquía lógica. La principal ventaja de un colindante espacio para nombres es que una búsqueda intensa desde la raíz del espacio para nombres buscará en la jerarquía completa.

Figura 5. Viendo un árbol dominio como espacio para nombres

Un bosque es un conjunto de uno o más árboles que NO forman un espacio para nombres colindante. Todos los árboles en un bosque comparten un esquema común, configuración, y Catalogo Global. Todos los árboles en un bosque dado confían uno en el otro vía relaciones de confianza Kerberos transitivas jerárquicas. A diferencia de un árbol, un bosque no necesita un nombre único. Un bosque existe como un conjunto de objetos de referencia recíproca y relaciones de confianza Kerberos conocidas para los árboles miembros. Los árboles en un bosque forman una jerarquía para los propósitos de confianza Kerberos; el nombre del árbol en la raíz del árbol de confianza puede ser usado para referirse a un bosque dado.

Figura 6. Árboles múltiples en un bosque

Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory. Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas" significa que la conectividad de la red es altamente confiable y rápida (por ejemplo: velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir un sitio como un conjunto de subredes permite a los administradores configurar rápidamente y fácilmente el acceso al Active Directory y la topología de replicación para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya que las máquinas en el mismo sitio están cerca una de otra en términos de red, la comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio local en tiempo de conexión se logra fácilmente debido a que la estación de trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se adaptan directamente a los sitios del Active Directory.

Arquitectura

Esta corta sección presenta algunos de los principales componentes arquitectónicos del Active Directory.

El modelo de datos del Active Directory se deriva del modelo de datos X.500. El directorio conserva objetos que representan cosas de diferentes tipos, descritos por características. El universo de objetos que pueden ser almacenados en el directorio está definido en el esquema. Para cada clase de objetos, el esquema define qué atributos debe tener un ejemplo del grupo, qué atributos adicionales puede tener y qué clase de objetos puede ser matriz de la actual clase de objetos.

El esquema del Active Directory es implementado como un conjunto de instancias de clase de objeto almacenados en el directorio. Es muy diferente a muchos directorios que tienen un esquema, pero los almacena como un archivo de texto para leerse al iniciar. Por ejemplo, las aplicaciones del usuario pueden leer el esquema para descubrir qué objetos y propiedades están disponibles.

El esquema del Active Directory puede ser actualizado dinámicamente. Es decir, una aplicación puede extender el esquema con nuevos atributos y clases, y puede usar las extensiones inmediatamente. Las actualizaciones del esquema se logran creando o modificando los objetos del esquema almacenados en el directorio. Al igual que cada objeto en el Active Directory, los objetos del esquema son protegidos por listas de control de acceso (Access Control Lists, ACLs), así es que sólo los usuarios autorizados pueden alterar el esquema.

El directorio es parte del Windows 2000 Trusting Computing Base y es un total

participante en la infraestructura de seguridad de Windows 2000. Los ACLs protegen a todos los objetos en el Active Directory. Las rutinas de validación de acceso a Windows 2000 usan el ACL para validar cualquier intento de accesar un objeto o atributo en el Active Directory.

Los usuarios autorizados desempeñan la administración en el Active Directory. Un usuario está autorizado por una autoridad más alta para desempeñar un conjunto de acciones especificadas en un conjunto de objetos especificados y clases de objetos en algún identificado subárbol del directorio. Esto se llama administración delegada (delegated administration). La administración delegada permite un control estricto sobre quien puede hacer qué y permite la delegación de autoridad sin otorgar altos privilegios.

El Agente del Sistema de Directorio (Directory System Agent, DSA) es el proceso que maneja el almacenaje físico del directorio. Los clientes usan una de las interfaces apoyadas para conectarse al DSA y luego buscar, leer, y escribir objetos del directorio y sus atributos. El DSA proporciona al cliente aislamiento del formato de almacenaje físico de los datos del directorio.

Funciones de Active Directory

Esta sección describe algunas de las principales características y componentes del Active Directory.

El Active Directory está integrado estrechamente con el Sistema de nombres del dominio (Domain Name System, DNS). El DNS es el espacio para nombres distribuido que se usa en Internet para incluir nombres computacionales y de servicio a las direcciones TCP/IP. La mayoría de las empresas que tienen intranets usan DNS como el servicio de inclusión de nombres. El Active Directory usa DNS como el servicio de ubicación.

Los nombres de dominio de Windows 2000 son nombres de dominio DNS. Por ejemplo: "Microsoft.com" es un nombre de dominio DNS válido y podría también ser el nombre de un dominio de Windows 2000. La estrecha integración DNS significa que el Active Directory encaja naturalmente en ambientes de Internet e intranet. Los clientes encuentran los servidores de directorio rápidamente y fácilmente. Una empresa puede conectar los servidores de Active Directory directamente a la Internet para facilitar las comunicaciones seguras y el comercio electrónico con clientes y socios.

Servicio de ubicación

Los servidores del Active Directory publican sus direcciones de modo que los clientes puedan encontrarlos conociendo sólo el nombre de dominio. Los servidores del Active Directory son publicados por medio de los Registros de recursos de servicios (Service Resource Records, SRV RRs) en DNS. El SRV RR es un registro de DNS usado para mapear el nombre de un servicio a las direcciones de un servidor que ofrece ese servicio. El nombre de un SRV RR se da en esta forma: .. Los servidores del Active Directory ofrecen el servicio LDAP sobre el protocolo TCP de modo que los nombres publicados se encuentren en la forma: ldap.tcp.

Por lo tanto, el SRV RR para "Microsoft.com" es "ldap.tcp.microsoft.com". Información adicional sobre el SRV RR indica la prioridad y peso para el servidor, permitiendo que los clientes seleccionen el mejor servidor para sus necesidades.

Cuando un servidor de Active Directory es instalado, se publica a sí mismo vía un DNS dinámico (Dynamic DNS) que se explica más adelante. Ya que las direcciones TCP/IP están sujetas a cambio con el tiempo, los servidores revisan periódicamente sus registros para asegurarse que están correctos, actualizándolos si es necesario.

DNS Dinámico

Un DNS dinámico (Dynamic DNS) es una reciente adición al estándar DNS. Dynamic DNS define un protocolo para actualizar dinámicamente un servidor con valores nuevos o cambiados. Antes de Dynamic DNS, los administradores necesitaban configurar manualmente los registros almacenados por servidores DNS.

Un objeto tiene exactamente un nombre, el nombre único (DN). El DN identifica originalmente el objeto y contiene suficiente información para que el cliente retire el objeto del directorio. El DN de un objeto puede cambiar. Ya que el DN de un objeto está compuesto del RDN del objeto mismo o cualquier predecesor cambiará el DN. Debido a que los DNs son complejos para recordar y están sujetos a cambio, es de utilidad tener otros medios para recuperar objetos. El Active Directory apoya la consulta por características, de modo que un objeto pueda ser encontrado aún que se desconozca el DN exacto o haya cambiado. Para simplificar el proceso de encontrar objetos por consulta, el esquema del Active Directory define dos propiedades útiles:

Identificador de objeto globalmente único (Object globally unique identifier, GUID) - Un número de 128 bits, garantizado para ser único. Los objetos tienen asignado un GUID cuando son creados. El GUID nunca es cambiado, aún si el objeto es movido o vuelto a nombrar. Las aplicaciones pueden almacenar el GUID de un objeto y ser asegurado de recuperar ese objeto no importando cual es el DN actual.

Nombre principal de usuario (User Principal Name) - Los principios de seguridad (usuarios y grupos) tienen un nombre "amigable" cada uno, el Nombre Principal de Usuario (User Principal Name, UPN), el cual es más corto que el DN y más fácil de recordar. El UPN está compuesto de un nombre en "taquigrafía" para el usuario y el nombre DNS para el árbol de dominio donde el usuario reside. Por ejemplo, el usuario James Smith en el árbol Microsoft.com puede tener un UPN de "JamesS@Microsoft.com".

Exclusividad de Nombres

Los nombres distinguidos están garantizados a ser exclusivos. El Active Directory no permite que dos objetos con el mismo RDN se encuentren bajo la misma matriz. Los DNs se componen de RDNs y por lo tanto son singulares. Los GUIDs son singulares por definición; un algoritmo que asegura la singularidad genera GUIDs. La singularidad no está reforzado por cualquier otro atributo.

El acceso al Active Directory es vía protocolos en línea (wire protocols). Los protocolos en línea definen los formatos de mensajes e interacciones del cliente y servidor.

Diversas interfaces de programación de aplicaciones (APIs) dan a los desarrolladores el acceso a estos protocolos.

Apoyo a protocolos

Los protocolos que son apoyados incluyen: LDAP - El protocolo central del Active Directory es el Lightweight Directory

Acces Protocol (LDAP). Las versiones 2 y 3 de LDAP son apoyadas. MAPI-RPC - El Active Directory soporta las interfaces de Remote procedure

call (RPC) que apoyan las interfaces MAPI. X.500 - El modelo de información del Active Directory se deriva del modelo de

información X.500. ElX.500 define varios protocolos de electrónica que el Active Directory no implementa. Estos protocolos son:

o DAP- Directory Access Protocol o DSP - Directory System Protocol o DISP - Directory Information Shadowing Protocol o DOP - Directory Operational Binding Management Protocol

El Active Directory no implementa estos protocolos por las siguientes razones: Hay muy poco interés en estos protocolos y hay unas cuantas implementaciones. Estos protocolos son dependientes de trabajaren la red OSI. OSI es una

alternativa para TCP/IP, la cual no está ampliamente implementada. Trasladar OSI a través de una red TCP/IP es menos eficiente que usar TCP/IP directamente.

LDAP provee las funciones más importantes ofrecidas por DAP y DSP y está diseñado para trabajar sobre TCP/IP sin la sobrecarga de envolver OSI en TCP/IP.

Hay suficiente ambigüedad en las especificaciones DISP y DOP de 1993 y 1997 que implementaciones de conformar no están garantizadas para interoperar, de ese modo reduciendo dramáticamente el valor de estos protocolos.

Interfaces de Programación de Aplicaciones

Los APIs apoyados incluyen: ADSI - Interfaces de Servicio de Active Directory (ADSI), proveen al Active

Directory de una interface simple y poderosa orientada al objeto. Los desarrolladores pueden usar muchos lenguajes de programación diferentes, incluyendo Java, sistema de programación Visual Basic, C, C++, y otros. El ADSI es totalmente encriptable para un fácil uso de los administradores del sistema. ADSI le esconde a los usuarios los detalles de las comunicaciones LDAP.

LDAP API - El LDAP C API, definido en RFC 1823, es una interface de menor nivel disponible para los programadores C.

MAPI - El Active Directory respalda a MAPI para compatibilidad en dirección contraria. Las nuevas aplicaciones deben usar ADSI o el LDAP C API.

El Active Directory le permite a otros directorios a que sean expuestos vía Contenedores Virtuales (Virtual Containers). Un contenedor virtual permite que cualquier queja del directorio LDAP sea accesado transparentemente vía el Active Directory. El contenedor virtual es implementado vía información del conocimiento

(knowledge information) almacenada en el Active Directory. La información del conocimiento describe donde en el Active Directory debe aparecer el directorio foráneo, y contiene el nombre DNS de un servidor que conserva una copia del directorio foráneo y el nombre único (DN) en el cual iniciar las operaciones de búsqueda en el DS foráneo.

El Active Directory puede consistir de muchas separaciones o contextos para dar nombres. El nombre único (DN) de un objeto incluye suficiente información para localizar una réplica de la partición que mantiene el objeto. Muchas veces, sin embargo, el usuario o la aplicación desconoce el DN del objeto clave o cual partición puede contener el objeto. El Catálogo Global (Global Catalog, GC) permite a los usuarios y a las aplicaciones encontrar objetos en un árbol de dominio del Active Directory si el usuario o la aplicación sabe uno o más atributos del objeto clave.

El Catálogo Global contiene una réplica parcial de cada contexto de dar nombre a los usuarios en el directorio. También contiene los contextos del esquema y configuración para asignar nombres. Esto significa que el GC mantiene una réplica de cada objeto en el Active Directory, pero sólo mantiene un pequeño número de sus atributos. Los atributos en el GC son aquellos más frecuentemente usados en operaciones de búsqueda (tales como el nombre y apellido del usuario, nombres de inicio de sesión, etc.) y aquellos requeridos para localizar una réplica completa del objeto. El GC le permite a los usuarios encontrar rápidamente objetos de interés sin saber que dominio los conserva y sin requerir un contiguo y extenso espacio para nombres en la empresa.

El sistema para replicar del Active Directory construye automáticamente el Catálogo Global y genera la topología de replicar. Las propiedades duplicadas en el Catálogo Global incluyen un conjunto base definido por Microsoft .Los administradores pueden especificar propiedades adicionales para satisfacer las necesidades de su instalación.

Esto es sólo un panorama general de seguridad en el Active Directory. Para mayor información sobre el modelo de seguridad de Windows 2000, consulte los documentos estratégicos de "Secure Networking Using Microsoft Windows 2000 Distributed Security".

Protección de Objetos

Todos los objetos en el Active Directory están protegidos por listas de control de acceso (Access Control Lists, ACLs). Las ACLs determinan quien puede ver el objeto y que acciones puede efectuar cada usuario en el objeto. La existencia de un objeto nunca es revelado a un usuario a quien no se le permite verlo. Un ACL es una lista de Entradas de Control de Acceso (Access Control Entries, ACE) almacenadas con el objeto que protege. En Windows 2000, un ACL es almacenada como un valor binario que se llama un Descriptor de Seguridad (Security Descriptor). Cada ACE contiene un Identificador de Seguridad (Security Identifier, SID),el cual identifica el principal (usuario o grupo) a quien el ACE se aplica e información sobre que tipo de acceso que el ACE otorga o niega.

ACLs en objetos del directorio contienen ACEs que aplican al objeto en conjunto y ACEs que aplican a los atributos individuales del objeto. Esto permite a un administrador controlar no sólo que los usuarios puedan ver un objeto, sino que

propiedades pueden ver esos usuarios. Por ejemplo: puede otorgárseles a todos los usuarios que lean el acceso a los atributos de correo electrónico o número telefónico para todos los demás usuarios, pero las propiedades de seguridad de usuarios le puede ser negada a todos menos a los miembros de un grupo de administradores de seguridad. A los usuarios individuales se les puede otorgar acceso a escribir a atributos personales tales como las direcciones de teléfono o correo en sus propios objetos de usuario.

Delegación

La delegación (Delegation) es una de las más importantes características de seguridad del Active Directory. La delegación permite una autoridad administrativa más elevada para otorgar derechos administrativos específicos para contenedores y subárboles a individuos o grupos. Esto elimina la necesidad de "Administradores de Dominio" con autoridad arrasadora sobre grandes segmentos de la población de usuarios.

Los ACEs pueden otorgar derechos administrativos específicos sobre los objetos en un contenedor a un usuario o grupo. Los derechos se otorgan para operaciones específicas en clases de objetos específicos vía ACEs en el contenedor de ACL. Por ejemplo, para permitir que el usuario "James Smith" sea un administrador de la unidad organizacional "Corporate Accounting", se agregarían ACEs al ACL en "Corporate Accounting" como sigue:

"James Smith"; Grant;Create, Modify, Delete;Object-Class User"James Smith";Grant;Create,Modify,Delete;Object-Class Group"James Smith";Grant;Write;Object-Class User;Attribute Password

Ahora James Smith puede crear nuevos usuarios y grupos en Corporate Accounting y establecer las contraseñas (passwords) de usuarios existentes, pero no puede crear ningunas otras clases de objetos y no puede afectar a usuarios en cualquier otro contenedor (a menos, por supuesto, que ACEs les otorgue ese acceso en los otros contenedores).

Herencia

La herencia (inheritance) permite que un ACE dado se propague del contenedor donde fue aplicado a todos los descendientes del contenedor. La herencia puede ser combinada con la delegación para otorgar derechos administrativos a un subárbol completo del directorio en una sola operación.

El Active Directory provee de replicación multimaestra. La replicación multimaestra significa que todos los duplicados de una partición dada se pueden escribir. Esto permite que actualizaciones sean aplicadas a cualquier duplicado de una partición dada. El sistema de replicación del Active Directory propaga los cambios de un duplicado dado a todos los otros duplicados. La replicación es automática y transparente.

Propagación de actualizaciones

Algunos servicios de directorio usan etiquetas de tiempo (timestamps) para detectar y propagar cambios. En estos sistemas, es muy importante mantener sincronizados los relojes de todos los servidores de directorio. La sincronización del tiempo en una red es

muy difícil. Aun con muy buena sincronización de tiempo, es posible que el tiempo en un servidor de directorio dado sea ajustado incorrectamente. Esto puede originar actualizaciones perdidas.

Windows 2000 provee sincronización de tiempo distribuida, pero el sistema de replicación del Active Directory no depende del tiempo para la propagación de actualización. En lugar de eso, el sistema para replicar del Active Directory usa Números de secuencia de actualización (Update Sequence Numbers, USNs). Un USN es un número de 64 bits conservado por cada servidor del Active Directory. Cuando el servidor escribe cualquier propiedad en el Active Directory, el USN es adelantado y almacenado con la propiedad escrita. Esta operación es efectuada automáticamente - es decir, el incremento y almacenamiento del USN y la escritura de la propiedad tiene éxito o falla como una sola unidad de trabajo.

Cada servidor del Active Directory también mantiene una tabla de USNs recibidos de socios de duplicado. El más alto USN recibido de cada socio es almacenado en esta tabla. Cuando un socio dado notifica al Servidor de Directorio que es requerida la replicación , ese servidor solicita todos los cambios con USNs mayor que el último valor recibido. Este es un acercamiento muy simple y no depende de la exactitud de etiquetas de tiempo.

Debido a que el USN almacenado en la tabla es actualizado automáticamente para cada actualización recibida, la recuperación después de una falla es simple también. Para reiniciar la replicación, un servidor simplemente le solicita a sus socios todos los cambios con USNs mayores que la última entrada válida en la tabla. Ya que la tabla es actualizada automáticamente conforme se aplican los cambios, un ciclo de replicación ininterrumpido siempre continuará exactamente donde se quedó, sin pérdida o duplicado de actualizaciones.

Detección de Colisiones - Números de Versión

En un sistema de duplicado multimaestro como el Active Directory, es posible que la misma propiedad sea actualizada en dos o más réplicas diferentes. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) réplica antes de un cambio de la primera réplica ha sido completamente propagada, ocurre una colisión de duplicado. Las colisiones son detectadas a través del uso de números de versión de propiedad. A diferencia de USNs los cuales son valores específicos del servidor, un número de versión de propiedad es específico a la propiedad en un objeto del Active Directory. Cuando una propiedades escrita primero a un objeto del Active Directory, el número de versión es inicializado.

Los escritos de origen avanzan en el número de versión. Un escrito de origen es un escrito a una propiedad en el sistema inicializando el cambio. Escritos de propiedad causados por replicación no son escritos originales y no avanzan el número de versión. Por ejemplo, cuando un usuario actualiza su clave de acceso (password), ocurre un escrito original y el número de versión de la clave de acceso es adelantado. Escritos de replicación de la clave de acceso cambiado en otros servidores no adelanta el número de versión.

Una colisión se detecta cuando un cambio es recibido vía replicación en la cual el

número de versión de propiedad recibido es igual al número de versión de propiedad almacenado localmente, y los valores recibidos y almacenados son diferentes. Cuando esto ocurre, el sistema receptor aplicará la actualización que tenga la último etiqueta de tiempo. Esta es en la única situación donde el tiempo es usado en la replicación. Cuando el número de versión recibido es menor que el número de versión almacenado localmente, la actualización se supone vana y es desechada. Cuando el número de versión recibido es mayor que el número de versión almacenado, la actualización es aceptada.

Inhibidor de propagación

El sistema de replicación del Active Directory se enlaza en la topología de replicación. Esto le permite al administrador configurar una topología de replicación con sendas múltiples entre los servidores para desempeño y disponibilidad. El sistema de replicación del Active Directory realiza la inhibición de progagación para prevenir cambios de propagación sin fin y para eliminar la transmisión redundante de cambios a réplicas que ya están actualizadas.

El sistema del Active Directory emplea vectores actualizados para reducir la propagación. El vector actualizado es una lista pares de servidores USN mantenidos para cada servidor. El vector actualizado en cada servidor indica el más alto USN de escritos originales recibidos del servidor en el par de servidor USN. Un vector actualizado para un servidor en un sitio dado lista a todos los demás servidores en ese sitio.

Cuando se inicia un ciclo de replicación, el servidor que lo solicita envía su vector actualizado al servidor que lo envía. El servidor que envía usa el vector actualizado para filtrar cambios enviados al servidor solicitante. Si el USN más alto para un escritor original dado es mayor o igual al USN escrito original para una actualización en particular, el servidor que envía no necesita mandar el cambio; el servidor solicitante ya está actualizado con respecto al escritor original.

Un árbol de dominio de Windows 2000 es una jerarquía de dominios de Windows 2000, cada uno consistiendo de una partición del Active Directory. La forma del árbol y la relación de los miembros del árbol uno con el otro son determinados por los nombres DNS de los dominios. El dominio en un árbol debe formar un contiguo espacio para nombres, tal como a.myco.com es hijo de myco.com, y b.myco.com es hijo de a.myco.com, etc.

Confianza Bidireccional Transitiva

Cuando un dominio está unido a un árbol de dominio de Windows 2000, una relación de confianza bidireccional transitiva se establece automáticamente entre el dominio unido y su matriz en el árbol. Debido a que la confianza es transitiva y bidireccional, no se requiere de relaciones de confianza adicional es entre los miembros del árbol. La jerarquía de confianza es almacenada como parte de la metadata del directorio en el contenedor de configuración.

Estos objetos requeridos son creados en el directorio cuando un dominio es unido al árbol.

Espacio para nombres

Los dominios en un árbol de dominio de Windows 2000 debe formar un contiguo espacio para nombres (Namespace). Por defecto, los descendientes inmediatos de cada dominio son contiguos y ya son parte de su espacio para nombres. Esto significa que el nombre único de cada objeto en los dominios de descendientes tiene el nombre del dominio matriz como un sufijo. Arboles desunidos pueden ser unidos en un bosque.

Figura 7. El dominio padre y dominio descendiente forman un contiguo espacio para nombres debido a que el nombre del dominio descendiente es un subordinado inmediato del nombre del dominio padre

Por ejemplo, un dominio padre, O=Internet/DC=COM/DC=Microsoft, y un dominio descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS, forman un árbol contiguo para designar nombres, ya que el objeto base en el dominio padre, O=Internet/DC=COM/DC=Microsoft, es el padre inmediato del objeto base en el descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS. Debido a que el padre y el descendiente forman un árbol para designar nombres, una intensa búsqueda iniciada en el padre también buscará automáticamente al descendiente.

Cuándo formar un árbol de dominio

El árbol de dominio de Windows es el Active Directory de la magnitud de la empresa. Todos los dominios de Windows 2000 en una empresa dada deben pertenecer al árbol de dominio de la empresa. Las empresas que necesitan apoyar los nombres DNS desunidos para su dominio necesitan formar un bosque.

Cómo Formar un Arbol de Dominio o Bosque

Los dominios de Windows 2000 están unidos a un árbol de dominio durante el proceso de instalación. Durante la instalación de un nuevo servidor de Windows 2000 (para mejorar de una anterior versión de Windows NT), al administrador se le dan las siguientes opciones:

Creación del primer árbol en un bosque nuevo Creación de un árbol en un bosque existente Creación de una nueva réplica de un dominio existente Instalación de un dominio descendiente

Para unir un árbol de dominio, seleccione Install a Child Domain e identifique al dominio padre para un nuevo dominio descendiente. Una futura actualización a Windows dará la capacidad de unir dos (o más) árboles existentes en un sólo árbol más grande.

Los dominios dentro de un árbol existente pueden ser libremente motivados a cambiar la forma total del árbol. Planear un buen árbol es muy importante, pero lo bueno es que es altamente subjetivo y basado en las necesidades específicas de su organización. La habilidad de reestructurar el árbol como se necesita reduce la importancia de conocer de antemano el diseño correcto.

Un sitio es un área de la red en donde la conectividad entre las máquinas se supone es muy buena. Windows 2000 define un sitio como una o más subredes IP. Esto está basado en la suposición de que las computadoras con la misma dirección de subred están conectadas al mismo segmento de red, típicamente un LAN u otro alto ambiente de ancho de banda tal como Frame Relay, ATM, u otros.

Windows 2000 usa información de un sitio para localizar un servidor del Active Directory cerca del usuario. Cuando una estación de trabajo de un usuario se conecta a la red, recibe una dirección TCP/IP de un servidor DHCP, el cual también identifica la subred a la cual la estación de trabajo está sujeta. Las estaciones de trabajo que han configurado estáticamente direcciones IP también han configurado estáticamente información de subred. En cualquier caso, el localizador del controlador de dominio (DC) de Windows 2000 intentará localizar al servidor del Active Directory localizado en la misma subred que el usuario, basado en la información de la subred conocida para la estación de trabajo.

Sitios y Replicación

El sistema de replicación de Windows 2000 genera automáticamente una topología de anillo para la replicación entre los servidores del Active Directory en un sitio dado. Dentro de un sitio, la replicación de directorio es efectuada vía acceso por procedimiento remoto (Remote procedure call, RPC). Entre los sitios, la replicación puede ser configurada selectivamente para usar RPC o enviar mensajes. Windows 2000 provee envío de mensajes SMTP simple como una característica estándar. Si Microsoft Exchange se encuentra disponible, la replicación intersitio puede ser llevada vía Exchange, usando cualquiera de los muchos transportes apoyados por Exchange (esto incluye SMTP, X.400, y otros).

Planeando Sitios

Un sitio mínimo consiste de una sola subred IP. Windows 2000 supone que todas las máquinas localizadas en el mismo sitio comparten una red común de alta anchura de banda. Dado esto, un buen diseño de sitio es uno en el cual todas las subredes asignadas a un sitio dado comparten una red tal. Areas de una red que son separadas por una red de área amplia, enrutadores múltiples, u otras ligas más lentas deben estar en sitios separados.

El esquema del Active Directory define el conjunto de todas las clases de objetos y atributos que pueden ser almacenados en el directorio. Para cada clase de objeto, el

esquema define donde puede ser creado en un árbol de directorio especificando los padres legales de la clase. El contenido de una clase se define por la lista de atributos que la clase debe o puede contener.

Cuando Extender el Esquema

Los usuarios y aplicaciones extienden el esquema cuando no hay clases de objetos existentes que estén de acuerdo a la necesidad a mano. Extendiendo el esquema es un proceso simple y directo.

Agregando Atributos

Se pueden agregar nuevos atributos al esquema en cualquier momento. Una definición de atributo consiste en un nombre, un Identificador de Objeto (Object Identifier, OID), una sintaxis que define qué clase de datos puede mantener el atributo, y limites de alcance opcionales. Para cadena de datos, los limites de valor establecen el mínimo y máximo largo de cadena de datos. Para números enteros, los límites de valor establecen el valor mínimo y máximo del número entero.

El desempeño de consulta en el Active Directory está directamente relacionado con la disponibilidad de un índice que pueda ser usado para optimizar una consulta dada. Cuando no hay un índice disponible para satisfacer una consulta dada, el servidor LDAP debe leer la partición completa para satisfacer la consulta. Cuando define un atributo, tiene la opción de crear un índice para ese atributo. También es posible crear un índice sobre un atributo dado colocando el atributo banderas de búsqueda en el objeto esquema de atributo a 1. Debe definir un atributo como indizado cuando:

El atributo será frecuentemente usado en consultas. Agregar un índice consume almacenaje y afecta el desempeño de insertar (porque el índice debe ser mantenido cuando un artículo es insertado), así es que no debe agregar un índice si no será usado a menudo.

Los valores en el atributo deben ser altamente singulares. Los atributos Booleanos nunca deben ser indexados, porque un atributo Booleano tendrá sólo dos posibles valores: Falso o verdadero. Los números de empleado y apellido son altamente singulares y por lo tanto hacen buenos índices.

El atributo ocurrirá en objetos de interés. Indizando un atributo le permite encontrar objetos rápidamente que tengan ese atributo ejemplificado. Antes de agregar un índice, asegúrese de que el atributo que está indizando es un "debe tener" o "puede tener" en los objetos que desea recobrar.

Agregando nuevos Objetos

Nuevas clases de objetos pueden ser agregadas al esquema en cualquier momento. La definición de un objeto consiste en un nombre, un identificador de objeto (Object Identifier, OID) , una lista de atributos "puede contener" y "debe contener", la lista de clases que pueden ser padres del objeto, la clase de donde se deriva el objeto, y una lista de cualquier clase auxiliar que aplica al objeto.

Cómo Extender el Esquema

Debido a que el esquema controla lo que puede ser almacenado en el directorio y

describe lo que ya está almacenado, el acceso para escribir al esquema está limitado a los administradores por defecto. Un esquema de administración snap-in para el Microsoft Management Console (MMC) se proporciona con el Windows 2000. Para extender el esquema, un usuario adecuadamente privilegiado puede crear nuevos atributos y clases. Los atributos pueden entonces ser agregados a clases nuevas o existentes. Para cada nuevo atributo o clase, se requiere de OID.

Identificadores de Objetos (OIDs)

Un identificador de objeto es un número identificando una clase de objeto o atributo en un servicio de directorio. Los OIDs son emitidos por autoridades emisoras y forman una jerarquía. Un OID es representado como una cadena de datos decimal con puntos (por ejemplo, "1,2,3,4"). Las empresas (o personas)pueden obtener un OID original de una autoridad emisora y usarlo para asignar OIDs adicionales. Por ejemplo, a Microsoft sele ha asignado el OID base de 1.2.840.113556. Microsoft maneja futuras divisiones de esta base internamente. Una de estas divisiones es usada para asignar OIDs para clases de Active Directory, otro para atributos del Active Directory, etc.

Muchos países en el mundo tienen una Autoridad de Registro Nacional (National Registration Authority , NRA) identificada responsable de emitir OIDs a las empresas. En Estados Unidos la Autoridad de Registro Nacional es el American National Standards Institute (ANSI). La Autoridad de Registro Nacional emite OIDs originales. Una empresa también puede registrar un nombre para el OID. Hay una cuota asociada tanto con los OIDs originales como con nombres registrados. Póngase en contacto con la Autoridad de Registro Nacional de su país para más detalles http://www.iso.ch.

Publicar es la acción de crear objetos en el directorio que directamente contengan la información que quiere hacer disponible o proporcionar una referencia para la información que quiere hacer disponible. Por ejemplo, un objeto de usuario contiene información útil sobre los usuarios, tales como sus números telefónicos y direcciones de correo electrónico, mientras que un objeto de volumen contiene una referencia para un volumen del sistema de archivo compartido.

Cuándo Publicar

La información debe ser publicada en el Active Directory cuando es útil o interesante para gran parte de la comunidad de usuarios y cuando necesita ser altamente accesible. La información publicada en el Active Directory tiene dos características principales:

Es relativamente estática y rara vez cambia. Los números telefónicos y direcciones de correo electrónico son ejemplos de información relativamente estática adecuada para ser publicadas; el mensaje de correo electrónico actualmente seleccionado es un ejemplo de información altamente volátil.

Es estructurado y puede ser representado como un conjunto de atributos discretos. Una dirección de negocios de un usuario es un ejemplo de información estructurada adecuada para publicarse; un audio clip de la voz del usuario es un ejemplo de información no estructurada más adecuada para el sistema de archivo.

Información operacional usada en aplicaciones es un excelente candidato para publicarse en el Active Directory. Esto incluye información de configuración global que

se aplica a todas las instancias de una aplicación dada. Por ejemplo, un producto de la base de datos correlativo puede almacenar la configuración default para los servidores de base de datos como un objeto en el Active Directory. Nuevas instalaciones de ese producto recolectarían la configuración default del objeto, simplificando el proceso de instalación e intensificando la consistencia de instalaciones en una empresa.

Las aplicaciones pueden también publicar sus puntos de conexión en el directorio Los puntos de conexión son usados para el punto de reunión del cliente y servidor. El Active Directory define una arquitectura para la administración de servicio integrado usando objetos del Service Administration Point y proporciona puntos de conexión estándar para aplicaciones RPC, Winsock, y COM. Las aplicaciones que no usan las interfaces RPC o Winsock para publicar sus puntos de conexión pueden explícitamente publicar objetos de Service Connection Point en el directorio.

Datos de aplicación pueden ser publicados también en el directorio usando objetos de aplicación específica. Los datos de aplicación específica deben cumplir el criterio discutido anteriormente. Es decir, los datos deben ser globalmente interesantes, relativamente no volátil y estructurados.

Cómo Publicar

Los medios para publicar información varía de acuerdo a la aplicación o servicio: RPC - Las aplicaciones RPC usan la familia RpcNs de APIs para publicar sus

puntos de conexión en el directorio y para consultar para los puntos de conexión de servicios que han publicado los suyos.

Windows Sockets - Las aplicaciones de Windows Sockets usan la familia de Registration y Resolution de APIs disponibles en Winsock 2.0 para publicar sus puntos de conexión y consultar para los puntos de conexión de servicios que han publicado los suyos.

DCOM - Los servicios DCOM publican sus puntos de conexión vía la DCOM Class Store, la cual reside en el Active Directory.

Windows 2000 introduce nuevas funciones de grupo Los grupos pueden ser tratados como listas de distribución si el siguiente

lanzamiento principal de Exchange es instalado. Los grupos pueden contener miembros no seguros (esto es importante cuando el

grupo es usado tanto para propósitos de seguridad y listas de distribución). El uso de seguridad de grupos puede ser inhabilitado (esto es importante cuando

el grupo es usado solo como una lista de distribución). Los grupos pueden ser anidados. Un nuevo tipo de grupo, el grupo Universal, es introducido.

Un grupo Universal es la más simple forma de grupo. Los grupos Universales pueden aparecer en ACLs en cualquier parte del bosque, y puede contener otros grupos Universales. Grupos Globales, y usuarios de cualquier parte del bosque.

Las instalaciones pequeñas pueden usar grupos Universales exclusivamente y no preocuparse de grupos Globales y Locales.

Un grupo Global puede aparecer en ACLs en cualquier parte del bosque. Un grupo

Global puede contener usuarios y otros grupos Globales de su propio dominio.

Un grupo Local de Dominio puede ser usado en ACLs sólo si es su propio dominio. Un grupo Local de Dominio puede contener usuarios y grupos Globales de cualquier dominio en el bosque, Grupos Universales, y otros grupos Locales de Dominio en su propio dominio.

Los tres tipos de grupo proporcionan un rico y flexible ambiente de control de acceso mientras que reducen el tráfico de replicación para el Catálogo Global causado por cambios de membresías de grupo. Un grupo Universal aparece en el GC, pero contendrá principalmente grupos globales de dominios en el bosque. Una vez que los grupos Globales se establezcan, la membrecía en el grupo Universal cambiará infrecuentemente. Los grupos Globales aparecen en el GC, pero sus miembros no. Los cambios de membrecía en grupos Globales no son duplicados fuera del dominio donde son definidos. Los grupos Locales de Dominio son válidos solo en el dominio donde son definidos y no aparecen en el GC.

Migración

Esta sección presenta una vista general de migración de versiones anteriores de Windows NT. La migración es discutido en detalle en un número de documentos aparte disponibles de http://www.microsoft.com/latam/ntserver/nts/.

Puede mejorar los sistemas Windows NT 3.51 y 4.0 directamente a Windows 2000. Los sistemas Windows NT 3.51 y 3.5 deben ser mejorados a Windows NT 3.51 om4.0 antes de que puedan ser mejorados a Windows 2000.Una nueva instalación de Windows 2000 puede ser efectuada en cualquier sistema listado en la lista de hardware compatibel en el sitio de Windows 2000.

Los Controladores de Dominio (Domain Controlers) conservan una copia del directorio. En Windows NT 3.51 y 4.0, hay dos clases de Controladores de Dominio - Controladores de Dominio Primario (Primary Domain Controllers, PDCs) y Controladores de Dominio de Respaldo (Backup Domain Controllers, BDCs). Los Controladores de Dominio Primarios conservan una copia de lea/escriba mientras que los Controladores de Dominio de Respaldo conservan una copia de leer/solamente.

En Windows 2000, todos los Controladores de Dominio para un dominio dado conservan una copia que se puede escribir del directorio. No hay distinción entre el primario y el respaldo; todos los controladores de dominio son iguales.

Para emigrar un dominio de Windows NT 3.51 o 4.0 a Windows 2000, debe primero mejorar el Controlador de Dominio Primario para el dominio para Windows 2000. Esto automáticamente carga a los usuarios y grupos del directorio de dominio hacia el Active Directory. Como parte del proceso de mejoramiento, usted especifica si este dominio será:

La raíz de un nuevo árbol en el bosque La raíz de un nuevo árbol de dominios en un bosque existente Un descendiente de un árbol de dominios existente

En este punto el dominio es un dominio mixto. Puede emplear las herramientas de

administración de Windows 2000 para manejar el dominio, y puede crear una estructura jerárquica de carpetas Organizational Unit en el directorio para delegar la autoridad administrativa. Los Controladores de Dominio de Respaldo, servidores miembros, y clientes no se cambian y no están conscientes de que el PDC es ahora un servidor del Active Directory.

Para emigrar los Controladores de Dominio de Respaldo, mejore cada uno a Windows 2000. El proceso de mejoramiento reconoce al Controlador de Dominio de Respaldo, automáticamente lo instala como una réplica del Active Directory, y lo inserta en la topología de replicación. Cuando todos los controladores de dominio han sido mejorados a Windows 2000, el dominio ya no es un dominio mixto, y los grupos anidados son apoyados.

Para emigrar servidores miembros, mejórelos a Windows 2000. Los usuarios locales y grupos locales son almacenados en el registro de del servidor miembro y no se mueven al Active Directory. Mejorar a un servidor miembro a Windows 2000 le permite participar en la seguridad Kerberos, agrega apoyo para aplicaciones Directory-aware,y agrega la Microsoft Management Console y Active Directory-aware shell y diálogos comunes.

Para emigrar a los clientes basados en la estación de trabajo Windows NT, mejórelos a Windows 2000 Professional. Puede emigrar a clientes basados en Windows 95 instalando un paquete de servicio que contenga los componentes de software adicionales que se necesitan para hacerlos Active Directory-aware. Mejorar a un cliente le permite participar en la seguridad Kerberos, apoyo para aplicaciones Active Directory-aware, y agrega el Active Directory-aware shell y diálogos comunes.

Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los usuarios son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raíz del dominio.

Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000 las cuentas de la máquina son emigradas al Active Directory y colocadas en un contenedor llamado "Computers" en la raíz del dominio.

Cuando una PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los Grupos son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raíz de dominio. Grupos integrados se encuentran en un contenedor especial llamado "Built-in" .

Preguntas Más Frecuentes

Una estación de trabajo descubre su sitio presentando su subred al primer servidor del Active Directory contactado. La estación de trabajo determina la subred aplicando su máscara de subred a su dirección IP. La máscara de subred y dirección IPO pueden ser asignadas por DHCP o configurada estáticamente. El primer Servidor contactado usa la subred presentada para localizar el Site Object para el sitio donde se localiza la estación de trabajo. Si el actual servidor no se encuentra en ese sitio, el servidor le notifica a la estación de trabajo un mejor servidor para usar.

Una estación de trabajo encuentra un servidor de directorio consultando DNS. Los servidores de directorio para un dominio dado publican SRV Resource Records en DNS con nombres en la forma: LDAP.TCP.

Por lo tanto, una estación de trabajo que se conecta a Microsoft.com consultará DNS para registros SRV para LDAP.TCP.Microsoft.com. Un servidor será seleccionado de la lista y contactado. El servidor contactado usará la información de subred presentada por la estación de trabajo para determinar el mejor servidor como se describió en la respuesta anterior.

Un usuario puede usar una variedad de nombres en una variedad de formatos para conectarse a un Windows 2000 Professional. Estos incluyen los formatos de nombre apoyados por interfaces para programar de aplicación Win32 DsCrackNames, los cuales son usados para convertir estas formas de nombre como sea necesario.

El nombre de dominio NETBIOS y SAM-Account-Name - Este es el nombre de conexión estilo Windows NT 4.0. El nombre de dominio NETBIOS es el nombre que tenía el dominio antes de emigrar. El SAM-Account-Name es el nombre de la cuenta que el usuario tenía antes de emigrar.

Nombre Principal de Usuario - Este se encuentra en el formato @.Si el nombre no es único, el intento de conexión fallará con un error de usuario desconocido (Unknown User).

Las listas de control de acceso no son afectadas directamente por la emigración. Si todos los dominios de Windows NT 3.51 y Windows NT 4.0 son emigradas de lugar, nada cambia de una perspectiva ACL.

Si mueve servidores de un dominio de recurso hacía una unidad organizacional en dominios de cuenta emigrada y suprime el dominio de recurso, necesitará editar cualquier ACL que mantiene ACEs que refieren al ahora dominio suprimido. Esta no es una función de la migración a Windows 2000; si suprime un dominio en cualquier versión de Windows NT, los identificadores de seguridad emitidos por ese dominio se vuelven inválidos.

Para reducir el esfuerzo involucrado en volver a aplicar recursos ACL, si tiene un dominio de recursos Windows 3.51 o 4.0 y planea reemplazarlo con un OU y suprimirlo en Windows 2000, no debe poner a grupos del dominio de recursos en ACLs. Nótese que esto no afecta a los grupos locales de los servidores miembros, afecta sólo a aquellos de Controladores de Dominio.

Como parte de Windows 2000, Microsoft proporcionará herramientas para asistir en volver a aplicar ACLs a los recursos.

Cuando se crea un grupo en un dominio, tiene un Identificador de Seguridad (Security Identifier, SID) emitido por ese dominio. Cuando se coloca ese SID en un ACL, le otorga acceso a los usuarios que tengan ese SID en su indicador. Los usuarios obtienen el SID en su token conectándose a dominio que emitió el SID. Esta puede ser una conexión de red y pasar transparentemente.

Cuando editas un Acl, el LookupAccountName API es llamado con el SID. Si suprime el dominio que emitió el SID, verá "Usuario Desconocido" en la lista de usuarios y grupos para el ACL. Esto sucede en Windows NT 3.51 y Windows NT 4.0 si suprime un dominio o retira una liga de confianza.

Hay dos partes para esta respuesta: Parte 1: Grupos Locales en Servidores Miembros -- Los grupos locales en un

servidor miembro se quedan locales; existen sólo en el SAM en el servidor miembro y no son emigrados al Active Directory. Un típico uso de un grupo local en un servidor miembro es mantener grupos globales de dominios de cuenta. El servidor administrador coloca al grupo local en los ACLs en los recursos del servidor y agrega a los grupos globales al grupo local. Esto no cambia en Windows 2000. La única diferencia es que los grupos globales se convierten en grupos normales y son publicados en el Active Directory.

Parte 2: Grupos Locales en PDCs y BDCs - Los Controladores de Dominio de Respaldo tienen un SAM de leer/solamente. Cuando crea un grupo local en un BDC, la operación de crear es remontado al PDC y duplicado de regreso a todos los BDCs. Semánticamente, estos grupos locales son idénticos a los grupos locales en un servidor miembro., pero existen en el PDC y en todos los BDCs. Cuando se mejora a Windows 2000,elproceso de mejoramiento crea un objeto de grupo de Dominio Local en el Active Directory para cada uno de estos.

Se inicia una búsqueda del catalogo global en una de varias formas: Por un subárbol o búsqueda de LDAP de un nivel enraizado en el inválido DN

(la raíz del espacio para nombres) - esto genera una referencia para el Catálogo Global.

Por una referencia directa al puerto GC en una réplica de GC (aunque no es probable que los programas de clientes tomen este acercamiento).

Por una referencia explícita al proveedor GC ASDI (GC://).

No. Hay ventajas significativas en usar Microsoft DNS, pero cualquier servidor DNS compatible con RFC funcionará. Se recomienda Dynamic DNS porque, con un servidor Dynamic DNS los servidores del Active Directory pueden registrar automáticamente los registros necesarios en DNS.

Los servidores Static DNS funcionan igualmente bien, pero el registro DNS para cada servidor de Directorio debe efectuarse manualmente.

El servidor DNS incluido con Windows 2000 es una implementación obediente de RFC y BIND de Dynamics DNS.Es una implementación nativa para Windows 2000, no un puerto de la implementación BIND de dominio público. El servidor DNS de Microsoft almacena las zonas DNS para la cual es autoritario en el Active Directory. Los datos de DNS son duplicados entre los servidores DNS por replicación del Active Directory, no Transferencia de Zona (Zone Transfer). El servidor DNS de Microsoft apoya Transferencia de Zona DNS estándar para interoperabilidad con otros servidores DNS. El servidor DHCP es mayormente sin cambio para Windows 2000. El cliente de DHCP es DNS-aware y usa los servicios de Dynamic DNS para registrar direcciones emitidas por DHCP directamente en DNS. El cliente DHCP continuará registrándose con WINS si DHCP identifica a un servidor WINS.

Wins no sufre cambios para Windows 2000. Los clientes de Windows 2000 (y clientes de Windows 95 con la mejora del Active Directory instalado) ya no necesitan usar el espacio para nombres de NETBIOS. Aún se requiere WINS para clientes de bajo nivel para encontrar servidores y viceversa. Cuando ya no hay clientes de bajo nivel en la empresa, los servidores WINS pueden ser apagados.

Para mayor información

Para la más reciente información sobre el Servidor Windows 2000, revise el Technet de Microsoft o nuestro sitio en la World Wide Web en http://www.microsoft.con/latam/ntserver/nts/ o el Windows NT Server Forum en MSN, The Microsoft Network (GO WORD: MSNTS).

Arquitectura de Active Directory

Sistema operativo

Notas del producto

Resumen Para usar el sistema operativo Microsoft® Windows® 2000 Server con la máxima eficacia, primero debe comprender qué es el servicio de directorio Active Directory™. Active Directory, una novedad del sistema operativo Windows 2000, desempeña una función importante en la implementación de la red de la organización y, por tanto, en conseguir sus objetivos comerciales. Este documento presenta Active Directory a los administradores de red, explica su arquitectura y describe cómo interactúa con las aplicaciones y con otros servicios de directorio. El presente documento se basa en la información disponible en el momento de publicarse la versión Beta 3 de Windows 2000. La información proporcionada aquí está sujeta a cambios antes de la versión final de Windows 2000 Server.

Introducción Comprender el servicio de directorio Active Directory™ es el primer paso para entender cómo funciona el sistema operativo Windows® 2000 y lo que puede hacer para ayudarle a alcanzar sus objetivos empresariales. En este documento se examina Active Directory desde estas tres perspectivas:

Almacén. Active Directory, el servicio de directorio de Windows 2000 Server, almacena de forma jerárquica la información acerca de los objetos de la red, y la

pone a disposición de administradores, usuarios y aplicaciones. En la primera sección de este documento se explica lo que es un servicio de directorio, la integración del servicio Active Directory con el Sistema de nombres de dominio (DNS) de Internet y cómo se actualiza Active Directory cuando se designa un servidor como controlador de dominio1.

Estructura. Con Active Directory, la red y sus objetos se organizan mediante elementos como dominios, árboles, bosques, relaciones de confianza, unidades organizativas (OU) y sitios. En la próxima sección de este documento se describe la estructura y la función de estos componentes de Active Directory, y cómo esta estructura permite a los administradores controlar la red de modo que los usuarios puedan alcanzar sus objetivos empresariales.

Intercomunicación. Puesto que Active Directory se basa en los protocolos estándar de acceso a directorios, puede interoperar con otros servicios de directorio y otras aplicaciones de terceros que sigan estos protocolos pueden tener acceso a él. En la última sección se describe cómo Active Directory puede comunicarse con numerosas tecnologías.

Ventajas de Active Directory

La inclusión de Active Directory en el sistema operativo Windows 2000 proporciona las siguientes ventajas:

Integración con DNS. Active Directory utiliza el Sistema de nombres de dominio (DNS). DNS es un servicio estándar de Internet que traduce los nombres de equipo legibles por los humanos (como miequipo.microsoft.com) en direcciones numéricas (cuatro números separados por puntos) de Protocolo de Internet (IP) legibles por los equipos. De esta forma, los procesos que se ejecutan en equipos que están en redes TCP/IP pueden identificarse y conectarse entre sí.

Consultas flexibles. Los usuarios y los administradores pueden utilizar el comando Buscar del menú Inicio, el icono Mis sitios de red del escritorio o el complemento Usuarios y equipos de Active Directory para buscar rápidamente un objeto de la red mediante sus propiedades. Por ejemplo, puede buscar un usuario por nombre, apellido, nombre de correo electrónico, ubicación en la oficina u otras propiedades de su cuenta de usuario. La búsqueda de información está optimizada gracias al uso del catálogo global.

Capacidad de ampliación. Active Directory es ampliable, lo que significa que los administradores pueden agregar nuevas clases de objetos al esquema y nuevos atributos a las clases existentes de objetos. El esquema contiene una definición de cada clase de objeto y los atributos de las mismas, que se pueden almacenar en el directorio. Por ejemplo, podría agregar un atributo Autorización de compra al objeto Usuario y después almacenar el límite de autorización de compra de cada usuario como parte de su cuenta.

Administración basada en políticas. Las políticas de grupo son valores de configuración que se aplican a equipos o usuarios cuando se inicializan. Todos los valores de Política de grupo están contenidos en los Objetos de política de grupo (GPO) que se aplican a sitios, dominios o unidades organizativas de Active Directory. Los valores de GPO determinan el acceso a objetos de directorios y recursos de dominios, a qué recursos de dominios (como las aplicaciones) tienen acceso los usuarios y cómo están configurados dichos recursos.

Escalabilidad. Active Directory incluye uno o varios dominios, cada uno de los cuales tiene uno o varios controladores, lo que permite escalar el directorio para satisfacer cualquier requisito de red. Es posible combinar varios dominios en un árbol de dominios y varios árboles en un bosque. En la estructura más simple, una red con un único dominio es a la vez un único árbol y un único bosque.

Replicación de la información. Active Directory utiliza la replicación de múltiples maestros, que permite actualizar el directorio en cualquier controlador de dominio. Al distribuir varios controladores de dominio en un único dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento, se detiene o produce un error, otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio, ya que contienen los mismos datos.

Seguridad de la información. La administración de la autenticación de usuarios y el control de acceso, ambos integrados plenamente en Active Directory, son características de seguridad clave del sistema operativo Windows 2000. Active Directory centraliza la autenticación. El control de acceso puede definirse no sólo para cada objeto del directorio, sino también para todas las propiedades de cada objeto. Además, Active Directory proporciona el almacén y el ámbito de aplicación de las políticas de seguridad. (Para obtener más información acerca de la autenticación de inicio de sesión y el control de acceso de Active Directory, consulte la sección "Para obtener más información" al final de este documento.)

Interoperabilidad. Puesto que Active Directory se basa en protocolos estándar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP), puede interoperar con otros servicios de directorio que empleen estos protocolos. Varias interfaces de programación de aplicaciones (API), como las Interfaces de servicio de Active Directory (ADSI), ofrecen a los programadores acceso a estos protocolos.

El final de este documento, en "Apéndice A: Herramientas", se proporciona una breve introducción a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.

Servicio de directorio Active Directory Antes de pasar a las secciones principales de este documento, la arquitectura e interoperabilidad de Active Directory, en esta sección preliminar se examina brevemente Active Directory desde dos puntos de vista muy diferentes:

El primero es el lado más abstracto de Active Directory, es decir, como un espacio de nombres que está integrado con el Sistema de nombres de dominio (DNS) de Internet.

El segundo es el lado más cotidiano de Active Directory, es decir, como el software que convierte a un servidor en un controlador de dominio.

En el contexto de una red de equipos, un directorio (también denominado almacén de datos) es una estructura jerárquica que almacena información acerca de los objetos de la red. Los objetos incluyen recursos compartidos como servidores, volúmenes compartidos e impresoras, cuentas de usuarios y equipos, así como dominios, aplicaciones, servicios, políticas de seguridad y cualquier elemento de la red. Un ejemplo de los tipos específicos de información que un directorio de red puede almacenar acerca de un determinado tipo de objeto es aquél en el que un directorio normalmente almacena un nombre de usuario, una clave de acceso, una dirección de correo electrónico, un número de teléfono, etc. de una cuenta de usuario. La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al origen de información del directorio como a los servicios que posibilitan que la información esté disponible y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones. En una situación ideal, un servicio de directorio hace que la topología de la red física y los protocolos (formatos para transmitir datos entre dos dispositivos) sean transparentes, de modo que un usuario pueda tener acceso a cualquier recurso sin saber dónde ni cómo está conectado físicamente. Siguiendo con el ejemplo de la cuenta de usuario, es el servicio de directorio el que permite que otros usuarios autorizados de la misma red tengan acceso a la información de directorio almacenada (como una dirección de correo electrónico) acerca del objeto de cuenta de usuario. Los servicios de directorio admiten numerosas capacidades. Algunos servicios de directorio están integrados en un sistema operativo y otros son aplicaciones, como los directorios de correo electrónico. Los servicios de directorio del sistema operativo, como Active Directory, proporcionan administración de usuarios, equipos y recursos compartidos. Los servicios de directorio que administran el correo electrónico, como Microsoft Exchange, permiten que los usuarios busquen a otros usuarios y envíen correo electrónico. Active Directory, el nuevo centro de servicios de directorio para el sistema operativo Windows 2000 Server, sólo se ejecuta en controladores de dominio. Active Directory, además de proporcionar un lugar para almacenar datos y servicios para que estén disponibles dichos datos, también protege los objetos de la red frente al acceso no autorizado y los replica a través de una red para que no se pierdan datos si se produce un error en un controlador de dominio.

Active Directory incorpora DNS

Tanto Active Directory como DNS son espacios de nombres. Un espacio de nombres es cualquier área limitada donde se puede resolver un nombre dado. La resolución de nombres es el proceso de traducir un nombre en algún objeto o información que representa dicho nombre. Una libreta de teléfonos forma un espacio de nombres en el que los nombres de los abonados telefónicos pueden resolverse

a números de teléfono. El sistema de archivos NTFS de Windows 2000 forma un espacio de nombres en el que el nombre de un archivo puede resolverse al archivo propiamente dicho.

DNS e Internet

Entender cómo Windows 2000 trata los espacios de nombres de Active Directory y DNS requiere comprender algunos conceptos básicos acerca del propio DNS y su relación con Internet y TCP/IP. Internet es una red TCP/IP. Los protocolos de comunicaciones TCP/IP conectan equipos y les permiten transmitir datos a través de las redes. Todos los equipos de Internet o de cualquier otra red TCP/IP (como muchas redes de Windows) tienen una dirección IP. DNS encuentra los hosts TCP/IP (equipos) mediante la resolución de los nombres de equipo que los usuarios finales entienden a las direcciones IP que los equipos entienden. Las direcciones IP de Internet se administran mediante la base de datos de DNS distribuida globalmente, pero también es posible implementar DNS localmente para administrar direcciones de redes TCP/IP privadas. DNS, que está organizado en una jerarquía de dominios, convierte toda la red Internet en un único espacio de nombres. DNS tiene varios dominios de nivel superior que, a su vez, se subdividen en dominios de segundo nivel. Una autoridad de Internet (actualmente, Internet Network Information Center, o InterNIC) administra la raíz del espacio de nombres de dominios de Internet; esta autoridad delega la responsabilidad administrativa de los dominios de nivel superior del espacio de nombres de DNS y registra los nombres de dominio de segundo nivel. Los dominios de nivel superior son las categorías de dominios conocidas: comercial (.com), educación (.edu), gobierno (.gov), etc. Fuera de los Estados Unidos se utilizan códigos de región o de país de dos letras, como .mx para México o .es para España. Los dominios de segundo nivel representan espacios de nombres que se registran formalmente a nombre de instituciones (e individuos) para proporcionarles una presencia en Internet. En la figura 1 se muestra cómo se conecta la red de una organización al espacio de nombres DNS de Internet.

Figura 1. Cómo encaja Microsoft en el espacio de nombres DNS de Internet

Integración de los espacios de nombres de DNS y de Active Directory

La integración de DNS y Active Directory es una característica fundamental del sistema operativo Windows 2000 Server. Los dominios de DNS y los dominios de Active Directory usan nombres de dominio idénticos para espacios de nombres distintos. Puesto que los dos espacios de nombres comparten una estructura de dominios idéntica, es importante comprende que no se trata del mismo espacio de nombres. Cada uno almacena datos diferentes y, por tanto, administra objetos distintos. DNS almacena sus zonas2 y registros de recursos, mientras que Active Directory almacena sus dominios y objetos de dominio. Los nombres de dominio de DNS se basan en la estructura de nomenclatura jerárquica de DNS, que es una estructura de árbol invertido: un único dominio raíz, bajo el cual están los dominios principales y secundarios (ramas y hojas). Por ejemplo, un nombre de dominio de Windows 2000 como secundario.principal.microsoft.com identifica un dominio denominado secundario, que es un dominio secundario del dominio llamado principal que, a su vez, es secundario del dominio microsoft.com. Cada equipo de un dominio DNS se identifica de manera única mediante su nombre de dominio completo (FQDN). El FQDN de un equipo que se encuentra en el dominio

secundario.principal.microsoft.com es nombreEquipo.secundario.principal.microsoft.com. Cada dominio de Windows 2000 tiene un nombre DNS (por ejemplo, NombreOrg.com) y cada equipo con Windows 2000 tiene un nombre DNS (por ejemplo, ServidorCuentas.NombreOrg.com). Así, los dominios y los equipos se representan como objetos de Active Directory y como nodos de DNS (un nodo en la jerarquía DNS representa un dominio o un equipo). Tanto DNS como Active Directory utilizan una base de datos para resolver nombres:

DNS es un servicio de resolución de nombres. DNS resuelve los nombres de dominio y de equipo a direcciones IP mediante solicitudes que hacen los servidores DNS en forma de consultas a la base de datos. En concreto, los clientes DNS envían consultas de nombres a su servidor DNS configurado. El servidor DNS recibe la consulta de nombre y la resuelve mediante archivos almacenados localmente o consulta a otro servidor DNS para que la resuelva. DNS no requiere Active Directory para funcionar.

Active Directory es un servicio de directorio. Active Directory resuelve los objetos de nombre de dominio a registros de objeto mediante las solicitudes que hacen los controladores de dominio, como una búsqueda del Protocolo compacto de acceso a directorios (LDAP)3 o solicitudes de modificación de la base de datos de Active Directory. Específicamente, los clientes de Active Directory utilizan LDAP para enviar consultas a los servidores de Active Directory. Para buscar un servidor de Active Directory, un cliente de Active Directory consulta a DNS. Es decir, Active Directory usa DNS como servicio de búsqueda para resolver nombres de dominios, sitios y servicios de Active Directory a una dirección IP. Por ejemplo, para iniciar la sesión en un dominio de Active Directory, un cliente de Active Directory consulta a su servidor DNS configurado la dirección IP del servicio LDAP que se ejecuta en un controlador de un dominio especificado. Active Directory requiere DNS para funcionar.

En la práctica, para comprender que los espacios de nombres de DNS y de Active Directory en un entorno Windows 2000 son diferentes, es necesario entender que un registro de host de DNS, que representa un equipo específico en una zona de DNS, se encuentra en un espacio de nombres diferente del objeto de cuenta de equipo de dominio de Active Directory que representa el mismo equipo. En resumen, Active Directory está integrado con DNS de las siguientes formas:

Los dominios de Active Directory y los dominios de DNS tienen la misma estructura jerárquica. Aunque son independientes y se implementan de forma diferente para propósitos distintos, los espacios de nombres de una organización para dominios de DNS y de Active Directory tienen una estructura idéntica. Por ejemplo, microsoft.com es un dominio de DNS y un dominio de Active Directory.

Las zonas de DNS pueden almacenarse en Active Directory. Si utiliza el servicio DNS de Windows 2000, es posible almacenar las zonas principales en Active Directory para replicarlas en otros controladores de dominio de Active Directory y proporcionar seguridad mejorada al servicio DNS.

Los clientes de Active Directory utilizan DNS para buscar controladores de dominio. Para buscar el controlador de un dominio específico, los clientes de Active Directory consultan su servidor DNS configurado en busca de registros de recursos específicos.

Active Directory y el espacio de nombres global de DNS

Active Directory está diseñado de forma que pueda existir en el ámbito del espacio de nombres global de DNS de Internet. Cuando una organización que utiliza Windows 2000 Server como sistema operativo de red requiere presencia en Internet, el espacio de nombres de Active Directory se mantiene como uno o varios dominios jerárquicos de Windows 2000 bajo un dominio raíz que está registrado como un espacio de nombres de DNS. (Una organización puede decidir no formar parte del espacio de nombres global de DNS de Internet, pero si lo hace, sigue siendo necesario el servicio DNS para buscar equipos basados en Windows 2000.) Según las convenciones de nomenclatura de DNS, cada parte de un nombre DNS separado por un punto (.) representa un nodo en la estructura jerárquica en árbol de DNS y un nombre de dominio de Active Directory potencial en la estructura jerárquica en árbol de dominios de Windows 2000. Tal como se muestra en la figura 2, la raíz de la jerarquía DNS es un nodo que tiene una etiqueta nula (" "). La raíz del espacio de nombres de Active Directory (la raíz del bosque) no tiene principal y proporciona el punto de entrada de LDAP a Active Directory. Figura 2. Comparación de las raíces de los espacios de nombres de DNS y de Active Directory

Registros de recursos SRV y actualizaciones dinámicas

DNS existe independientemente de Active Directory, mientras que Active Directory está diseñado específicamente para trabajar con DNS. Para que Active Directory funcione correctamente, los servidores DNS deben admitir registros de recursos de ubicación de servicio (SRV)4. Los registros de recursos SRV asignan el nombre de un servicio al nombre de un servidor que ofrece dicho servicio. Los controladores de dominio y los clientes de Active Directory utilizan los registros de recursos SRV para averiguar las direcciones IP de los controladores de dominio. Nota Para obtener más información acerca de cómo planear la distribución de servidores DNS como apoyo a los dominios de Active Directory, así como otras cuestiones relacionadas con la distribución, consulte la Guía de diseño de la distribución de Microsoft Windows 2000 Server en la sección "Para obtener más información" de este documento. Además del requisito de que los servidores DNS de una red de Windows 2000 admitan registros de recursos SRV, Microsoft también recomienda que los servidores DNS admitan las actualizaciones

dinámicas de DNS5. Las actualizaciones dinámicas de DNS definen un protocolo para actualizar dinámicamente un servidor DNS con valores nuevos o modificados. Sin el protocolo de actualización dinámica de DNS, los administradores deben configurar manualmente los registros creados por los controladores de dominio y almacenados por los servidores DNS. El nuevo servicio DNS de Windows 2000 admite tanto los registros de recursos SRV como las actualizaciones dinámicas. Si decide utilizar un servidor DNS que no esté basado en Windows 2000, debe comprobar que admite los registros de recursos SRV o actualizarlo a una versión que los admita. En el caso de un servidor DNS heredado que admita registros de recursos SRV pero no admita actualizaciones dinámicas, se deben actualizar manualmente sus registros de recursos cuando se promueva un equipo con Windows 2000 Server a controlador de dominio. Esto se realiza mediante el archivo Netlogon.dns (que se encuentra en la carpeta %systemroot%\System32\config), creado por el Asistente para instalación de Active Directory.

Active Directory crea controladores de dominio

La implementación y la administración de una red son actividades tangibles. Para entender cómo encaja Active Directory en la situación en la práctica, lo primero que necesita saber es que la instalación de Active Directory en un equipo que ejecute el sistema operativo Windows 2000 Server es el acto que transforma el servidor en un controlador de dominio. Un controlador de dominio sólo puede alojar un dominio. En concreto, un controlador de dominio es un equipo que ejecuta Windows 2000 Server y que se ha configurado con el Asistente para instalación de Active Directory, que instala y configura los componentes que proporcionan los servicios de directorio de Active Directory a los usuarios y los equipos de la red. Los controladores de dominio almacenan datos de directorio de todo el dominio (como las políticas de seguridad del sistema y datos de autenticación de usuarios) y administran las interacciones de usuarios y dominios, incluidos los procesos de inicio de sesión, autenticación y búsquedas en el directorio. Al promover un servidor a controlador de dominio con el Asistente para instalación de Active Directory también se crea un dominio de Windows 2000 o se agregan controladores adicionales a un dominio existente. En esta sección se describe qué es un controlador de dominio de Active Directory y algunas de las funciones principales que desempeña en la red. Con la presentación de Active Directory, los controladores de dominio de Windows 2000 funcionan como homólogos. Esto representa un cambio con respecto a las funciones de principal-subordinado que desempeñaban los controladores principales de dominio (PDC) y los

controladores de reserva (BDC) de Windows NT Server. Los controladores de dominio homólogos admiten la replicación de múltiples maestros, con lo que se replica la información de Active Directory en todos los controladores de dominio. La presentación de la replicación de múltiples maestros significa que los administradores pueden efectuar actualizaciones de Active Directory en cualquier controlador de dominio de Windows 2000 del dominio. En el sistema operativo Windows NT Server, sólo el PDC tiene una copia de lectura y escritura del directorio; el PDC replica a los BDC una copia de sólo lectura de la información del directorio. (Para obtener más información acerca de la replicación de múltiples maestros, consulte la sección "Replicación de múltiples maestros".) Si realiza la actualización al sistema operativo Windows 2000 desde un dominio existente, puede realizar la actualización por etapas y según le convenga. Si va a crear el primer controlador de dominio para una instalación nueva, se materializan algunas entidades automáticamente al mismo tiempo que se carga Active Directory. Las dos subsecciones siguientes explican estos aspectos relacionados con la instalación de un controlador de dominio de Active Directory en una red nueva:

El primer controlador de dominio es un servidor de catálogo global. El primer controlador de dominio contiene las funciones de maestro de

operaciones.

Catálogo global

El sistema operativo Windows 2000 presenta el catálogo global, una base de datos que se mantiene en uno o varios controladores de dominio. El catálogo global desempeña las funciones principales en los inicios de sesión de los usuarios y en las consultas. De forma predeterminada, se crea automáticamente un catálogo global en el controlador de dominio inicial del bosque de Windows 2000 y cada bosque debe tener al menos un catálogo global. Si utiliza varios sitios, es recomendable que asigne un controlador de dominio de cada sitio como catálogo global, ya que es necesario tener un catálogo global (que determina la pertenencia a grupos de una cuenta) para llevar a cabo el proceso de autenticación del inicio de sesión. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catálogo global para realizar el inicio de sesión. Después de instalar controladores de dominio adicionales en el bosque, puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante la herramienta Sitios y servicios de Active Directory. Opcionalmente puede configurar cualquier controlador de dominio para que aloje un catálogo global, según los requisitos de la organización para atender las solicitudes de inicio de sesión y las consultas de búsqueda. Cuantos más servidores de catálogo global haya, más rápidas serán las respuestas a las consultas de los usuarios; el inconveniente es que habilitar muchos

controladores de dominio como servidores de catálogo global aumenta el tráfico de replicación en la red. El catálogo global desempeña dos funciones clave de Active Directory, inicio de sesión y consultas:

Inicio de sesión. En un dominio de modo nativo, el catálogo global permite el inicio de sesión de los clientes de Active Directory al proporcionar información universal de pertenencia a grupos6 para la cuenta que envía la solicitud de inicio de sesión a un controlador de dominio. De hecho, no sólo los usuarios sino cualquier objeto que se autentique en Active Directory debe hacer consultar el servidor de catálogo global, incluidos todos los equipos que se inicien. En una configuración de varios dominios, al menos un controlador de dominio que contenga el catálogo global debe estar en funcionamiento y disponible para que los usuarios puedan iniciar una sesión. También debe haber disponible un servidor de catálogo global cuando un usuario inicie la sesión con un nombre principal de usuario (UPN) no predeterminado. (Para obtener más información acerca del inicio de sesión, consulte la sección "Nombres de inicio de sesión: UPN y nombres de cuentas SAM".)

Si no hay disponible un catálogo global cuando un usuario inicia un proceso de inicio de sesión en la red, el usuario sólo podrá iniciar la sesión en el equipo local y no en la red. La única excepción es la de los usuarios que son miembros del grupo de administradores de dominios (Administrador del dominio), que pueden iniciar la sesión en la red incluso aunque no haya disponible un catálogo global.

Consultas. En un bosque que contiene muchos dominios, el catálogo global permite que los usuarios efectúen búsquedas en todos los dominios de forma rápida y sencilla, sin tener que buscar en cada dominio individualmente. El catálogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan información. La mayor parte del tráfico de red de Active Directory está relacionado con las consultas: usuarios, administradores y programas que solicitan información acerca de objetos del directorio. Las consultas son mucho más frecuentes que las actualizaciones del directorio. Asignar varios controladores de dominio como servidores de catálogo global mejora el tiempo de respuesta a los usuarios que buscan información del directorio, pero debe sopesar esta ventaja frente al hecho de que también puede aumentar el tráfico de replicación de la red.

Funciones de maestro de operaciones

La replicación de múltiples maestros en controladores de dominio homólogos no resulta práctica para algunos tipos de cambios, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta solicitudes para dichos cambios. Como la replicación de múltiples maestros desempeña una función fundamental en una red basada en Active Directory, es importante saber cuáles son estas excepciones. En cualquier bosque de Active Directory, al menos las últimas cinco funciones de maestro de

operaciones se asignan al controlador de dominio inicial durante la instalación. Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del único maestro de operaciones se asignan automáticamente al primer controlador de dicho dominio. En un bosque pequeño de Active Directory con sólo un dominio y un controlador de dominio, dicho controlador sigue teniendo todas las funciones del maestro de operaciones. En una red mayor, con uno o varios dominios, se pueden asignar estas funciones a uno o varios controladores de dominio. Algunas funciones deben aparecer en todos los bosques. Otras funciones deben aparecer en cada dominio del bosque. Las dos funciones siguientes de maestro de operaciones en todo el bosque deben ser únicas en el bosque; es decir, sólo puede haber una de ellas en todo el bosque:

Maestro de esquema. El controlador de dominio que tiene la función de maestro de esquema controla todas las actualizaciones y modificaciones del esquema. El esquema define todos los objetos (y sus atributos) que pueden almacenarse en el directorio. Para actualizar el esquema de un bosque, debe disponer de acceso al maestro de esquema.

Maestro de nombres de dominio. El controlador de dominio que tiene la función de maestro de nombres de dominio controla la incorporación o eliminación de dominios en el bosque.

Las tres funciones siguientes de maestro de operaciones en todo el dominio deben ser únicas en cada dominio y sólo puede haber una en cada dominio del bosque:

Maestro de Id. relativos (RID). El maestro de RID asigna secuencias de RID a cada controlador de su dominio. Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, le asigna un Id. de seguridad (SID) único. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en el dominio) y un Id. relativo (que es único para cada Id. de seguridad creado en el dominio). Cuando el controlador de dominio ha agotado su grupo de RID, solicita otro grupo del maestro de RID.

Emulador de controlador principal de dominio (PDC). Si el dominio contiene equipos que no ejecutan el software cliente de Windows 2000, o si contiene controladores de reserva (BDC) de Windows NT, el emulador de PDC actúa como controlador principal de dominio (PDC) de Windows NT. Procesa los cambios de clave de acceso de los clientes y replica las actualizaciones en los BDC. El emulador de PCD recibe replicación preferente de los cambios de clave de acceso realizados por otros controladores del dominio. Si se produce un error en una autenticación de inicio de sesión en otro controlador de dominio debido a una clave de acceso incorrecta, dicho controlador reenvía la solicitud de autenticación al emulador de PDC antes de rechazar el intento de inicio de sesión.

Maestro de infraestructuras. El maestro de infraestructuras es el encargado de actualizar todas las referencias entre dominios siempre que se mueve un objeto al que hace referencia otro objeto. Por ejemplo, cada vez que se cambia el nombre o se cambian los miembros de los grupos, el maestro de infraestructuras actualiza las referencias de grupo a usuario. Cuando cambia el nombre o mueve

un miembro de un grupo (y dicho miembro se encuentra en un dominio distinto del grupo), es posible que parezca temporalmente que el grupo no contiene a ese miembro. El maestro de infraestructuras del dominio del grupo es el encargado de actualizar el grupo, de modo que conozca el nuevo nombre o la nueva ubicación del miembro.

El maestro de infraestructuras distribuye la actualización mediante la replicación de múltiples maestros. A menos que sólo haya un único controlador en el dominio, no asigne la función de maestro de infraestructuras al controlador de dominio que aloja el catálogo global. Si lo hace, no funcionará el maestro de infraestructuras. Si todos los controladores de un dominio también alojan el catálogo global (incluido el caso donde sólo exista un controlador de dominio), todos los controladores de dominio tienen datos actualizados y, por tanto, no es necesario el maestro de infraestructuras.

Arquitectura Una vez instalado un controlador de dominio de Active Directory, se ha creado a la vez el dominio inicial de Windows 2000 o se ha agregado el nuevo controlador a un dominio existente. ¿Cómo encajan el controlador y el dominio en la arquitectura global de la red? En esta sección se explican los componentes de una red basada en Active Directory y cómo están organizados. Además, describe cómo puede delegar la responsabilidad administrativa de las unidades organizativas (OU), dominios o sitios a los usuarios adecuados y cómo asignar valores de configuración a estos tres mismos contenedores de Active Directory. Se tratan los siguientes temas:

Objetos (incluido el esquema). Convenciones de nomenclatura de objetos (incluyendo nombres de principales

de seguridad, SID, nombres relacionados con LDAP, GUID de objeto y nombres de inicio de sesión).

Publicación de objetos. Dominios (incluyendo árboles, bosques, confianzas y unidades organizativas). Sitios (incluida la replicación). Cómo se aplican la delegación y Política de grupo a unidades organizativas,

dominios y sitios.

Objetos

Los objetos de Active Directory son las entidades que componen una red. Un objeto es un conjunto diferenciado con nombre de atributos que representa algo concreto, como un usuario, una impresora o una aplicación. Cuando crea un objeto de Active Directory, éste genera valores para algunas propiedades del objeto y otros debe proporcionarlos usted. Por ejemplo, cuando crea un objeto de usuario,

Active Directory asigna el identificador único global (GUID) y usted debe proporcionar valores para atributos como el nombre, el apellido, el identificador de inicio de sesión, etc. del usuario.

El esquema

El esquema es una descripción de las clases de objeto (los distintos tipos de objetos) y los atributos de dichas clases. Para cada clase de objeto, el esquema define qué atributos debe tener, qué atributos adicionales puede tener y qué clase de objeto puede ser su objeto primario. Cada objeto de Active Directory es una instancia de una clase de objeto. Cada atributo sólo se define una vez y puede utilizarse en varias clases. Por ejemplo, el atributo Descripción se define una vez pero se utiliza en muchas clases distintas. El esquema se almacena en Active Directory. Las definiciones de esquema también se almacenan como objetos: Esquema de clase y Esquema de atributos. De esta forma, Active Directory administra los objetos de clase y de atributos de la misma manera en que administra otros objetos del directorio. Las aplicaciones que crean o modifican objetos de Active Directory utilizan el esquema para determinar los atributos que debe o podría tener el objeto y cómo deben ser esos atributos en lo que respecta a estructuras de datos y restricciones de sintaxis. Los objetos pueden ser objetos contenedor u objetos hoja (también denominados objetos no contenedor). Un objeto contenedor almacena otros objetos, pero los objetos hoja no. Por ejemplo, una carpeta es un objeto contenedor de archivos, que son objetos hoja. Cada clase de objetos del esquema de Active Directory tiene atributos que aseguran:

Identificación única de cada objeto en un almacén de datos del directorio. Para los principales de seguridad (usuarios, equipos o grupos), compatibilidad

con los identificadores de seguridad (SID) utilizados en el sistema operativo Windows NT 4.0 y anteriores.

Compatibilidad con los estándares LDAP para nombres de objetos de directorio.

Consultas y atributos de esquema

Con la herramienta Esquema de Active Directory puede marcar un atributo como indizado. Al hacerlo, se agregan al índice todas las instancias de dicho atributo, no sólo las instancias que son miembros de una clase determinada. Al indizar un atributo podrá encontrar más rápidamente los objetos que tengan ese atributo. También puede incluir atributos en el catálogo global. El catálogo global contiene un conjunto predeterminado de atributos para cada objeto del bosque y puede agregarles los que desee. Los usuarios y las aplicaciones utilizan el catálogo global para buscar objetos en el bosque. Incluya sólo los atributos que tengan las siguientes características:

Útil globalmente. El atributo debe ser necesario para buscar objetos (incluso aunque sólo sea para acceso de lectura) que pueda haber en cualquier lugar del bosque.

No volátil. El atributo deber ser invariable o cambiar con muy poca frecuencia. Los atributos de un catálogo global se replican a todos los demás catálogos globales del bosque. Si el atributo cambia con frecuencia, genera mucho tráfico de replicación.

Pequeño. Los atributos de un catálogo global se replican a todos los catálogos globales del bosque. Cuanto menor sea el atributo, menor será el impacto de la replicación.

Nombres de objetos de esquema

Como se ha indicado anteriormente, las clases y los atributos son objetos de esquema. Se puede hacer referencia a cualquier objeto de esquema mediante los siguientes tipos de nombres:

Nombre LDAP para mostrar. El nombre LDAP para mostrar es único globalmente para cada objeto de esquema. El nombre LDAP para mostrar consta de una o varias palabras combinadas, con la letra inicial de cada palabra en mayúsculas después de la primera palabra. Por ejemplo, mailAddress y machinePasswordChangeInterval son los nombres LDAP para mostrar de dos atributos de esquema. Esquema de Active Directory y otras herramientas administrativas de Windows 2000 muestran el nombre LDAP para mostrar de los objetos, y los programadores y administradores utilizan este nombre para hacer referencia al objeto mediante programa. Consulte la próxima subsección para obtener información acerca de cómo ampliar el esquema mediante programa; consulte la sección "Protocolo compacto de acceso a directorios" para obtener más información acerca de LDAP.

Nombre común. Los nombres comunes de los objetos de esquema también son únicos globalmente. El nombre común se especifica cuando se crea una nueva clase o atributo de objeto en el esquema; se trata del nombre en referencia relativa (RDN) del objeto en el esquema que representa la clase de objeto. Para obtener más información acerca de los RDN, consulte la sección "Nombres DN y RDN de LDAP". Por ejemplo, los nombres comunes de los dos atributos mencionados en el párrafo anterior son SMTP-Mail-Address y Machine-Password-Change-Interval.

Identificador de objeto (OID). El identificador de un objeto de esquema es un número emitido por una entidad como Organización internacional de normalización (ISO) y American National Standards Institute (ANSI). Por ejemplo, el OID para el atributo SMTP-Mail-Address es 1.2.840.113556.1.4.786. Se garantiza que los OID son únicos en todas las redes de todo el mundo. Una vez que obtenga un OID raíz de una entidad emisora, puede utilizarlo para asignar OID adicionales. Los OID forman una jerarquía. Por ejemplo, Microsoft ha emitido el OID raíz 1.2.840.113556. Microsoft administra internamente otras ramas adicionales desde esta raíz. Una de las ramas se utiliza para asignar OID a las clases de esquema de Active Directory y otra para los atributos. Siguiendo con el ejemplo, el OID de Active Directory es 1.2.840.113556.1.5.4, que identifica la clase Dominio integrado y puede analizarse como se muestra en la tabla 1.

Tabla 1. Identificador de objeto Número de Id. de objeto

Identifica

1 ISO (entidad emisora "raíz") emitió 1.2 para ANSI,

2 ANSI emitió 1.2.840 para EE.UU.,

840 EE.UU. emitió 1.2.840.113556 para Microsoft,

113556Microsoft administra internamente varias ramas de identificadores de objeto bajo 1.2.840.113556, que incluyen:

1 una rama denominada Active Directory que incluye

5 una rama denominada clases que incluye

4 una rama denominada Dominio integrado

Para obtener más información acerca de los OID y cómo obtenerlos, consulte "Para obtener más información" al final de este documento.

Ampliar el esquema

El sistema operativo Windows 2000 Server proporciona un conjunto predeterminado de clases y atributos de objeto que son suficientes para muchas organizaciones. Aunque no puede eliminar objetos del esquema, puede marcarlos como desactivados. Los programadores y los administradores de redes con experiencia pueden ampliar dinámicamente el esquema si definen nuevas clases y nuevos atributos para las clases existentes. La forma recomendada de ampliar el esquema de Active Directory es mediante programa, a través de las Interfaces de servicio de Active Directory (ADSI). También puede emplear la utilidad Formato de intercambio de datos LDAP (LDIFDE). (Para obtener más información acerca de ADSI y LDIFDE, consulte las secciones "Interfaz de servicio de Active Directory" y "Active Directory y LDIFDE".) Para propósitos de desarrollo y de pruebas, también puede ver y modificar el esquema de Active Directory con la herramienta Esquema de Active Directory. Cuando se plantee cambiar el esquema, recuerde estos puntos clave:

Los cambios del esquema son globales en todo el bosque. Las ampliaciones del esquema no son reversibles (aunque puede modificar

algunos atributos). Microsoft requiere que no se amplíe el esquema para adherirse a las reglas de

nomenclatura (descritas en la subsección anterior), tanto para el nombre LDAP para mostrar como para el nombre común. El programa del logotipo Certificado para Windows7 exige el cumplimiento. Visite el sitio Web Microsoft Developer Network para obtener más información al respecto.

Todas las clases del esquema derivan de la clase especial Top. A excepción de Top, todas las clases son subclases derivadas de otra clase. La herencia de atributos permite crear nuevas clases a partir de las ya existentes. La nueva subclase hereda los atributos de su superclase (clase principal).

La ampliación del esquema es una operación avanzada. Para obtener información detallada acerca de cómo ampliar el esquema mediante

programa, consulte la sección "Para obtener más información" al final de este documento.

Convenciones de nomenclatura de objetos

Active Directory admite varios formatos de nombres de objeto para admitir las distintas formas que puede adoptar un nombre, dependiendo del contexto en que se utilice (algunos nombres tienen formato numérico). En las siguientes subsecciones se describen estos tipos de convenciones de nomenclatura para los objetos de Active Directory:

Nombres de principales de seguridad. Identificadores de seguridad (también denominados Id. de seguridad o SID). Nombres relacionados con LDAP (incluyendo DN, RDN, direcciones URL y

nombres canónicos). GUID de objeto. Nombres de inicio de sesión (incluidos UPN y nombres de cuentas SAM).

Si la organización tiene varios dominios, es posible utilizar el mismo nombre de usuario o de equipo en diferentes dominios. El Id. de seguridad, el GUID, el nombre completo LDAP y el nombre canónico generados por Active Directory identifican de forma única a cada usuario o equipo del directorio. Si se cambia el nombre del objeto de usuario o de equipo, o se mueve a otro dominio, el Id. de seguridad, el nombre en referencia relativa LDAP, el nombre completo y el nombre canónico cambian, pero el GUID generado por Active Directory no cambia.

Nombres de principales de seguridad

Un principal de seguridad es un objeto de Windows 2000 administrado por Active Directory al que se asigna automáticamente un identificador de seguridad (SID) para la autenticación de inicio de sesión y el acceso a los recursos. Un principal de seguridad puede ser una cuenta de usuario, una cuenta de equipo o un grupo, de modo que un nombre de principal de seguridad identifica de forma única a un usuario, un equipo o un grupo dentro de un único dominio. Un objeto de principal de seguridad debe estar autenticado por un controlador del dominio en el que se encuentra el objeto y se le puede conceder o denegar el acceso a los recursos de la red. Un nombre de principal de seguridad no es único entre dominios pero, por compatibilidad con versiones anteriores, debe ser único en su propio dominio. Se puede cambiar el nombre de los objetos de principales de seguridad , se pueden mover o pueden estar dentro de una jerarquía de dominios anidados. Los nombres de los objetos de principales de seguridad deben ajustarse a las siguientes directrices:

El nombre no puede ser idéntico a otro nombre de usuario, equipo o grupo del dominio. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los siguientes: " / \ [ ] : ; | = , + * ? <>

Un nombre de usuario, equipo o grupo no puede contener sólo puntos (.) o espacios en blanco.

Id. de seguridad (SID)

Un identificador de seguridad (SID) es un nombre único creado por el subsistema de seguridad del sistema operativo Windows 2000 y se asigna a objetos de principales de seguridad; es decir, a cuentas de usuario, grupo y equipo. A cada cuenta de la red se le asigna un SID único cuando se crea por primera vez. Los procesos internos del sistema operativo Windows 2000 hacen referencia al SID de las cuentas en vez de a los nombres de usuario o de grupo de las cuentas. Cada objeto de Active Directory está protegido mediante entradas de control de acceso (ACE) que identifican los usuarios o grupos que pueden tener acceso al objeto. Cada ACE contiene el SID de cada usuario o grupo con permiso de acceso a dicho objeto y define el nivel de acceso permitido. Por ejemplo, un usuario podría tener acceso de sólo lectura a determinados archivos, acceso de lectura y escritura a otros y no tener acceso a otros archivos. Si crea una cuenta, la elimina y después crea otra cuenta con el mismo nombre de usuario, la nueva cuenta no tendrá los derechos o permisos concedidos anteriormente a la cuenta antigua, ya que los SID correspondientes a las cuentas son diferentes.

Nombres relacionados con LDAP

Active Directory es un servicio de directorio compatible con el Protocolo compacto de acceso a directorios (LDAP). En el sistema operativo Windows 2000, todos los accesos a los objetos de Active Directory se producen a través de LDAP. LDAP define las operaciones que se pueden realizar para consultar y modificar información en un directorio, y cómo se puede tener acceso de forma segura a la información de un directorio. Por tanto, se utiliza LDAP para buscar o enumerar objetos del directorio y para consultar o administrar Active Directory. (Para obtener más información acerca de LDAP, consulte la sección "Protocolo compacto de acceso a directorios".) Es posible consultar mediante el nombre completo LDAP (que es un atributo del objeto), pero como resulta difícil de recordar, LDAP también admite la consulta por otros atributos (por ejemplo, color para buscar las impresoras en color). De esta forma puede buscar un objeto sin tener que saber su nombre completo. En las tres subsecciones siguientes se describen los formatos de nomenclatura de objetos admitidos por Active Directory, que se basan todos en el nombre completo LDAP:

Nombres DN y RDN de LDAP.

Direcciones URL de LDAP. Nombres canónicos basados en LDAP.

Nombres DN y RDN de LDAP

LDAP proporciona nombres completos (DN) y nombres en referencia relativa (RDN) para los objetos8. Active Directory implementa estas convenciones de nomenclatura LDAP con las variaciones que se muestran en la tabla 2. Tabla 2. Convenciones de nomenclatura de LDAP y sus correspondientes en Active Directory Convención de nomenclaturaDN y RDN de LDAP

Convención de nomenclaturacorrespondiente en Active Directory

cn=nombre común cn=nombre común

ou=unidad organizativa ou=unidad organizativa

o=organización dc=componente de dominio

c=país (no se admite)

Nota cn=, ou=, etc. son tipos de atributo. El tipo de atributo que se utiliza para describir el RDN de un objeto se denomina atributo de nomenclatura. Los atributos de nomenclatura de Active Directory, que se muestran en la columna derecha, corresponden a las siguientes clases de objetos de Active Directory:

cn se utiliza para la clase de objeto usuario ou se utiliza para la clase de objeto unidad organizativa (OU) dc se utiliza para la clase de objeto DnsDominio

Todos los objetos de Active Directory tienen un DN de LDAP. Los objetos se encuentran dentro de dominios de Active Directory según una ruta de acceso jerárquica, que incluye las etiquetas del nombre de dominio de Active Directory y cada nivel de los objetos contenedores. La ruta de acceso completa al objeto la define el DN. El RDN define el nombre del objeto. El RDN es el segmento del DN de un objeto que es un atributo del propio objeto. Al usar la ruta de acceso completa a un objeto, incluido el nombre de objeto y todos los objetos principales hasta la raíz del dominio, el DN identifica un objeto único dentro de la jerarquía de dominios. Cada RDN se almacena en la base de datos de Active Directory y contiene una referencia a su principal. Durante una operación LDAP, se construye todo el DN siguiendo las referencias hasta la raíz. En un DN de LDAP completo, el RDN del objeto que se va a identificar aparece a la izquierda con el nombre de la rama y termina a la derecha con el nombre de la raíz, según se muestra en este ejemplo: cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrganización.dc=comEl RDN del objeto de usuario JDoe es cn=JDoe, el RDN de Componente (el objeto principal de JDoe) es ou=Componentes, etc. Las herramientas de Active Directory no muestran las abreviaturas de LDAP para los atributos de nomenclatura (dc=, ou= o cn=). Estas abreviaturas sólo se muestran para ilustrar la forma en que LDAP

reconoce las partes del DN. La mayoría de las herramientas de Active Directory muestran los nombres de objeto en formato canónico (descrito más adelante). El sistema operativo Windows 2000 utiliza el DN para permitir que un cliente LDAP recupere la información de un objeto del directorio, pero ninguna interfaz de usuario de Windows 2000 requiere escribir los DN. El uso explícito de DN, RDN y atributos de nomenclatura sólo es necesario al escribir programas o secuencias de comandos compatibles con LDAP.

Nombres de direcciones URL de LDAP

Active Directory admite el acceso mediante el protocolo LDAP desde cualquier cliente habilitado para LDAP. En RFC 1959 se describe un formato para el Localizador de recursos universal (dirección URL) de LDAP que permite que los clientes de Internet tengan acceso directo al protocolo LDAP. Las direcciones URL de LDAP también se utilizan en secuencias de comandos. Una dirección URL de LDAP empieza con el prefijo "LDAP" y después contiene el nombre del servidor que aloja los servicios de Active Directory, seguido del nombre de atributo del objeto (el nombre completo). Por ejemplo: LDAP://servidor1.RegiónEEUU.nombreOrg.com/cn=JDoe, ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg,dc=com

Nombres canónicos de Active Directory basados en LDAP

De forma predeterminada, las herramientas administrativas de Active Directory muestran los nombres de objeto con el formato de nombre canónico, que enumera los RDN desde la raíz hacia abajo y sin los descriptores de atributos de nomenclatura de RFC 1779 (dc=, ou= o cn=). El nombre canónico utiliza el formato de nombres de dominio de DNS; es decir, los constituyentes de la sección de etiquetas de dominio están separados por puntos: RegiónEEUU.NombreOrg.com. En la tabla 3 se muestran las diferencias entre el DN de LDAP y el mismo nombre en formato canónico. Tabla 3. Diferencias entre el formato de DN de LDAP y el formato de nombre canónico El mismo nombre en dos formatos

Nombre DN de LDAP:

cn=JDoe,ou=Componentes,ou=Fabricación,dc=RegiónEEUU,dcNombreOrg.dc=com

Nombre canónico:

RegiónEEUU.NombreOrg.com/Fabricación/Componentes/JDoe

GUID de objeto

Además de su DN de LDAP, cada objeto de Active Directory tiene un identificador único global (GUID), un número de 128 bits que asigna el Agente del sistema del directorio cuando se crea el objeto. El GUID,

que no se puede modificar ni mover, se almacena en un atributo, objectGUID, que es necesario para cada objeto. A diferencia de un DN o un RDN, que se puede modificar, el GUID nunca cambia. Cuando se almacena una referencia a un objeto de Active Directory en un almacén externo (por ejemplo, una base de datos de Microsoft SQL Server™), debe utilizarse el valor de objectGUID.

Nombres de inicio de sesión: UPN y nombres de cuentas SAM

Como se ha descrito anteriormente, los principales de seguridad son objetos a los se aplica la seguridad basada en Windows tanto para la autenticación de inicio de sesión como para la autorización de acceso a los recursos. Los usuarios son un tipo de principal de seguridad. En el sistema operativo Windows 2000, los principales de seguridad de usuario requieren un nombre único de inicio de sesión para obtener acceso a un dominio y sus recursos. En las dos subsecciones siguientes se describen los dos tipos de nombres de inicio de sesión: UPN y nombres de cuentas SAM.

Nombre de principal de usuario

En Active Directory, cada cuenta de usuario tiene un nombre de principal de usuario (UPN) con el formato <usuario>@<nombreDominioDNS>. Un UPN es un nombre descriptivo asignado por un administrador que es más corto que el nombre completo LDAP utilizado el sistema y más fácil de recordar. El UPN es independiente del DN del objeto de usuario, por lo que el objeto de usuario se puede mover o cambiar de nombre sin que ello afecte al nombre de inicio de sesión del usuario. Cuando se inicia una sesión con un UPN, los usuarios ya no tienen que elegir un dominio de una lista en el cuadro de diálogo de inicio de sesión. Las tres partes del UPN son el prefijo UPN (nombre de inicio de sesión del usuario), el carácter @ y el sufijo UPN (normalmente un nombre de dominio). El sufijo UPN predeterminado de una cuenta de usuario es el nombre DNS del dominio de Active Directory en el que se encuentra la cuenta de usuario9. Por ejemplo, el UPN del usuario John Doe, que tiene una cuenta de usuario en el dominio NombreOrg.com (si NombreOrg.com es el único dominio del árbol), es JDoe@NombreOrg.com. El UPN es un atributo (userPrincipalName) del objeto de principal de seguridad. Si el atributo userPrincipalName de un objeto de usuario no tiene valor, el objeto tiene como UPN predeterminado nombreUsuario@nombreDominioDns. Si la organización tiene muchos dominios que forman un árbol de dominios profundo, organizado por departamentos y regiones, los nombres UPN predeterminados pueden llegar a ser bastante farragosos. Por ejemplo, el UPN predeterminado de un usuario podría ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesión para un usuario de dicho dominio es

usuario@ventas.costaoeste.microsoft.com. En vez de aceptar el nombre de dominio DNS predeterminado como el sufijo UPN, puede simplificar los procesos de administración y de inicio de sesión de usuario si proporciona un único sufijo UPN a todos los usuarios. (El sufijo UPN sólo se utiliza dentro del dominio de Windows 2000 y no es necesario que sea un nombre válido de dominio DNS.) Puede utilizar su nombre de dominio de correo electrónico como sufijo UPN: nombreUsuario@nombreOrganización.com. Así, el usuario del ejemplo tendría el nombre UPN usuario@microsoft.com. En el caso de un inicio de sesión basado en UPN, quizás sea necesario un catálogo global, dependiendo del usuario que inicie la sesión y la pertenencia al dominio del equipo del usuario. Se necesita un catálogo global si el usuario inicia la sesión con un nombre UPN que no sea el predeterminado y la cuenta de equipo del usuario se encuentra en un dominio distinto que la cuenta del usuario. Es decir, si en lugar de aceptar el nombre de dominio DNS predeterminado como sufijo UPN (como en el ejemplo anterior, usuario@ventas.costaoeste.microsoft.com), proporciona un único sufijo UPN para todos los usuarios (de forma que el usuario sea usuario@microsoft.com), se necesita un catálogo global para el inicio de sesión. La herramienta Dominios y confianza de Active Directory se utiliza para administrar los sufijos UPN de un dominio. Los UPN se asignan en el momento de crear un usuario. Si ha creado sufijos adicionales para el dominio, puede elegir uno en la lista de sufijos disponibles al crear la cuenta de usuario o de grupo. Los sufijos aparecen en la lista en el siguiente orden:

Sufijos alternativos (si hay alguno, el último que se ha creado aparecerá en primer lugar).

Dominio raíz. Dominio actual.

Nombre de cuenta SAM

Un nombre de cuenta del Administrador de cuentas de seguridad (SAM) es necesario por compatibilidad con los dominios de Windows NT 3.x y Windows NT 4.0. La interfaz de usuario de Windows 2000 se refiere al nombre de cuenta SAM como "Nombre de inicio de sesión de usuario (anterior a Windows 2000)". Los nombres de cuentas SAM a veces se denominan nombres planos ya que, a diferencia de los nombres DNS, los nombres de cuentas SAM no utilizan una nomenclatura jerárquica. Como los nombres SAM son planos, cada uno debe ser único en el dominio.

Publicación de objetos

Publicar es el acto de crear objetos en el directorio que contengan directamente la información que desea que esté disponible o que proporcionen una referencia a dicha información. Por ejemplo, un

objeto de usuario contiene información útil acerca de los usuarios, como sus números de teléfono y sus direcciones de correo electrónico, y un objeto de volumen contiene una referencia a un volumen compartido de un sistema de archivos. A continuación se ofrecen dos ejemplos: publicar objetos de archivo e impresión en Active Directory:

Publicación de recursos compartidos. Puede publicar una carpeta compartida como un objeto de volumen (también denominado objeto de carpeta compartida) en Active Directory con el complemento Usuarios y grupos de Active Directory. Esto significa que los usuarios ahora pueden consultar fácil y rápidamente dicha carpeta compartida en Active Directory.

Publicación de impresoras. En un dominio de Windows 2000, la forma más sencilla de administrar, buscar y conectarse a impresoras es mediante Active Directory. De forma predeterminada10, cuando agrega una impresora con el Asistente para agregar impresoras y decide compartirla, Windows 2000 Server la publica en el dominio como un objeto de Active Directory. Publicar (enumerar) impresoras en Active Directory permite a los usuarios encontrar la impresora más adecuada. Ahora los usuarios pueden consultar fácilmente cualquiera de estas impresoras en Active Directory y buscar por atributos de impresora como tipo (PostScript, color, papel de tamaño oficio, etc.) y ubicación. Cuando se quita una impresora del servidor, éste anula la publicación.

También puede publicar en Active Directory impresoras que no estén basadas en Windows 2000 (es decir, impresoras que estén servidores de impresión no basados en Windows 2000). Para ello, utilice la herramienta Usuarios y equipos de Active Directory para escribir la ruta de acceso a la impresora según la convención de nomenclatura universal (UNC). De forma alternativa, utilice la secuencia de comandos Pubprn.vbs que se encuentra en la carpeta System32. La política de grupo Eliminación de impresora de bajo nivel determina cómo el servicio de eliminación (eliminación automática de impresoras) trata las impresoras que están en servidores de impresión no basados en Windows 2000 cuando una impresora no está disponible.

Cuándo publicar

Debe publicar la información en Active Directory cuando sea útil o interesante para una gran parte de la comunidad de usuarios y cuando sea necesario que esté fácilmente accesible. La información publicada en Active Directory tiene dos características principales:

Relativamente estática. Sólo se publica la información que cambia con poca frecuencia. Los números de teléfono y las direcciones de correo electrónico son ejemplos de información relativamente estática adecuada para publicar. El mensaje de correo electrónico seleccionado actualmente del usuario es un ejemplo de información que cambia con mucha frecuencia.

Estructurada. Publicar información estructurada y que puede representarse como un conjunto de atributos discretos. La dirección comercial de un usuario es

un ejemplo de información estructurada adecuada para publicar. Un clip de audio con la voz del usuario es un ejemplo de información sin estructurar más adecuada para el sistema de archivos.

La información operativa utilizada por las aplicaciones es un candidato excelente para su publicación en Active Directory. Esto incluye información de configuración global que se aplica a todas las instancias de una aplicación dada. Por ejemplo, un producto de base de datos relacional podría almacenar como un objeto de Active Directory la configuración predeterminada de los servidores de bases de datos. Las nuevas instalaciones de ese producto podrían recopilar la configuración predeterminada de ese objeto, lo que simplifica el proceso de instalación y mejora la coherencia de las instalaciones en una organización. Las aplicaciones también pueden publicar sus puntos de conexión en Active Directory. Los puntos de conexión se utilizan en los encuentros cliente-servidor. Active Directory define una arquitectura para la administración de servicios integrados mediante objetos de Punto de administración de servicios y proporciona puntos de conexión estándar para aplicaciones basadas en Llamada a procedimiento remoto (RPC), Winsock y Modelo de objetos componentes (COM). Las aplicaciones que no utilizan las interfaces RPC o Winsock para publicar sus puntos de conexión pueden publicar explícitamente en Active Directory objetos de Punto de conexión de servicios. También es posible publicar en el directorio los datos de aplicaciones utilizando objetos específicos de la aplicación. Los datos específicos de una aplicación deben cumplir los criterios descritos anteriormente. Es decir, la información debe ser de interés global, relativamente no volátil y estructurada.

Cómo publicar

Los métodos de publicar información varían dependiendo de la aplicación o el servicio:

Llamada a procedimiento remoto (RPC). Las aplicaciones RPC utilizan la familia RpcNs* de API para publicar sus puntos de conexión en el directorio y para consultar los puntos de conexión de servicios que han publicado los suyos.

Windows Sockets. Las aplicaciones Windows Sockets utilizan la familia de API Registration and Resolution (Registro y resolución) disponibles en Winsock 2.0 para publicar sus puntos de conexión y para consultar los puntos de conexión de servicios que han publicado los suyos.

Modelo de objetos componentes distribuido (DCOM). Los servicios DCOM publican sus puntos de conexión mediante DCOM Class Store, que reside en Active Directory. DCOM es la especificación del Modelo de objetos componentes (COM) de Microsoft que define cómo se comunican los componentes a través de redes basadas en Windows. Utilice la herramienta Configuración de DCOM para integrar aplicaciones cliente-servidor en varios equipos. DCOM también puede utilizarse para integrar aplicaciones robustas de explorador Web.

Dominios: árboles, bosques, confianzas y unidades organizativas

Active Directory consta de uno o varios dominios. Al crear el controlador de dominio inicial en una red también se crea el dominio; no puede haber un dominio sin que haya al menos un controlador de dominio. Cada dominio del directorio se identifica mediante un nombre de dominio DNS. La herramienta Dominios y confianza de Active Directory se utiliza para administrar dominios. Los dominios se utilizan para llevar a cabo los siguientes objetivos de administración de red:

Delimitar la seguridad. Un dominio de Windows 2000 define un límite de seguridad: Las políticas y la configuración de seguridad (como los derechos administrativos y las listas de control de acceso) no cruzan de un dominio a otro. Active Directory puede incluir uno o varios dominios, cada uno con sus propias políticas de seguridad.

Información de replicación. Un dominio es una partición del directorio de Windows 2000 (también denominado un contexto de nombres). Estas particiones del directorio son las unidades de replicación. Cada dominio sólo almacena la información acerca de los objetos que se encuentran en dicho dominio. Todos los controladores de un dominio pueden recibir cambios efectuados en los objetos y pueden replicar esos cambios a todos los demás controladores de dicho dominio.

Aplicar Política de grupo. Un dominio define un ámbito posible para la política (la configuración de Política de grupo también puede aplicarse a unidades organizativas o a sitios). Al aplicar un objeto de política de grupo (GPO) al dominio se establece cómo se pueden configurar y utilizar los recursos del dominio. Por ejemplo, puede utilizar Política de grupo para controlar la configuración del escritorio, como el bloqueo del escritorio y la distribución de aplicaciones. Estas políticas sólo se aplican dentro del dominio, no entre varios dominios.

Estructurar la red. Como un dominio de Active Directory puede abarcar varios sitios y contener millones de objetos11, la mayoría de las organizaciones no necesitan crear dominios independientes para reflejar las divisiones y los departamentos de la organización. Nunca debe ser necesario crear dominios adicionales para administrar objetos adicionales. Sin embargo, algunas organizaciones requieren varios dominios para incorporar, por ejemplo, unidades de negocio independientes o completamente autónomas que no desean que nadie externo a la unidad tenga autorización sobre sus objetos. Dichas organizaciones pueden crear dominios adicionales y organizarlos en un bosque de Active Directory. Otro motivo para dividir la red en dominios independientes es si dos partes de la red están separadas por un vínculo tan lento que nunca se desea que tenga tráfico de replicación completa. (En el caso de los vínculos lentos que aún pueden tratar tráfico de replicación con menos frecuencia, puede configurar un único dominio con varios sitios.)

Delegar la autoridad administrativa. En las redes que ejecutan Windows 2000 puede delegar restrictivamente la autoridad administrativa tanto de unidades organizativas como de dominios individuales, lo que reduce el número de administradores necesarios con autoridad administrativa amplia. Como un

dominio es un límite de seguridad, los permisos administrativos de un dominio están limitados al dominio de forma predeterminada. Por ejemplo, a un administrador con permisos para establecer políticas de seguridad en un dominio no se le concede automáticamente autoridad para establecer políticas de seguridad en otro dominio del directorio.

Comprender los dominios incluye entender los árboles, bosques, confianzas y unidades organizativas, y cómo se relaciona cada una de estas estructuras con los dominios. En las siguientes subsecciones se describen cada uno de estos componentes de dominio:

Árboles Bosques Relaciones de confianza Unidades organizativas

El sistema operativo Windows 2000 también presenta el concepto relacionado de sitios, pero la estructura de sitio y la estructura de dominio son independientes, con el fin de proporcionar administración flexible, por lo que los sitios se tratarán en una sección posterior. Este documento presenta los conceptos básicos acerca de los dominios y los sitios basados en Windows 2000. Para obtener información detallada acerca de cómo planear su estructura y distribución, consulte la Guía de diseño de la distribución de Microsoft Windows 2000 Server en la sección "Para obtener más información", al final de este documento. Cuando lea las próximas subsecciones en las que se describen posibles estructuras de dominio, tenga en cuenta que, para muchas organizaciones, una estructura que conste de un único dominio que sea a la vez un bosque con un único árbol no sólo es posible, sino que es la forma óptima de organizar la red. Empiece siempre con la estructura más sencilla y aumente su complejidad sólo cuando pueda justificarlo.

Árboles

En el sistema operativo Windows 2000, un árbol es un conjunto de uno o varios dominios con nombres contiguos. Si hay varios dominios, puede combinarlos en estructuras jerárquicas de árbol. Un posible motivo para tener varios árboles en el bosque es si una división de la organización tiene su propio nombre DNS registrado y ejecuta sus propios servidores DNS. El primer dominio creado es el dominio raíz del primer árbol. Los dominios adicionales del mismo árbol son dominios secundarios. Un dominio situado inmediatamente por encima de otro dominio en el mismo árbol es su principal. Todos los dominios que tienen un dominio raíz común se dice que forman un espacio de nombres contiguos. Los dominios de un espacio de nombres contiguos (es decir, en un único árbol) tiene nombres de dominio DNS contiguos que se forman de la siguiente manera: El nombre del dominio secundario aparece a la izquierda, separado del

nombre de su dominio principal a la derecha por un punto. Cuando hay más de dos dominios, cada uno tiene su principal a la derecha del nombre de dominio, tal como se muestra en la figura 3. Los dominios basados en Windows 2000 que forman un árbol están vinculados mediante relaciones de confianza bidireccionales y transitivas. Estas relaciones de confianza se describen más adelante.

Figura 3. Dominios principales y secundarios en un árbol de dominios. Las flechas de dos puntas indican relaciones de confianza bidireccionales transitivas La relación principal-secundario entre dominios de un árbol sólo es una relación de nomenclatura y una relación de confianza. Los administradores de un dominio principal no lo son automáticamente de un dominio secundario y las políticas establecidas en un dominio principal no se aplican automáticamente a los dominios secundarios.

Bosques

Un bosque de Active Directory es una base de datos distribuida, que está compuesta de varias bases de datos parciales repartidas en varios equipos. La distribución de la base de datos aumenta la eficacia de la red, ya que permite ubicar los datos donde más se utilizan. Los dominios definen las particiones de la base de datos del bosque; es decir, un bosque consta de uno o varios dominios. Todos los controladores de dominio de un bosque contienen una copia de los contenedores Configuración y Esquema del bosque, además de una base de datos del dominio. Una base de datos del dominio es una parte de una base de datos del bosque. Cada base de datos del dominio contiene objetos de directorio, como los objetos de principales de seguridad (usuarios, equipos y grupos) a los que puede conceder o denegar acceso a los recursos de la red. Con frecuencia, un único bosque, que resulta fácil de crear y mantener, puede satisfacer las necesidades de una organización. Con un único bosque no es necesario que los usuarios conozcan la estructura del directorio, ya que todos ven un único directorio a través del catálogo global. Cuando se agrega un dominio nuevo al bosque, no se requiere ninguna configuración adicional de la confianza, ya que todos los dominios de un bosque están conectados por una confianza bidireccional transitiva. En un bosque con varios dominios, sólo es necesario aplicar una vez los cambios a la configuración para que afecten a todos los dominios. No debe crear bosques adicionales a menos que tenga necesidad evidente de hacerlo, ya que cada bosque que cree supondrá una

carga adicional de administración12. Un motivo posible para crear varios bosques es si la administración de la red está distribuida entre varias divisiones autónomas que no están de acuerdo en la administración común del esquema y los contenedores de configuración. Otro motivo para crear un bosque independiente es asegurarse de que a determinados usuarios nunca se les concederá acceso a ciertos recursos (en un bosque único, todos los usuarios pueden incluirse en cualquier grupo o pueden aparecer en una lista de control de acceso discrecional, o DACL13, en cualquier equipo del bosque). Con bosques independientes, es posible definir relaciones de confianza explícita para conceder a los usuarios de un bosque acceso a determinados recursos del otro bosque. (Para ver un ejemplo de dos bosques, consulte la figura 7 en la sección "Ejemplo: entorno mixto de dos bosques y una extranet".) Varios árboles de dominio dentro de un único bosque no constituyen un espacio de nombres contiguos; es decir, tienen nombres de dominio DNS que no son contiguos. Aunque los árboles de un bosque no comparten un espacio de nombres, un bosque tiene un único dominio raíz, denominado dominio raíz del bosque. El dominio raíz del bosque es, por definición, el primer dominio creado en el bosque. Los dos grupos predefinidos para todo el bosque, Administradores de empresa y Administradores del esquema, residen en este dominio. Por ejemplo, tal como se muestra en la figura 4, aunque cada uno de los tres árboles de dominios (RRHH-Raíz.com, RaízEuropa.com y RaízAsia.com) tiene un dominio secundario para Contabilidad denominado "Contab", los nombres DNS de estos dominios secundarios son Contab.OfC-Raíz.com, Contab.RaízEuropa.com y Contab.RaízAsia.com, respectivamente. No hay ningún espacio de nombres compartido. Figura 4. Un bosque con tres árboles de dominios. Los tres dominios raíz no son contiguos, pero RaízEuropa.com y RaízAsia.com son dominios secundarios de OfC-Raíz.com. El dominio raíz de cada árbol de dominios del bosque establece una relación de confianza transitiva (que se explica con más detalle en la próxima sección) con el dominio raíz del bosque. En la figura 4, OfC-Raíz.com es el dominio raíz del bosque. Los dominios raíz de los demás árboles de dominios, RaízEuropa.com y RaízAsia.com, tienen relaciones de confianza transitiva con OfC-Raíz.com, que establece la confianza entre todos los árboles de dominios del bosque. Todos los dominios de Windows 2000 en todos los árboles de dominios de un bosque tienen las siguientes características:

Tienen relaciones de confianza transitiva entre los dominios de cada árbol. Tienen relaciones de confianza transitiva entre los árboles de dominios de un

bosque. Comparten información de configuración común. Comparten un esquema común. Comparten un catálogo global común.

Importante Es fácil agregar nuevos dominios a un bosque. Sin embargo, no puede mover dominios existentes de Active Directory de

Windows 2000 de un bosque a otro. Sólo puede quitar un dominio del bosque si no tiene dominios secundarios. Después de establecer un dominio raíz del árbol no puede agregar un dominio con un nombre nivel superior al bosque. No puede crear un dominio principal de uno ya existente; sólo puede crear uno secundario. La implementación de árboles de dominios y de bosques permite utilizar convenciones de nomenclatura tanto contiguas como no contiguas. Esta flexibilidad puede resultar útil, por ejemplo, en organizaciones con divisiones independientes cada una de las cuales desee mantener su propio nombre DNS, como Microsoft.com y MSNBC.com.

Relaciones de confianza

Una relación de confianza es una relación que se establece entre dos dominios y permite que un controlador del otro dominio reconozca los usuarios de un dominio. Las confianzas permiten que los usuarios tengan acceso a los recursos del otro dominio y también permite que los administradores controlen los derechos de los usuarios del otro dominio. Para los equipos que ejecutan Windows 2000, la autenticación de cuentas entre dominios se habilita mediante relaciones de confianza transitivas bidireccionales. Todas las confianzas de dominio en un bosque basado en Windows 2000 son bidireccionales y transitivas, definidas de la siguiente forma:

Bidireccional. Cuando crea un nuevo dominio secundario, éste confía automáticamente en el dominio principal y viceversa. En la práctica, esto significa que las solicitudes de autenticación pueden pasarse entre los dos dominios en ambas direcciones.

Transitiva. Una confianza transitiva va más allá de los dos dominios de la relación de confianza inicial. Funciona del siguiente modo: Si el dominio A y el dominio B (principal y secundario) confían el uno en el otro y si el dominio B y el dominio C (también principal y secundario) confían el uno en el otro, entonces el dominio A y el dominio C confían entre sí (implícitamente), incluso aunque no exista una relación de confianza directa entre ellos. En el nivel del bosque, se crea automáticamente una relación de confianza entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominios agregado al bosque, con lo que existe una confianza completa entre todos los dominios de un bosque de Active Directory. En la práctica, como las relaciones de confianza son transitivas, un proceso de inicio de sesión único permite que el sistema autentique a un usuario (o un equipo) en cualquier dominio del bosque. Este proceso de inicio de sesión único permite que la cuenta tenga acceso a los recursos de cualquier dominio del bosque.

Sin embargo, tenga en cuenta que el inicio de sesión único habilitado mediante confianzas no implica necesariamente que el usuario autenticado tenga derechos y permisos en todos los dominios del bosque. Además de las confianzas bidireccionales transitivas en todo el bosque generadas automáticamente en el sistema operativo Windows

2000, puede crear explícitamente los dos tipos siguientes de relaciones de confianza adicionales: No hay una conexión necesaria entre espacios de nombres de sitios y dominios.

No hay una correlación necesaria entre la estructura física de la red y su estructura de dominios. Sin embargo, en muchas organizaciones los dominios se configuran para reflejar la estructura física de la red. Esto se debe a que los dominios son particiones y este hecho influye en la replicación: al dividir el bosque en varios dominios más pequeños se puede reducir el tráfico de replicación.

Active Directory permite que aparezcan varios dominios en un único sitio y que un único dominio aparezca en varios sitios.

Cómo utiliza Active Directory la información de sitios

La información de sitios se especifica mediante Sitios y servicios de Active Directory; a continuación, Active Directory usa esta información para determinar cómo utilizar mejor los recursos de red disponibles. Usar sitios hace que los siguientes tipos de operaciones sean más eficaces:

Atender las solicitudes de los clientes. Cuando un cliente solicita un servicio de un controlador de dominio, éste dirige la solicitud a un controlador del mismo sitio, si hay alguno disponible. Seleccionar un controlador de dominio que esté bien conectado al cliente que realizó la solicitud hace que el tratamiento de la solicitud sea más eficaz. Por ejemplo, cuando un cliente inicia la sesión mediante una cuenta de dominio, el mecanismo de inicio de sesión busca primero controladores de dominio que se encuentren en el mismo sitio que el cliente. Si se intenta usar primero los controladores de dominio en el sitio del cliente se delimita el tráfico de red, con lo que se aumenta la eficacia del proceso de autenticación.

Replicar datos del directorio. Los sitios permiten la replicación de los datos del directorio tanto dentro como entre sitios. Active Directory replica la información dentro de un sitio con más frecuencia que entre sitios, lo que significa que los controladores de dominio mejor conectados, aquéllos que con más probabilidad de necesitan determinada información de directorio, reciben las réplicas en primer lugar. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menos frecuencia, con lo que se reduce el consumo del ancho de banda de la red. Replicar datos de Active Directory entre controladores de dominio proporciona disponibilidad de la información, tolerancia a errores, equilibrio de la carga y ventajas de rendimiento. (Para obtener una explicación de cómo implementa la replicación el sistema operativo Windows 2000, consulte la subsección "Replicación de múltiples maestros", al final de esta sección acerca de los sitios.)

Controladores de dominio, catálogos globales y datos replicados

La información almacenada en Active Directory en cada controlador de dominio (independientemente de si se trata de un servidor de catálogo global o no) se divide en tres categorías: datos de dominio,

esquema y configuración. Cada una de estas categorías es una partición independiente del directorio, denominada también un contexto de nombres. Estas particiones del directorio son las unidades de replicación. Las tres particiones del directorio que cada servidor de Active Directory contiene se definen a continuación:

Partición del directorio con datos de dominios. Contiene todos los objetos del directorio para este dominio. Los datos de cada dominio se replican a todos los controladores de dicho dominio, pero no salen de él.

Partición del directorio con datos del esquema. Contiene todos los tipos de objeto, y sus atributos, que se pueden crear en Active Directory. Estos datos son comunes a todos los dominios del árbol de dominios o del bosque. Los datos del esquema se replican en todos los controladores de dominio del bosque.

Partición del directorio con datos de configuración. Contiene la topología de replicación y los metadatos relacionados. Las aplicaciones compatibles con Active Directory almacenan la información en la partición del directorio de configuración. Estos datos son comunes a todos los dominios del árbol de dominios o del bosque. Los datos de configuración se replican en todos los controladores de dominio del bosque.

Si el controlador de dominio es un servidor de catálogo global, también contiene una cuarta categoría de información:

Réplica parcial de la partición del directorio con datos de dominios para todos los dominios. Además de almacenar y replicar un conjunto completo de todos los objetos del directorio para su propio dominio host, un servidor de catálogo global almacena y replica una réplica parcial de la partición del directorio de dominios para todos los demás dominios del bosque. Esta réplica parcial, por definición, contiene un subconjunto de las propiedades para todos los objetos de todos los dominios del bosque. (Una réplica parcial es de sólo lectura, mientras que una réplica completa es de lectura y escritura.)

Si un dominio contiene un catálogo global, otros controladores de dominio replican todos los objetos de dicho dominio (con un subconjunto de sus propiedades) en el catálogo global y, después, la replicación de réplicas parciales se efectúa entre catálogos globales. Si un dominio no tiene catálogo global, un controlador de dominio normal sirve de origen de la réplica parcial.

De forma predeterminada, el conjunto parcial de atributos almacenados en el catálogo global incluye los atributos que se utilizan con más frecuencia en las operaciones de búsqueda, ya que una de las funciones principales del catálogo global es ofrecer soporte a los clientes que consultan el directorio. El uso de catálogos globales para realizar la replicación parcial de dominios en lugar de efectuar la replicación completa reduce el tráfico de WAN.

Replicación dentro de un sitio

Si la red consta de una única red de área local (LAN) o un conjunto de LAN conectadas mediante una red troncal de alta velocidad, toda la red puede ser un único sitio. El primer controlador de dominio que instala crea automáticamente el primer sitio, denominado NombrePredeterminadoPrimerSitio. Después de instalar el primer controlador de dominio, todos los controladores adicionales se agregan automáticamente al mismo sitio que el controlador de dominio original. (Más adelante, si lo desea, puede moverlos a otros sitios.) La única excepción es la siguiente: Si en el momento de instalar un controlador de dominio su dirección IP está dentro de la subred especificada anteriormente en un sitio alternativo, el controlador de dominio se agregará a este sitio. La información de directorio dentro de un sitio se replica con frecuencia y automáticamente. La replicación dentro del sitio está optimizada para reducir al mínimo la latencia, es decir, para mantener los datos lo más actualizados posible. Las actualizaciones de directorio dentro del sitio no se comprimen. Los intercambios sin comprimir utilizan más recursos de red pero requieren menos capacidad de procesamiento de los controladores de dominio. En la figura 9 se ilustra la replicación dentro de un sitio. Tres controladores de dominio (uno de los cuales es un catálogo global) replican los datos de esquema y de configuración del bosque, así como todos los objetos del directorio (con un conjunto completo de los atributos de cada objeto).

Figura 9. Replicación dentro del sitio con un único dominio El servicio Comprobador de coherencia de réplica (KCC) de Active Directory genera automáticamente la configuración que forman las conexiones utilizadas para replicar la información de directorio entre los controladores de dominio, denominada topología de replicación. La topología de sitios de Active Directory es una representación lógica de una red física y se define para cada bosque. Active Directory

intenta establecer una topología que permita al menos dos conexiones a cada controlador de dominio, de modo que si un controlador no está disponible, la información del directorio pueda seguir llegando a todos los controladores de dominio conectados a través de la otra conexión. Active Directory evalúa y ajusta automáticamente la topología de replicación para adaptarse al estado cambiante de la red. Por ejemplo, cuando se agrega un controlador de dominio a un sitio, la topología de replicación se ajusta para incorporar esta adición de una forma eficaz. Los clientes y servidores de Active Directory usan la topología de sitios del bosque para enrutar el tráfico de consultas y replicación de forma eficaz. Si amplía la distribución desde el primer controlador de dominio en un dominio a varios controladores en varios dominios (dentro de un único sitio), la información de directorio que se replica cambia para incluir la replicación de la réplica parcial entre los catálogos globales en dominios diferentes. En la figura 10 se muestran dos dominios, cada uno de los cuales contiene tres controladores de dominio. Uno de los controladores de cada sitio también es un servidor de catálogo global. Dentro de cada dominio, los controladores de dominio replican los datos de esquema y de configuración del bosque, así como todos los objetos del directorio (con un conjunto completo de los atributos de cada objeto), tal como se muestra en la figura 9. Además, cada catálogo global replica los objetos del directorio (sólo con un subconjunto de sus atributos) de su propio dominio al otro catálogo global. Figura 10. Replicación dentro del sitio con dos dominios y dos catálogos globales

Replicación entre sitios

Cree varios sitios para optimizar el tráfico de servidor a servidor y de cliente a servidor a través de vínculos WAN. En el sistema operativo Windows 2000, la replicación entre sitios reduce automáticamente el consumo de ancho de banda entre sitios. Se recomienda tener en cuenta lo siguiente al configurar varios sitios:

Geografía. Establezca como un sitio cada área geográfica que requiera acceso rápido a la información de directorio más reciente. Al establecer como sitios independientes áreas que requieren acceso inmediato a la información actualizada de Active Directory se proporcionan los recursos necesarios para satisfacer las necesidades de los usuarios.

Controladores de dominio y catálogos globales. Coloque al menos un controlador de dominio en cada sitio y convierta al menos un controlador de dominio de cada sitio en un catálogo global. Los sitios que no tienen sus propios controladores de dominio y al menos un catálogo global dependen de otros sitos para obtener la información del directorio y son menos eficaces.

Cómo se conectan los sitios

Las conexiones de red entre los sitios se representan mediante vínculos a sitios. Un vínculo a sitios es una conexión de ancho de banda bajo o no confiable entre dos o varios sitios. Una WAN que conecta dos redes rápidas es un ejemplo de un vínculo a sitios. En general, se considera que dos redes cualesquiera unidas por un vínculo que es más lento que una red de área local están conectadas por un vínculo a sitios. Además, un vínculo rápido que está casi al límite de su capacidad tiene poco ancho de banda eficaz y se considera también un vínculo a sitios. Cuando hay varios sitios, los que están conectados mediante vínculos a sitios forman parte de la topología de replicación. En una red basada en Windows 2000, los vínculos a sitios no se generan automáticamente; debe crearlos mediante Sitios y servicios de Active Directory. Al crear los vínculos a sitios y configurar su disponibilidad de replicación, costo relativo y frecuencia de replicación, se proporciona información a Active Directory acerca de qué objetos de conexión debe crear para replicar los datos de directorio. Active Directory utiliza vínculos a sitios como indicadores de que debe crear objetos de conexión y éstos utilizan las conexiones de red reales para intercambiar información de directorio. Un vínculo a sitios tiene una programación asociada que indica a qué horas del día está disponible el vínculo para llevar tráfico de replicación. De forma predeterminada, los vínculos a sitios son transitivos, lo que significa que un controlador de dominio de un sitio puede efectuar conexiones de replicación con los controladores de dominio de cualquier otro sitio. Es decir, si el sitio A está conectado al sitio B y éste lo está al sitio C, los controladores de dominio del sitio A pueden comunicarse con los controladores del sitio C. Cuando cree un sitio, quizás desee crear vínculos adicionales para habilitar conexiones específicas entre sitios y personalizar los vínculos existentes que conectan los sitios. En la figura 11 se muestran dos sitios conectados mediante un vínculo a sitios. De los seis controladores de dominio de la ilustración, dos son servidores cabeza de puente (el sistema asigna automáticamente esta función). Figura 11. Dos sitios conectados mediante un vínculo a sitios. El servidor cabeza de puente preferido de cada sitio se utiliza principalmente para el intercambio de información entre sitios. Los servidores cabeza de puente son los preferidos para la replicación, pero también puede configurar los demás controladores de dominio del sitio para replicar los cambios del directorio entre sitios. Una vez replicadas las actualizaciones de un sitio al servidor cabeza de puente del otro sitio, éstas se replican a otros controladores de dominio del mismo sitio mediante la replicación dentro del sitio. Aunque un único controlador de dominio recibe la actualización inicial de directorio entre sitios, todos los controladores de dominio atienden las solicitudes de los clientes.

Protocolos de replicación

La información de directorio puede intercambiarse mediante los siguientes protocolos de red:

Replicación IP. La replicación IP utiliza llamadas a procedimiento remoto (RPC) para la replicación dentro de un sitio y a través de vínculos a sitios (entre sitios). De forma predeterminada, la replicación IP entre sitios se ajusta a las programaciones de replicación. La replicación IP no requiere una entidad emisora de certificados (CA).

Replicación SMTP. Si tiene un sitio que no dispone de conexión física con el resto de la red pero al que se puede llegar a través del Protocolo simple de transferencia de correo (SMTP), dicho sitio sólo tiene conectividad basada en correo. La replicación SMTP sólo se utiliza para la replicación entre sitios. No puede utilizar la replicación SMTP para replicar entre controladores de dominio del mismo dominio; sólo se admite la replicación entre dominios a través de SMTP (es decir, SMTP sólo puede utilizarse para la replicación entre sitios y entre dominios). La replicación SMTP sólo puede utilizarse para la replicación de réplicas parciales del esquema, la configuración y el catálogo global. La replicación SMTP tiene en cuenta la programación de replicación generada automáticamente.

Si decide utilizar SMTP a través de vínculos a sitios, debe instalar y configurar una entidad emisora de certificados (CA) de empresa. Los controladores de dominio obtienen certificados de la entidad emisora y los utilizan para firmar y cifrar los mensajes de correo que contienen la información de replicación de directorio, con lo que se asegura la autenticidad de las actualizaciones. La replicación SMTP usa cifrado de 56 bits.

Replicación de múltiples maestros

Los controladores de dominio de Active Directory admiten la replicación de múltiples maestros, con lo que se sincronizan los datos en cada controlador y se asegura la coherencia de la información con el paso del tiempo. La replicación de múltiples maestros replica la información de Active Directory entre controladores de dominio homólogos, cada uno de los cuales contiene una copia de lectura y escritura del directorio. Esto representa un cambio con relación al sistema operativo Windows NT Server, en el que sólo el PDC tenía una copia de lectura y escritura del directorio (los BDC recibían copias de sólo lectura del PDC). Una vez configurada, la replicación es automática y transparente.

Propagación de actualizaciones y números de secuencia de actualización

Algunos servicios de directorio utilizan marcas temporales para detectar y propagar los cambios. En estos sistemas es esencial mantener sincronizados los relojes de todos los servidores de

directorio. La sincronización temporal de una red es muy difícil. Incluso con una sincronización temporal de la red excelente, es posible que la hora de un servidor de directorio dado sea incorrecta. Esto puede dar como resultado la pérdida de actualizaciones. El sistema de replicación de Active Directory no depende de la hora para propagar las actualizaciones. En su lugar, utiliza Números de secuencia de actualización (USN). Un USN es un número de 64 bits que mantiene cada controlador de dominio de Active Directory para realizar un seguimiento de las actualizaciones. Cuando el servidor escribe en un atributo o en una propiedad de un objeto de Active Directory (incluida la modificación de origen o una modificación replicada), se incrementa el USN y se almacena con la propiedad actualizada y con una propiedad que es específica del controlador de dominio. Esta operación se realiza de manera atómica; es decir, el incremento y almacenamiento del USN y la escritura del valor de la propiedad se realizan correctamente o fracasan como una unidad. Cada servidor de Active Directory también mantiene una tabla de los USN recibidos de los asociados de replicación. En esta tabla se almacena el mayor USN recibido de cada asociado. Cuando un asociado dado notifica al servidor de directorio que es necesario hacer una replicación, ese servidor pide todos los cambios cuyos USN sean mayores que el último valor recibido. Este enfoque simple no depende de la precisión de las marcas de tiempo. Puesto que el USN almacenado en la tabla se actualiza de forma atómica con cada actualización recibida, si se produce un error en un servidor también es sencillo recuperarlo. Para reiniciar la replicación, un servidor únicamente debe pedir a sus asociados todos los cambios cuyos USN sean mayores que la última entrada válida de la tabla. Como la tabla se actualiza de forma atómica a medida que se aplican los cambios, un ciclo de replicación interrumpido siempre se reiniciará exactamente donde se detuvo, sin que haya pérdida ni duplicación de actualizaciones.

Detección de colisiones y números de versión de propiedad

En un sistema de replicación de múltiples maestros como Active Directory, es posible que dos o más réplicas diferentes actualicen la misma propiedad. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) réplica antes de que se haya propagado totalmente un cambio de la primera réplica, se produce una colisión de replicación. Las colisiones se detectan mediante los números de versión de propiedad. A diferencia de los USN, que son valores específicos del servidor, los números de versión de propiedad son específicos de la propiedad de un objeto de Active Directory. Cuando se escribe por primera vez una propiedad en un objeto de Active Directory, se inicializa su número de versión. Las modificaciones de origen incrementan el número de versión de propiedad. Las modificaciones de origen son modificaciones de una propiedad del sistema que producen un cambio. Las modificaciones de propiedades producidas por una replicación no son modificaciones

de origen y no incrementan el número de versión. Por ejemplo, cuando un usuario actualiza su clave de acceso se produce una modificación de origen y se incrementa el número de versión de propiedad de la clave de acceso. Replicar la modificación de la clave de acceso en otros servidores no hace que se incremente el número de versión de propiedad. Se detecta una colisión cuando se recibe un cambio a través de una replicación cuyo número de versión de propiedad es igual al número de versión de propiedad almacenado localmente, y los valores recibido y almacenado son diferentes. Cuando esto ocurre, el sistema receptor aplicará la actualización que tenga la marca de tiempo posterior. Esta es la única situación en la que se utiliza la hora en la replicación. Cuando el número de versión de propiedad recibido es inferior al almacenado localmente, se considera que la actualización está anticuada y se descarta. Cuando el número de versión de propiedad recibido es superior al almacenado localmente, se acepta la actualización.

Disminución de la propagación

El sistema de replicación de Active Directory permite realizar bucles en la topología de replicación. Esto permite al administrador configurar una topología de replicación con múltiples rutas entre los servidores para conseguir un mejor rendimiento y disponibilidad. El sistema de replicación de Active Directory se encarga de disminuir la propagación para evitar que los cambios se propaguen indefinidamente y para eliminar la transmisión redundante de cambios a réplicas que ya están actualizadas. El sistema de replicación de Active Directory utiliza vectores de actualización para disminuir la propagación. El vector de actualización es una lista de pares de servidor y USN que cada servidor mantiene. El vector de actualización de cada servidor indica el mayor USN de las modificaciones de origen recibidas de los servidores en el par servidor–USN. Un vector de actualización para un servidor de un sitio determinado enumera todos los demás servidores de ese sitio15. Cuando se inicia un ciclo de replicación, el servidor solicitante envía su vector de actualización al servidor remitente. El servidor remitente utiliza el vector de actualización para filtrar los cambios enviados al servidor solicitante. Si el mayor USN de una modificación de origen dada es mayor o igual al USN de una modificación de origen para una actualización determinada, el servidor remitente no necesita enviar el cambio; el servidor solicitante ya está actualizado con respecto al de origen.

Usar delegación y Política de grupo con unidades organizativas, dominios y sitios

Puede delegar los permisos administrativos y asociar Política de grupo con los siguientes contenedores de Active Directory:

Unidades organizativas Dominios Sitios

Una unidad organizativa es el menor contenedor de Windows 2000 al que puede delegar autoridad o aplicar Política de grupo16. Tanto la delegación como Política de grupo son características de seguridad del sistema operativo Windows 2000. En este documento se describen brevemente en el contexto limitado de la arquitectura para mostrar que la estructura de Active Directory determina la forma de usar la delegación de contenedores y Política de grupo. Asignar la autoridad administrativa sobre unidades organizativas, dominios o sitios permite delegar la administración de usuarios y recursos. Asignar objetos de política de grupo (GPO) a cualquiera de estos tres tipos de contenedores permite definir configuraciones de escritorio y políticas de seguridad para los usuarios y los equipos del contenedor. En las dos subsecciones siguientes se describen estos temas con más detalle.

Delegación de contenedores

En el sistema operativo Windows 2000, la delegación permite que una autoridad administrativa superior conceda derechos administrativos específicos a unidades organizativas, dominios o sitios a grupos (o usuarios). De esta forma se reduce considerablemente el número de administradores necesarios con la autoridad buscada en grandes segmentos de usuarios. Delegar el control de un contenedor permite especificar quién dispone de permisos para tener acceso o modificar dicho objeto o sus objetos secundarios. La delegación es una de las características de seguridad más importantes de Active Directory.

Delegación de dominios y unidades organizativas

En el sistema operativo Windows NT 4.0, los administradores a veces delegan la administración mediante la creación de varios dominios con el fin de tener conjuntos distintos de administradores de dominio. En el sistema operativo Windows 2000, las unidades organizativas son más sencillas de crear, eliminar, mover y modificar que los dominios y, por tanto, son más adecuadas para la función de delegación. Para delegar la autoridad administrativa (distinta de la autoridad sobre sitios, que se trata más adelante), se concede a un grupo derechos específicos sobre un dominio o unidad organizativa mediante la modificación de la lista de control de acceso discrecional (DACL)17 del contenedor. De forma predeterminada, los miembros del grupo de seguridad Administradores del dominio tienen autoridad sobre todo el dominio, pero puede restringir la pertenencia a este

grupo a un número limitado de administradores de confianza. Para establecer administradores con menor ámbito, puede delegar la autoridad al nivel más bajo de la organización; para ello, cree un árbol de unidades organizativas dentro de cada dominio y delegue la autoridad a partes del subárbol de unidades organizativas. Los administradores de dominio tienen un control total sobre cada objeto de su dominio. Sin embargo, no tienen derechos administrativos sobre los objetos de otros dominios18. Para delegar la administración de un dominio o una unidad organizativa se utiliza el Asistente para delegación de control, que está disponible en el complemento Usuarios y equipos de Active Directory. Haga clic con el botón secundario del mouse (ratón) en el dominio o en la unidad organizativa, seleccione Delegar control, agregue los grupos (o usuarios) a los que desee delegar el control y, a continuación, delegue las tareas comunes enumeradas o cree una tarea personalizada para delegar. En la tabla siguiente se enumeran las tareas comunes que puede delegar. Tareas comunes de dominio que puede delegar

Tareas comunes de unidades organizativas que puede delegar

· Unir un equipo a un dominio· Administrar vínculos de Política de grupo

· Crear, eliminar y administrar cuentas de usuario· Restablecer claves de acceso de cuentas de usuario· Leer toda la información de usuario· Crear, eliminar y administrar grupos· Modificar la pertenencia a un grupo· Administrar impresoras· Crear y eliminar impresoras· Administrar vínculos de Política de grupo

Mediante una combinación de unidades organizativas, grupos y permisos, es posible definir el ámbito administrativo más apropiado para un grupo determinado: un dominio entero, un subárbol de unidades organizativas o una única unidad organizativa. Por ejemplo, puede crear una unidad organizativa que le permita conceder control administrativo para todas las cuentas de usuarios y equipos en todas las divisiones de un departamento, como el departamento de contabilidad. Por otra parte, puede conceder control administrativo sólo a algunos recursos dentro del departamento, como las cuentas de equipo. Un tercer ejemplo es conceder control administrativo a la unidad organizativa de contabilidad, pero no a ninguna unidad organizativa contenida dentro de ella. Puesto que las unidades organizativas se utilizan para la delegación administrativa y no son principales de seguridad por sí mismas, la unidad organizativa principal de un objeto de usuario indica quién administra el objeto de usuario. No indica a qué recursos puede tener acceso dicho usuario.

Delegación de sitios

Sitios y servicios de Active Directory se utiliza para delegar el control de sitios, contenedores de servidor, transportes entre sitios (IP o SMTP) o subredes. Delegar el control de una de estas entidades ofrece al administrador delegado la capacidad de manipular dicha entidad, pero no de administrar los usuarios o los equipos que se encuentran en ella. Por ejemplo, cuando delega el control de un sitio puede elegir entre delegar el control de todos los objetos o delegar el control de uno o varios objetos que se encuentran en dicho sitio. Los objetos para los que puede delegar el control son: usuarios, equipos, grupos, impresoras, unidades organizativas, carpetas compartidas, sitios, vínculos a sitios, puentes de vínculos a sitios, etc. A continuación, se le pedirá que seleccione el ámbito de los permisos que desea delegar (general, específico de propiedades o simplemente la creación o eliminación de determinados objetos secundarios). Si especifica general, se le pedirá que conceda uno o varios de los permisos siguientes: Control total, Lectura, Escritura, Crear todos los objeto secundarios, Eliminar todos los objetos secundarios, Leer todas las propiedades o Escribir todas las propiedades.

Política de grupo

En Windows NT 4.0 se utiliza el Editor de políticas del sistema para definir las configuraciones de usuarios, grupos y equipos almacenadas en la base de datos del Registro de Windows NT. En el sistema operativo Windows 2000, Política de grupo define más componentes en el entorno del usuario que los administradores pueden controlar. Estos componentes incluyen opciones para las políticas basadas en el Registro, opciones de seguridad, opciones de distribución de software, secuencias de comandos (para iniciar y apagar el equipo, y para el inicio y cierre de sesión de usuarios) y la redirección de carpetas especiales19. El sistema aplica los valores de configuración de Política de grupo a los equipos durante el inicio o a los usuarios cuando inician la sesión. Los valores de Política de grupo se aplican a los usuarios o equipos en sitios, dominios y unidades organizativas mediante la vinculación del GPO al contenedor de Active Directory donde residen los usuarios o los equipos. De forma predeterminada, Política de grupo afecta a todos los usuarios y equipos del contenedor vinculado. La pertenencia a grupos de seguridad se utiliza para filtrar los GPO que afectan a los usuarios y equipos de una unidad organizativa, un dominio o un sitio. Esto permite aplicar la política en un nivel más granular; es decir, el uso de grupos de seguridad permite aplicar la política a grupos específicos de objetos de un contenedor. Para filtrar la política de grupo de esta forma se utiliza la ficha Seguridad en la página Propiedades de un GPO para controlar quién puede leerlo. A los usuarios que no tengan Aplicar política de grupo y Leer establecidos a Permitir como miembros de un grupo de seguridad no se les aplicará dicho GPO. Sin

embargo, puesto que los usuarios normales tienen estos permisos de forma predeterminada, Política de grupo afecta a todos los usuarios y equipos del contenedor vinculado a menos que cambie estos permisos explícitamente. La ubicación de un grupo de seguridad en Active Directory no tiene importancia para Política de grupo. Para el contenedor específico al que se aplica el GPO, los valores del GPO determinan lo siguiente:

Qué recursos del dominio (como las aplicaciones) están disponibles para los usuarios.

Cómo está configurado el uso de estos recursos del dominio.

Por ejemplo, un GPO puede determinar qué aplicaciones tienen disponibles los usuarios en su equipo cuando inician la sesión, cuántos usuarios pueden conectarse a Microsoft SQL Server cuando se inicie en un servidor o a qué servicios tienen acceso los usuarios cuando se mueven a otros departamentos o grupos. Política de grupo permite administrar un número pequeño de GPO en lugar de un gran número de usuarios y equipos. Los sitios, los dominios y las unidades organizativas, a diferencia de los grupos de seguridad, no confieren la pertenencia. En su lugar, contienen y organizan objetos del directorio. Utilice los grupos de seguridad para conceder derechos y permisos a los usuarios y, a continuación, utilice los tres tipos de contenedores de Active Directory para alojar los usuarios y los equipos, y para asignar valores de Política de grupo. Como el acceso a los recursos se concede mediante grupos de seguridad, verá que es más eficaz utilizar grupos de seguridad para representar la estructura organizativa de su empresa que usar dominios o unidades organizativas para reflejar la estructura de la organización. De forma predeterminada, los contenedores secundarios heredan los valores de la política que afectan a todo el dominio o que se aplican a una unidad organizativa que contiene otras unidades organizativas, a menos que el administrador especifique explícitamente que la herencia no se aplica a uno o varios contenedores secundarios.

Delegar el control de Política de grupo

Los administradores de la red (miembros del grupo Administradores de empresa o Administradores del dominio) pueden utilizar la ficha Seguridad de la página Propiedades del GPO para averiguar qué grupos de administradores pueden modificar los valores de la política en los GPO. Para ello, un administrador de la red define primero los grupos de administradores (por ejemplo, administradores de mercadotecnia) y, a continuación, les proporciona acceso de lectura y escritura a los GPO seleccionados. Tener control total de un GPO no permite a un administrador vincularlo a un sitio, dominio o unidad organizativa. Sin embargo, los administradores de la red también pueden conceder esta posibilidad mediante el Asistente para delegación de control.

En el sistema operativo Windows 2000 puede delegar independientemente las tres tareas siguientes de Política de grupo:

Administrar los vínculos de Política de grupo de un sitio, un dominio o una unidad organizativa.

Crear objetos de Política de grupo. Modificar los objetos de Política de grupo.

Política de grupo, al igual que la mayoría de las demás herramientas administrativas de Windows 2000, se encuentra en las consolas de MMC. Por tanto, los derechos para crear, configurar y utilizar consolas de MMC tienen implicaciones sobre la política. Puede controlar estos derechos mediante Política de grupo en <Nombre de objeto de política de grupo>/Configuración de usuario/Plantillas

administrativas/Componentes de Windows/Microsoft Management Console/

y sus subcarpetas. En la tabla 4 se enumeran los valores de los permisos de seguridad para un objeto de política de grupo. Tabla 4. Valores de permisos de seguridad para un GPO Grupos (o usuarios) Permiso de seguridad

Usuario autenticadoLectura con ACE Aplicar Política de grupo

Administradores de dominioAdministradores de empresaCreador propietario del sistema local

Control total sin ACE Aplicar Política de grupo

Nota De forma predeterminada, los administradores también son usuarios autenticados, lo que significa que tienen configurado el atributo Aplicar Política de grupo. Para obtener más información acerca de Política de grupo, consulte la sección "Para obtener más información" al final de este documento.

Interoperabilidad Muchas organizaciones dependen de un conjunto variado de tecnologías que deben funcionar conjuntamente. Active Directory admite una serie de estándares para garantizar la interoperabilidad del entorno Windows 2000 con otros productos de Microsoft y una amplia variedad de productos de otros proveedores. En esta sección se describen los siguientes tipos de interoperabilidad admitidos por Active Directory:

Protocolo LDAP. Interfaces de programación de aplicaciones. Sincronizar Active Directory con otros servicios de directorio. Función de contenedores virtuales y ajenos en interoperabilidad. Función Kerberos en interoperabilidad.

Compatibilidad con el sistema operativo Windows NT.

Protocolo compacto de acceso a directorios

El Protocolo compacto de acceso a directorios (LDAP) es el estándar para el acceso a directorios. Internet Engineering Task Force (IETF) desea convertir LDAP en el estándar de Internet.

Active Directory y LDAP

LDAP es el principal protocolo de acceso a directorios que se utiliza para agregar, modificar y eliminar información almacenada en Active Directory, así como para consultar y recuperar datos de Active Directory. El sistema operativo Windows 2000 admite las versiones 2 y 3 de LDAP20. LDAP define cómo un cliente de directorio puede tener acceso a un servidor de directorio y cómo el cliente puede realizar operaciones y compartir datos del directorio. Es decir, los clientes de Active Directory deben utilizar LDAP para obtener o mantener la información en Active Directory. Active Directory utiliza LDAP para permitir la interoperabilidad con otras aplicaciones cliente compatibles con LDAP. Con el permiso adecuado, puede utilizar cualquier aplicación cliente compatible con LDAP para examinar, consultar, agregar, modificar o eliminar información en Active Directory.

Interfaces de programación de aplicaciones

Puede utilizar las siguientes interfaces de programación de aplicaciones (API) para tener acceso a la información de Active Directory:

Interfaz de servicio de Active Directory (ADSI). API C de LDAP.

Estas API se describen en las dos subsecciones siguientes.

Interfaz de servicio de Active Directory

La Interfaz de servicio de Active Directory (ADSI) permite el acceso a Active Directory mediante la exposición de objetos almacenados en el directorio como objetos del Modelo de objetos componentes (COM). Un objeto de directorio se manipula mediante los métodos disponibles en una o varias interfaces COM. ADSI tiene una arquitectura de proveedor que permite que COM tenga acceso a diferentes tipos de directorios para los que existe un proveedor.

Actualmente, Microsoft suministra proveedores ADSI para Servicios de directorio de Novell NetWare (NDS) y NetWare 3, Windows NT, LDAP y la metabase de Servicios de Internet Information Server (IIS). (La metabase de IIS contiene los valores de configuración de IIS.) El proveedor LDAP puede utilizarse con cualquier directorio LDAP, incluido Active Directory, Microsoft Exchange 5.5 o Netscape. Puede utilizar ADSI desde muchas herramientas, que van desde aplicaciones de Microsoft Office hasta C/C++. ADSI es extensible, con lo que puede agregar funcionalidad a un objeto ADSI para admitir propiedades y métodos nuevos. Por ejemplo, puede agregar un método al objeto de usuario que crea un buzón de Exchange para un usuario cuando se invoque el método. ADSI tiene un modelo de programación muy sencillo. Simplifica la carga de administración de datos que es característica de las interfaces que no son COM, como las API C de LDAP. Como ADSI puede utilizarse en secuencias de comandos, resulta fácil desarrollar aplicaciones Web completas. ADSI admite ActiveX® Data Objects (ADO) y la base de datos de vinculación e incrustación de objetos (OLE DB) para realizar consultas. Los programadores y los administradores pueden agregar objetos y atributos a Active Directory mediante la creación de secuencias de comandos basadas en ADSI (así como secuencias de comandos basadas en LDIFDE, que se describe más adelante en este documento).

API C de LDAP

La API C de LDAP, definida en el estándar de Internet RFC 1823, es un conjunto de API de bajo nivel del lenguaje C para el protocolo LDAP. Microsoft admite las API C de LDAP en todas las plataformas Windows. Los programadores pueden escribir aplicaciones compatibles con Active Directory mediante las API C de LDAP o ADSI. Las API C de LDAP son las que suelen utilizarse para facilitar el transporte de las aplicaciones de directorio a la plataforma Windows. Por otra parte, ADSI es un lenguaje más eficaz y más adecuado para los programadores que escriben código de directorio en la plataforma Windows.

Sincronizar Active Directory con otros servicios de directorio

Microsoft proporciona servicios de sincronización de directorios que permiten sincronizar la información de Active Directory con Microsoft Exchange 5.5, Novell NDS y NetWare, Lotus Notes y GroupWise. Además, las utilidades de la línea de comandos permiten importar y exportar información de directorio desde otros servicios de directorio.

Active Directory y Microsoft Exchange

El sistema operativo Windows 2000 contiene un servicio denominado Active Directory Connector que ofrece sincronización bidireccional con Microsoft Exchange 5.5. Active Directory Connector proporciona una asignación rica de objetos y atributos cuando sincroniza los datos entre los dos directorios. Para obtener más información acerca de Active Directory Connector, consulte la sección "Para obtener más información" al final de este documento.

Active Directory y Novell NDS y NetWare

Como parte de Servicios para NetWare 5.0, Microsoft pretende distribuir un servicio de sincronización de directorios que efectúe la sincronización bidireccional con Novell NDS y NetWare.

Active Directory y Lotus Notes

Como parte de Platinum, el nombre en código de la próxima versión de Microsoft Exchange, Microsoft va a incluir un servicio de sincronización de directorios que efectúe la sincronización bidireccional con Lotus Notes para sincronizar el correo electrónico y otros atributos comunes.

Active Directory y GroupWise

Como parte de Platinum, el nombre en código de la próxima versión de Microsoft Exchange, Microsoft va a incluir un servicio de sincronización de directorios que efectúe la sincronización bidireccional con GroupWise para sincronizar el correo electrónico y otros atributos comunes.

Active Directory y LDIFDE

El sistema operativo Windows 2000 proporciona la utilidad de línea de comandos Formato de intercambio de datos LDAP (LDIFDE) para permitir la importación y exportación de información de directorio. Formato de intercambio de datos LDAP (LDIF) es un borrador de Internet que es un estándar en el que se define el formato de archivo utilizado para intercambiar información de directorio. La utilidad de Windows 2000 que admite importar y exportar al directorio mediante LDIF se denomina LDIFDE. LDIFDE permite exportar información de Active Directory en formato LDIF, de forma que se pueda importar posteriormente a otro directorio. También puede utilizar LDIFDE para importar información desde otro directorio. Puede emplear LDIFDE para realizar operaciones por lotes, como agregar, eliminar, cambiar el nombre o modificar. También puede llenar Active Directory con información obtenida de otros orígenes, como otros servicios de directorio. Además, puesto que el esquema de Active Directory se almacena en el propio directorio, puede utilizar LDIFDE para realizar una copia de seguridad o ampliar el esquema.

Para obtener una lista de los parámetros de LDIFDE y su función, consulte la Ayuda de Windows 2000. Para obtener información acerca de cómo utilizar LDIFDE en operaciones por lotes con Active Directory, consulte la sección "Para obtener más información" al final de este documento.

Referencias internas y externas

Un administrador puede crear un objeto de referencia cruzada que señale a un servidor de un directorio externo al bosque. Cuando un usuario busca en un subárbol que contiene este objeto de referencia cruzada, Active Directory devuelve una referencia a dicho servidor como parte del conjunto de resultados y el cliente LDAP sigue la referencia para obtener los datos solicitados por el usuario. Dichas referencias son objetos contenedores de Active Directory que hacen referencia a un directorio externo al bosque. La diferencia estriba en que una referencia interna se refiere a un directorio externo que aparece en el espacio de nombres de Active Directory como secundario de un objeto existente de Active Directory, mientras que una referencia externa se refiere a un directorio externo que no aparece en el espacio de nombres de Active Directory como secundario. Para las referencias internas y externas, Active Directory contiene el nombre DNS de un servidor que tiene una copia del directorio externo y el nombre completo de la raíz del mismo en la que empiezan las operaciones de búsqueda en el directorio externo.

Función Kerberos en interoperabilidad

. El sistema operativo Windows 2000 admite varias configuraciones para la interoperabilidad multiplataforma:

Clientes. Un controlador de dominio de Windows 2000 puede proporcionar autenticación para los sistemas cliente que ejecuten implementaciones de Kerberos RFC-1510, incluidos los clientes que ejecuten un sistema operativo distinto de Windows 2000. Las cuentas de usuarios y equipos de Windows 2000 pueden utilizarse como principales de Kerberos para servicios de Unix.

Clientes y servicios Unix. En un dominio de Windows 2000, los clientes y servicios Unix pueden tener cuentas de Active Directory y, por tanto, pueden obtener la autenticación de un controlador de dominio. En este escenario, un principal de Kerberos se asigna a una cuenta de usuario o equipo de Windows 2000.

Aplicaciones y sistemas operativos. Las aplicaciones cliente para Win32® y los sistemas operativos distintos de Windows 2000 que se basan en la Interfaz de programación de aplicaciones de servicios de seguridad generales (API GSS) pueden obtener vales de sesión para los servicios dentro de un dominio de Windows 2000.

En un entorno que ya utiliza un territorio Kerberos, el sistema operativo Windows 2000 admite interoperabilidad con los servicios Kerberos:

Territorio Kerberos. Los sistemas basados en Windows 2000 Professional pueden autenticar un servidor Kerberos RFC-1510 dentro de un territorio con un inicio de sesión único en el servidor y una cuenta local de Windows 2000 Professional.

Relaciones de confianza con territorios Kerberos. Se puede establecer una relación de confianza entre un dominio y un territorio Kerberos. Esto significa que un cliente de un territorio Kerberos puede autenticarse en un dominio de Active Directory para tener acceso a los recursos de red de dicho dominio.

Compatibilidad con el sistema operativo Windows NT

Un tipo especial de interoperabilidad consiste en mantener la compatibilidad con versiones anteriores del sistema operativo actual. De forma predeterminada, el sistema operativo Windows 2000 se instala en una configuración de red de modo mixto. Un dominio de modo mixto es un conjunto de equipos en red que ejecutan controladores de dominio de Windows NT y Windows 2000. Puesto que Active Directory admite el modo mixto, puede actualizar los dominios y los equipos a la velocidad que desee, dependiendo de las necesidades de la organización. Active Directory admite el protocolo de autenticación LAN Manager de Windows NT (NTLM) utilizado por el sistema operativo Windows NT, lo que significa que los usuarios y equipos de Windows NT autorizados pueden iniciar la sesión y tener acceso a los recursos de un dominio de Windows 2000. Para los clientes de Windows NT y los clientes de Windows 95 o 98 que no ejecuten software cliente de Active Directory, un dominio de Windows 2000 aparece como un dominio de Windows NT Server 4.0.

Resumen Entre las muchas mejoras que ofrece el sistema operativo Windows 2000 Server, la más importante es la presentación del servicio de directorio Active Directory. Active Directory ayuda a centralizar y simplificar la administración de la red y, de este modo, mejora la capacidad de la red para respaldar los objetivos de la organización. Active Directory almacena información acerca de los objetos de la red y pone esta información a disposición de los administradores, los usuarios y las aplicaciones. Se trata de un espacio de nombres integrado con el Sistema de nombres de dominio (DNS) de Internet y, al mismo tiempo, es el software que define un servidor como controlador de dominio. Los dominios, los árboles, los bosques, las relaciones de confianza, las unidades organizativas y los sitios se utilizan para estructurar la red

de Active Directory y sus objetos. Puede delegar la responsabilidad administrativa de las unidades organizativas, dominios o sitios a los usuarios o grupos adecuados y puede asignar valores de configuración a estos tres mismos contenedores de Active Directory. Esta estructura permite que los administradores controlen la red de modo que los usuarios puedan concentrarse en alcanzar sus objetivos empresariales. Actualmente, la norma es que las organizaciones dependan de tecnologías diversas que necesitan funcionar conjuntamente. Active Directory se ha creado a partir de protocolos estándar de acceso a directorios, lo cual, junto con varias API, permite que Active Directory interopere con otros servicios de directorio y una amplia variedad de aplicaciones de terceros. Además, Active Directory puede sincronizar datos con Microsoft Exchange y proporciona utilidades de la línea de comandos para importar y exportar datos a y desde otros servicios de directorio.

Para obtener más información

Para obtener la información más reciente acerca del sistema operativo Windows 2000, consulte Microsoft TechNet o el sitio Web de Microsoft Windows 2000 Server (http://www.microsoft.com/latam/windows2000/2/producto/servidor/resumen/), el foro de Windows NT Server en MSN™ y el servicio en línea The Microsoft Network (GO WORD: MSNTS). Además, puede consultar los vínculos siguientes para obtener más información:

Ayuda del producto Windows 2000 (http://windows.microsoft.com/windows2000/en/server/help/): cómo obtener un Id. de objeto de esquema (OID).

Kit de desarrollo de software de la plataforma Windows 2000 (http://msdn.microsoft.com/developer/sdk/Platform.asp): cómo utilizar ADSI para ampliar el esquema mediante programa.

"Notas del producto " Introducción a Política de grupo de Windows 2000" (http://www.microsoft.com/windows/server/Technical/management/GroupPolicyIntro.asp): Detalles de Política de grupo de Windows 2000.

Ayuda del producto Windows 2000 (http://www.microsoft.com/windows2000/en/server/help/) para Active Directory Connector: cómo sincroniza Active Directory Connector los datos entre Active Directory y Microsoft Exchange.

Novedades técnicas de Beta 3, "Importación y exportación masiva a Active Directory" (http://www.microsoft.com/Windows/server/Deploy/directory/Blkimpt.asp): cómo utilizar LDIFDE para operaciones por lotes con Active Directory.

Sitio Web de Internet Engineering Task Force (IETF) (http://www.ietf.org/) : para obtener RFC de IETF y borradores de Internet.

La Guía de diseño de la distribución de Microsoft Windows 2000 Server, que describe cómo planear la estructura y la distribución de los dominios y los sitios de Windows 2000, se pondrá a la venta a principios del año 2000. También se encuentra en los CD de Windows 2000 Server y Windows 2000 Advanced Server como parte de las herramientas auxiliares.

Apéndice A: Herramientas En este apéndice se proporciona una breve introducción a las herramientas de software que puede utilizar para llevar a cabo las tareas asociadas a Active Directory.

Microsoft Management Console

En el sistema operativo Windows 2000 Server, Microsoft Management Console (MMC) proporciona interfaces coherentes para permitir que los administradores examinen las funciones de la red y utilicen las herramientas administrativas. Los administradores utilizan la misma consola tanto si son responsables de una única estación de trabajo como de una red completa de equipos. MMC contiene programas denominados complementos y cada uno de ellos trata tareas específicas de administración de la red. Cuatro de estos complementos son herramientas de Active Directory.

Complementos de Active Directory

Las herramientas administrativas de Active Directory que se incluyen con el sistema operativo Windows 2000 Server simplifican la administración de los servicios de directorio. Puede utilizar las herramientas estándar o MMC para crear herramientas personalizadas centradas en tareas de administración únicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a administradores individuales con responsabilidades administrativas específicas. Los siguientes complementos de Active Directory están disponibles en el menú Herramientas administrativas de Windows 2000 Server de todos los controladores de dominio de Windows 2000:

Usuarios y equipos de Active Directory Dominios y confianza de Active Directory Sitios y servicios de Active Directory

El cuarto complemento de Active Directory es: Esquema de Active Directory

La forma recomendada para ampliar el esquema de Active Directory es mediante programa, a través de las Interfaces de servicio de Active Directory (ADSI) o la utilidad Formato de intercambio de datos

LDAP (LDIFDE). Sin embargo, para propósitos de desarrollo y de pruebas, también puede ver y modificar el esquema de Active Directory con el complemento Esquema de Active Directory. Esquema de Active Directory no está disponible en el menú Herramientas administrativas de Windows 2000 Server. Debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlas a una consola de MMC. Un quinto complemento, que está relacionado con las tareas de Active Directory, es:

Complemento Política de grupo

Configurar las políticas de grupo es una tarea relacionada con la administración de usuarios, equipos y grupos de Active Directory. Los objetos de política de grupo (GPO), que contienen valores de políticas, controlan la configuración de usuarios y equipos en sitios, dominios y unidades organizativas. Para crear o modificar GPO, utilice el complemento Política de grupo, al que se tiene acceso a través de Usuarios y equipos de Active Directory o mediante Sitios y servicios de Active Directory (dependiendo de la tarea que desee realizar). Para utilizar las herramientas administrativas de Active Directory de forma remota, desde un equipo que no sea un controlador de dominio (por ejemplo, uno que ejecute Windows 2000 Professional), debe instalar las herramientas administrativas de Windows 2000.

Formas nuevas de realizar tareas conocidas

En la tabla 5 se enumeran las tareas comunes que puede realizar mediante los complementos de Active Directory y las herramientas administrativas relacionadas. Para los usuarios del sistema operativo Windows NT Server, en la tabla también se muestra dónde se realizan estas tareas cuando se utilizan las herramientas de administración proporcionadas por Windows NT Server 4.0. Tabla 5. Tareas realizadas con las herramientas de Active Directory y Política de grupo

Si desea:En Windows NT 4.0, utilice:

En Windows 2000, utilice:

Instalar un controlador de dominio

Instalación de Windows

Asistente para instalación de Active Directory (al que se tiene acceso desde Configurar el servidor).

Administrar cuentas de usuario

Administrador de usuarios

Usuarios y equipos de Active Directory

Administrar gruposAdministrador de usuarios

Usuarios y equipos de Active Directory

Administrar cuentas de equipo

Administrador de servidores

Usuarios y equipos de Active Directory

Agregar un equipo a un dominio

Administrador de servidores

Usuarios y equipos de Active Directory

Crear o administrar relaciones de confianza

Administrador de usuarios

Dominios y confianza de Active Directory.

Administrar políticas de cuentas

Administrador de usuarios

Usuarios y equipos de Active Directory

Administrar derechos de usuario

Administrador de usuarios

Usuarios y equipos de Active Directory:Modifique el objeto de política de grupo para el dominio o la unidad organizativa que contenga los equipos a los que se aplican los derechos de usuario.

Administrar políticas de auditoría

Administrador de usuarios

Usuarios y equipos de Active Directory:Modifique el objeto de política de grupo asignado a la unidad organizativa Controladores de dominio.

Configurar políticas para usuarios y equipos de un sitio

Editor de políticas del sistema

Política de grupo, al que se tiene acceso a través de Sitios y servicios de Active Directory

Configurar políticas para usuarios y equipos de un dominio

Editor de políticas del sistema

Política de grupo, al que se tiene acceso a través de Usuarios y equipos de Active Directory

Configurar políticas para usuarios y equipos de un unidad organizativa

No aplicablePolítica de grupo, al que se tiene acceso a través de Usuarios y equipos de Active Directory

Usar grupos de seguridad para filtrar el ámbito de la política

No aplicable

Modificar la entrada de permiso para Aplicar Política de grupo en la ficha Seguridad de la hoja de propiedades del objeto de política de grupo.

Herramientas de la línea de comandos de Active Directory

Los administradores avanzados y los especialistas de soporte técnico de redes también pueden utilizar diversas herramientas de la línea de comandos para configurar, administrar y solucionar problemas de Active Directory. Estas herramientas se denominan herramientas auxiliares y están disponibles en el disco compacto de Windows 2000 Server en la carpeta \SUPPORT\RESKIT. Se describen en la tabla 6. Tabla 6. Herramientas de la línea de comandos relacionadas con Active Directory

HerramientaDescripción

MoveTree Mover objetos de un dominio a otro.

SIDWalkerConfigurar las listas de control de acceso para objetos que pertenecían anteriormente a cuentas que se han movido, han quedado huérfanas o se han eliminado.

LDPPermite realizar operaciones LDAP en Active Directory. Esta herramienta tiene una interfaz gráfica de usuario.

DNSCMDComprobar el registro dinámico de registros de recursos DNS, incluida la actualización segura de DNS, así como la anulación del registro de los registros de recursos.

DSACLSVer o modificar las listas de control de acceso de los objetos del directorio.

NETDOMAdministración por lotes de confianzas, unión de equipos a dominios, comprobación de confianzas y canales seguros.

NETDIAGComprobar de un extremo a otro la red y las funciones de servicios distribuidos.

NLTest Comprobar que el ubicador y el canal seguro están funcionando.

REPAdmin

Comprobar la coherencia de replicación entre asociados de replicación, supervisar el estado de replicación, mostrar los metadatos de replicación, forzar los eventos de replicación y actualizar el Comprobador de coherencia de réplica (KCC).

REPLMon

Mostrar la topología de replicación, supervisar el estado de replicación (incluidas las políticas de grupo), forzar los eventos de replicación y actualizar el Comprobador de coherencia de réplica. Esta herramienta tiene una interfaz gráfica de usuario.

DSAStatComparar la información de directorio en controladores de dominio y detectar las diferencias.

ADSIEdit

Complemento de Microsoft Management Console (MMC) que se utiliza para ver todos los objetos del directorio (incluida la información de esquema y de configuración), modificar objetos y configurar listas de control de acceso para los objetos.

SDCheck

Comprobar la propagación y la replicación de las listas de control de acceso de los objetos especificados del directorio. Esta herramienta permite que un administrador determine si las listas de control de acceso se heredan correctamente y si los cambios de las mismas se replican de un controlador de dominio a otro.

ACLDiag

Determinar si a un usuario se le ha concedido o denegado el acceso a un objeto del directorio. También puede utilizarse para restablecer las listas de control de acceso a su estado predeterminado.

DFSCheck

Utilidad de la línea de comandos para administrar todos los aspectos del Sistema de archivos distribuido (Dfs), comprobar la simultaneidad de configuración de los servidores Dfs y mostrar la topología Dfs.

Página de referencia de comandos de Windows 2000

En la Ayuda de Windows 2000 encontrará una lista completa de los comandos de Windows 2000, con información acerca de cómo utilizar cada uno. Escriba "referencia de comandos" en la ficha Índice o en la ficha Buscar.

Interfaz de servicio de Active Directory

Puede utilizar las Interfaces de servicio de Active Directory (ADSI) para crear secuencias de comandos para diversos propósitos. El CD de Windows 2000 Server contiene varias secuencias de comandos ADSI de ejemplo. Para obtener más información acerca de ADSI, consulte las secciones "Interfaz de servicio de Active Directory" y "Para obtener más información". © 1999 Microsoft Corporation. Reservados todos los derechos. La información contenida en este documento representa la visión actual de Microsoft Corporation acerca de los asuntos abordados en la fecha de su publicación. Como Microsoft debe responder a condiciones de mercado variables, no debe interpretarse como un compromiso por parte de Microsoft y Microsoft no puede garantizar la precisión de la información que se presenta después de la fecha de publicación. Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA NINGUNA GARANTÍA, NI IMPLÍCITA NI EXPLÍCITA, EN ESTE DOCUMENTO. Microsoft, Active Directory, ActiveX, BackOffice, MSN, Windows y Windows NT son marcas o marcas registradas de Microsoft Corporation en EE.UU. y/o en otros países. Los nombres de otras compañías y productos aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios. Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • USA 0x99 1 En un dominio de Windows 2000 Server, un controlador de dominio es un equipo que ejecuta el sistema operativo Windows 2000 Server que administra el acceso de los usuarios a una red (esto incluye el inicio de sesión, la autenticación y el acceso al directorio y a recursos compartidos). 2 Una zona DNS es una partición contigua del espacio de nombres DNS que contiene los registros de recursos para los dominios DNS de dicha zona. 3 LDAP es un protocolo que se utilizar para tener acceso a un servicio de directorio; consulte las secciones "Nombres relacionados con LDAP" y "Protocolo compacto de acceso a directorios". 4 Descrito en el borrador de Internet del Internet Engineering Task Force (IETF) denominado draft-ietf-dnsind-rfc2052bis-02.txt, "A DNS

RR for specifying the location of services (DNS SRV)". (Los borradores de Internet son documentos de trabajo del Internet Engineering Task Force (IETF), sus áreas y sus grupos de trabajo.) 5 Descrito en RFC 2136, Observations on the use of Components of the Class A Address Space within the Internet. 6 Los grupos de Windows 2000 se definen de forma diferente a Windows NT. Windows 2000 incluye dos tipos de grupos: 1, grupos de seguridad (para administrar el acceso de usuarios y equipos a recursos compartidos y para filtrar los valores de política de grupo) y 2, grupos de distribución (para crear listas de distribución de correo electrónico). Windows 2000 también incluye tres ámbitos de grupo: 1, grupos con ámbito local de dominio (para definir y administrar el acceso a los recursos dentro de un único dominio); 2, grupos con ámbito global (para administrar objetos de directorio que precisan mantenimiento diario, como las cuentas de usuario y equipo; el ámbito global se utiliza para agrupar cuentas dentro de un dominio); y 3, grupos con ámbito universal (para consolidar grupos que abarcan dominios; puede agregar cuentas de usuario a grupos con ámbito global y, a continuación, anidar estos grupos dentro de grupos que tengan ámbito universal). (Para obtener más información acerca de los grupos de Windows 2000, incluido el nuevo tipo de grupo universal, consulte la sección "Para obtener más información" al final de este documento.) 7 Para poder obtener el logotipo Certificado para Windows, VeriTest debe probar la aplicación con el fin de comprobar que cumpla la Especificación de aplicaciones para Windows 2000. Puede elegir cualquier combinación de plataformas, siempre y cuando se incluya al menos un sistema operativo Windows 2000. Las aplicaciones pueden llevar el logotipo "Certificado para Microsoft Windows" una vez hayan superado las pruebas de conformidad y se haya establecido un contrato de licencia de logotipo con Microsoft. El logotipo que se obtiene indica las versiones de Windows para las que está certificado el producto. Consulte 8 Active Directory admite LDAP v2 y LDAP v3, que reconocen las convenciones de nomenclatura de RFC 1779 y RFC 2247. 9 Si no se ha agregado ningún UPN, los usuarios pueden iniciar la sesión explícitamente si proporcionan su nombre de usuario y el nombre DNS del dominio raíz. 10 Las políticas de grupo que controlan los valores predeterminados de las impresoras de publicación son Publicar automáticamente impresoras nuevas en Active Directory y Permitir que se publiquen impresoras (esta última controla si se pueden publicar o no las impresoras de ese equipo). 11 En comparación con versiones anteriores de Windows NT Server, la base de datos de SAM tenía un límite de unos 40000 objetos por dominio. 12 Para obtener una descripción de esta sobrecarga adicional, consulte la "Guía de diseño de la distribución de Windows 2000 Server", que describe cómo planear la estructura y la distribución de

dominios y sitios de Windows 2000, en la sección "Para obtener más información" al final de este documento. 13 Una DACL concede o deniega permisos para un objeto a determinados usuarios o grupos. 14 Para obtener más información acerca de la interoperabilidad con territorios Kerberos, consulte la sección "Función Kerberos en interoperabilidad". 15 Los vectores de actualización no son específicos del sitio. Un vector de actualización contiene una entrada por cada servidor en el que se puede escribir en la partición del directorio (contexto de nombres). 16 Además de delegar la autoridad en contenedores, puede conceder permisos (como lectura y escritura) hasta el nivel de atributo de un objeto. 17 Las entradas de control de acceso (ACE) de la DACL de un objeto determinan quién tiene acceso a dicho objeto y qué tipo de acceso tiene. Cuando se crea un objeto en el directorio, se le aplica una DACL predeterminada (definida en el esquema). 18 De forma predeterminada, al grupo Administradores de empresa se concede Control total sobre todos los objetos de un bosque. 19 La extensión Redirección de carpetas se utiliza para redirigir cualquier carpeta especial de un perfil de usuario a una ubicación alternativa (por ejemplo, un recurso compartido de red): Datos de programa, Escritorio, Mis documentos (y/o Mis imágenes), Menú Inicio. 20 LDAP versión 2 se describe en RFC 1777; LDAP versión 3 se describe en RFC 2251.