Active Dierctory PDF

Instalacin de Active Directory en Windows Server 2003
Contenido Introduccin Marcador no definido. Leccin: Fundamentos de Active Directory Marcador no definido. Leccin: Instalacin de Active Directory Marcador no definido. Leccin: Cambio de niveles funcionales Marcador no definido. Error! Error! Error! Error!
Introduccin
******el uso por quienes no sean instructores no est autorizado y resulta ilegal******
Introduccin
En una red en la que se ejecuta cualquier sistema operativo de la familia de productos de Microsoft Windows Server 2003, el servicio de directorio Active Directory proporciona la estructura y las funciones para organizar, administrar y controlar recursos de red. Para administrar o dar soporte a una red de la familia de Windows Server 2003, debe comprender la finalidad y la estructura de Active Directory. Despus de finalizar este mdulo, podr:

Objetivos
Explicar conceptos bsicos del servicio de directorio Active Directory. Instalar Active Directory. Cambiar el nivel funcional de dominio.
Leccin: Fundamentos de Active Directory
Introduccin Objetivos de la leccin
En esta leccin se proporciona una introduccin a Active Directory, incluidos muchos de los trminos necesarios para su comprensin. Despus de finalizar esta leccin, podr:
Explicar la funcin de un servicio de directorio y las ventajas de utilizar el servicio de directorio Active Directory. Explicar la funcin de dominios y controladores de dominio. Comparar sincronizacin con replicacin. Explicar la funcin de una unidad organizativa y las ventajas de utilizar unidades organizativas. Explicar la relacin entre rboles y bosques y las relaciones de confianza comunes que admite Active Directory. Explicar la funcin de un sitio. Explicar la funcin del esquema.
Qu es el servicio de directorio Active Directory
Introduccin
Como usuario que ha iniciado una sesin en una red, puede que necesite conectarse a una carpeta compartida o enviar un trabajo de impresin a una impresora de la red. Cmo encontrar la carpeta y la impresora y otros recursos de red? Un servicio de directorio es un servicio de red que identifica todos los recursos de una red y pone la informacin a disposicin de los usuarios y las aplicaciones. Los servicios de directorio son importantes porque proporcionan una forma coherente de asignar nombre, describir, encontrar, tener acceso, administrar y proteger la informacin acerca de estos recursos. Cuando un usuario busca una carpeta compartida en la red, es el servicio de directorio el que indentifica el recurso y proporciona esa informacin al usuario.
Definicin
Active Directory
Active Directory es el servicio de directorio de la familia de Windows Server 2003. Ampla la funcionalidad bsica de un servicio de directorio para proporcionar las siguientes ventajas:
Integracin de DNS Active Directory utiliza las convenciones de nomenclatura del Sistema de nombres de dominio (DNS, Domain Name System) para crear una estructura jerrquica que proporcione una vista familiar, ordenada y escalable de las conexiones de red. DNS tambin se utiliza para asignar nombres de host, como microsoft.com, a direcciones de Protocolo de control de transmisin/Protocolo Internet (TCP/IP, Transmission Control Protocol/Internet Protocol) numricas, como 192.168.19.2.
Escalabilidad Active Directory se organiza en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, Active Directory se puede ampliar a medida que la organizacin crece. Una organizacin que dispone de un solo servidor con unos pocos cientos de objetos puede crecer hasta miles de servidores y millones de objetos.
Administracin centralizada Active Directory permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicacin central, al tiempo que utiliza una interfaz de administracin coherente. Active Directory tambin proporciona un control de acceso centralizado a los recursos de red, habilitando a los usuarios para iniciar la sesin slo tras obtener acceso completo a los recursos en todo Active Directory.
Administracin delegada La estructura jerrquica de Active Directory permite que el control administrativo se delegue para segmentos especficos de la jerarqua. Una autoridad administrativa superior puede autorizar a un usuario a realizar labores administrativas en su parte designada de la estructura. Por ejemplo, los usuarios pueden disponer de un control administrativo limitado en la configuracin de su estacin de trabajo y un administrador de departamento puede disponer de derechos administrativos para crear nuevos usuarios en una unidad organizativa.
Lecturas adicionales
Para obtener ms informacin acerca de Active Directory, consulte Technical Overview of Windows Server 2003 Active Directory (en ingls) en http://www.microsoft.com/windowsserver2003/techinfo/overview/ activedirectory.mspx.
Qu son los dominios y los controladores de dominio
Qu es un dominio
Un dominio es un conjunto de equipos, definidos por un administrador, que comparten una base de datos de directorio comn, directivas de seguridad y relaciones de seguridad con otros dominios. En Active Directory, la unidad central de la estructura lgica es el dominio. Un controlador de dominio es un equipo que realiza las siguientes acciones:
Qu es un controlador de dominio
Ejecuta un sistema operativo en la familia de Windows Server 2003 o ejecuta Microsoft Windows 2000. Almacena una rplica de Active Directory. Administra los cambios de la informacin de directorio. Replica los cambios de directorio en otros controladores de dominio del mismo dominio. Almacena datos de directorio. Administra los procesos de inicio de sesin y autenticacin de los usuarios y de bsquedas de directorios.
Nota A diferencia de Microsoft Windows NT 4.0, Windows Server 2003 no realiza una copia de seguridad de los controladores de dominio. En Windows Server 2003, todos los controladores de dominio pueden aceptar y replicar cambios de directorio. Esto se conoce como replicacin con varios maestros. Windows NT 4.0 utiliza un modelo de replicacin de un solo servidor maestro, en el que un controlador de dominio almacena la nica copia del directorio que se puede modificar y otros controladores de dominio almacenan copias de seguridad.
Cuntos controladores de dominio hay en un dominio
Un dominio puede tener uno o varios controladores de dominio. Una organizacin pequea que utilice una nica red de rea local (LAN, Local Area Network) puede que slo necesite un dominio con dos controladores de dominio para proporcionar la disponibilidad y la tolerancia de errores adecuadas. Una organizacin grande con muchas ubicaciones geogrficas puede necesitar uno o varios controladores de dominio en cada ubicacin para proporcionar la disponibilidad y la tolerancia de errores adecuadas.
Los dominios son unidades de replicacin. Todos los controladores dentro de un dominio participan en la replicacin y contienen una copia completa de toda la informacin de directorio de su dominio.
Nota En una red de Windows Server 2003, un servidor miembro es cualquier servidor del dominio que no es un controlador de dominio.
Comparacin entre sincronizacin y replicacin
Introduccin
En un dominio de Microsoft Windows NT 4.0, los cambios realizados en el controlador de dominio principal (PDC, Primary Domain Controller) se sincronizan con el controlador de dominio de reserva (BDC, Backup Domain Controller). En Windows 2000 y en la familia de Windows Server 2003, puede realizar cambios en cualquier controlador de dominio para un dominio y los cambios se replicarn en el resto de controladores de dominio para ese dominio. En la siguiente tabla se resume la sincronizacin y la replicacin en Windows NT 4.0 y la familia de Windows Server 2003.
Trmino A qu producto se aplica? Dnde se realizan los cambios? Sincronizacin Windows NT 4.0 Todos los cambios se realizan en el PDC. Modelo de replicacin con mltiples maestros Familia de Windows Server 2003 Los cambios en un objeto de Active Directory pueden realizarse en cualquier controlador de dominio. Los cambios realizados en cualquier controlador de dominio se replican en el resto de controladores del dominio.
Comparaciones entre sincronizacin y replicacin
Dnde se propagan los cambios?
Los cambios realizados en el PDC se replican en el BDC.
Qu es una unidad organizativa
Definicin
Una unidad organizativa es un tipo especialmente til de objeto de Active Directory que est contenido en un dominio. Las unidades organizativas son tiles porque pueden utilizarse para organizar cientos de miles de objetos en el directorio en unidades fciles de administrar. Puede utilizar una unidad organizativa para agrupar y organizar objetos con fines administrativos, como delegar derechos administrativos y asignar directivas a un conjunto de objetos como una sola unidad. Puede utilizar unidades organizativas para lo siguiente:
Ventajas del uso de unidades administrativas
Organizar objetos en un dominio. Las unidades organizativas contienen objetos de dominio, como grupos y cuentas de usuario y equipo. En las unidades organizativas tambin es posible encontrar recursos compartidos de archivo e impresora que se publican en Active Directory.
Delegar el control administrativo. Puede asignar control administrativo completo, como el permiso Control total, a todos los objetos de la unidad organizativa o control administrativo limitado, como la capacidad de modificar la informacin de correo electrnico, a los objetos de usuario de la unidad organizativa. Para delegar el control administrativo, asigne permisos especficos a la unidad organizativa y a los objetos que sta contiene para uno o varios usuarios y grupos.
Simplificar la administracin de los recursos normalmente agrupados. Puede delegar la autoridad administrativa a atributos u objetos individuales en Active Directory, pero normalmente utilizar unidades organizativas para delegar esta autoridad. Un usuario puede tener autoridad administrativa para todas las unidades organizativas de un dominio o para una sola. Con las unidades organizativas podr crear contenedores en un dominio que representen las estructuras jerrquicas o lgicas de su organizacin. As, podr administrar la configuracin y el uso de cuentas y recursos en funcin del modelo organizativo.
10
Qu son rboles, bosques y confianzas
Definiciones
Las definiciones proporcionadas en la siguiente tabla ayudarn a entender cmo se organizan los dominios y cmo trabajan juntos.
Trmino rbol Definicin Una disposicin jerrquica de uno o varios dominios de la familia de Windows Server 2003 que forman un espacio de nombres contiguo. Un rbol tambin se denomina rbol de dominios. Uno o varios rboles se pueden unir para formar un bosque. Un bosque tambin se denomina bosque de dominios.
Bosque
Ejemplo de una estructura con un nico rbol
Contoso Ltd. ha creado dos nuevas organizaciones, una en China y la otra en Japn. Se aadieron dos nuevos dominios al dominio de Active Directory actual denominado contoso.msft. Cada uno comparte la raz comn contoso.msft:

china.contoso.msft japan.contoso.msft
Los siguientes resultados se consiguen incluyendo las nuevas organizaciones en una estructura de rbol, en lugar de crear unidades organizativas en el dominio existente:

Los dominios resultantes forman un espacio de nombres contiguo. El administrador puede otorgar permisos para recursos a cuentas de cualquiera de los tres dominios del rbol. Los nuevos dominios se pueden administrar de forma independiente, cada uno en un idioma distinto.
11
Ejemplo de una estructura con varios rboles
Contoso, Ltd. adquiere una nueva compaa llamada Northwind Traders y crea un dominio de Active Directory denominado nwtraders.msft. Northwind Traders y Contoso combinarn operaciones de tecnologas de la informacin y comenzarn a funcionar juntas. A Contoso Ltd. le gustara mantener el nombre de marca Northwind Traders para el futuro inmediato. Contoso crea otro rbol en el bosque existente para la compaa adquirida. Los siguientes resultados se consiguen utilizando varios rboles en un nico bosque:

Las dos organizaciones compartirn un esquema comn. Compartirn datos de configuracin comunes. Compartirn un catlogo global comn, en el que se realizarn bsquedas de recursos ms fcilmente.
Ejemplo de una estructura con varios bosques
Con la situacin del ejemplo anterior, puede conseguir los siguientes resultados aadiendo el nuevo dominio de Active Directory, nwtraders.msft, como un nuevo bosque, en lugar de crear la nueva organizacin en el bosque existente:
Las dos organizaciones pueden mantener espacios de nombres independientes y continuar utilizando la jerarqua de nombres que ya existe dentro de ellas. Las dos organizaciones pueden mantener sus funciones administrativas separadas y continuar funcionando de forma independiente. Las dos organizaciones podrn compartir recursos y funciones administrativas si resulta adecuado.
Nota El bosque es el mximo lmite de seguridad.
12
Relaciones de confianza de Active Directory
En Active Directory, el trmino confianza hace referencia a la relacin entre dos dominios en la que un dominio reconoce la autoridad de autenticacin del otro.
Las definiciones proporcionadas en la siguiente tabla ayudarn a entender cmo otros dominios pueden reconocer la autoridad para autenticar de un dominio.
Trmino Confianza unidireccional Definicin Un dominio reconoce la autoridad de autenticacin de otro pero no a la inversa. Por ejemplo, el dominio A confa en el dominio B, pero el dominio B no confa en el dominio A. La autoridad de autenticacin entre dominios se reconoce mutuamente. Por ejemplo, si el dominio A confa en el dominio B, entonces el dominio B confa en el dominio A. La autoridad de autenticacin se puede heredar implcitamente entre dominios. Por ejemplo, si el dominio A confa en el dominio B y el dominio B confa en el dominio C, el dominio A confa en el dominio C. Confianza transitiva bidireccional La autoridad de autenticacin se puede heredar implcitamente de forma bidireccional entre dominios. Por ejemplo, si el dominio B confa en el dominio A y el dominio C confa en el dominio A, entonces el dominio B confa automticamente en el dominio C y el dominio C confa automticamente en el dominio B. Confianza entre bosques Una confianza que se extiende a travs de bosques.
Confianza bidireccional
Confianza transitiva
Relaciones de confianza de uso frecuente
stas son las relaciones de confianza utilizadas con ms frecuencia:
Las relaciones de confianza transitivas bidireccionales se utilizan con ms frecuencia porque son las predeterminadas entre dominios de la familia de Windows Server 2003. Las confianzas no transitivas unidireccionales se utilizan con frecuencia para admitir conexiones desde dominios de la familia de Windows Server 2003 a redes de Windows NT 4.0.
Para obtener ms informacin sobre confianzas consulte los temas Confianzas y Tipos de confianzas del Sistema de ayuda y soporte tcnico.
13
Qu es un sitio
Qu es un sitio
Un sitio es una combinacin de una o varias subredes de Protocolo Internet (IP, Internet Protocol) que estn conectadas por un vnculo de alta velocidad. La definicin de sitios permite configurar la topologa de replicacin y acceso a Active Directory. Los sitios se crean por dos razones:

Por qu se crea un sitio
Para optimizar la replicacin de dominios Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexin confiable de alta velocidad
Comparacin de sitios y dominios
Los sitios asignan la estructura fsica de la red, mientras que los dominios asignan la estructura lgica de la organizacin. Las estructuras lgica y fsica de Active Directory son independientes una de otra, lo que tiene las siguientes consecuencias:
No hay correlacin entre la estructura fsica de la red y su estructura de dominios. Active Directory permite mltiples dominios en un nico sitio, adems de mltiples sitios en un nico dominio. No hay correlacin entre los espacios de nombres de los sitios y de los dominios.
Para obtener ms informacin sobre sitios consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en ingls).
14
Qu es el esquema
Qu es un esquema
El esquema del servicio de directorio Active Directory es una estructura de datos que contiene las definiciones de todos los objetos que se almacenan en Active Directory, como equipos, usuarios e impresoras. Hay dos tipos de definiciones en el esquema: clases y atributos. Las clases describen los objetos de directorio que se pueden crear. Cada clase es un conjunto de atributos, los cuales describen objetos. Cuando se crea un objeto, los atributos de este objeto almacenan la informacin que lo describe. Los atributos se definen de forma independiente de las clases. Cada atributo se define slo una vez y se puede utilizar en varias clases. Por ejemplo, el atributo de descripcin se utiliza en muchas clases, pero se define slo una vez en el esquema para asegurar la coherencia. Los usuarios pueden localizar objetos por todo Active Directory mediante la bsqueda de atributos especficos. Por ejemplo, un usuario puede localizar una impresora en un edificio concreto mediante la bsqueda del atributo Ubicacin de la clase de objeto de la impresora.
Estructura de esquema: clases y atributos
Caractersticas de los esquemas
En la familia de Windows Server 2003, slo hay un esquema para todo el bosque de manera que todos los objetos creados en Active Directory se ajustan a las mismas reglas. Cuando se realizan cambios en el esquema, estos cambios se replican en cada controlador de dominio del bosque. En Active Directory, el esquema se almacena en una base de datos, que es distinta de otros directorios que disponen de un esquema que se almacena como un archivo de texto y se lee al inicio.
15
El almacenamiento del esquema en una base de datos significa que el esquema:

Est disponible dinmicamente para aplicaciones de usuario. Se puede actualizar de forma dinmica. Puede utilizar listas de control de acceso discrecional para proteger todas las clases y atributos.
Dnde se almacena el esquema
El esquema se almacena en una particin de directorio de la base de datos de Active Directory. Una particin de directorio es una unidad de replicacin. El archivo de la base de datos de Active Directory se llama Ntds.dit y se encuentra en SystemRoot\Ntds. Adems del esquema, este archivo contiene toda la informacin almacenada en Active Directory. Nota Las clases y atributos del esquema no se pueden deshacer o eliminar, pero pueden desactivarse.
16
Leccin: Instalacin de Active Directory
En esta leccin se describen diversas tareas de instalacin importantes relacionadas con Active Directory. Despus de finalizar esta leccin, podr:

Explicar los requisitos para la instalacin de Active Directory. Explicar los dos mtodos para agregar un controlador de dominio a un dominio existente. Agregar un controlador de dominio a un dominio existente. Instalar Active Directory a partir de un medio de copia de seguridad. Crear un rbol en un bosque existente. Crear un dominio secundario.
17
Requisitos de instalacin de Active Directory
Antes de instalar Active Directory, debe asegurarse de que tanto el servidor como la red cumplen ciertos requisitos y opciones de instalacin. Requisitos de instalacin de Active Directory En la siguiente lista se identifican los requisitos para la instalacin de Active Directory:

Un equipo donde se ejecute la familia de Microsoft Windows Server 2003. Una particin o un volumen formateados con el sistema de archivos de Windows NT (NTFS, Windows NT File System). Espacio en disco suficiente para el directorio. Se recomienda disponer de 1 gigabyte (GB) como mnimo. Un servidor DNS que admite el registro de recurso de servicio (SRV). Protocolo de control de transmisin/Protocolo Internet (TCP/IP) instalado y configurado para DNS. Adems, se recomienda disponer de un servidor DNS que admita el protocolo de actualizacin dinmica. Nota El Asistente para instalacin de Active Directory ofrece la posibilidad de instalar el servicio Servidor DNS al instalar el primer controlador de dominio en un dominio nuevo, si no se encuentra un servidor DNS autorizado para el dominio o si el servidor DNS no admite el DNS dinmico.
18
Al crear un dominio o un controlador de dominio en una red de la familia de Windows Server 2003 existente, debe obtener las credenciales de red necesarias para crear un dominio. Estas credenciales son las siguientes:
El nombre de inicio de sesin de una cuenta de usuario La cuenta de usuario debe tener suficientes privilegios administrativos para crear un controlador de dominio.
La contrasea de la cuenta El nombre del dominio
Especificacin de las opciones de instalacin para controladores de dominio
Cuando se instala Active Directory en un equipo donde se ejecuta un miembro de la familia de Windows Server 2003, se especifica el dominio en el que ese equipo va a ser un controlador de dominio. Debe elegir entre estas opciones para cada controlador de dominio que cree. Despus de hacer la seleccin, el Asistente para la instalacin de Active Directory le guiar para que especifique la informacin necesaria para el nuevo controlador de dominio. La informacin que debe proporcionar al instalar Active Directory vara segn las opciones seleccionadas. Cuando instala Active Directory, se crean archivos de registro que enumeran los resultados de cada paso del procedimiento de instalacin. Los archivos de registro se guardan en la carpeta SystemRoot\Debug. Nota Para obtener ms informacin sobre la planificacin de Active Directory, consulte el curso 2281: Designing a Microsoft Windows Server 2003 Directory Services Infrastructure (Beta) (en ingls).
19
Mtodos para agregar un controlador de dominio a un dominio existente
Comparacin de las formas de agregar un controlador de dominio
Existen dos formas de agregar un controlador de dominio a un dominio existente:
Replicar una copia completa de la base de datos de Active Directory en la red. Las ventajas de utilizar este mtodo son las siguientes: Permite utilizar una red de banda ancha. La replicacin se actualiza y se completa en un solo paso en el momento de la promocin.
Instalar un controlador de dominio a partir de los medios de copia de seguridad. Con este mtodo, cuando se inicia la instalacin de Active Directory, la replicacin inicial se realiza con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a travs de la red. La instalacin a partir de medios de copia de seguridad permite implementar controladores de dominio en ubicaciones que disponen de conexiones de poco ancho de banda. Los archivos de copia de seguridad, generados por cualquier utilidad de copia de seguridad compatible con Active Directory, se pueden transferir al controlador de dominio candidato mediante medios como cinta, CD o DVD, o bien utilizando la copia de archivos en una red. Tenga en cuenta que los medios de copia de seguridad no estn actualizados en el momento de la promocin. Despus de promover el controlador de dominio, se debe replicar para que quede actualizado. El tiempo requerido y el ancho de banda consumido en este proceso dependen en gran medida de lo reciente que sea la copia de seguridad. Por esta razn, debe crear una copia de seguridad lo ms cerca posible en el tiempo del momento en que vaya a utilizarla.
20
Cmo agregar un controlador de dominio a un dominio existente
Introduccin
Despus de crear un dominio, debe crear un controlador de dominio adicional en el dominio para proporcionar tolerancia a errores y equilibrio de carga para Active Directory. Para agregar un controlador de dominio a un dominio existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalacin de Active Directory. Complete el asistente con la informacin contenida en la siguiente tabla.
En esta pgina Tipo de controlador de dominios Copiar informacin del dominio (esta opcin slo est disponible al utilizar DCPromo.exe con el modificador /adv) Haga esto Haga clic en Controlador de dominio adicional para un dominio existente. Haga clic en En la red desde un controlador de dominio o bien Desde estos archivos restaurados de copia de seguridad, escriba la ubicacin de los mismos o haga clic en Examinar para localizar los archivos restaurados. Especifique el nombre de usuario, la contrasea y el nombre de dominio de una cuenta de usuario que disponga de los derechos necesarios para crear controladores de dominio en Active Directory. Especifique el nombre DNS del dominio existente para el que este equipo se convertir en un controlador de dominio adicional.
Procedimiento
Credenciales de red
Controlador de dominio adicional
Instalacin de Active Directory en Windows Server 2003 (continuacin) En esta pgina Carpetas de la base de datos y del registro Volumen del sistema compartido Contrasea de admin. del Modo de restauracin de servicios de directorio Haga esto
21
Especifique la ubicacin de los archivos de registro y de base de datos de Active Directory. Especifique la ubicacin para el volumen del sistema compartido. Especifique una contrasea para utilizarla al iniciar el equipo en el Modo de restauracin de servicios de directorio.
Efectos de promover un servidor a controlador de dominio
Despus de completar la informacin de instalacin, el Asistente para instalacin de Active Directory realiza las siguientes acciones:

Convierte el equipo en un controlador de dominio. Replica Active Directory a partir de un controlador de dominio existente. Agrega las consolas de Active Directory al men Herramientas administrativas de ese equipo.
22
Cmo instalar Active Directory a partir de medios de copia de seguridad
Introduccin Procedimiento
El procedimiento de instalacin de Active Directory a partir de medios de copia de seguridad es relativamente simple. Para instalar Active Directory a partir de un medio de copia de seguridad realice las siguientes acciones: 1. Cree una copia de seguridad de un controlador de dominio existente con una utilidad de copia de seguridad compatible con Active Directory. 2. Restaure la copia de seguridad en una ubicacin a la que pueda tener acceso el nuevo controlador de dominio. 3. En el nuevo controlador de dominio, inicie el Asistente para instalacin de Active Directory ejecutando Dcpromo.exe /adv. 4. En la pgina Tipo de controlador de dominios, seleccione Controlador de dominio adicional para un dominio existente y, a continuacin, haga clic en Siguiente. 5. En la pgina Copiar informacin del dominio, haga clic en Desde estos archivos restaurados de copia de seguridad, escriba la ubicacin de los archivos de copia de seguridad restaurados y, a continuacin, haga clic en Siguiente. 6. Complete el Asistente para instalacin de Active Directory segn corresponda. Cuando se inicie la instalacin de Active Directory, la replicacin inicial se realizar con los archivos de copia de seguridad restaurados, en lugar de hacerlo con otro controlador de dominio a travs de la red.
23
Cmo crear un rbol en un bosque existente
Introduccin Procedimiento
Despus de establecer el dominio raz, puede agregar un nuevo rbol al bosque existente si su plan de red requiere varios rboles. Para crear un rbol nuevo en un bosque existente, ejecute DCPromo.exe a fin de iniciar el Asistente para instalacin de Active Directory. Complete el asistente con la informacin contenida en la siguiente tabla.
En esta pgina Tipo de controlador de dominios Crear nuevo dominio Credenciales de red Haga esto Haga clic en Controlador de dominio para un dominio nuevo. Haga clic en rbol de dominios en un bosque existente. Especifique el nombre de usuario, la contrasea y el nombre de dominio de una cuenta de usuario del grupo Administradores de organizacin, existente en el dominio raz del bosque. Especifique el nombre DNS del nuevo rbol. Especifique el nombre NetBIOS para el nuevo dominio. Especifique la ubicacin de los archivos de registro y de base de datos de Active Directory. Especifique la ubicacin para el volumen del sistema compartido. Compruebe si un servidor DNS existente est autorizado para este bosque o, en caso necesario, elija instalar y configurar DNS en este servidor haciendo clic en Instalar y configurar este equipo de manera que utilice este servidor DNS como el preferido. Establezca este equipo para utilizar este servidor DNS como su servidor DNS preferido.
Nuevo rbol de dominios Nombre de dominio NetBIOS Carpetas de la base de datos y del registro Volumen del sistema compartido Diagnsticos de registro de DNS
24
Instalacin de Active Directory en Windows Server 2003 (continuacin) En esta pgina Permisos Haga esto Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o slo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existan en Microsoft Windows NT 4.0. Slo debe seleccionar esta opcin despus de considerar el efecto que tendrn permisos ms restringidos en la seguridad de Active Directory. Especifique una contrasea para utilizarla al iniciar el equipo en el Modo de restauracin de servicios de directorio.
Contrasea de administrador del Modo de restauracin de servicios de directorio
Efectos de crear un rbol en un bosque existente

Instala Active Directory. Convierte el equipo en un controlador de dominio. Agrega las consolas de Active Directory al men Herramientas administrativas de ese equipo.
25
Cmo crear un dominio secundario
Introduccin
Despus de establecer el dominio raz, puede crear dominios adicionales en el rbol. Cada dominio nuevo dentro del rbol ser un dominio secundario del dominio raz o de otro dominio secundario. Por ejemplo, suponga que crea un dominio llamado europa.contoso.msft, que es un dominio secundario del dominio raz, contoso.msft. El siguiente dominio que cree dentro de ese rbol puede ser secundario de contoso.msft o secundario de europa.contoso.msft.
Procedimiento
Para crear un dominio secundario, ejecute DCPromo.exe a fin de iniciar el Asistente para instalacin de Active Directory. Complete el asistente con la informacin contenida en la siguiente tabla.
En esta pgina Tipo de controlador de dominios Crear nuevo dominio Credenciales de red Haga esto Haga clic en Controlador de dominio para un dominio nuevo. Haga clic en Dominio secundario en un rbol de dominios existente. Especifique el nombre de usuario, la contrasea y el nombre de dominio de una cuenta de usuario del grupo Administradores de organizacin, existente en el dominio raz del bosque. Especifique el nombre DNS del dominio principal y el nombre del nuevo dominio secundario. Especifique el nombre NetBIOS para el nuevo dominio. Especifique la ubicacin de los archivos de registro y de base de datos de Active Directory.
Instalacin del dominio secundario Nombre NetBIOS del dominio Carpetas de la base de datos y del registro
26
Instalacin de Active Directory en Windows Server 2003 (continuacin) En esta pgina Volumen del sistema compartido Diagnsticos de registro de DNS Permisos Haga esto Especifique la ubicacin para el volumen del sistema compartido. Compruebe que los valores de configuracin de DNS son precisos. Especifique si desea establecer los permisos predeterminados en objetos de grupos y usuarios para que sean compatibles con las versiones de sistemas operativos anteriores a Microsoft Windows 2000 Server o slo con los sistemas operativos Microsoft Windows 2000 o la familia de Windows Server 2003. Al habilitar permisos compatibles con versiones anteriores a Windows 2000, se agrega el grupo Todos al grupo Acceso compatible con versiones anteriores de Windows 2000. Este grupo tiene acceso de lectura a los atributos de objeto de usuario y grupo que existan en Microsoft Windows NT 4.0. Slo debe seleccionar esta opcin despus de considerar el efecto que tendrn permisos ms restringidos en la seguridad de Active Directory. Especifique una contrasea para utilizarla al iniciar el equipo en el Modo de restauracin de servicios de directorio.
Contrasea de admin. del Modo de restauracin de servicios de directorio
Efectos de crear un dominio secundario

Instala Active Directory. Convierte el equipo en un controlador de dominio. Agrega las consolas de Active Directory al men Herramientas administrativas de ese equipo.
27
Ejercicio: Instalacin de Active Directory
Objetivos Instrucciones
En este ejercicio instalar Active Directory en el equipo y crear un controlador de dominio adicional en el dominio nwtraders.msft. Debe haber iniciado sesin con una cuenta que no tenga credenciales administrativas y ejecutar el comando Ejecutar como con una cuenta de usuario que disponga de las credenciales administrativas adecuadas para realizar la tarea. Ha instalado un controlador para el dominio. Ahora, a fin de proporcionar tolerancia a errores y aumentar el rendimiento en los inicios de sesin de clientes, desea instalar un controlador de dominio adicional en el dominio. Utilizar el Asistente para configurar su servidor para ayudarle a completar la tarea. Crear un controlador de dominio adicional en el dominio nwtraders.msft Complete esta tarea desde los equipos de ambos alumnos.
Situacin de ejemplo
Ejercicio
Nombre de usuario: NWTraders\NombreDeEquipoAdmin (donde NombreDeEquipo es el nombre de su equipo) Contrasea: P@ssw0rd Haga clic en Controlador de dominio adicional para un dominio existente
28
Credenciales de red: Nombre de usuario: Administrador Contrasea: P@ssw0rd Dominio: nwtraders.msft
Nombre de dominio: nwtraders.msft Carpetas de la base de datos y del registro: Acepte las predeterminadas Volumen del sistema compartido: Acepte el predeterminado Contrasea de admin. del Modo de restauracin de servicios de directorio: P@ssw0rd
29
Leccin: Cambio de niveles funcionales
En esta leccin se tratan definiciones y directrices para cambiar los niveles funcionales de bosque y de dominio. Despus de finalizar esta leccin, podr:
Explicar la relacin entre los niveles funcionales de dominio y las funcionalidades de dominio compatibles. Explicar la relacin entre los niveles funcionales de bosque y las funcionalidades de bosque compatibles. Cambiar el nivel funcional de dominio.
30
Qu son los niveles funcionales de dominio
Niveles funcionales de dominio
El nivel funcional de dominio es una configuracin que habilita caractersticas que afectan al dominio completo. Hay cuatro niveles funcionales de dominio disponibles:
Windows 2000 mixto Los dominios trabajan en el nivel funcional de Windows 2000 mixto de forma predeterminada.
Windows 2000 nativo Windows Server 2003 versin preliminar La versin preliminar de Windows Server 2003 se utiliza slo para actualizaciones directas desde Windows NT 4.0 a la familia de Windows Server 2003, prescindiendo de Windows 2000. Los controladores de dominio que ejecutan Windows 2000 no funcionarn en la funcionalidad de dominio de la versin preliminar de Windows Server 2003.
Familia de Windows Server 2003
Puede aumentar el nivel funcional de un dominio para Windows 2000 nativo o la familia de Windows Server 2003.
31
Niveles funcionales de dominio y controladores de dominio correspondientes
En la siguiente tabla aparecen los niveles funcionales de dominio y los correspondientes controladores de dominio admitidos.
Nivel funcional del dominio Windows 2000 mixto (predeterminado) Caractersticas habilitadas Instalacin de Active Directory desde medios Soporte de grupos universales (slo distribucin) Soporte de catlogo global Windows 2000 nativo Todas las caractersticas habilitadas para modo mixto, ms: Conversin y anidamiento de grupos Grupos universales, seguridad y distribucin SIDHistory Windows Server 2003 versin preliminar Windows Server 2003 Igual que Windows 2000 modo mixto o nativo Todas las caractersticas habilitadas para Windows 2000 nativo, ms: Atributo para actualizar marca de hora de inicio de sesin Nmeros de versin del Centro de distribucin de claves (KDC, Key Distribution Center) Kerberos Contrasea de usuario en INetOrgPerson Capacidad de cambiar el nombre al controlador de dominio con la herramienta Netdom Windows NT 4.0, familia de Windows Server 2003 Familia de Windows Server 2003 Windows 2000, familia de Windows Server 2003 Controladores de dominio admitidos Windows NT 4.0, Windows 2000, familia de Windows Server 2003
32
Limitaciones para agregar controladores de dominio
Una vez que se ha elevado el nivel funcional del dominio, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el dominio. Por ejemplo, si eleva un nivel funcional de dominio a Windows Server 2003, los controladores de dominio que ejecutaban Microsoft Windows 2000 Server no se pueden agregar a ese dominio. Precaucin Cambiar el nivel funcional del dominio es un procedimiento unidireccional. Una vez que se ha elevado el nivel funcional de dominio, no puede reducirse.
33
Qu son los niveles funcionales de bosque
Niveles funcionales de bosque
La funcionalidad de bosque es una herramienta que habilita varias caractersticas a travs de todos los dominios del bosque. Existen dos niveles funcionales de bosque: Windows 2000 (predeterminado) y la familia de Windows Server 2003. De forma predeterminada, los bosques trabajan en el nivel funcional de Windows 2000. Puede aumentar el nivel funcional de un bosque a la familia de Windows Server 2003, si es necesario. En la siguiente tabla aparecen los niveles funcionales de bosque y los correspondientes controladores de dominio admitidos.
Nivel funcional de bosque Windows 2000 (predeterminado) Caractersticas habilitadas Instalacin de Active Directory desde medios Almacenamiento en cach de grupos universales Windows Server 2003 versin preliminar Igual que Windows 2000 ms: Replicacin vinculada a valores Generador de topologa entre sitios mejorado Controladores de dominio admitidos Windows NT 4.0, Windows 2000, familia de Windows Server 2003 Windows NT 4.0, familia de Windows Server 2003
34
Instalacin de Active Directory en Windows Server 2003 (continuacin) Nivel funcional de bosque Windows Server 2003 Caractersticas habilitadas Todas las de la versin preliminar de Windows Server 2003, ms: Clases auxiliares dinmicas Cambio de usuario a INetOrgPerson Desactivacin y reactivacin de esquemas Cambio de nombre de los dominios Confianza de bosque Controladores de dominio admitidos Familia de Windows Server 2003
Una vez que se ha aumentado el nivel funcional del bosque, los controladores de dominio que ejecutaban sistemas operativos anteriores no se pueden introducir en el bosque. Por ejemplo, si aumenta un nivel funcional de bosque a Windows Server 2003, los controladores de dominio que ejecutaban Windows 2000 Server no se pueden agregar al bosque. Existe un nivel funcional de bosque adicional, denominado Windows Server 2003 versin preliminar. Utilice este nivel si est actualizando el primer dominio de Windows NT de manera que se convierta en el primer dominio de un nuevo bosque de la familia de Windows Server 2003. Precaucin Cambiar el nivel funcional del bosque es un procedimiento irreversible. Una vez que se ha aumentado el nivel funcional de bosque, no puede reducirse. Informacin adicional Para obtener ms informacin sobre niveles funcionales de bosque y de dominio, consulte el artculo Domain and forest functionality (en ingls) en el sitio Web de Microsoft Technet en http://www.microsoft.com/technet
35
Cmo se cambia el nivel funcional de dominio
Introduccin
Un dominio de Active Directory funcionar en uno de los cuatro niveles funcionales, segn los sistemas operativos instalados en los controladores de dominio. De forma predeterminada, un nuevo dominio de Active Directory trabaja en el nivel funcional de Windows 2000 mixto, que proporciona soporte para controladores de dominio que utilizan Microsoft Windows NT 4.0, Microsoft Windows 2000 y la familia de Windows Server 2003. Conforme reemplaza los controladores de dominio que usan versiones anteriores de los sistemas operativos, puede aumentar el nivel funcional del dominio para aprovechar las caractersticas de Active Directory que estn disponibles slo en niveles funcionales superiores.
Procedimiento
Para elevar el nivel funcional de dominio: 1. Abra Usuarios y equipos de Active Directory o Dominios y confianza de Active Directory desde el men Herramientas administrativas. 2. En el rbol de la consola, haga clic con el botn secundario del mouse (ratn) en el dominio y, a continuacin, haga clic en Elevar el nivel funcional de dominio. 3. En el cuadro de dilogo Elevar el nivel funcional de dominio, en la lista Seleccione un nivel funcional del dominio disponible, elija el nivel adecuado y, a continuacin, haga clic en Elevar. Precaucin Puede elevar el nivel funcional de un dominio, sin embargo, no puede reducirlo.
36
Debate de clase: Cambio del nivel funcional de dominio
Situacin de ejemplo
Ha determinado que las siguientes condiciones deben existir en la red:
No estar utilizando ningn controlador de dominio de Windows NT 4.0 o Windows 2000 en el dominio. Desea aprovechar todas las ventajas que ofrece Active Directory. Decide convertir el dominio de modo mixto a modo nativo.
Pregunta del debate
Qu ocurrira si an hubiera controladores de dominio de Windows NT 4.0 funcionando en el entorno despus de convertir el dominio de modo mixto a modo nativo? ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________ ________________________________________________________________
THIS PAGE INTENTIONALLY LEFT BLANK

Active Dierctory PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Active Dierctory PDF

Cargado por

Copyright:

Formatos disponibles

Instalacin de Active Directory en Windows Server 2003

Instalacin de Active Directory en Windows Server 2003

Instalacin de Active Directory en Windows Server 2003

Leccin: Fundamentos de Active Directory

Introduccin Objetivos de la leccin

Instalacin de Active Directory en Windows Server 2003

Qu es el servicio de directorio Active Directory

Instalacin de Active Directory en Windows Server 2003

Instalacin de Active Directory en Windows Server 2003

Qu son los dominios y los controladores de dominio

Instalacin de Active Directory en Windows Server 2003

Cuntos controladores de dominio hay en un dominio

Instalacin de Active Directory en Windows Server 2003

Comparacin entre sincronizacin y replicacin

Comparaciones entre sincronizacin y replicacin

Dnde se propagan los cambios?

Los cambios realizados en el PDC se replican en el BDC.

Instalacin de Active Directory en Windows Server 2003

Qu es una unidad organizativa

Ventajas del uso de unidades administrativas

Instalacin de Active Directory en Windows Server 2003

Qu son rboles, bosques y confianzas

Ejemplo de una estructura con un nico rbol

Instalacin de Active Directory en Windows Server 2003

Ejemplo de una estructura con varios rboles

Ejemplo de una estructura con varios bosques

Nota El bosque es el mximo lmite de seguridad.

Instalacin de Active Directory en Windows Server 2003

Relaciones de confianza de Active Directory

Relaciones de confianza de uso frecuente

stas son las relaciones de confianza utilizadas con ms frecuencia:

Instalacin de Active Directory en Windows Server 2003

Por qu se crea un sitio

Comparacin de sitios y dominios

Instalacin de Active Directory en Windows Server 2003

Estructura de esquema: clases y atributos

Caractersticas de los esquemas

Instalacin de Active Directory en Windows Server 2003

El almacenamiento del esquema en una base de datos significa que el esquema:

Dnde se almacena el esquema

Instalacin de Active Directory en Windows Server 2003

Leccin: Instalacin de Active Directory

Introduccin Objetivos de la leccin

Instalacin de Active Directory en Windows Server 2003

Requisitos de instalacin de Active Directory

Instalacin de Active Directory en Windows Server 2003

La contrasea de la cuenta El nombre del dominio

Especificacin de las opciones de instalacin para controladores de dominio

Instalacin de Active Directory en Windows Server 2003

Mtodos para agregar un controlador de dominio a un dominio existente

Comparacin de las formas de agregar un controlador de dominio

Existen dos formas de agregar un controlador de dominio a un dominio existente:

Instalacin de Active Directory en Windows Server 2003

Cmo agregar un controlador de dominio a un dominio existente

Controlador de dominio adicional

Efectos de promover un servidor a controlador de dominio

Instalacin de Active Directory en Windows Server 2003

Cmo instalar Active Directory a partir de medios de copia de seguridad

Instalacin de Active Directory en Windows Server 2003

Cmo crear un rbol en un bosque existente

Contrasea de administrador del Modo de restauracin de servicios de directorio

Efectos de crear un rbol en un bosque existente

Instalacin de Active Directory en Windows Server 2003