Conceptos bsicos Resumen Tcnico de Active Directory Windows 2000 Sistema Operativo de Servidor Documentos Estratgicos Resumen Introduccin

Este documento proporciona una introduccin tcnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microso t! Este documento incluye e"plicaciones detalladas de los conceptos importantes del Active Directory, elementos ar#uitectnicos y caracter$sticas! %a seccin &onceptos 'mportantes descri(e los trminos #ue necesita comprender antes de a(ordar el Active Directory mismo! %as siguientes dos secciones, Ar#uitectura y )unciones del Active Directory entran m*s en detalle so(re lo #ue reali+a el Active Directory, #u caracter$sticas trae a Windows y como est* implementado! %a seccin Migracin cu(re modelos de dominio de migracin y estructuras de directorio de Windows ,- .!0 a Windows 2000! %a /ltima seccin, 0reguntas M*s )recuentes, responde preguntas so(re el Active Directory y cmo unciona! 1n directorio es una uente de in ormacin usada para almacenar in ormacin so(re o(2etos interesantes! 1n directorio tele nico almacena in ormacin so(re los su(scriptores! En un sistema de arc3ivo, el directorio almacena in ormacin so(re los arc3ivos! En un sistema computacional distri(uido o una red computacional p/(lica como 'nternet, 3ay muc3os o(2etos interesantes, tales como impresoras, servidores de a", aplicaciones, (ases de datos y otros usuarios! %os usuarios #uieren encontrar y usar estos o(2etos! %os administradores #uieren mane2ar como se usan estos o(2etos! En este documento, los 4trminos directorio4 y 4servicio de directorio4 se re ieren a los directorios #ue se encuentran en redes p/(licas y privadas! 1n servicio de directorio di iere de un directorio en #ue es tanto la uente de in ormacin del directorio como los servicios #ue 3acen la in ormacin disponi(le y utili+a(le para los usuarios! 1n servicio de directorio es uno de los m*s importantes componentes de un sistema computacional e"tenso! &on recuencia los usuarios y los administradores no sa(en el nom(re e"acto de los o(2etos en los cuales est*n interesados! 0ueden conocer uno o m*s atri(utos de los o(2etos y pueden consultar el directorio para o(tener una lista de o(2etos #ue igualen los

atri(utos5 por e2emplo, 4Encuentre todas las impresoras (idireccional en el Edi icio 264! 1n servicio de directorio le permite al usuario encontrar cual#uier o(2eto dada uno de sus atri(utos! 1n servicio de directorio puede5

Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes m ltiples para permitir el almacena!e de un gran n mero de ob!etos.

"n servicio de directorio es tanto una herramienta de mane!o como una herramienta de usuario final. #onforme aumenta el n mero de ob!etos en una red$ el servicio de directorio se vuelve esencial. %l servicio de directorio es el e!e alrededor del cual gira un gran sistema distribuido. %l &ctive Directory es el servicio de directorio incluido en el Servidor 'indo(s )***. &mpl+a las caracter+sticas de previos servicios de directorio basados en 'indo(s y agrega caracter+sticas totalmente nuevas. %l &ctive Directory es seguro$ distribuido$ separado$ y duplicado. %st dise,ado para funcionar bien en instalaciones de cualquier tama,o$ desde un solo servidor con unos cuantos cientos de ob!etos hasta miles de servidores y millones de ob!etos. %l &ctive Directory agrega muchas caracter+sticas nuevas que hacen fcil navegar y mane!ar grandes cantidades de informacin$ generando ahorros de tiempo tanto para los administradores como para los usuarios finales. Conceptos Importantes &lgunos conceptos y trminos que son empleados para describir al &ctive Directory son nuevos y algunos no lo son. Desafortunadamente$ algunos de los trminos que han e-istido por un tiempo son usados para que signifiquen ms que una cosa en particular. &ntes de continuar$ es importante que entienda como se definen los siguientes conceptos y trminos en el conte-to del &ctive Directory. %l campo del &ctive Directory es amplio. .uede incluir todos los ob!etos /impresora$ archivo o usuario0$ cada servidor y cada dominio en una sola red de rea amplia. 1ambin puede incluir varias redes de rea amplia combinadas$ as+ es que es importante tener en mente que el &ctive Directory puede escalar desde una sola computadora$ a una sola red computacional$ hasta muchas redes computacionales combinadas. %l &ctive Directory es principalmente un espacio para nombres$ como cualquier servicio de directorio. %l directorio es un espacio para nombres. "n espacio para nombres es cualquier rea limitada en la cual puede ser incluido un nombre dado. 2a inclusin del nombre es el proceso de adaptar un nombre a alg n ob!eto o informacin que representa. "n directorio telefnico forma un espacio para nombres para el cual los nombres de los subscriptores de telfono pueden ser incluidos en n meros telefnicos. %l sistema de

archivo de 'indo(s forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo. %l &ctive Directory forma un espacio para nombres en el cual el nombre de un ob!eto en el directorio puede ser incluido al ob!eto mismo. "n ob!eto es un !uego de nombres preciso de atributos que representa algo en concreto$ como un usuario$ una impresora$ o una aplicacin. 2os atributos mantienen datos que describen al su!eto que es identificado por el ob!eto del directorio. 2os atributos de un usuario pueden incluir su nombre$ apellido y direccin de correo electrnico.

Figura 1. Un objeto de usuario y sus atributos "n contenedor es como un ob!eto en que tiene atributos y es parte del espacio para nombres del &ctive Directory. Sin embargo$ a diferencia de un ob!eto$ no representa algo en concreto. %s un contenedor para un grupo de ob!etos y otros contenedores. "n rbol /tree0 se usa en todo este documento para describir una !erarqu+a de ob!etos y contenedores. 2os puntos finales en el rbol son usualmente ob!etos. 2os nudos en el rbol /los puntos donde salen ramas0 son contenedores. "n rbol muestra como son conectados los ob!etos o el camino de un ob!eto a otro. "n simple directorio es un contenedor. "na red computacional o dominio es tambin un contenedor. "n subrbol colindante es cualquier camino ininterrumpido en el rbol$ incluyendo todos los miembros de cualquier contenedor en ese camino.

Figura 2. Un subrbol colindante de un directorio de archivo Se usa un nombre /name0 para identificar cada ob!eto en el &ctive Directory. Hay dos tipos diferentes de nombres.

Nombre nico #ada ob!eto en el &ctive Directory tiene un nombre nico /Distinguished 3ame$ D30. %l nombre nico identifica el dominio que conserva el ob!eto$ as+ como el camino completo a travs de la !erarqu+a del contenedor por el cual se llega al ob!eto. "n t+pico D3 puede ser !"Internet #C"C!$ #C"$icroso%t CN"Users CN"&ames'mith %ste D3 identifica al ob!eto de usuario 45ames Smith4 en el dominio 6icrosoft.com

Figura (. Una representaci)n gr%ica de un nombre *nico Nombre *nico +elativo %l 3ombre nico Relativo /Relative Distinguished 3ame $ RD30 de un ob!eto es la parte del nombre la cual es un atributo del ob!eto mismo. %n el siguiente e!emplo$ el RD3 del usuario 45ames Smith4 es #375ames Smith. %l RD3 del ob!eto principal es #37"sers. %l &ctive Directory est compuesto de uno a ms conte-tos para dar nombres o particiones. "n conte-to para dar nombres es cualquier subrbol colindante del directorio. 2os conte-tos para dar nombres son las unidades de duplicado. %n el &ctive Directory$ un solo servidor conserva siempre por lo menos tres conte-tos para dar nombres. %l esquema 2a configuracin /topolog+a de particin y metadatos relacionados0 "no o ms conte-tos para dar nombres de usuario /subrboles conteniendo los ob!etos reales en el directorio0. "n dominio es un solo l+mite de seguridad de una red computacional de 'indo(s 31 o 'indo(s )***. /.ara ms informacin sobre dominios$ vea la documentacin de 'indo(s0. %l &ctive Directory est compuesto de uno o ms dominios. %n una sola estacin de traba!o$ el dominio es la computadora misma. "n dominio puede conectar ms de una ubicacin f+sica. #ada dominio tiene sus propias pol+ticas de seguridad y relaciones de seguridad con otros dominios. #uando dominios m ltiples son conectados por relaciones de confianza y comparten un esquema com n$ configuracin$ y catlogo global$ tienen un rbol dominio. &rboles de dominio m ltiples pueden conectarse !untos

en un bosque. "n rbol de dominio comprende varios dominios que comparten un esquema com n y configuracin$ formando un colindante espacio para nombres. 2os dominios en un rbol estn tambin vinculados por relaciones de confianza. %l &ctive Directory es un con!unto de uno o ms rboles. 2os rboles pueden ser vistos de dos maneras. "na manera es las relaciones de confianza entre los dominios. 2a otra es el espacio para nombres del rbol de dominio. ,isuali-ando las +elaciones de con%ian-a .uede trazar un dibu!o de un rbol de dominio basado en los dominios individuales y de cmo conf+an uno en el otro. 'indo(s )*** establece las relaciones de confianza entre los dominios basndose en el protocolo de seguridad 8erberos. 2a confianza de 8erberos es transitiva y !errquica$ si el dominio & conf+a en el dominio 9 y dominio 9 conf+a en dominio #$ dominio & conf+a tambin en el dominio #.

Figura .. Un rbol de dominio visto en t/rminos de sus relaciones de con%ian-a. ,isuali-ando el 0spacio para nombres 1ambin puede hacer un dibu!o de un rbol de dominio basado en el espacio para nombres /3amespace0. .uede determinar el nombre nico de un ob!eto siguiendo el camino hacia el espacio para nombres del rbol de dominio. %sta vista es til para agrupar ob!etos en una !erarqu+a lgica. 2a principal venta!a de un colindante espacio para nombres es que una b squeda intensa desde la ra+z del espacio para nombres buscar en la !erarqu+a completa.

Figura 1. ,iendo un rbol dominio como espacio para nombres "n bosque es un con!unto de uno o ms rboles que 3: forman un espacio para nombres colindante. 1odos los rboles en un bosque comparten un esquema com n$ configuracin$ y #atalogo ;lobal. 1odos los rboles en un bosque dado conf+an uno en el otro v+a relaciones de confianza 8erberos transitivas !errquicas. & diferencia de un rbol$ un bosque no necesita un nombre nico. "n bosque e-iste como un con!unto de ob!etos de referencia rec+proca y relaciones de confianza 8erberos conocidas para los rboles miembros. 2os rboles en un bosque forman una !erarqu+a para los propsitos de confianza 8erberos< el nombre del rbol en la ra+z del rbol de confianza puede ser usado para referirse a un bosque dado.

Figura 2. 3rboles m*ltiples en un bos4ue "n sitio /site0 es una ubicacin en una red que contiene servidores de &ctive Directory. "n sitio se define como una o ms subredes 1#.=>. bien conectadas. 49ien conectadas4 significa que la conectividad de la red es altamente confiable y rpida /por e!emplo? velocidades de 2&3 /red local0 de @* millones de bits por segundo o mayores0. Definir un sitio como un con!unto de subredes permite a los administradores configurar rpidamente y fcilmente el acceso al &ctive Directory y la topolog+a de replicacin para tomar venta!a de la red f+sica. #uando un usuario se conecta$ el cliente del &ctive Directory encuentra servidores del &ctive Directory en el mismo sitio que el usuario. Aa que las mquinas en el mismo sitio estn cerca una de otra en trminos de red$ la comunicacin entre las mquinas es confiable$ rpida y eficiente. Determinar el sitio local en tiempo de cone-in se logra fcilmente debido a que la estacin de traba!o del usuario ya sabe en que subred 1#.=>. se encuentra$ y las subredes se adaptan directamente a los sitios del &ctive Directory. 5r4uitectura %sta corta seccin presenta algunos de los principales componentes arquitectnicos del &ctive Directory. %l modelo de datos del &ctive Directory se deriva del modelo de datos B.C**. %l directorio conserva ob!etos que representan cosas de diferentes tipos$ descritos por caracter+sticas. %l universo de ob!etos que pueden ser almacenados en el directorio est definido en el esquema. .ara cada clase de ob!etos$ el esquema define qu atributos debe tener un e!emplo del grupo$ qu atributos adicionales puede tener y qu clase de ob!etos puede ser matriz de la actual clase de ob!etos. %l esquema del &ctive Directory es implementado como un con!unto de instancias de clase de ob!eto almacenados en el directorio. %s muy diferente a muchos directorios que tienen un esquema$ pero los almacena como un archivo de te-to para leerse al iniciar. .or e!emplo$ las aplicaciones del usuario pueden leer el esquema para descubrir qu ob!etos y propiedades estn disponibles.

5r4uitectura de 5ctive #irectory Sistema operativo Not s de! producto

Resumen
0ara usar el sistema operativo Microso t7 Windows7 2000 Server con la m*"ima e icacia, primero de(e comprender #u es el servicio de directorio Active Directory8! Active Directory, una novedad del sistema operativo Windows 2000, desempe9a una uncin importante en la implementacin de la red de la organi+acin y, por tanto, en conseguir sus o(2etivos comerciales! Este documento presenta Active Directory a los administradores de red, e"plica su ar#uitectura y descri(e cmo interact/a con las aplicaciones y con otros servicios de directorio! El presente documento se (asa en la in ormacin disponi(le en el momento de pu(licarse la versin :eta ; de Windows 2000! %a in ormacin proporcionada a#u$ est* su2eta a cam(ios antes de la versin inal de Windows 2000 Server!

Introduccin
&omprender el servicio de directorio Active Directory8 es el primer paso para entender cmo unciona el sistema operativo Windows7 2000 y lo #ue puede 3acer para ayudarle a alcan+ar sus o(2etivos empresariales! En este documento se e"amina Active Directory desde estas tres perspectivas5 5lmac/n. &ctive Directory$ el servicio de directorio de 'indo(s )*** Server$ almacena de forma !errquica la informacin acerca de los ob!etos de la red$ y la pone a disposicin de administradores$ usuarios y aplicaciones. %n la primera seccin de este documento se e-plica lo que es un servicio de directorio$ la integracin del servicio &ctive Directory con el Sistema de nombres de dominio /D3S0 de >nternet y cmo se actualiza &ctive Directory cuando se designa un servidor como controlador de dominio@. 0structura. #on &ctive Directory$ la red y sus ob!etos se organizan mediante elementos como dominios$ rboles$ bosques$ relaciones de confianza$ unidades organizativas /:"0 y sitios. %n la pr-ima seccin de este documento se describe la estructura y la funcin de estos componentes de &ctive Directory$ y cmo esta estructura permite a los administradores controlar la red de modo que los usuarios puedan alcanzar sus ob!etivos empresariales. Intercomunicaci)n. .uesto que &ctive Directory se basa en los protocolos estndar de acceso a directorios$ puede interoperar con otros servicios de directorio y otras aplicaciones de terceros que sigan estos protocolos pueden tener acceso a l. %n la ltima seccin se describe cmo &ctive Directory puede comunicarse con numerosas tecnolog+as.

"ent # s de Active Directory

%a inclusin de Active Directory en el sistema operativo Windows 2000 proporciona las siguientes venta2as5 Integraci)n con #N'. &ctive Directory utiliza el Sistema de nombres de dominio /D3S0. D3S es un servicio estndar de >nternet que traduce los nombres de equipo legibles por los humanos /como miequipo.microsoft.com0 en direcciones numricas /cuatro n meros separados por puntos0 de .rotocolo de >nternet />.0 legibles por los equipos. De esta forma$ los procesos que se e!ecutan en equipos que estn en redes 1#.=>. pueden identificarse y conectarse entre s+. Consultas %le6ibles. 2os usuarios y los administradores pueden utilizar el comando 7uscar del men Inicio$ el icono $is sitios de red del escritorio o el complemento "suarios y equipos de &ctive Directory para buscar rpidamente un ob!eto de la red mediante sus propiedades. .or e!emplo$ puede buscar un usuario por nombre$ apellido$ nombre de correo electrnico$ ubicacin en la oficina u otras propiedades de su cuenta de usuario. 2a b squeda de informacin est optimizada gracias al uso del catlogo global. Capacidad de ampliaci)n. &ctive Directory es ampliable$ lo que significa que los administradores pueden agregar nuevas clases de ob!etos al esquema y nuevos atributos a las clases e-istentes de ob!etos. %l esquema contiene una definicin de cada clase de ob!eto y los atributos de las mismas$ que se pueden almacenar en el directorio. .or e!emplo$ podr+a agregar un atributo &utorizacin de compra al ob!eto "suario y despus almacenar el l+mite de autorizacin de compra de cada usuario como parte de su cuenta. 5dministraci)n basada en pol8ticas. 2as pol+ticas de grupo son valores de configuracin que se aplican a equipos o usuarios cuando se inicializan. 1odos los valores de .ol+tica de grupo estn contenidos en los :b!etos de pol+tica de grupo /;.:0 que se aplican a sitios$ dominios o unidades organizativas de &ctive Directory. 2os valores de ;.: determinan el acceso a ob!etos de directorios y recursos de dominios$ a qu recursos de dominios /como las aplicaciones0 tienen acceso los usuarios y cmo estn configurados dichos recursos. 0scalabilidad. &ctive Directory incluye uno o varios dominios$ cada uno de los cuales tiene uno o varios controladores$ lo que permite escalar el directorio para satisfacer cualquier requisito de red. %s posible combinar varios dominios en un rbol de dominios y varios rboles en un bosque. %n la estructura ms simple$ una red con un nico dominio es a la vez un nico rbol y un nico bosque. +eplicaci)n de la in%ormaci)n. &ctive Directory utiliza la replicacin de m ltiples maestros$ que permite actualizar el directorio en cualquier controlador de dominio. &l distribuir varios controladores de dominio en un nico dominio se proporciona tolerancia a errores y equilibrio de la carga. Si un controlador de dominio se vuelve lento$ se detiene o produce un error$ otros controladores del mismo dominio pueden proporcionar el acceso necesario al directorio$ ya que contienen los mismos datos. 'eguridad de la in%ormaci)n. 2a administracin de la autenticacin de usuarios y el control de acceso$ ambos integrados plenamente en &ctive Directory$ son caracter+sticas de seguridad clave del sistema operativo 'indo(s )***. &ctive Directory centraliza la autenticacin. %l control de acceso puede definirse no slo para cada ob!eto del directorio$ sino tambin para todas las propiedades de cada ob!eto. &dems$ &ctive Directory proporciona el almacn y el mbito de aplicacin de las pol+ticas de seguridad. /.ara obtener ms informacin acerca

de la autenticacin de inicio de sesin y el control de acceso de &ctive Directory$ consulte la seccin 4.ara obtener ms informacin4 al final de este documento.0 Interoperabilidad. .uesto que &ctive Directory se basa en protocolos estndar de acceso a directorios$ como el .rotocolo compacto de acceso a directorios /2D&.0$ puede interoperar con otros servicios de directorio que empleen estos protocolos. Darias interfaces de programacin de aplicaciones /&.>0$ como las >nterfaces de servicio de &ctive Directory /&DS>0$ ofrecen a los programadores acceso a estos protocolos.

El inal de este documento, en 4Apndice A5 <erramientas4, se proporciona una (reve introduccin a las 3erramientas de software #ue puede utili+ar para llevar a ca(o las tareas asociadas a Active Directory!

$ervicio de directorio Active Directory

Antes de pasar a las secciones principales de este documento, la ar#uitectura e interopera(ilidad de Active Directory, en esta seccin preliminar se e"amina (revemente Active Directory desde dos puntos de vista muy di erentes5 %l primero es el lado ms abstracto de &ctive Directory$ es decir$ como un espacio de nombres que est integrado con el Sistema de nombres de dominio /D3S0 de >nternet. %l segundo es el lado ms cotidiano de &ctive Directory$ es decir$ como el software que convierte a un servidor en un controlador de dominio. En el conte"to de una red de e#uipos, un directorio =tam(in denominado almacn de datos> es una estructura 2er*r#uica #ue almacena in ormacin acerca de los objetos de la red! %os o(2etos incluyen recursos compartidos como servidores, vol/menes compartidos e impresoras, cuentas de usuarios y e#uipos, as$ como dominios, aplicaciones, servicios, pol$ticas de seguridad y cual#uier elemento de la red! 1n e2emplo de los tipos espec$ icos de in ormacin #ue un directorio de red puede almacenar acerca de un determinado tipo de o(2eto es a#ul en el #ue un directorio normalmente almacena un nom(re de usuario, una clave de acceso, una direccin de correo electrnico, un n/mero de tel ono, etc! de una cuenta de usuario! %a di erencia entre un servicio de directorio y un directorio es #ue se re iere tanto al origen de in ormacin del directorio como a los servicios #ue posi(ilitan #ue la in ormacin est disponi(le y al alcance de los administradores, los usuarios, los servicios de red y las aplicaciones! En una situacin ideal, un servicio de directorio 3ace #ue la topolog$a de la red $sica y los protocolos = ormatos para transmitir datos entre dos dispositivos> sean transparentes, de modo #ue un usuario pueda tener acceso a cual#uier recurso sin sa(er dnde ni cmo est* conectado $sicamente! Siguiendo con el e2emplo de la cuenta de usuario, es el servicio de directorio el #ue permite #ue otros usuarios autori+ados de la misma red tengan acceso a la in ormacin de directorio almacenada =como una direccin de correo electrnico> acerca del o(2eto de cuenta de usuario!

%os servicios de directorio admiten numerosas capacidades! Algunos servicios de directorio est*n integrados en un sistema operativo y otros son aplicaciones, como los directorios de correo electrnico! %os servicios de directorio del sistema operativo, como Active Directory, proporcionan administracin de usuarios, e#uipos y recursos compartidos! %os servicios de directorio #ue administran el correo electrnico, como Microso t E"c3ange, permiten #ue los usuarios (us#uen a otros usuarios y env$en correo electrnico! Active Directory, el nuevo centro de servicios de directorio para el sistema operativo Windows 2000 Server, slo se e2ecuta en controladores de dominio! Active Directory, adem*s de proporcionar un lugar para almacenar datos y servicios para #ue estn disponi(les dic3os datos, tam(in protege los o(2etos de la red rente al acceso no autori+ado y los replica a travs de una red para #ue no se pierdan datos si se produce un error en un controlador de dominio!

Active Directory incorpor DN$

-anto Active Directory como D,S son espacios de nom(res! 1n espacio de nombres es cual#uier *rea limitada donde se puede resolver un nom(re dado! %a resolucin de nom(res es el proceso de traducir un nom(re en alg/n o(2eto o in ormacin #ue representa dic3o nom(re! 1na li(reta de tel onos orma un espacio de nom(res en el #ue los nom(res de los a(onados tele nicos pueden resolverse a n/meros de tel ono! El sistema de arc3ivos ,-)S de Windows 2000 orma un espacio de nom(res en el #ue el nom(re de un arc3ivo puede resolverse al arc3ivo propiamente dic3o!

DN$ e Internet
Entender cmo Windows 2000 trata los espacios de nom(res de Active Directory y D,S re#uiere comprender algunos conceptos (*sicos acerca del propio D,S y su relacin con 'nternet y -&0?'0! 'nternet es una red -&0?'0! %os protocolos de comunicaciones -&0?'0 conectan e#uipos y les permiten transmitir datos a travs de las redes! -odos los e#uipos de 'nternet o de cual#uier otra red -&0?'0 =como muc3as redes de Windows> tienen una direccin '0! D,S encuentra los hosts -&0?'0 =e#uipos> mediante la resolucin de los nom(res de e#uipo #ue los usuarios inales entienden a las direcciones '0 #ue los e#uipos entienden! %as direcciones '0 de 'nternet se administran mediante la (ase de datos de D,S distri(uida glo(almente, pero tam(in es posi(le implementar D,S localmente para administrar direcciones de redes -&0?'0 privadas! D,S, #ue est* organi+ado en una 2erar#u$a de dominios, convierte toda la red 'nternet en un /nico espacio de nom(res! D,S tiene varios dominios de nivel superior #ue, a su ve+, se su(dividen en dominios de segundo nivel! 1na autoridad de 'nternet =actualmente, 'nternet ,etwor@ 'n ormation &enter, o 'nter,'&> administra la ra$+ del espacio de nom(res de dominios de 'nternetA esta autoridad delega la responsa(ilidad administrativa de los dominios de nivel superior del espacio de nom(res de D,S y registra los nom(res de dominio de segundo nivel! %os dominios de nivel superior son las categor$as de dominios conocidas5 comercial =!com>, educacin =!edu>, go(ierno =!gov>, etc! )uera de los Estados 1nidos se utili+an cdigos de regin o de pa$s de dos letras, como !m" para M"ico o !es para Espa9a! %os dominios de segundo nivel

representan espacios de nom(res #ue se registran ormalmente a nom(re de instituciones =e individuos> para proporcionarles una presencia en 'nternet! En la igura B se muestra cmo se conecta la red de una organi+acin al espacio de nom(res D,S de 'nternet!

%i&ur '( Cmo enc # )icroso*t en e! esp cio de nombres DN$ de Internet

Inte&r cin de !os esp cios de nombres de DN$ y de Active Directory

%a integracin de D,S y Active Directory es una caracter$stica undamental del sistema operativo Windows 2000 Server! %os dominios de D,S y los dominios de Active Directory usan nom(res de dominio idnticos para espacios de nom(res distintos! 0uesto #ue los dos espacios de nom(res comparten una estructura de dominios idntica, es importante comprende #ue no se trata del mismo espacio de nom(res! &ada uno almacena datos di erentes y, por tanto, administra o(2etos distintos! D,S almacena sus +onas 2 y registros de recursos, mientras #ue Active Directory almacena sus dominios y o(2etos de dominio! %os nom(res de dominio de D,S se (asan en la estructura de nomenclatura 2er*r#uica de D,S, #ue es una estructura de *r(ol invertido5 un /nico dominio ra$+, (a2o el cual est*n los dominios principales y secundarios =ramas y 3o2as>! 0or e2emplo, un nom(re de dominio de Windows 2000 como secundario!principal!microso t!com identi ica un dominio denominado secundario, #ue es un dominio secundario del dominio llamado principal #ue, a su ve+, es secundario del dominio microso t!com! &ada e#uipo de un dominio D,S se identi ica de manera /nica mediante su nom(re de dominio completo =)CD,>! El )CD, de un e#uipo #ue se encuentra

en el dominio secundario!principal!microso t!com es nombreEquipo!secundario!principal!microso t!com! &ada dominio de Windows 2000 tiene un nom(re D,S =por e2emplo, ,om(reOrg!com> y cada e#uipo con Windows 2000 tiene un nom(re D,S =por e2emplo, Servidor&uentas!,om(reOrg!com>! As$, los dominios y los e#uipos se representan como o(2etos de Active Directory y como nodos de D,S =un nodo en la 2erar#u$a D,S representa un dominio o un e#uipo>! -anto D,S como Active Directory utili+an una (ase de datos para resolver nom(res5 #N' es un servicio de resoluci)n de nombres. D3S resuelve los nombres de dominio y de equipo a direcciones >. mediante solicitudes que hacen los servidores D3S en forma de consultas a la base de datos. %n concreto$ los clientes D3S env+an consultas de nombres a su servidor D3S configurado. %l servidor D3S recibe la consulta de nombre y la resuelve mediante archivos almacenados localmente o consulta a otro servidor D3S para que la resuelva. D3S no requiere &ctive Directory para funcionar. 5ctive #irectory es un servicio de directorio. &ctive Directory resuelve los ob!etos de nombre de dominio a registros de ob!eto mediante las solicitudes que hacen los controladores de dominio$ como una b squeda del .rotocolo compacto de acceso a directorios /2D&.0E o solicitudes de modificacin de la base de datos de &ctive Directory. %spec+ficamente$ los clientes de &ctive Directory utilizan 2D&. para enviar consultas a los servidores de &ctive Directory. .ara buscar un servidor de &ctive Directory$ un cliente de &ctive Directory consulta a D3S. %s decir$ &ctive Directory usa D3S como servicio de b squeda para resolver nombres de dominios$ sitios y servicios de &ctive Directory a una direccin >.. .or e!emplo$ para iniciar la sesin en un dominio de &ctive Directory$ un cliente de &ctive Directory consulta a su servidor D3S configurado la direccin >. del servicio 2D&. que se e!ecuta en un controlador de un dominio especificado. &ctive Directory requiere D3S para funcionar. En la pr*ctica, para comprender #ue los espacios de nom(res de D,S y de Active Directory en un entorno Windows 2000 son di erentes, es necesario entender #ue un registro de 3ost de D,S, #ue representa un e#uipo espec$ ico en una +ona de D,S, se encuentra en un espacio de nom(res di erente del o(2eto de cuenta de e#uipo de dominio de Active Directory #ue representa el mismo equipo! En resumen, Active Directory est* integrado con D,S de las siguientes ormas5 9os dominios de 5ctive #irectory y los dominios de #N' tienen la misma estructura jerr4uica. &unque son independientes y se implementan de forma diferente para propsitos distintos$ los espacios de nombres de una organizacin para dominios de D3S y de &ctive Directory tienen una estructura idntica. .or e!emplo$ microsoft.com es un dominio de D3S y un dominio de &ctive Directory. 9as -onas de #N' pueden almacenarse en 5ctive #irectory. Si utiliza el servicio D3S de 'indo(s )***$ es posible almacenar las zonas principales en &ctive Directory para replicarlas en otros controladores de dominio de &ctive Directory y proporcionar seguridad me!orada al servicio D3S. 9os clientes de 5ctive #irectory utili-an #N' para buscar controladores de dominio. .ara buscar el controlador de un dominio espec+fico$ los clientes de

&ctive Directory consultan su servidor D3S configurado en busca de registros de recursos espec+ficos.

Active Directory y e! esp cio de nombres &!ob ! de DN$

Active Directory est* dise9ado de orma #ue pueda e"istir en el *m(ito del espacio de nom(res glo(al de D,S de 'nternet! &uando una organi+acin #ue utili+a Windows 2000 Server como sistema operativo de red re#uiere presencia en 'nternet, el espacio de nom(res de Active Directory se mantiene como uno o varios dominios 2er*r#uicos de Windows 2000 (a2o un dominio ra$+ #ue est* registrado como un espacio de nom(res de D,S! =1na organi+acin puede decidir no ormar parte del espacio de nom(res glo(al de D,S de 'nternet, pero si lo 3ace, sigue siendo necesario el servicio D,S para (uscar e#uipos (asados en Windows 2000!> Seg/n las convenciones de nomenclatura de D,S, cada parte de un nom(re D,S separado por un punto =(> representa un nodo en la estructura 2er*r#uica en *r(ol de D,S y un nom(re de dominio de Active Directory potencial en la estructura 2er*r#uica en *r(ol de dominios de Windows 2000! -al como se muestra en la igura 2, la ra$+ de la 2erar#u$a D,S es un nodo #ue tiene una eti#ueta nula =4 4>! %a ra$+ del espacio de nom(res de Active Directory =la ra$+ del (os#ue> no tiene principal y proporciona el punto de entrada de %DA0 a Active Directory! %i&ur 2( Comp r cin de ! s r +ces de !os esp cios de nombres de DN$ y de Active Directory

Re&istros de recursos $R" y ctu !i, ciones dinmic s

D,S e"iste independientemente de Active Directory, mientras #ue Active Directory est* dise9ado espec$ icamente para tra(a2ar con D,S! 0ara #ue Active Directory uncione correctamente, los servidores D,S de(en admitir registros de recursos de u(icacin de servicio =SDE> .! %os registros de recursos SDE asignan el nom(re de un servicio al nom(re de un servidor #ue o rece dic3o servicio! %os controladores de dominio y los clientes de Active Directory utili+an los registros de recursos SDE para averiguar las direcciones '0 de los controladores de dominio! Not 0ara o(tener m*s in ormacin acerca de cmo planear la distri(ucin de servidores D,S como apoyo a los dominios de Active Directory, as$ como otras cuestiones relacionadas con la distri(ucin, consulte la Gua de diseo de la distribucin de Microsoft Windows 2 Server en la seccin 40ara o(tener m*s in ormacin4 de este documento! Adem*s del re#uisito de #ue los servidores D,S de una red de Windows 2000 admitan registros de recursos SDE, Microso t tam(in recomienda #ue los servidores D,S admitan las actuali+aciones din*micas de D,S F! %as actuali+aciones din*micas de D,S de inen un protocolo para actuali+ar din*micamente un servidor D,S con valores nuevos o modi icados! Sin el protocolo de actuali+acin din*mica de D,S, los administradores de(en con igurar manualmente los registros creados por los controladores de dominio y almacenados por los servidores D,S! El nuevo servicio D,S de Windows 2000 admite tanto los registros de recursos SDE como las actuali+aciones din*micas! Si decide utili+ar un servidor D,S

#ue no est (asado en Windows 2000, de(e compro(ar #ue admite los registros de recursos SDE o actuali+arlo a una versin #ue los admita! En el caso de un servidor D,S 3eredado #ue admita registros de recursos SDE pero no admita actuali+aciones din*micas, se de(en actuali+ar manualmente sus registros de recursos cuando se promueva un e#uipo con Windows 2000 Server a controlador de dominio! Esto se reali+a mediante el arc3ivo ,etlogon!dns =#ue se encuentra en la carpeta Gsystemroot GHSystem;2Hcon ig>, creado por el Asistente para instalacin de Active Directory!

Active Directory cre contro! dores de dominio

%a implementacin y la administracin de una red son actividades tangi(les! 0ara entender cmo enca2a Active Directory en la situacin en la pr*ctica, lo primero #ue necesita sa(er es #ue la instalacin de Active Directory en un e#uipo #ue e2ecute el sistema operativo Windows 2000 Server es el acto #ue trans orma el servidor en un controlador de dominio! 1n controlador de dominio slo puede alo2ar un dominio! En concreto, un controlador de dominio es un e#uipo #ue e2ecuta Windows 2000 Server y #ue se 3a con igurado con el Asistente para instalacin de Active Directory, #ue instala y con igura los componentes #ue proporcionan los servicios de directorio de Active Directory a los usuarios y los e#uipos de la red! %os controladores de dominio almacenan datos de directorio de todo el dominio =como las pol$ticas de seguridad del sistema y datos de autenticacin de usuarios> y administran las interacciones de usuarios y dominios, incluidos los procesos de inicio de sesin, autenticacin y (/s#uedas en el directorio! Al promover un servidor a controlador de dominio con el Asistente para instalacin de Active Directory tam(in se crea un dominio de Windows 2000 o se agregan controladores adicionales a un dominio e"istente! En esta seccin se descri(e #u es un controlador de dominio de Active Directory y algunas de las unciones principales #ue desempe9a en la red! &on la presentacin de Active Directory, los controladores de dominio de Windows 2000 uncionan como homlo!os! Esto representa un cam(io con respecto a las unciones de principalIsu(ordinado #ue desempe9a(an los controladores principales de dominio =0D&> y los controladores de reserva =:D&> de Windows ,- Server! %os controladores de dominio 3omlogos admiten la replicacin de m"ltiples maestros , con lo #ue se replica la in ormacin de Active Directory en todos los controladores de dominio! %a presentacin de la replicacin de m/ltiples maestros signi ica #ue los administradores pueden e ectuar actuali+aciones de Active Directory en cual#uier controlador de dominio de Windows 2000 del dominio! En el sistema operativo Windows ,- Server, slo el 0D& tiene una copia de lectura y escritura del directorioA el 0D& replica a los :D& una copia de slo lectura de la in ormacin del directorio! =0ara o(tener m*s in ormacin acerca de la replicacin de m/ltiples maestros, consulte la seccin 4Deplicacin de m/ltiples maestros4!> Si reali+a la actuali+acin al sistema operativo Windows 2000 desde un dominio e"istente, puede reali+ar la actuali+acin por etapas y seg/n le convenga! Si va a crear el primer controlador de dominio para una instalacin nueva, se materiali+an algunas entidades autom*ticamente al mismo tiempo #ue se carga

Active Directory! %as dos su(secciones siguientes e"plican estos aspectos relacionados con la instalacin de un controlador de dominio de Active Directory en una red nueva5 %l primer controlador de dominio es un servidor de catlogo global. %l primer controlador de dominio contiene las funciones de maestro de operaciones.

C t!o&o &!ob !
El sistema operativo Windows 2000 presenta el cat*logo glo(al, una (ase de datos #ue se mantiene en uno o varios controladores de dominio! El cat*logo glo(al desempe9a las unciones principales en los inicios de sesin de los usuarios y en las consultas! De orma predeterminada, se crea autom*ticamente un cat*logo glo(al en el controlador de dominio inicial del (os#ue de Windows 2000 y cada (os#ue de(e tener al menos un cat*logo glo(al! Si utili+a varios sitios, es recomenda(le #ue asigne un controlador de dominio de cada sitio como cat*logo glo(al, ya #ue es necesario tener un cat*logo glo(al =#ue determina la pertenencia a grupos de una cuenta> para llevar a ca(o el proceso de autenticacin del inicio de sesin! Esto se re iere a un dominio de modo nativo! %os dominios de modo mi"to no re#uieren una consulta al cat*logo glo(al para reali+ar el inicio de sesin! Despus de instalar controladores de dominio adicionales en el (os#ue, puede cam(iar la u(icacin predeterminada del cat*logo glo(al a otro controlador de dominio mediante la 3erramienta Sitios y servicios de Active Directory! Opcionalmente puede con igurar cual#uier controlador de dominio para #ue alo2e un cat*logo glo(al, seg/n los re#uisitos de la organi+acin para atender las solicitudes de inicio de sesin y las consultas de (/s#ueda! &uantos m*s servidores de cat*logo glo(al 3aya, m*s r*pidas ser*n las respuestas a las consultas de los usuariosA el inconveniente es #ue 3a(ilitar muc3os controladores de dominio como servidores de cat*logo glo(al aumenta el tr* ico de replicacin en la red! El cat*logo glo(al desempe9a dos unciones clave de Active Directory, inicio de sesin y consultas5 Inicio de sesi)n. %n un dominio de modo nativo$ el catlogo global permite el inicio de sesin de los clientes de &ctive Directory al proporcionar informacin universal de pertenencia a gruposF para la cuenta que env+a la solicitud de inicio de sesin a un controlador de dominio. De hecho$ no slo los usuarios sino cualquier ob!eto que se autentique en &ctive Directory debe hacer consultar el servidor de catlogo global$ incluidos todos los equipos que se inicien. %n una configuracin de varios dominios$ al menos un controlador de dominio que contenga el catlogo global debe estar en funcionamiento y disponible para que los usuarios puedan iniciar una sesin. 1ambin debe haber disponible un servidor de catlogo global cuando un usuario inicie la sesin con un nombre principal de usuario /".30 no predeterminado. /.ara obtener ms informacin acerca del inicio de sesin$ consulte la seccin 43ombres de inicio de sesin? ".3 y nombres de cuentas S&64.0 Si no 3ay disponi(le un cat*logo glo(al cuando un usuario inicia un proceso de inicio de sesin en la red, el usuario slo podr* iniciar la

sesin en el e#uipo local y no en la red! %a /nica e"cepcin es la de los usuarios #ue son miem(ros del grupo de administradores de dominios =Administrador del dominio>, #ue pueden iniciar la sesin en la red incluso aun#ue no 3aya disponi(le un cat*logo glo(al!

Consultas. %n un bosque que contiene muchos dominios$ el catlogo global permite que los usuarios efect en b squedas en todos los dominios de forma rpida y sencilla$ sin tener que buscar en cada dominio individualmente. %l catlogo global hace que las estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan informacin. 2a mayor parte del trfico de red de &ctive Directory est relacionado con las consultas? usuarios$ administradores y programas que solicitan informacin acerca de ob!etos del directorio. 2as consultas son mucho ms frecuentes que las actualizaciones del directorio. &signar varios controladores de dominio como servidores de catlogo global me!ora el tiempo de respuesta a los usuarios que buscan informacin del directorio$ pero debe sopesar esta venta!a frente al hecho de que tambin puede aumentar el trfico de replicacin de la red.

%unciones de m estro de oper ciones

%a replicacin de m/ltiples maestros en controladores de dominio 3omlogos no resulta pr*ctica para algunos tipos de cam(ios, por lo #ue slo un controlador de dominio, denominado maestro de operaciones, acepta solicitudes para dic3os cam(ios! &omo la replicacin de m/ltiples maestros desempe9a una uncin undamental en una red (asada en Active Directory, es importante sa(er cu*les son estas e"cepciones! En cual#uier (os#ue de Active Directory, al menos las /ltimas cinco unciones de maestro de operaciones se asignan al controlador de dominio inicial durante la instalacin! &uando crea el primer dominio en un (os#ue nuevo, las cinco unciones del /nico maestro de operaciones se asignan autom*ticamente al primer controlador de dic3o dominio! En un (os#ue pe#ue9o de Active Directory con slo un dominio y un controlador de dominio, dic3o controlador sigue teniendo todas las unciones del maestro de operaciones! En una red mayor, con uno o varios dominios, se pueden asignar estas unciones a uno o varios controladores de dominio! Algunas unciones de(en aparecer en todos los (os#ues! Otras unciones de(en aparecer en cada dominio del (os#ue! %as dos unciones siguientes de maestro de operaciones en todo el (os#ue de(en ser /nicas en el (os#ueA es decir, slo puede 3a(er una de ellas en todo el (os#ue5 $aestro de es4uema. %l controlador de dominio que tiene la funcin de maestro de esquema controla todas las actualizaciones y modificaciones del esquema. %l esquema define todos los ob!etos /y sus atributos0 que pueden almacenarse en el directorio. .ara actualizar el esquema de un bosque$ debe disponer de acceso al maestro de esquema. $aestro de nombres de dominio. %l controlador de dominio que tiene la funcin de maestro de nombres de dominio controla la incorporacin o eliminacin de dominios en el bosque.

%as tres unciones siguientes de maestro de operaciones en todo el dominio de(en ser /nicas en cada dominio y slo puede 3a(er una en cada dominio del (os#ue5 $aestro de Id. relativos :+I#;. %l maestro de R>D asigna secuencias de R>D a cada controlador de su dominio. #ada vez que un controlador de dominio crea un ob!eto de usuario$ grupo o equipo$ le asigna un >d. de seguridad /S>D0 nico. %l >d. de seguridad consta de un >d. de seguridad de dominio /que es el mismo para todos los >d. de seguridad creados en el dominio0 y un >d. relativo /que es nico para cada >d. de seguridad creado en el dominio0. #uando el controlador de dominio ha agotado su grupo de R>D$ solicita otro grupo del maestro de R>D. 0mulador de controlador principal de dominio :<#C;. Si el dominio contiene equipos que no e!ecutan el software cliente de 'indo(s )***$ o si contiene controladores de reserva /9D#0 de 'indo(s 31$ el emulador de .D# act a como controlador principal de dominio /.D#0 de 'indo(s 31. .rocesa los cambios de clave de acceso de los clientes y replica las actualizaciones en los 9D#. %l emulador de .#D recibe replicacin preferente de los cambios de clave de acceso realizados por otros controladores del dominio. Si se produce un error en una autenticacin de inicio de sesin en otro controlador de dominio debido a una clave de acceso incorrecta$ dicho controlador reenv+a la solicitud de autenticacin al emulador de .D# antes de rechazar el intento de inicio de sesin. $aestro de in%raestructuras. %l maestro de infraestructuras es el encargado de actualizar todas las referencias entre dominios siempre que se mueve un ob!eto al que hace referencia otro ob!eto. .or e!emplo$ cada vez que se cambia el nombre o se cambian los miembros de los grupos$ el maestro de infraestructuras actualiza las referencias de grupo a usuario. #uando cambia el nombre o mueve un miembro de un grupo /y dicho miembro se encuentra en un dominio distinto del grupo0$ es posible que parezca temporalmente que el grupo no contiene a ese miembro. %l maestro de infraestructuras del dominio del grupo es el encargado de actualizar el grupo$ de modo que conozca el nuevo nombre o la nueva ubicacin del miembro. El maestro de in raestructuras distri(uye la actuali+acin mediante la replicacin de m/ltiples maestros! A menos #ue slo 3aya un /nico controlador en el dominio, no asigne la uncin de maestro de in raestructuras al controlador de dominio #ue alo2a el cat*logo glo(al! Si lo 3ace, no uncionar* el maestro de in raestructuras! Si todos los controladores de un dominio tam(in alo2an el cat*logo glo(al =incluido el caso donde slo e"ista un controlador de dominio>, todos los controladores de dominio tienen datos actuali+ados y, por tanto, no es necesario el maestro de in raestructuras!

Ar-uitectur
1na ve+ instalado un controlador de dominio de Active Directory, se 3a creado a la ve+ el dominio inicial de Windows 2000 o se 3a agregado el nuevo controlador a un dominio e"istente! J&mo enca2an el controlador y el dominio en la ar#uitectura glo(al de la redK

En esta seccin se e"plican los componentes de una red (asada en Active Directory y cmo est*n organi+ados! Adem*s, descri(e cmo puede delegar la responsa(ilidad administrativa de las unidades organi+ativas =O1>, dominios o sitios a los usuarios adecuados y cmo asignar valores de con iguracin a estos tres mismos contenedores de Active Directory! Se tratan los siguientes temas5 :b!etos /incluido el esquema0. #onvenciones de nomenclatura de ob!etos /incluyendo nombres de principales de seguridad$ S>D$ nombres relacionados con 2D&.$ ;">D de ob!eto y nombres de inicio de sesin0. .ublicacin de ob!etos. Dominios /incluyendo rboles$ bosques$ confianzas y unidades organizativas0. Sitios /incluida la replicacin0. #mo se aplican la delegacin y .ol+tica de grupo a unidades organizativas$ dominios y sitios.

.b#etos
%os objetos de Active Directory son las entidades #ue componen una red! 1n o(2eto es un con2unto di erenciado con nom(re de atri(utos #ue representa algo concreto, como un usuario, una impresora o una aplicacin! &uando crea un o(2eto de Active Directory, ste genera valores para algunas propiedades del o(2eto y otros de(e proporcionarlos usted! 0or e2emplo, cuando crea un o(2eto de usuario, Active Directory asigna el identi icador /nico glo(al =L1'D> y usted de(e proporcionar valores para atri(utos como el nom(re, el apellido, el identi icador de inicio de sesin, etc! del usuario!

/! es-uem
El esquema es una descripcin de las clases de objeto =los distintos tipos de o(2etos> y los atributos de dic3as clases! 0ara cada clase de o(2eto, el es#uema de ine #u atri(utos de(e tener, #u atri(utos adicionales puede tener y #u clase de o(2eto puede ser su o(2eto primario! &ada o(2eto de Active Directory es una instancia de una clase de o(2eto! &ada atri(uto slo se de ine una ve+ y puede utili+arse en varias clases! 0or e2emplo, el atri(uto Descripcin se de ine una ve+ pero se utili+a en muc3as clases distintas! El es#uema se almacena en Active Directory! %as de iniciones de es#uema tam(in se almacenan como o(2etos5 Es#uema de clase y Es#uema de atri(utos! De esta orma, Active Directory administra los o(2etos de clase y de atri(utos de la misma manera en #ue administra otros o(2etos del directorio! %as aplicaciones #ue crean o modi ican o(2etos de Active Directory utili+an el es#uema para determinar los atri(utos #ue de(e o podr$a tener el o(2eto y cmo de(en ser esos atri(utos en lo #ue respecta a estructuras de datos y restricciones de sinta"is! %os o(2etos pueden ser o(2etos contenedor u o(2etos 3o2a =tam(in denominados o(2etos no contenedor>! 1n o(2eto contenedor almacena otros o(2etos, pero los o(2etos 3o2a no! 0or e2emplo, una carpeta es un o(2eto contenedor de arc3ivos, #ue son o(2etos 3o2a!

&ada clase de o(2etos del es#uema de Active Directory tiene atri(utos #ue aseguran5 >dentificacin nica de cada ob!eto en un almacn de datos del directorio. .ara los principales de seguridad /usuarios$ equipos o grupos0$ compatibilidad con los identificadores de seguridad /S>D0 utilizados en el sistema operativo 'indo(s 31 G.* y anteriores. #ompatibilidad con los estndares 2D&. para nombres de ob!etos de directorio.

Consu!t s y tributos de es-uem

&on la 3erramienta Es#uema de Active Directory puede marcar un atri(uto como indi+ado! Al 3acerlo, se agregan al $ndice todas las instancias de dic3o atri(uto, no slo las instancias #ue son miem(ros de una clase determinada! Al indi+ar un atri(uto podr* encontrar m*s r*pidamente los o(2etos #ue tengan ese atri(uto! -am(in puede incluir atri(utos en el cat*logo glo(al! El cat*logo glo(al contiene un con2unto predeterminado de atri(utos para cada o(2eto del (os#ue y puede agregarles los #ue desee! %os usuarios y las aplicaciones utili+an el cat*logo glo(al para (uscar o(2etos en el (os#ue! 'ncluya slo los atri(utos #ue tengan las siguientes caracter$sticas5 til globalmente. %l atributo debe ser necesario para buscar ob!etos /incluso aunque slo sea para acceso de lectura0 que pueda haber en cualquier lugar del bosque. No voltil. %l atributo deber ser invariable o cambiar con muy poca frecuencia. 2os atributos de un catlogo global se replican a todos los dems catlogos globales del bosque. Si el atributo cambia con frecuencia$ genera mucho trfico de replicacin. <e4ue=o. 2os atributos de un catlogo global se replican a todos los catlogos globales del bosque. #uanto menor sea el atributo$ menor ser el impacto de la replicacin.

Nombres de ob#etos de es-uem

&omo se 3a indicado anteriormente, las clases y los atri(utos son o(2etos de es#uema! Se puede 3acer re erencia a cual#uier o(2eto de es#uema mediante los siguientes tipos de nom(res5 Nombre 9#5< para mostrar. %l nombre 2D&. para mostrar es nico globalmente para cada ob!eto de esquema. %l nombre 2D&. para mostrar consta de una o varias palabras combinadas$ con la letra inicial de cada palabra en may sculas despus de la primera palabra. .or e!emplo$ mail&ddress y machine.ass(ord#hange>nterval son los nombres 2D&. para mostrar de dos atributos de esquema. %squema de &ctive Directory y otras herramientas administrativas de 'indo(s )*** muestran el nombre 2D&. para mostrar de los ob!etos$ y los programadores y administradores utilizan este nombre para hacer referencia al ob!eto mediante programa. #onsulte la pr-ima subseccin para obtener informacin acerca de cmo ampliar el esquema mediante programa< consulte la seccin 4.rotocolo compacto de acceso a directorios4 para obtener ms informacin acerca de 2D&.. Nombre com*n. 2os nombres comunes de los ob!etos de esquema tambin son nicos globalmente. %l nombre com n se especifica cuando se crea una nueva

clase o atributo de ob!eto en el esquema< se trata del nombre en referencia relativa /RD30 del ob!eto en el esquema que representa la clase de ob!eto. .ara obtener ms informacin acerca de los RD3$ consulte la seccin 43ombres D3 y RD3 de 2D&.4. .or e!emplo$ los nombres comunes de los dos atributos mencionados en el prrafo anterior son S61.H6ailH&ddress y 6achineH .ass(ordH#hangeH>nterval. Identi%icador de objeto :!I#;. %l identificador de un ob!eto de esquema es un n mero emitido por una entidad como :rganizacin internacional de normalizacin />S:0 y &merican 3ational Standards >nstitute /&3S>0. .or e!emplo$ el :>D para el atributo S61.H6ailH&ddress es @.).IG*.@@ECCF.@.G.JIF. Se garantiza que los :>D son nicos en todas las redes de todo el mundo. "na vez que obtenga un :>D ra+z de una entidad emisora$ puede utilizarlo para asignar :>D adicionales. 2os :>D forman una !erarqu+a. .or e!emplo$ 6icrosoft ha emitido el :>D ra+z @.).IG*.@@ECCF. 6icrosoft administra internamente otras ramas adicionales desde esta ra+z. "na de las ramas se utiliza para asignar :>D a las clases de esquema de &ctive Directory y otra para los atributos. Siguiendo con el e!emplo$ el :>D de &ctive Directory es @.).IG*.@@ECCF.@.C.G$ que identifica la clase Dominio integrado y puede analizarse como se muestra en la tabla @.

T b! '( Identi*ic dor de ob#eto N*mero de Id. Identi%ica de objeto @ >S: /entidad emisora 4ra+z40 emiti @.) para &3S>$ ) &3S> emiti @.).IG* para %%."".$ IG* %%."". emiti @.).IG*.@@ECCF para 6icrosoft$ 6icrosoft administra internamente varias ramas de @@ECCF identificadores de ob!eto ba!o @.).IG*.@@ECCF$ que incluyen? @ una rama denominada &ctive Directory que incluye C una rama denominada clases que incluye G una rama denominada Dominio integrado 0ara o(tener m*s in ormacin acerca de los O'D y cmo o(tenerlos, consulte 40ara o(tener m*s in ormacin4 al inal de este documento!

Amp!i r e! es-uem
El sistema operativo Windows 2000 Server proporciona un con2unto predeterminado de clases y atri(utos de o(2eto #ue son su icientes para muc3as organi+aciones! Aun#ue no puede eliminar o(2etos del es#uema, puede marcarlos como desactivados! %os programadores y los administradores de redes con e"periencia pueden ampliar din*micamente el es#uema si de inen nuevas clases y nuevos atri(utos para las clases e"istentes! %a orma recomendada de ampliar el es#uema de Active Directory es mediante programa, a travs de las 'nter aces de servicio de Active Directory =ADS'>! -am(in puede emplear la utilidad )ormato de intercam(io de datos %DA0 =%D')DE>! =0ara o(tener m*s in ormacin acerca de ADS' y %D')DE, consulte las secciones 4'nter a+ de servicio de Active Directory4 y 4Active Directory y %D')DE4!>

0ara propsitos de desarrollo y de prue(as, tam(in puede ver y modi icar el es#uema de Active Directory con la 3erramienta Es#uema de Active Directory! &uando se plantee cam(iar el es#uema, recuerde estos puntos clave5 2os cambios del esquema son globales en todo el bosque. 2as ampliaciones del esquema no son reversibles /aunque puede modificar algunos atributos0. 6icrosoft requiere que no se ampl+e el esquema para adherirse a las reglas de nomenclatura /descritas en la subseccin anterior0$ tanto para el nombre 2D&. para mostrar como para el nombre com n. %l programa del logotipo #ertificado para 'indo(sJ e-ige el cumplimiento. Disite el sitio 'eb 6icrosoft Developer 3et(orK para obtener ms informacin al respecto. 1odas las clases del esquema derivan de la clase especial 1op. & e-cepcin de 1op$ todas las clases son subclases derivadas de otra clase. 2a herencia de atributos permite crear nuevas clases a partir de las ya e-istentes. 2a nueva subclase hereda los atributos de su superclase /clase principal0. %a ampliacin del es#uema es una operacin avan+ada! 0ara o(tener in ormacin detallada acerca de cmo ampliar el es#uema mediante programa, consulte la seccin 40ara o(tener m*s in ormacin4 al inal de este documento!

Convenciones de nomenc! tur de ob#etos

Active Directory admite varios ormatos de nom(res de o(2eto para admitir las distintas ormas #ue puede adoptar un nom(re, dependiendo del conte"to en #ue se utilice =algunos nom(res tienen ormato numrico>! En las siguientes su(secciones se descri(en estos tipos de convenciones de nomenclatura para los o(2etos de Active Directory5 3ombres de principales de seguridad. >dentificadores de seguridad /tambin denominados >d. de seguridad o S>D0. 3ombres relacionados con 2D&. /incluyendo D3$ RD3$ direcciones "R2 y nombres cannicos0. ;">D de ob!eto. 3ombres de inicio de sesin /incluidos ".3 y nombres de cuentas S&60. Si la organi+acin tiene varios dominios, es posi(le utili+ar el mismo nom(re de usuario o de e#uipo en di erentes dominios! El 'd! de seguridad, el L1'D, el nom(re completo %DA0 y el nom(re cannico generados por Active Directory identi ican de orma /nica a cada usuario o e#uipo del directorio! Si se cam(ia el nom(re del o(2eto de usuario o de e#uipo, o se mueve a otro dominio, el 'd! de seguridad, el nom(re en re erencia relativa %DA0, el nom(re completo y el nom(re cannico cam(ian, pero el L1'D generado por Active Directory no cam(ia!

Nombres de princip !es de se&urid d

1n principal de seguridad es un o(2eto de Windows 2000 administrado por Active Directory al #ue se asigna autom*ticamente un identi icador de seguridad =S'D> para la autenticacin de inicio de sesin y el acceso a los recursos! 1n principal de seguridad puede ser una cuenta de usuario, una

cuenta de e#uipo o un grupo, de modo #ue un nom(re de principal de seguridad identi ica de orma /nica a un usuario, un e#uipo o un grupo dentro de un /nico dominio! 1n o(2eto de principal de seguridad de(e estar autenticado por un controlador del dominio en el #ue se encuentra el o(2eto y se le puede conceder o denegar el acceso a los recursos de la red! 1n nom(re de principal de seguridad no es /nico entre dominios pero, por compati(ilidad con versiones anteriores, de(e ser /nico en su propio dominio! Se puede cam(iar el nom(re de los o(2etos de principales de seguridad , se pueden mover o pueden estar dentro de una 2erar#u$a de dominios anidados! %os nom(res de los o(2etos de principales de seguridad de(en a2ustarse a las siguientes directrices5 %l nombre no puede ser idntico a otro nombre de usuario$ equipo o grupo del dominio. .uede contener hasta )* caracteres$ en may sculas o min sculas$ e-cepto los siguientes? 4 = L M N ? < O 7 $ P Q R ST "n nombre de usuario$ equipo o grupo no puede contener slo puntos /.0 o espacios en blanco.

Id( de se&urid d 0$ID1

1n identi icador de seguridad =S'D> es un nom(re /nico creado por el su(sistema de seguridad del sistema operativo Windows 2000 y se asigna a o(2etos de principales de seguridadA es decir, a cuentas de usuario, grupo y e#uipo! A cada cuenta de la red se le asigna un S'D /nico cuando se crea por primera ve+! %os procesos internos del sistema operativo Windows 2000 3acen re erencia al S'D de las cuentas en ve+ de a los nom(res de usuario o de grupo de las cuentas! &ada o(2eto de Active Directory est* protegido mediante entradas de control de acceso =A&E> #ue identi ican los usuarios o grupos #ue pueden tener acceso al o(2eto! &ada A&E contiene el S'D de cada usuario o grupo con permiso de acceso a dic3o o(2eto y de ine el nivel de acceso permitido! 0or e2emplo, un usuario podr$a tener acceso de slo lectura a determinados arc3ivos, acceso de lectura y escritura a otros y no tener acceso a otros arc3ivos! Si crea una cuenta, la elimina y despus crea otra cuenta con el mismo nom(re de usuario, la nueva cuenta no tendr* los derec3os o permisos concedidos anteriormente a la cuenta antigua, ya #ue los S'D correspondientes a las cuentas son di erentes!

Nombres re! cion dos con 2DA3

Active Directory es un servicio de directorio compati(le con el 0rotocolo compacto de acceso a directorios =%DA0>! En el sistema operativo Windows 2000, todos los accesos a los o(2etos de Active Directory se producen a travs de %DA0! %DA0 de ine las operaciones #ue se pueden reali+ar para consultar y modi icar in ormacin en un directorio, y cmo se puede tener acceso de orma segura a la in ormacin de un directorio! 0or tanto, se utili+a %DA0 para (uscar o enumerar o(2etos del directorio y para consultar o administrar Active Directory! =0ara o(tener m*s in ormacin acerca de %DA0, consulte la seccin 40rotocolo compacto de acceso a directorios4!> Es posi(le consultar mediante el nom(re completo %DA0 =#ue es un atri(uto del o(2eto>, pero como resulta di $cil de recordar, %DA0 tam(in admite la

consulta por otros atri(utos =por e2emplo, color para (uscar las impresoras en color>! De esta orma puede (uscar un o(2eto sin tener #ue sa(er su nom(re completo! En las tres su(secciones siguientes se descri(en los ormatos de nomenclatura de o(2etos admitidos por Active Directory, #ue se (asan todos en el nom(re completo %DA05 3ombres D3 y RD3 de 2D&.. Direcciones "R2 de 2D&.. 3ombres cannicos basados en 2D&.. Nombres DN y RDN de 2DA3 %DA0 proporciona nombres completos =D,> y nombres en referencia relativa =DD,> para los o(2etosM! Active Directory implementa estas convenciones de nomenclatura %DA0 con las variaciones #ue se muestran en la ta(la 2! T b! 2( Convenciones de nomenc! tur de 2DA3 y sus correspondientes en Active Directory Convenci)n de nomenclatura Convenci)n de nomenclatura #N y +#N de 9#5< correspondiente en 5ctive #irectory cn7nombre com n cn7nombre com n ou7unidad organizativa ou7unidad organizativa o7organizacin dc7componente de dominio c7pa+s /no se admite0 Not cnN, ouN, etc! son tipos de atributo! El tipo de atri(uto #ue se utili+a para descri(ir el DD, de un o(2eto se denomina atributo de nomenclatura! %os atri(utos de nomenclatura de Active Directory, #ue se muestran en la columna derec3a, corresponden a las siguientes clases de o(2etos de Active Directory5 cn se utiliza para la clase de ob!eto usuario ou se utiliza para la clase de ob!eto unidad organizativa /:"0 dc se utiliza para la clase de ob!eto DnsDominio -odos los o(2etos de Active Directory tienen un D, de %DA0! %os o(2etos se encuentran dentro de dominios de Active Directory seg/n una ruta de acceso 2er*r#uica, #ue incluye las eti#uetas del nom(re de dominio de Active Directory y cada nivel de los o(2etos contenedores! %a ruta de acceso completa al o(2eto la de ine el D,! El DD, de ine el nom(re del o(2eto! El DD, es el segmento del D, de un o(2eto #ue es un atri(uto del propio o(2eto! Al usar la ruta de acceso completa a un o(2eto, incluido el nom(re de o(2eto y todos los o(2etos principales 3asta la ra$+ del dominio, el D, identi ica un o(2eto /nico dentro de la 2erar#u$a de dominios! &ada DD, se almacena en la (ase de datos de Active Directory y contiene una re erencia a su principal! Durante una operacin %DA0, se construye todo el D, siguiendo las re erencias 3asta la ra$+! En un D, de %DA0 completo, el DD, del o(2eto #ue se va a identi icar aparece a la i+#uierda con el nom(re de la rama y termina a la derec3a con el nom(re de la ra$+, seg/n se muestra en este e2emplo5
cnNODoe,ouN&omponentes,ouN)a(ricacin,dcNDeginEE11 ,dc,om(reOrgani+acin!dcNcom

El DD, del o(2eto de usuario ODoe es cnNODoe, el DD, de &omponente =el o(2eto principal de ODoe> es ouN&omponentes, etc!

%as 3erramientas de Active Directory no muestran las a(reviaturas de %DA0 para los atri(utos de nomenclatura =dcN, ouN o cnN>! Estas a(reviaturas slo se muestran para ilustrar la orma en #ue %DA0 reconoce las partes del D,! %a mayor$a de las 3erramientas de Active Directory muestran los nom(res de o(2eto en ormato cannico =descrito m*s adelante>! El sistema operativo Windows 2000 utili+a el D, para permitir #ue un cliente %DA0 recupere la in ormacin de un o(2eto del directorio, pero ninguna inter a+ de usuario de Windows 2000 re#uiere escri(ir los D,! El uso e"pl$cito de D,, DD, y atri(utos de nomenclatura slo es necesario al escri(ir programas o secuencias de comandos compati(les con %DA0! Nombres de direcciones 4R2 de 2DA3 Active Directory admite el acceso mediante el protocolo %DA0 desde cual#uier cliente 3a(ilitado para %DA0! En D)& BPFP se descri(e un ormato para el %ocali+ador de recursos universal =direccin 1D%> de %DA0 #ue permite #ue los clientes de 'nternet tengan acceso directo al protocolo %DA0! %as direcciones 1D% de %DA0 tam(in se utili+an en secuencias de comandos! 1na direccin 1D% de %DA0 empie+a con el pre i2o 4%DA04 y despus contiene el nom(re del servidor #ue alo2a los servicios de Active Directory, seguido del nom(re de atri(uto del o(2eto =el nom(re completo>! 0or e2emplo5
%DA05??servidorB!DeginEE11!nom(reOrg!com?cnNODoe, ouN&omponentes,ouN)a(ricacin,dcNDeginEE11,dc,om(reOrg,dcNcom

Nombres c nnicos de Active Directory b s dos en 2DA3 De orma predeterminada, las 3erramientas administrativas de Active Directory muestran los nom(res de o(2eto con el ormato de nombre cannico, #ue enumera los DD, desde la ra$+ 3acia a(a2o y sin los descriptores de atri(utos de nomenclatura de D)& BQQP =dcN, ouN o cnN>! El nom(re cannico utili+a el ormato de nom(res de dominio de D,SA es decir, los constituyentes de la seccin de eti#uetas de dominio est*n separados por puntos5 DeginEE11!,om(reOrg!com! En la ta(la ; se muestran las di erencias entre el D, de %DA0 y el mismo nom(re en ormato cannico! T b! 5( Di*erenci s entre e! *orm to de DN de 2DA3 y e! *orm to de nombre c nnico 0l mismo nombre en dos %ormatos Nombre #N de cn75Doe$ou7#omponentes$ou7Uabricacin$dc7Regin%%""$dc3ombre:rg.dc7com 9#5<> Nombre Regin%%"".3ombre:rg.com=Uabricacin=#omponentes=5Doe can)nico>

64ID de ob#eto
Adem*s de su D, de %DA0, cada o(2eto de Active Directory tiene un identificador "nico !lobal =L1'D>, un n/mero de B2M (its #ue asigna el Agente del sistema del directorio cuando se crea el o(2eto! El L1'D, #ue no se puede modi icar ni mover, se almacena en un atri(uto, o(2ectL1'D, #ue es necesario

para cada o(2eto! A di erencia de un D, o un DD,, #ue se puede modi icar, el L1'D nunca cam(ia! &uando se almacena una re erencia a un o(2eto de Active Directory en un almacn e"terno =por e2emplo, una (ase de datos de Microso t SC% Server8>, de(e utili+arse el valor de o(2ectL1'D!

Nombres de inicio de sesin7 43N y nombres de cuent s $A)

&omo se 3a descrito anteriormente, los principales de seguridad son o(2etos a los se aplica la seguridad (asada en Windows tanto para la autenticacin de inicio de sesin como para la autori+acin de acceso a los recursos! %os usuarios son un tipo de principal de seguridad! En el sistema operativo Windows 2000, los principales de seguridad de usuario re#uieren un nom(re /nico de inicio de sesin para o(tener acceso a un dominio y sus recursos! En las dos su(secciones siguientes se descri(en los dos tipos de nom(res de inicio de sesin5 10, y nom(res de cuentas SAM! Nombre de princip ! de usu rio En Active Directory, cada cuenta de usuario tiene un nombre de principal de usuario =10,> con el ormato RusuarioSTRnombre#ominio#$SS! 1n 10, es un nom(re descriptivo asignado por un administrador #ue es m*s corto #ue el nom(re completo %DA0 utili+ado el sistema y m*s *cil de recordar! El 10, es independiente del D, del o(2eto de usuario, por lo #ue el o(2eto de usuario se puede mover o cam(iar de nom(re sin #ue ello a ecte al nom(re de inicio de sesin del usuario! &uando se inicia una sesin con un 10,, los usuarios ya no tienen #ue elegir un dominio de una lista en el cuadro de di*logo de inicio de sesin! %as tres partes del 10, son el pre i2o 10, =nom(re de inicio de sesin del usuario>, el car*cter T y el su i2o 10, =normalmente un nom(re de dominio>! El su i2o 10, predeterminado de una cuenta de usuario es el nom(re D,S del dominio de Active Directory en el #ue se encuentra la cuenta de usuario P! 0or e2emplo, el 10, del usuario Oo3n Doe, #ue tiene una cuenta de usuario en el dominio ,om(reOrg!com =si ,om(reOrg!com es el /nico dominio del *r(ol>, es ODoeT,om(reOrg!com! El 10, es un atri(uto =user0rincipal,ame> del o(2eto de principal de seguridad! Si el atri(uto user0rincipal,ame de un o(2eto de usuario no tiene valor, el o(2eto tiene como 10, predeterminado nom(re1suarioTnom(reDominioDns! Si la organi+acin tiene muc3os dominios #ue orman un *r(ol de dominios pro undo, organi+ado por departamentos y regiones, los nom(res 10, predeterminados pueden llegar a ser (astante arragosos! 0or e2emplo, el 10, predeterminado de un usuario podr$a ser ventas!costaoeste!microso t!com! El nom(re de inicio de sesin para un usuario de dic3o dominio es usuarioTventas!costaoeste!microso t!com! En ve+ de aceptar el nom(re de dominio D,S predeterminado como el su i2o 10,, puede simpli icar los procesos de administracin y de inicio de sesin de usuario si proporciona un /nico su i2o 10, a todos los usuarios! =El su i2o 10, slo se utili+a dentro del dominio de Windows 2000 y no es necesario #ue sea un nom(re v*lido de dominio D,S!> 0uede utili+ar su nom(re de dominio de correo electrnico como

su i2o 10,5 nom(re1suarioTnom(reOrgani+acin!com! As$, el usuario del e2emplo tendr$a el nom(re 10, usuarioTmicroso t!com! En el caso de un inicio de sesin (asado en 10,, #ui+*s sea necesario un cat*logo glo(al, dependiendo del usuario #ue inicie la sesin y la pertenencia al dominio del e#uipo del usuario! Se necesita un cat*logo glo(al si el usuario inicia la sesin con un nom(re 10, #ue no sea el predeterminado y la cuenta de e#uipo del usuario se encuentra en un dominio distinto #ue la cuenta del usuario! Es decir, si en lugar de aceptar el nom(re de dominio D,S predeterminado como su i2o 10, =como en el e2emplo anterior, usuarioTventas!costaoeste!microso t!com>, proporciona un /nico su i2o 10, para todos los usuarios =de orma #ue el usuario sea usuarioTmicroso t!com>, se necesita un cat*logo glo(al para el inicio de sesin! %a 3erramienta Dominios y con ian+a de Active Directory se utili+a para administrar los su i2os 10, de un dominio! %os 10, se asignan en el momento de crear un usuario! Si 3a creado su i2os adicionales para el dominio, puede elegir uno en la lista de su i2os disponi(les al crear la cuenta de usuario o de grupo! %os su i2os aparecen en la lista en el siguiente orden5 Sufi!os alternativos /si hay alguno$ el ltimo que se ha creado aparecer en primer lugar0. Dominio ra+z. Dominio actual. Nombre de cuent $A) 1n nom(re de cuenta del Administrador de cuentas de seguridad =SAM> es necesario por compati(ilidad con los dominios de Windows ,- ;! % y Windows ,- .!0! %a inter a+ de usuario de Windows 2000 se re iere al nom(re de cuenta SAM como 4,om(re de inicio de sesin de usuario =anterior a Windows 2000>4! %os nom(res de cuentas SAM a veces se denominan nom(res planos ya #ue, a di erencia de los nom(res D,S, los nom(res de cuentas SAM no utili+an una nomenclatura 2er*r#uica! &omo los nom(res SAM son planos, cada uno de(e ser /nico en el dominio!

3ub!ic cin de ob#etos

&ublicar es el acto de crear o(2etos en el directorio #ue contengan directamente la in ormacin #ue desea #ue est disponi(le o #ue proporcionen una re erencia a dic3a in ormacin! 0or e2emplo, un o(2eto de usuario contiene in ormacin /til acerca de los usuarios, como sus n/meros de tel ono y sus direcciones de correo electrnico, y un o(2eto de volumen contiene una re erencia a un volumen compartido de un sistema de arc3ivos! A continuacin se o recen dos e2emplos5 pu(licar o(2etos de arc3ivo e impresin en Active Directory5 <ublicaci)n de recursos compartidos. .uede publicar una carpeta compartida como un ob!eto de volumen /tambin denominado ob!eto de carpeta compartida0 en &ctive Directory con el complemento "suarios y grupos de &ctive Directory. %sto significa que los usuarios ahora pueden consultar fcil y rpidamente dicha carpeta compartida en &ctive Directory. <ublicaci)n de impresoras. %n un dominio de 'indo(s )***$ la forma ms sencilla de administrar$ buscar y conectarse a impresoras es mediante &ctive

Directory. De forma predeterminada@*$ cuando agrega una impresora con el &sistente para agregar impresoras y decide compartirla$ 'indo(s )*** Server la publica en el dominio como un ob!eto de &ctive Directory. .ublicar /enumerar0 impresoras en &ctive Directory permite a los usuarios encontrar la impresora ms adecuada. &hora los usuarios pueden consultar fcilmente cualquiera de estas impresoras en &ctive Directory y buscar por atributos de impresora como tipo /.ostScript$ color$ papel de tama,o oficio$ etc.0 y ubicacin. #uando se quita una impresora del servidor$ ste anula la publicacin. -am(in puede pu(licar en Active Directory impresoras #ue no estn (asadas en Windows 2000 =es decir, impresoras #ue estn servidores de impresin no (asados en Windows 2000>! 0ara ello, utilice la 3erramienta 1suarios y e#uipos de Active Directory para escri(ir la ruta de acceso a la impresora seg/n la convencin de nomenclatura universal =1,&>! De orma alternativa, utilice la secuencia de comandos 0u(prn!v(s #ue se encuentra en la carpeta System;2! %a pol$tica de grupo Eliminacin de impresora de (a2o nivel determina cmo el servicio de eliminacin =eliminacin autom*tica de impresoras> trata las impresoras #ue est*n en servidores de impresin no (asados en Windows 2000 cuando una impresora no est* disponi(le!

Cundo pub!ic r
De(e pu(licar la in ormacin en Active Directory cuando sea /til o interesante para una gran parte de la comunidad de usuarios y cuando sea necesario #ue est *cilmente accesi(le! %a in ormacin pu(licada en Active Directory tiene dos caracter$sticas principales5 +elativamente esttica. Slo se publica la informacin que cambia con poca frecuencia. 2os n meros de telfono y las direcciones de correo electrnico son e!emplos de informacin relativamente esttica adecuada para publicar. %l mensa!e de correo electrnico seleccionado actualmente del usuario es un e!emplo de informacin que cambia con mucha frecuencia. 0structurada. .ublicar informacin estructurada y que puede representarse como un con!unto de atributos discretos. 2a direccin comercial de un usuario es un e!emplo de informacin estructurada adecuada para publicar. "n clip de audio con la voz del usuario es un e!emplo de informacin sin estructurar ms adecuada para el sistema de archivos. %a in ormacin operativa utili+ada por las aplicaciones es un candidato e"celente para su pu(licacin en Active Directory! Esto incluye in ormacin de con iguracin glo(al #ue se aplica a todas las instancias de una aplicacin dada! 0or e2emplo, un producto de (ase de datos relacional podr$a almacenar como un o(2eto de Active Directory la con iguracin predeterminada de los servidores de (ases de datos! %as nuevas instalaciones de ese producto podr$an recopilar la con iguracin predeterminada de ese o(2eto, lo #ue simpli ica el proceso de instalacin y me2ora la co3erencia de las instalaciones en una organi+acin! %as aplicaciones tam(in pueden pu(licar sus puntos de cone"in en Active Directory! %os puntos de cone"in se utili+an en los encuentros clienteIservidor!

Active Directory de ine una ar#uitectura para la administracin de servicios integrados mediante o(2etos de 0unto de administracin de servicios y proporciona puntos de cone"in est*ndar para aplicaciones (asadas en %lamada a procedimiento remoto =D0&>, Winsoc@ y Modelo de o(2etos componentes =&OM>! %as aplicaciones #ue no utili+an las inter aces D0& o Winsoc@ para pu(licar sus puntos de cone"in pueden pu(licar e"pl$citamente en Active Directory o(2etos de 0unto de cone"in de servicios! -am(in es posi(le pu(licar en el directorio los datos de aplicaciones utili+ando o(2etos espec$ icos de la aplicacin! %os datos espec$ icos de una aplicacin de(en cumplir los criterios descritos anteriormente! Es decir, la in ormacin de(e ser de inters glo(al, relativamente no vol*til y estructurada!

Cmo pub!ic r
%os mtodos de pu(licar in ormacin var$an dependiendo de la aplicacin o el servicio5 2lamada a procedimiento remoto /R.#0. 2as aplicaciones R.# utilizan la familia Rpc3sQ de &.> para publicar sus puntos de cone-in en el directorio y para consultar los puntos de cone-in de servicios que han publicado los suyos. 'indo(s SocKets. 2as aplicaciones 'indo(s SocKets utilizan la familia de &.> Registration and Resolution /Registro y resolucin0 disponibles en 'insocK ).* para publicar sus puntos de cone-in y para consultar los puntos de cone-in de servicios que han publicado los suyos. 6odelo de ob!etos componentes distribuido /D#:60. 2os servicios D#:6 publican sus puntos de cone-in mediante D#:6 #lass Store$ que reside en &ctive Directory. D#:6 es la especificacin del 6odelo de ob!etos componentes /#:60 de 6icrosoft que define cmo se comunican los componentes a travs de redes basadas en 'indo(s. "tilice la herramienta #onfiguracin de D#:6 para integrar aplicaciones clienteHservidor en varios equipos. D#:6 tambin puede utilizarse para integrar aplicaciones robustas de e-plorador 'eb.

Dominios7 rbo!es8 bos-ues8 con*i n, s y unid des or& ni, tiv s

Active Directory consta de uno o varios dominios! Al crear el controlador de dominio inicial en una red tam(in se crea el dominioA no puede 3a(er un dominio sin #ue 3aya al menos un controlador de dominio! &ada dominio del directorio se identi ica mediante un nom(re de dominio D,S! %a 3erramienta Dominios y con ian+a de Active Directory se utili+a para administrar dominios! %os dominios se utili+an para llevar a ca(o los siguientes o(2etivos de administracin de red5 #elimitar la seguridad. "n dominio de 'indo(s )*** define un l+mite de seguridad? 2as pol+ticas y la configuracin de seguridad /como los derechos administrativos y las listas de control de acceso0 no cruzan de un dominio a otro. &ctive Directory puede incluir uno o varios dominios$ cada uno con sus propias pol+ticas de seguridad. In%ormaci)n de replicaci)n. "n dominio es una particin del directorio de 'indo(s )*** /tambin denominado un conte-to de nombres0. %stas

particiones del directorio son las unidades de replicacin. #ada dominio slo almacena la informacin acerca de los ob!etos que se encuentran en dicho dominio. 1odos los controladores de un dominio pueden recibir cambios efectuados en los ob!etos y pueden replicar esos cambios a todos los dems controladores de dicho dominio. 5plicar <ol8tica de grupo. "n dominio define un mbito posible para la pol+tica /la configuracin de .ol+tica de grupo tambin puede aplicarse a unidades organizativas o a sitios0. &l aplicar un ob!eto de pol+tica de grupo /;.:0 al dominio se establece cmo se pueden configurar y utilizar los recursos del dominio. .or e!emplo$ puede utilizar .ol+tica de grupo para controlar la configuracin del escritorio$ como el bloqueo del escritorio y la distribucin de aplicaciones. %stas pol+ticas slo se aplican dentro del dominio$ no entre varios dominios. 0structurar la red. #omo un dominio de &ctive Directory puede abarcar varios sitios y contener millones de ob!etos@@$ la mayor+a de las organizaciones no necesitan crear dominios independientes para refle!ar las divisiones y los departamentos de la organizacin. 3unca debe ser necesario crear dominios adicionales para administrar ob!etos adicionales. Sin embargo$ algunas organizaciones requieren varios dominios para incorporar$ por e!emplo$ unidades de negocio independientes o completamente autnomas que no desean que nadie e-terno a la unidad tenga autorizacin sobre sus ob!etos. Dichas organizaciones pueden crear dominios adicionales y organizarlos en un bosque de &ctive Directory. :tro motivo para dividir la red en dominios independientes es si dos partes de la red estn separadas por un v+nculo tan lento que nunca se desea que tenga trfico de replicacin completa. /%n el caso de los v+nculos lentos que a n pueden tratar trfico de replicacin con menos frecuencia$ puede configurar un nico dominio con varios sitios.0 #elegar la autoridad administrativa. %n las redes que e!ecutan 'indo(s )*** puede delegar restrictivamente la autoridad administrativa tanto de unidades organizativas como de dominios individuales$ lo que reduce el n mero de administradores necesarios con autoridad administrativa amplia. #omo un dominio es un l+mite de seguridad$ los permisos administrativos de un dominio estn limitados al dominio de forma predeterminada. .or e!emplo$ a un administrador con permisos para establecer pol+ticas de seguridad en un dominio no se le concede automticamente autoridad para establecer pol+ticas de seguridad en otro dominio del directorio.

&omprender los dominios incluye entender los *r(oles, (os#ues, con ian+as y unidades organi+ativas, y cmo se relaciona cada una de estas estructuras con los dominios! En las siguientes su(secciones se descri(en cada uno de estos componentes de dominio5 Vrboles 9osques Relaciones de confianza "nidades organizativas El sistema operativo Windows 2000 tam(in presenta el concepto relacionado de sitios, pero la estructura de sitio y la estructura de dominio son independientes, con el in de proporcionar administracin le"i(le, por lo #ue los sitios se tratar*n en una seccin posterior! Este documento presenta los

conceptos (*sicos acerca de los dominios y los sitios (asados en Windows 2000! 0ara o(tener in ormacin detallada acerca de cmo planear su estructura y distri(ucin, consulte la Gua de diseo de la distribucin de Microsoft Windows 2 Server en la seccin 40ara o(tener m*s in ormacin4, al inal de este documento! &uando lea las pr"imas su(secciones en las #ue se descri(en posi(les estructuras de dominio, tenga en cuenta #ue, para muc3as organi+aciones, una estructura #ue conste de un /nico dominio #ue sea a la ve+ un (os#ue con un /nico *r(ol no slo es posi(le, sino #ue es la orma ptima de organi+ar la red! Empiece siempre con la estructura m*s sencilla y aumente su comple2idad slo cuando pueda 2usti icarlo!

9rbo!es
En el sistema operativo Windows 2000, un 'rbol es un con2unto de uno o varios dominios con nom(res contiguos! Si 3ay varios dominios, puede com(inarlos en estructuras 2er*r#uicas de *r(ol! 1n posi(le motivo para tener varios *r(oles en el (os#ue es si una divisin de la organi+acin tiene su propio nom(re D,S registrado y e2ecuta sus propios servidores D,S! El primer dominio creado es el dominio ra$+ del primer *r(ol! %os dominios adicionales del mismo *r(ol son dominios secundarios! 1n dominio situado inmediatamente por encima de otro dominio en el mismo *r(ol es su principal! -odos los dominios #ue tienen un dominio ra$+ com/n se dice #ue orman un espacio de nombres conti!uos! %os dominios de un espacio de nom(res contiguos =es decir, en un /nico *r(ol> tiene nom(res de dominio D,S contiguos #ue se orman de la siguiente manera5 El nom(re del dominio secundario aparece a la i+#uierda, separado del nom(re de su dominio principal a la derec3a por un punto! &uando 3ay m*s de dos dominios, cada uno tiene su principal a la derec3a del nom(re de dominio, tal como se muestra en la igura ;! %os dominios (asados en Windows 2000 #ue orman un *r(ol est*n vinculados mediante relaciones de con ian+a (idireccionales y transitivas! Estas relaciones de con ian+a se descri(en m*s adelante!

%i&ur 5( Dominios princip !es y secund rios en un rbo! de dominios( 2 s *!ec: s de dos punt s indic n re! ciones de con*i n, bidireccion !es tr nsitiv s %a relacin principalIsecundario entre dominios de un *r(ol slo es una relacin de nomenclatura y una relacin de con ian+a! %os administradores de un dominio principal no lo son autom*ticamente de un dominio secundario y las pol$ticas esta(lecidas en un dominio principal no se aplican autom*ticamente a los dominios secundarios!

;os-ues

1n (os#ue de Active Directory es una base de datos distribuida, #ue est* compuesta de varias (ases de datos parciales repartidas en varios e#uipos! %a distri(ucin de la (ase de datos aumenta la e icacia de la red, ya #ue permite u(icar los datos donde m*s se utili+an! %os dominios de inen las particiones de la (ase de datos del (os#ueA es decir, un (os#ue consta de uno o varios dominios! -odos los controladores de dominio de un (os#ue contienen una copia de los contenedores &on iguracin y Es#uema del (os#ue, adem*s de una (ase de datos del dominio! 1na (ase de datos del dominio es una parte de una (ase de datos del (os#ue! &ada (ase de datos del dominio contiene o(2etos de directorio, como los o(2etos de principales de seguridad =usuarios, e#uipos y grupos> a los #ue puede conceder o denegar acceso a los recursos de la red! &on recuencia, un /nico (os#ue, #ue resulta *cil de crear y mantener, puede satis acer las necesidades de una organi+acin! &on un /nico (os#ue no es necesario #ue los usuarios cono+can la estructura del directorio, ya #ue todos ven un /nico directorio a travs del cat*logo glo(al! &uando se agrega un dominio nuevo al (os#ue, no se re#uiere ninguna con iguracin adicional de la con ian+a, ya #ue todos los dominios de un (os#ue est*n conectados por una con ian+a (idireccional transitiva! En un (os#ue con varios dominios, slo es necesario aplicar una ve+ los cam(ios a la con iguracin para #ue a ecten a todos los dominios! ,o de(e crear (os#ues adicionales a menos #ue tenga necesidad evidente de 3acerlo, ya #ue cada (os#ue #ue cree supondr* una carga adicional de administracinB2! 1n motivo posi(le para crear varios (os#ues es si la administracin de la red est* distri(uida entre varias divisiones autnomas #ue no est*n de acuerdo en la administracin com/n del es#uema y los contenedores de con iguracin! Otro motivo para crear un (os#ue independiente es asegurarse de #ue a determinados usuarios nunca se les conceder* acceso a ciertos recursos =en un (os#ue /nico, todos los usuarios pueden incluirse en cual#uier grupo o pueden aparecer en una lista de control de acceso discrecional, o DA&%B;, en cual#uier e#uipo del (os#ue>! &on (os#ues independientes, es posi(le de inir relaciones de con ian+a e"pl$cita para conceder a los usuarios de un (os#ue acceso a determinados recursos del otro (os#ue! =0ara ver un e2emplo de dos (os#ues, consulte la igura Q en la seccin 4E2emplo5 entorno mi"to de dos (os#ues y una e"tranet4!> Earios *r(oles de dominio dentro de un /nico (os#ue no constituyen un espacio de nom(res contiguosA es decir, tienen nom(res de dominio D,S #ue no son contiguos! Aun#ue los *r(oles de un (os#ue no comparten un espacio de nom(res, un (os#ue tiene un /nico dominio ra$+, denominado dominio ra( del bosque! El dominio ra$+ del (os#ue es, por de inicin, el primer dominio creado en el (os#ue! %os dos grupos prede inidos para todo el (os#ue, Administradores de empresa y Administradores del es#uema, residen en este dominio! 0or e2emplo, tal como se muestra en la igura ., aun#ue cada uno de los tres *r(oles de dominios =DD<<IDa$+!com, Da$+Europa!com y Da$+Asia!com> tiene un dominio secundario para &onta(ilidad denominado 4&onta(4, los nom(res D,S de estos dominios secundarios son &onta(!O &IDa$+!com, &onta(!Da$+Europa!com y &onta(!Da$+Asia!com, respectivamente! ,o 3ay ning/n espacio de nom(res compartido!

%i&ur <( 4n bos-ue con tres rbo!es de dominios( 2os tres dominios r +, no son conti&uos8 pero R +,/urop (com y R +,Asi (com son dominios secund rios de .*C=R +,(com( El dominio ra$+ de cada *r(ol de dominios del (os#ue esta(lece una relacin de con ian+a transitiva =#ue se e"plica con m*s detalle en la pr"ima seccin> con el dominio ra$+ del (os#ue! En la igura ., O &IDa$+!com es el dominio ra$+ del (os#ue! %os dominios ra$+ de los dem*s *r(oles de dominios, Da$+Europa!com y Da$+Asia!com, tienen relaciones de con ian+a transitiva con O &IDa$+!com, #ue esta(lece la con ian+a entre todos los *r(oles de dominios del (os#ue! -odos los dominios de Windows 2000 en todos los *r(oles de dominios de un (os#ue tienen las siguientes caracter$sticas5 1ienen relaciones de confianza transitiva entre los dominios de cada rbol. 1ienen relaciones de confianza transitiva entre los rboles de dominios de un bosque. #omparten informacin de configuracin com n. #omparten un esquema com n. #omparten un catlogo global com n. Import nte Es *cil agregar nuevos dominios a un (os#ue! Sin em(argo, no puede mover dominios e"istentes de Active Directory de Windows 2000 de un (os#ue a otro! Slo puede #uitar un dominio del (os#ue si no tiene dominios secundarios! Despus de esta(lecer un dominio ra$+ del *r(ol no puede agregar un dominio con un nom(re nivel superior al (os#ue! ,o puede crear un dominio principal de uno ya e"istenteA slo puede crear uno secundario! %a implementacin de *r(oles de dominios y de (os#ues permite utili+ar convenciones de nomenclatura tanto contiguas como no contiguas! Esta le"i(ilidad puede resultar /til, por e2emplo, en organi+aciones con divisiones independientes cada una de las cuales desee mantener su propio nom(re D,S, como Microso t!com y MS,:&!com!

Re! ciones de con*i n,

1na relacin de confian(a es una relacin #ue se esta(lece entre dos dominios y permite #ue un controlador del otro dominio recono+ca los usuarios de un dominio! %as con ian+as permiten #ue los usuarios tengan acceso a los recursos del otro dominio y tam(in permite #ue los administradores controlen los derec3os de los usuarios del otro dominio! 0ara los e#uipos #ue e2ecutan Windows 2000, la autenticacin de cuentas entre dominios se 3a(ilita mediante relaciones de con ian+a transitivas (idireccionales! -odas las con ian+as de dominio en un (os#ue (asado en Windows 2000 son (idireccionales y transitivas, de inidas de la siguiente orma5 7idireccional. #uando crea un nuevo dominio secundario$ ste conf+a automticamente en el dominio principal y viceversa. %n la prctica$ esto significa que las solicitudes de autenticacin pueden pasarse entre los dos dominios en ambas direcciones. ?ransitiva. "na confianza transitiva va ms all de los dos dominios de la relacin de confianza inicial. Uunciona del siguiente modo? Si el dominio & y el dominio 9 /principal y secundario0 conf+an el uno en el otro y si el dominio 9 y el dominio # /tambin principal y secundario0 conf+an el uno en el otro$

entonces el dominio & y el dominio # conf+an entre s+ /impl+citamente0$ incluso aunque no e-ista una relacin de confianza directa entre ellos. %n el nivel del bosque$ se crea automticamente una relacin de confianza entre el dominio ra+z del bosque y el dominio ra+z de cada rbol de dominios agregado al bosque$ con lo que e-iste una confianza completa entre todos los dominios de un bosque de &ctive Directory. %n la prctica$ como las relaciones de confianza son transitivas$ un proceso de inicio de sesin nico permite que el sistema autentique a un usuario /o un equipo0 en cualquier dominio del bosque. %ste proceso de inicio de sesin nico permite que la cuenta tenga acceso a los recursos de cualquier dominio del bosque. Sin em(argo, tenga en cuenta #ue el inicio de sesin /nico 3a(ilitado mediante con ian+as no implica necesariamente #ue el usuario autenticado tenga derec3os y permisos en todos los dominios del (os#ue! Adem*s de las con ian+as (idireccionales transitivas en todo el (os#ue generadas autom*ticamente en el sistema operativo Windows 2000, puede crear e"pl$citamente los dos tipos siguientes de relaciones de con ian+a adicionales5 ,o 3ay una cone"in necesaria entre espacios de nom(res de sitios y dominios! 3o hay una correlacin necesaria entre la estructura f+sica de la red y su estructura de dominios. Sin embargo$ en muchas organizaciones los dominios se configuran para refle!ar la estructura f+sica de la red. %sto se debe a que los dominios son particiones y este hecho influye en la replicacin? al dividir el bosque en varios dominios ms peque,os se puede reducir el trfico de replicacin. &ctive Directory permite que aparezcan varios dominios en un nico sitio y que un nico dominio aparezca en varios sitios.

Cmo uti!i, Active Directory ! in*orm cin de sitios

%a in ormacin de sitios se especi ica mediante Sitios y servicios de Active DirectoryA a continuacin, Active Directory usa esta in ormacin para determinar cmo utili+ar me2or los recursos de red disponi(les! 1sar sitios 3ace #ue los siguientes tipos de operaciones sean m*s e icaces5 5tender las solicitudes de los clientes. #uando un cliente solicita un servicio de un controlador de dominio$ ste dirige la solicitud a un controlador del mismo sitio$ si hay alguno disponible. Seleccionar un controlador de dominio que est bien conectado al cliente que realiz la solicitud hace que el tratamiento de la solicitud sea ms eficaz. .or e!emplo$ cuando un cliente inicia la sesin mediante una cuenta de dominio$ el mecanismo de inicio de sesin busca primero controladores de dominio que se encuentren en el mismo sitio que el cliente. Si se intenta usar primero los controladores de dominio en el sitio del cliente se delimita el trfico de red$ con lo que se aumenta la eficacia del proceso de autenticacin. +eplicar datos del directorio. 2os sitios permiten la replicacin de los datos del directorio tanto dentro como entre sitios. &ctive Directory replica la informacin dentro de un sitio con ms frecuencia que entre sitios$ lo que significa que los controladores de dominio me!or conectados$ aqullos que con ms probabilidad de necesitan determinada informacin de directorio$ reciben

las rplicas en primer lugar. 2os controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio$ pero con menos frecuencia$ con lo que se reduce el consumo del ancho de banda de la red. Replicar datos de &ctive Directory entre controladores de dominio proporciona disponibilidad de la informacin$ tolerancia a errores$ equilibrio de la carga y venta!as de rendimiento. /.ara obtener una e-plicacin de cmo implementa la replicacin el sistema operativo 'indo(s )***$ consulte la subseccin 4Replicacin de m ltiples maestros4$ al final de esta seccin acerca de los sitios.0

Contro! dores de dominio8 c t!o&os &!ob !es y d tos rep!ic dos

%a in ormacin almacenada en Active Directory en cada controlador de dominio =independientemente de si se trata de un servidor de cat*logo glo(al o no> se divide en tres categor$as5 datos de dominio, es#uema y con iguracin! &ada una de estas categor$as es una particin independiente del directorio, denominada tam(in un conte"to de nom(res! Estas particiones del directorio son las unidades de replicacin! %as tres particiones del directorio #ue cada servidor de Active Directory contiene se de inen a continuacin5 <artici)n del directorio con datos de dominios. #ontiene todos los ob!etos del directorio para este dominio. 2os datos de cada dominio se replican a todos los controladores de dicho dominio$ pero no salen de l. <artici)n del directorio con datos del es4uema. #ontiene todos los tipos de ob!eto$ y sus atributos$ que se pueden crear en &ctive Directory. %stos datos son comunes a todos los dominios del rbol de dominios o del bosque. 2os datos del esquema se replican en todos los controladores de dominio del bosque. <artici)n del directorio con datos de con%iguraci)n. #ontiene la topolog+a de replicacin y los metadatos relacionados. 2as aplicaciones compatibles con &ctive Directory almacenan la informacin en la particin del directorio de configuracin. %stos datos son comunes a todos los dominios del rbol de dominios o del bosque. 2os datos de configuracin se replican en todos los controladores de dominio del bosque. Si el controlador de dominio es un servidor de cat*logo glo(al, tam(in contiene una cuarta categor$a de in ormacin5 +/plica parcial de la partici)n del directorio con datos de dominios para todos los dominios. &dems de almacenar y replicar un con!unto completo de todos los ob!etos del directorio para su propio dominio host$ un servidor de catlogo global almacena y replica una rplica parcial de la particin del directorio de dominios para todos los dems dominios del bosque. %sta rplica parcial$ por definicin$ contiene un subcon!unto de las propiedades para todos los ob!etos de todos los dominios del bosque. /"na rplica parcial es de slo lectura$ mientras que una rplica completa es de lectura y escritura.0 Si un dominio contiene un cat*logo glo(al, otros controladores de dominio replican todos los o(2etos de dic3o dominio =con un su(con2unto de sus propiedades> en el cat*logo glo(al y, despus, la replicacin de rplicas parciales se e ect/a entre cat*logos glo(ales! Si un dominio no tiene cat*logo glo(al, un controlador de dominio normal sirve de origen de la rplica parcial!

De orma predeterminada, el con2unto parcial de atri(utos almacenados en el cat*logo glo(al incluye los atri(utos #ue se utili+an con m*s recuencia en las operaciones de (/s#ueda, ya #ue una de las unciones principales del cat*logo glo(al es o recer soporte a los clientes #ue consultan el directorio! El uso de cat*logos glo(ales para reali+ar la replicacin parcial de dominios en lugar de e ectuar la replicacin completa reduce el tr* ico de WA,!

Rep!ic cin dentro de un sitio

Si la red consta de una /nica red de *rea local =%A,> o un con2unto de %A, conectadas mediante una red troncal de alta velocidad, toda la red puede ser un /nico sitio! El primer controlador de dominio #ue instala crea autom*ticamente el primer sitio, denominado $ombre&redeterminado&rimerSitio! Despus de instalar el primer controlador de dominio, todos los controladores adicionales se agregan autom*ticamente al mismo sitio #ue el controlador de dominio original! =M*s adelante, si lo desea, puede moverlos a otros sitios!> %a /nica e"cepcin es la siguiente5 Si en el momento de instalar un controlador de dominio su direccin '0 est* dentro de la su(red especi icada anteriormente en un sitio alternativo, el controlador de dominio se agregar* a este sitio! %a in ormacin de directorio dentro de un sitio se replica con recuencia y autom*ticamente! %a replicacin dentro del sitio est* optimi+ada para reducir al m$nimo la latencia, es decir, para mantener los datos lo m*s actuali+ados posi(le! %as actuali+aciones de directorio dentro del sitio no se comprimen! %os intercam(ios sin comprimir utili+an m*s recursos de red pero re#uieren menos capacidad de procesamiento de los controladores de dominio! En la igura P se ilustra la replicacin dentro de un sitio! -res controladores de dominio =uno de los cuales es un cat*logo glo(al> replican los datos de es#uema y de con iguracin del (os#ue, as$ como todos los o(2etos del directorio =con un con2unto completo de los atri(utos de cada o(2eto>!

%i&ur >( Rep!ic cin dentro de! sitio con un ?nico dominio

El servicio &ompro(ador de co3erencia de rplica =U&&> de Active Directory genera autom*ticamente la con iguracin #ue orman las cone"iones utili+adas para replicar la in ormacin de directorio entre los controladores de dominio, denominada topolo!a de replicacin! %a topolog$a de sitios de Active Directory es una representacin lgica de una red $sica y se de ine para cada (os#ue! Active Directory intenta esta(lecer una topolog$a #ue permita al menos dos cone"iones a cada controlador de dominio, de modo #ue si un controlador no est* disponi(le, la in ormacin del directorio pueda seguir llegando a todos los controladores de dominio conectados a travs de la otra cone"in! Active Directory eval/a y a2usta autom*ticamente la topolog$a de replicacin para adaptarse al estado cam(iante de la red! 0or e2emplo, cuando se agrega un controlador de dominio a un sitio, la topolog$a de replicacin se a2usta para incorporar esta adicin de una orma e ica+! %os clientes y servidores de Active Directory usan la topolog$a de sitios del (os#ue para enrutar el tr* ico de consultas y replicacin de orma e ica+! Si ampl$a la distri(ucin desde el primer controlador de dominio en un dominio a varios controladores en varios dominios =dentro de un /nico sitio>, la in ormacin de directorio #ue se replica cam(ia para incluir la replicacin de la rplica parcial entre los cat*logos glo(ales en dominios di erentes! En la igura B0 se muestran dos dominios, cada uno de los cuales contiene tres controladores de dominio! 1no de los controladores de cada sitio tam(in es un servidor de cat*logo glo(al! Dentro de cada dominio, los controladores de dominio replican los datos de es#uema y de con iguracin del (os#ue, as$ como todos los o(2etos del directorio =con un con2unto completo de los atri(utos de cada o(2eto>, tal como se muestra en la igura P! Adem*s, cada cat*logo glo(al replica los o(2etos del directorio =slo con un su(con2unto de sus atri(utos> de su propio dominio al otro cat*logo glo(al! %i&ur '0( Rep!ic cin dentro de! sitio con dos dominios y dos c t!o&os &!ob !es

Rep!ic cin entre sitios

&ree varios sitios para optimi+ar el tr* ico de servidor a servidor y de cliente a servidor a travs de v$nculos WA,! En el sistema operativo Windows 2000, la replicacin entre sitios reduce autom*ticamente el consumo de anc3o de (anda entre sitios! Se recomienda tener en cuenta lo siguiente al con igurar varios sitios5 @eogra%8a. %stablezca como un sitio cada rea geogrfica que requiera acceso rpido a la informacin de directorio ms reciente. &l establecer como sitios independientes reas que requieren acceso inmediato a la informacin actualizada de &ctive Directory se proporcionan los recursos necesarios para satisfacer las necesidades de los usuarios. Controladores de dominio y catlogos globales. #oloque al menos un controlador de dominio en cada sitio y convierta al menos un controlador de dominio de cada sitio en un catlogo global. 2os sitios que no tienen sus propios controladores de dominio y al menos un catlogo global dependen de otros sitos para obtener la informacin del directorio y son menos eficaces. Cmo se conect n !os sitios

%as cone"iones de red entre los sitios se representan mediante vnculos a sitios! 1n v$nculo a sitios es una cone"in de anc3o de (anda (a2o o no con ia(le entre dos o varios sitios! 1na WA, #ue conecta dos redes r*pidas es un e2emplo de un v$nculo a sitios! En general, se considera #ue dos redes cuales#uiera unidas por un v$nculo #ue es m*s lento #ue una red de *rea local est*n conectadas por un v$nculo a sitios! Adem*s, un v$nculo r*pido #ue est* casi al l$mite de su capacidad tiene poco anc3o de (anda e ica+ y se considera tam(in un v$nculo a sitios! &uando 3ay varios sitios, los #ue est*n conectados mediante v$nculos a sitios orman parte de la topolog$a de replicacin! En una red (asada en Windows 2000, los v$nculos a sitios no se generan autom*ticamenteA de(e crearlos mediante Sitios y servicios de Active Directory! Al crear los v$nculos a sitios y con igurar su disponi(ilidad de replicacin, costo relativo y recuencia de replicacin, se proporciona in ormacin a Active Directory acerca de #u objetos de cone%in de(e crear para replicar los datos de directorio! Active Directory utili+a v$nculos a sitios como indicadores de #ue de(e crear o(2etos de cone"in y stos utili+an las cone"iones de red reales para intercam(iar in ormacin de directorio! 1n v$nculo a sitios tiene una programacin asociada #ue indica a #u 3oras del d$a est* disponi(le el v$nculo para llevar tr* ico de replicacin! De orma predeterminada, los v$nculos a sitios son transitivos, lo #ue signi ica #ue un controlador de dominio de un sitio puede e ectuar cone"iones de replicacin con los controladores de dominio de cual#uier otro sitio! Es decir, si el sitio A est* conectado al sitio : y ste lo est* al sitio &, los controladores de dominio del sitio A pueden comunicarse con los controladores del sitio &! &uando cree un sitio, #ui+*s desee crear v$nculos adicionales para 3a(ilitar cone"iones espec$ icas entre sitios y personali+ar los v$nculos e"istentes #ue conectan los sitios! En la igura BB se muestran dos sitios conectados mediante un v$nculo a sitios! De los seis controladores de dominio de la ilustracin, dos son servidores ca(e+a de puente =el sistema asigna autom*ticamente esta uncin>! %i&ur ''( Dos sitios conect dos medi nte un v+ncu!o sitios( /! servidor c be, de puente pre*erido de c d sitio se uti!i, princip !mente p r e! interc mbio de in*orm cin entre sitios( %os servidores ca(e+a de puente son los pre eridos para la replicacin, pero tam(in puede con igurar los dem*s controladores de dominio del sitio para replicar los cam(ios del directorio entre sitios! 1na ve+ replicadas las actuali+aciones de un sitio al servidor ca(e+a de puente del otro sitio, stas se replican a otros controladores de dominio del mismo sitio mediante la replicacin dentro del sitio! Aun#ue un /nico controlador de dominio reci(e la actuali+acin inicial de directorio entre sitios, todos los controladores de dominio atienden las solicitudes de los clientes!

3rotoco!os de rep!ic cin

%a in ormacin de directorio puede intercam(iarse mediante los siguientes protocolos de red5 +eplicaci)n I<. 2a replicacin >. utiliza llamadas a procedimiento remoto /R.#0 para la replicacin dentro de un sitio y a travs de v+nculos a sitios /entre sitios0. De forma predeterminada$ la replicacin >. entre sitios se a!usta a las

programaciones de replicacin. 2a replicacin >. no requiere una entidad emisora de certificados /#&0. +eplicaci)n '$?<. Si tiene un sitio que no dispone de cone-in f+sica con el resto de la red pero al que se puede llegar a travs del .rotocolo simple de transferencia de correo /S61.0$ dicho sitio slo tiene conectividad basada en correo. 2a replicacin S61. slo se utiliza para la replicacin entre sitios. No puede utilizar la replicacin S61. para replicar entre controladores de dominio del mismo dominio< slo se admite la replicacin entre dominios a travs de S61. /es decir$ S61. slo puede utilizarse para la replicacin entre sitios y entre dominios0. 2a replicacin S61. slo puede utilizarse para la replicacin de rplicas parciales del esquema$ la configuracin y el catlogo global. 2a replicacin S61. tiene en cuenta la programacin de replicacin generada automticamente. Si decide utili+ar SM-0 a travs de v$nculos a sitios, de(e instalar y con igurar una entidad emisora de certi icados =&A> de empresa! %os controladores de dominio o(tienen certi icados de la entidad emisora y los utili+an para irmar y ci rar los mensa2es de correo #ue contienen la in ormacin de replicacin de directorio, con lo #ue se asegura la autenticidad de las actuali+aciones! %a replicacin SM-0 usa ci rado de F6 (its!

Rep!ic cin de m?!tip!es m estros

%os controladores de dominio de Active Directory admiten la replicacin de m/ltiples maestros, con lo #ue se sincroni+an los datos en cada controlador y se asegura la co3erencia de la in ormacin con el paso del tiempo! %a replicacin de m/ltiples maestros replica la in ormacin de Active Directory entre controladores de dominio 3omlogos, cada uno de los cuales contiene una copia de lectura y escritura del directorio! Esto representa un cam(io con relacin al sistema operativo Windows ,- Server, en el #ue slo el 0D& ten$a una copia de lectura y escritura del directorio =los :D& reci($an copias de slo lectura del 0D&>! 1na ve+ con igurada, la replicacin es autom*tica y transparente! 3rop & cin de ctu !i, ciones y n?meros de secuenci de ctu !i, cin Algunos servicios de directorio utili+an marcas temporales para detectar y propagar los cam(ios! En estos sistemas es esencial mantener sincroni+ados los relo2es de todos los servidores de directorio! %a sincroni+acin temporal de una red es muy di $cil! 'ncluso con una sincroni+acin temporal de la red e"celente, es posi(le #ue la 3ora de un servidor de directorio dado sea incorrecta! Esto puede dar como resultado la prdida de actuali+aciones! El sistema de replicacin de Active Directory no depende de la 3ora para propagar las actuali+aciones! En su lugar, utili+a ,/meros de secuencia de actuali+acin =1S,>! 1n 1S, es un n/mero de 6. (its #ue mantiene cada controlador de dominio de Active Directory para reali+ar un seguimiento de las actuali+aciones! &uando el servidor escri(e en un atri(uto o en una propiedad de un o(2eto de Active Directory =incluida la modi icacin de origen o una modi icacin replicada>, se incrementa el 1S, y se almacena con la propiedad

actuali+ada y con una propiedad #ue es espec$ ica del controlador de dominio! Esta operacin se reali+a de manera atmicaA es decir, el incremento y almacenamiento del 1S, y la escritura del valor de la propiedad se reali+an correctamente o racasan como una unidad! &ada servidor de Active Directory tam(in mantiene una ta(la de los 1S, reci(idos de los asociados de replicacin! En esta ta(la se almacena el mayor 1S, reci(ido de cada asociado! &uando un asociado dado noti ica al servidor de directorio #ue es necesario 3acer una replicacin, ese servidor pide todos los cam(ios cuyos 1S, sean mayores #ue el /ltimo valor reci(ido! Este en o#ue simple no depende de la precisin de las marcas de tiempo! 0uesto #ue el 1S, almacenado en la ta(la se actuali+a de orma atmica con cada actuali+acin reci(ida, si se produce un error en un servidor tam(in es sencillo recuperarlo! 0ara reiniciar la replicacin, un servidor /nicamente de(e pedir a sus asociados todos los cam(ios cuyos 1S, sean mayores #ue la /ltima entrada v*lida de la ta(la! &omo la ta(la se actuali+a de orma atmica a medida #ue se aplican los cam(ios, un ciclo de replicacin interrumpido siempre se reiniciar* e"actamente donde se detuvo, sin #ue 3aya prdida ni duplicacin de actuali+aciones! Deteccin de co!isiones y n?meros de versin de propied d En un sistema de replicacin de m/ltiples maestros como Active Directory, es posi(le #ue dos o m*s rplicas di erentes actualicen la misma propiedad! &uando una propiedad cam(ia en una segunda =o tercera, o cuarta, etc!> rplica antes de #ue se 3aya propagado totalmente un cam(io de la primera rplica, se produce una colisin de replicacin! %as colisiones se detectan mediante los n/meros de versin de propiedad! A di erencia de los 1S,, #ue son valores espec$ icos del servidor, los n/meros de versin de propiedad son espec$ icos de la propiedad de un o(2eto de Active Directory! &uando se escri(e por primera ve+ una propiedad en un o(2eto de Active Directory, se iniciali+a su n/mero de versin! %as modi icaciones de origen incrementan el n/mero de versin de propiedad! %as modi icaciones de origen son modi icaciones de una propiedad del sistema #ue producen un cam(io! %as modi icaciones de propiedades producidas por una replicacin no son modi icaciones de origen y no incrementan el n/mero de versin! 0or e2emplo, cuando un usuario actuali+a su clave de acceso se produce una modi icacin de origen y se incrementa el n/mero de versin de propiedad de la clave de acceso! Deplicar la modi icacin de la clave de acceso en otros servidores no 3ace #ue se incremente el n/mero de versin de propiedad! Se detecta una colisin cuando se reci(e un cam(io a travs de una replicacin cuyo n/mero de versin de propiedad es igual al n/mero de versin de propiedad almacenado localmente, y los valores reci(ido y almacenado son di erentes! &uando esto ocurre, el sistema receptor aplicar* la actuali+acin #ue tenga la marca de tiempo posterior! Esta es la /nica situacin en la #ue se utili+a la 3ora en la replicacin! &uando el n/mero de versin de propiedad reci(ido es in erior al almacenado localmente, se considera #ue la actuali+acin est* anticuada y se descarta! &uando el n/mero de versin de propiedad reci(ido es superior al almacenado localmente, se acepta la actuali+acin!

Disminucin de ! prop & cin El sistema de replicacin de Active Directory permite reali+ar (ucles en la topolog$a de replicacin! Esto permite al administrador con igurar una topolog$a de replicacin con m/ltiples rutas entre los servidores para conseguir un me2or rendimiento y disponi(ilidad! El sistema de replicacin de Active Directory se encarga de disminuir la propagacin para evitar #ue los cam(ios se propaguen inde inidamente y para eliminar la transmisin redundante de cam(ios a rplicas #ue ya est*n actuali+adas! El sistema de replicacin de Active Directory utili+a vectores de actuali+acin para disminuir la propagacin! El vector de actuali+acin es una lista de pares de servidor y 1S, #ue cada servidor mantiene! El vector de actuali+acin de cada servidor indica el mayor 1S, de las modi icaciones de origen reci(idas de los servidores en el par servidorV1S,! 1n vector de actuali+acin para un servidor de un sitio determinado enumera todos los dem*s servidores de ese sitioBF! &uando se inicia un ciclo de replicacin, el servidor solicitante env$a su vector de actuali+acin al servidor remitente! El servidor remitente utili+a el vector de actuali+acin para iltrar los cam(ios enviados al servidor solicitante! Si el mayor 1S, de una modi icacin de origen dada es mayor o igual al 1S, de una modi icacin de origen para una actuali+acin determinada, el servidor remitente no necesita enviar el cam(ioA el servidor solicitante ya est* actuali+ado con respecto al de origen!

4s r de!e& cin y 3o!+tic de &rupo con unid des or& ni, tiv s8 dominios y sitios
0uede delegar los permisos administrativos y asociar 0ol$tica de grupo con los siguientes contenedores de Active Directory5 "nidades organizativas Dominios Sitios 1na unidad organi+ativa es el menor contenedor de Windows 2000 al #ue puede delegar autoridad o aplicar 0ol$tica de grupo B6! -anto la delegacin como 0ol$tica de grupo son caracter$sticas de seguridad del sistema operativo Windows 2000! En este documento se descri(en (revemente en el conte"to limitado de la ar#uitectura para mostrar #ue la estructura de Active Directory determina la orma de usar la delegacin de contenedores y 0ol$tica de grupo! Asignar la autoridad administrativa so(re unidades organi+ativas, dominios o sitios permite delegar la administracin de usuarios y recursos! Asignar o(2etos de pol$tica de grupo =L0O> a cual#uiera de estos tres tipos de contenedores permite de inir con iguraciones de escritorio y pol$ticas de seguridad para los usuarios y los e#uipos del contenedor! En las dos su(secciones siguientes se descri(en estos temas con m*s detalle!

De!e& cin de contenedores

En el sistema operativo Windows 2000, la dele!acin permite #ue una autoridad administrativa superior conceda derec3os administrativos espec$ icos a unidades organi+ativas, dominios o sitios a grupos =o usuarios>! De esta orma se reduce considera(lemente el n/mero de administradores necesarios con la autoridad (uscada en grandes segmentos de usuarios! Delegar el control de un contenedor permite especi icar #uin dispone de permisos para tener acceso o modi icar dic3o o(2eto o sus o(2etos secundarios! %a delegacin es una de las caracter$sticas de seguridad m*s importantes de Active Directory! De!e& cin de dominios y unid des or& ni, tiv s En el sistema operativo Windows ,- .!0, los administradores a veces delegan la administracin mediante la creacin de varios dominios con el in de tener con2untos distintos de administradores de dominio! En el sistema operativo Windows 2000, las unidades organi+ativas son m*s sencillas de crear, eliminar, mover y modi icar #ue los dominios y, por tanto, son m*s adecuadas para la uncin de delegacin! 0ara delegar la autoridad administrativa =distinta de la autoridad so(re sitios, #ue se trata m*s adelante>, se concede a un grupo derec3os espec$ icos so(re un dominio o unidad organi+ativa mediante la modi icacin de la lista de control de acceso discrecional =DA&%>BQ del contenedor! De orma predeterminada, los miem(ros del grupo de seguridad Administradores del dominio tienen autoridad so(re todo el dominio, pero puede restringir la pertenencia a este grupo a un n/mero limitado de administradores de con ian+a! 0ara esta(lecer administradores con menor *m(ito, puede delegar la autoridad al nivel m*s (a2o de la organi+acinA para ello, cree un *r(ol de unidades organi+ativas dentro de cada dominio y delegue la autoridad a partes del su(*r(ol de unidades organi+ativas! %os administradores de dominio tienen un control total so(re cada o(2eto de su dominio! Sin em(argo, no tienen derec3os administrativos so(re los o(2etos de otros dominiosBM! 0ara delegar la administracin de un dominio o una unidad organi+ativa se utili+a el Asistente para delegacin de control, #ue est* disponi(le en el complemento 1suarios y e#uipos de Active Directory! <aga clic con el (otn secundario del mouse =ratn> en el dominio o en la unidad organi+ativa, seleccione Delegar control, agregue los grupos =o usuarios> a los #ue desee delegar el control y, a continuacin, delegue las tareas comunes enumeradas o cree una tarea personali+ada para delegar! En la ta(la siguiente se enumeran las tareas comunes #ue puede delegar! ?areas comunes de dominio 4ue ?areas comunes de unidades puede delegar organi-ativas 4ue puede delegar W "nir un equipo a un dominio W #rear$ eliminar y administrar cuentas W &dministrar v+nculos de .ol+tica de de usuario grupo W Restablecer claves de acceso de cuentas de usuario W 2eer toda la informacin de usuario W #rear$ eliminar y administrar grupos W 6odificar la pertenencia a un grupo W &dministrar impresoras

W #rear y eliminar impresoras W &dministrar v+nculos de .ol+tica de grupo Mediante una com(inacin de unidades organi+ativas, grupos y permisos, es posi(le de inir el *m(ito administrativo m*s apropiado para un grupo determinado5 un dominio entero, un su(*r(ol de unidades organi+ativas o una /nica unidad organi+ativa! 0or e2emplo, puede crear una unidad organi+ativa #ue le permita conceder control administrativo para todas las cuentas de usuarios y e#uipos en todas las divisiones de un departamento, como el departamento de conta(ilidad! 0or otra parte, puede conceder control administrativo slo a algunos recursos dentro del departamento, como las cuentas de e#uipo! 1n tercer e2emplo es conceder control administrativo a la unidad organi+ativa de conta(ilidad, pero no a ninguna unidad organi+ativa contenida dentro de ella! 0uesto #ue las unidades organi+ativas se utili+an para la delegacin administrativa y no son principales de seguridad por s$ mismas, la unidad organi+ativa principal de un o(2eto de usuario indica #uin administra el o(2eto de usuario! $o indica a #u recursos puede tener acceso dic3o usuario! De!e& cin de sitios Sitios y servicios de Active Directory se utili+a para delegar el control de sitios, contenedores de servidor, transportes entre sitios ='0 o SM-0> o su(redes! Delegar el control de una de estas entidades o rece al administrador delegado la capacidad de manipular dic3a entidad, pero no de administrar los usuarios o los e#uipos #ue se encuentran en ella! 0or e2emplo, cuando delega el control de un sitio puede elegir entre delegar el control de todos los o(2etos o delegar el control de uno o varios o(2etos #ue se encuentran en dic3o sitio! %os o(2etos para los #ue puede delegar el control son5 usuarios, e#uipos, grupos, impresoras, unidades organi+ativas, carpetas compartidas, sitios, v$nculos a sitios, puentes de v$nculos a sitios, etc! A continuacin, se le pedir* #ue seleccione el *m(ito de los permisos #ue desea delegar =general, espec$ ico de propiedades o simplemente la creacin o eliminacin de determinados o(2etos secundarios>! Si especi ica general, se le pedir* #ue conceda uno o varios de los permisos siguientes5 &ontrol total, %ectura, Escritura, &rear todos los o(2eto secundarios, Eliminar todos los o(2etos secundarios, %eer todas las propiedades o Escri(ir todas las propiedades!

3o!+tic de &rupo
En Windows ,- .!0 se utili+a el Editor de pol$ticas del sistema para de inir las con iguraciones de usuarios, grupos y e#uipos almacenadas en la (ase de datos del Degistro de Windows ,-! En el sistema operativo Windows 2000, 0ol$tica de grupo de ine m*s componentes en el entorno del usuario #ue los administradores pueden controlar! Estos componentes incluyen opciones para las pol$ticas (asadas en el Degistro, opciones de seguridad, opciones de distri(ucin de so tware, secuencias de comandos =para iniciar y apagar el e#uipo, y para el inicio y cierre de sesin de usuarios> y la redireccin de carpetas especialesBP!

El sistema aplica los valores de con iguracin de 0ol$tica de grupo a los e#uipos durante el inicio o a los usuarios cuando inician la sesin! %os valores de 0ol$tica de grupo se aplican a los usuarios o e#uipos en sitios, dominios y unidades organi+ativas mediante la vinculacin del L0O al contenedor de Active Directory donde residen los usuarios o los e#uipos! De orma predeterminada, 0ol$tica de grupo a ecta a todos los usuarios y e#uipos del contenedor vinculado! %a pertenencia a grupos de seguridad se utili+a para iltrar los L0O #ue a ectan a los usuarios y e#uipos de una unidad organi+ativa, un dominio o un sitio! Esto permite aplicar la pol$tica en un nivel m*s granularA es decir, el uso de grupos de seguridad permite aplicar la pol$tica a grupos espec$ icos de o(2etos de un contenedor! 0ara iltrar la pol$tica de grupo de esta orma se utili+a la ic3a $e&urid d en la p*gina 3ropied des de un L0O para controlar #uin puede leerlo! A los usuarios #ue no tengan Aplicar pol$tica de grupo y %eer esta(lecidos a 0ermitir como miem(ros de un grupo de seguridad no se les aplicar* dic3o L0O! Sin em(argo, puesto #ue los usuarios normales tienen estos permisos de orma predeterminada, 0ol$tica de grupo a ecta a todos los usuarios y e#uipos del contenedor vinculado a menos #ue cam(ie estos permisos e"pl$citamente! %a u(icacin de un grupo de seguridad en Active Directory no tiene importancia para 0ol$tica de grupo! 0ara el contenedor espec$ ico al #ue se aplica el L0O, los valores del L0O determinan lo siguiente5 Xu recursos del dominio /como las aplicaciones0 estn disponibles para los usuarios. #mo est configurado el uso de estos recursos del dominio. 0or e2emplo, un L0O puede determinar #u aplicaciones tienen disponi(les los usuarios en su e#uipo cuando inician la sesin, cu*ntos usuarios pueden conectarse a Microso t SC% Server cuando se inicie en un servidor o a #u servicios tienen acceso los usuarios cuando se mueven a otros departamentos o grupos! 0ol$tica de grupo permite administrar un n/mero pe#ue9o de L0O en lugar de un gran n/mero de usuarios y e#uipos! %os sitios, los dominios y las unidades organi+ativas, a di erencia de los grupos de seguridad, no con ieren la pertenencia! En su lugar, contienen y organi+an o(2etos del directorio! 1tilice los grupos de seguridad para conceder derec3os y permisos a los usuarios y, a continuacin, utilice los tres tipos de contenedores de Active Directory para alo2ar los usuarios y los e#uipos, y para asignar valores de 0ol$tica de grupo! &omo el acceso a los recursos se concede mediante grupos de seguridad, ver* #ue es m*s e ica+ utili+ar grupos de seguridad para representar la estructura organi+ativa de su empresa #ue usar dominios o unidades organi+ativas para re le2ar la estructura de la organi+acin! De orma predeterminada, los contenedores secundarios 3eredan los valores de la pol$tica #ue a ectan a todo el dominio o #ue se aplican a una unidad organi+ativa #ue contiene otras unidades organi+ativas, a menos #ue el administrador especi i#ue e"pl$citamente #ue la 3erencia no se aplica a uno o varios contenedores secundarios! De!e& r e! contro! de 3o!+tic de &rupo

%os administradores de la red =miem(ros del grupo Administradores de empresa o Administradores del dominio> pueden utili+ar la ic3a $e&urid d de la p*gina 3ropied des del L0O para averiguar #u grupos de administradores pueden modi icar los valores de la pol$tica en los L0O! 0ara ello, un administrador de la red de ine primero los grupos de administradores =por e2emplo, administradores de mercadotecnia> y, a continuacin, les proporciona acceso de lectura y escritura a los L0O seleccionados! -ener control total de un L0O no permite a un administrador vincularlo a un sitio, dominio o unidad organi+ativa! Sin em(argo, los administradores de la red tam(in pueden conceder esta posi(ilidad mediante el Asistente para delegacin de control! En el sistema operativo Windows 2000 puede delegar independientemente las tres tareas siguientes de 0ol$tica de grupo5 &dministrar los v+nculos de .ol+tica de grupo de un sitio$ un dominio o una unidad organizativa. #rear ob!etos de .ol+tica de grupo. 6odificar los ob!etos de .ol+tica de grupo. 0ol$tica de grupo, al igual #ue la mayor$a de las dem*s 3erramientas administrativas de Windows 2000, se encuentra en las consolas de MM&! 0or tanto, los derec3os para crear, con igurar y utili+ar consolas de MM& tienen implicaciones so(re la pol$tica! 0uede controlar estos derec3os mediante 0ol$tica de grupo en
R$ombre de objeto de poltica de !rupoS?&on iguracin de usuario?0lantillas administrativas?&omponentes de Windows?Microso t Management &onsole?

y sus su(carpetas! En la ta(la . se enumeran los valores de los permisos de seguridad para un o(2eto de pol$tica de grupo! T b! <( " !ores de permisos de se&urid d p r un 63. @rupos :o usuarios; <ermiso de seguridad 2ectura con &#% &plicar .ol+tica de "suario autenticado grupo &dministradores de dominio #ontrol total sin &#% &plicar .ol+tica &dministradores de empresa de grupo #reador propietario del sistema local Not De orma predeterminada, los administradores tam(in son usuarios autenticados, lo #ue signi ica #ue tienen con igurado el atri(uto Aplicar 0ol$tica de grupo! 0ara o(tener m*s in ormacin acerca de 0ol$tica de grupo, consulte la seccin 40ara o(tener m*s in ormacin4 al inal de este documento!

Interoper bi!id d
Muc3as organi+aciones dependen de un con2unto variado de tecnolog$as #ue de(en uncionar con2untamente! Active Directory admite una serie de

est*ndares para garanti+ar la interopera(ilidad del entorno Windows 2000 con otros productos de Microso t y una amplia variedad de productos de otros proveedores! En esta seccin se descri(en los siguientes tipos de interopera(ilidad admitidos por Active Directory5 .rotocolo 2D&.. >nterfaces de programacin de aplicaciones. Sincronizar &ctive Directory con otros servicios de directorio. Uuncin de contenedores virtuales y a!enos en interoperabilidad. Uuncin 8erberos en interoperabilidad. #ompatibilidad con el sistema operativo 'indo(s 31.

3rotoco!o comp cto de cceso

directorios

El 0rotocolo compacto de acceso a directorios =%DA0> es el est*ndar para el acceso a directorios! 'nternet Engineering -as@ )orce ='E-)> desea convertir %DA0 en el est*ndar de 'nternet!

Active Directory y 2DA3

%DA0 es el principal protocolo de acceso a directorios #ue se utili+a para agregar, modi icar y eliminar in ormacin almacenada en Active Directory, as$ como para consultar y recuperar datos de Active Directory! El sistema operativo Windows 2000 admite las versiones 2 y ; de %DA020! %DA0 de ine cmo un cliente de directorio puede tener acceso a un servidor de directorio y cmo el cliente puede reali+ar operaciones y compartir datos del directorio! Es decir, los clientes de Active Directory de(en utili+ar %DA0 para o(tener o mantener la in ormacin en Active Directory! Active Directory utili+a %DA0 para permitir la interopera(ilidad con otras aplicaciones cliente compati(les con %DA0! &on el permiso adecuado, puede utili+ar cual#uier aplicacin cliente compati(le con %DA0 para e"aminar, consultar, agregar, modi icar o eliminar in ormacin en Active Directory!

Inter* ces de pro&r m cin de p!ic ciones

0uede utili+ar las siguientes inter aces de programacin de aplicaciones =A0'> para tener acceso a la in ormacin de Active Directory5 >nterfaz de servicio de &ctive Directory /&DS>0. &.> # de 2D&.. Estas A0' se descri(en en las dos su(secciones siguientes!

Inter* , de servicio de Active Directory

%a 'nter a+ de servicio de Active Directory =ADS'> permite el acceso a Active Directory mediante la e"posicin de o(2etos almacenados en el directorio como o(2etos del Modelo de o(2etos componentes =&OM>! 1n o(2eto de directorio se manipula mediante los mtodos disponi(les en una o varias inter aces &OM!

ADS' tiene una ar#uitectura de proveedor #ue permite #ue &OM tenga acceso a di erentes tipos de directorios para los #ue e"iste un proveedor! Actualmente, Microso t suministra proveedores ADS' para Servicios de directorio de ,ovell ,etWare =,DS> y ,etWare ;, Windows ,-, %DA0 y la meta(ase de Servicios de 'nternet 'n ormation Server =''S>! =%a meta(ase de ''S contiene los valores de con iguracin de ''S!> El proveedor %DA0 puede utili+arse con cual#uier directorio %DA0, incluido Active Directory, Microso t E"c3ange F!F o ,etscape! 0uede utili+ar ADS' desde muc3as 3erramientas, #ue van desde aplicaciones de Microso t O ice 3asta &?&WW! ADS' es e"tensi(le, con lo #ue puede agregar uncionalidad a un o(2eto ADS' para admitir propiedades y mtodos nuevos! 0or e2emplo, puede agregar un mtodo al o(2eto de usuario #ue crea un (u+n de E"c3ange para un usuario cuando se invo#ue el mtodo! ADS' tiene un modelo de programacin muy sencillo! Simpli ica la carga de administracin de datos #ue es caracter$stica de las inter aces #ue no son &OM, como las A0' & de %DA0! &omo ADS' puede utili+arse en secuencias de comandos, resulta *cil desarrollar aplicaciones We( completas! ADS' admite ActiveX7 Data O(2ects =ADO> y la (ase de datos de vinculacin e incrustacin de o(2etos =O%E D:> para reali+ar consultas! %os programadores y los administradores pueden agregar o(2etos y atri(utos a Active Directory mediante la creacin de secuencias de comandos (asadas en ADS' =as$ como secuencias de comandos (asadas en %D')DE, #ue se descri(e m*s adelante en este documento>!

A3I C de 2DA3
%a A0' & de %DA0, de inida en el est*ndar de 'nternet D)& BM2;, es un con2unto de A0' de (a2o nivel del lengua2e & para el protocolo %DA0! Microso t admite las A0' & de %DA0 en todas las plata ormas Windows! %os programadores pueden escri(ir aplicaciones compati(les con Active Directory mediante las A0' & de %DA0 o ADS'! %as A0' & de %DA0 son las #ue suelen utili+arse para acilitar el transporte de las aplicaciones de directorio a la plata orma Windows! 0or otra parte, ADS' es un lengua2e m*s e ica+ y m*s adecuado para los programadores #ue escri(en cdigo de directorio en la plata orma Windows!

$incroni, r Active Directory con otros servicios de directorio

Microso t proporciona servicios de sincroni+acin de directorios #ue permiten sincroni+ar la in ormacin de Active Directory con Microso t E"c3ange F!F, ,ovell ,DS y ,etWare, %otus ,otes y LroupWise! Adem*s, las utilidades de la l$nea de comandos permiten importar y e"portar in ormacin de directorio desde otros servicios de directorio!

Active Directory y )icroso*t /@c: n&e

El sistema operativo Windows 2000 contiene un servicio denominado Active Directory &onnector #ue o rece sincroni+acin (idireccional con Microso t

E"c3ange F!F! Active Directory &onnector proporciona una asignacin rica de o(2etos y atri(utos cuando sincroni+a los datos entre los dos directorios! 0ara o(tener m*s in ormacin acerca de Active Directory &onnector, consulte la seccin 40ara o(tener m*s in ormacin4 al inal de este documento!

Active Directory y Nove!! ND$ y NetW re

&omo parte de Servicios para ,etWare F!0, Microso t pretende distri(uir un servicio de sincroni+acin de directorios #ue e ect/e la sincroni+acin (idireccional con ,ovell ,DS y ,etWare!

Active Directory y 2otus Notes

&omo parte de 0latinum, el nom(re en cdigo de la pr"ima versin de Microso t E"c3ange, Microso t va a incluir un servicio de sincroni+acin de directorios #ue e ect/e la sincroni+acin (idireccional con %otus ,otes para sincroni+ar el correo electrnico y otros atri(utos comunes!

Active Directory y 6roupWise

&omo parte de 0latinum, el nom(re en cdigo de la pr"ima versin de Microso t E"c3ange, Microso t va a incluir un servicio de sincroni+acin de directorios #ue e ect/e la sincroni+acin (idireccional con LroupWise para sincroni+ar el correo electrnico y otros atri(utos comunes!

Active Directory y 2DI%D/

El sistema operativo Windows 2000 proporciona la utilidad de l$nea de comandos )ormato de intercam(io de datos %DA0 =%D')DE> para permitir la importacin y e"portacin de in ormacin de directorio! )ormato de intercam(io de datos %DA0 =%D')> es un (orrador de 'nternet #ue es un est*ndar en el #ue se de ine el ormato de arc3ivo utili+ado para intercam(iar in ormacin de directorio! %a utilidad de Windows 2000 #ue admite importar y e"portar al directorio mediante %D') se denomina %D')DE! %D')DE permite e"portar in ormacin de Active Directory en ormato %D'), de orma #ue se pueda importar posteriormente a otro directorio! -am(in puede utili+ar %D')DE para importar in ormacin desde otro directorio! 0uede emplear %D')DE para reali+ar operaciones por lotes, como agregar, eliminar, cam(iar el nom(re o modi icar! -am(in puede llenar Active Directory con in ormacin o(tenida de otros or$genes, como otros servicios de directorio! Adem*s, puesto #ue el es#uema de Active Directory se almacena en el propio directorio, puede utili+ar %D')DE para reali+ar una copia de seguridad o ampliar el es#uema! 0ara o(tener una lista de los par*metros de %D')DE y su uncin, consulte la Ayuda de Windows 2000! 0ara o(tener in ormacin acerca de cmo utili+ar %D')DE en operaciones por lotes con Active Directory, consulte la seccin 40ara o(tener m*s in ormacin4 al inal de este documento!

Re*erenci s intern s y e@tern s

1n administrador puede crear un o(2eto de re erencia cru+ada #ue se9ale a un servidor de un directorio e"terno al (os#ue! &uando un usuario (usca en un su(*r(ol #ue contiene este o(2eto de re erencia cru+ada, Active Directory devuelve una re erencia a dic3o servidor como parte del con2unto de resultados y el cliente %DA0 sigue la re erencia para o(tener los datos solicitados por el usuario! Dic3as re erencias son o(2etos contenedores de Active Directory #ue 3acen re erencia a un directorio e"terno al (os#ue! %a di erencia estri(a en #ue una re erencia interna se re iere a un directorio e"terno #ue aparece en el espacio de nom(res de Active Directory como secundario de un o(2eto e"istente de Active Directory, mientras #ue una re erencia e"terna se re iere a un directorio e"terno #ue no aparece en el espacio de nom(res de Active Directory como secundario! 0ara las re erencias internas y e"ternas, Active Directory contiene el nom(re D,S de un servidor #ue tiene una copia del directorio e"terno y el nom(re completo de la ra$+ del mismo en la #ue empie+an las operaciones de (/s#ueda en el directorio e"terno!

%uncin Aerberos en interoper bi!id d

. El sistema operativo Windows 2000 admite varias con iguraciones para la interopera(ilidad multiplata orma5 Clientes. "n controlador de dominio de 'indo(s )*** puede proporcionar autenticacin para los sistemas cliente que e!ecuten implementaciones de 8erberos RU#H@C@*$ incluidos los clientes que e!ecuten un sistema operativo distinto de 'indo(s )***. 2as cuentas de usuarios y equipos de 'indo(s )*** pueden utilizarse como principales de 8erberos para servicios de "ni-. Clientes y servicios Uni6. %n un dominio de 'indo(s )***$ los clientes y servicios "ni- pueden tener cuentas de &ctive Directory y$ por tanto$ pueden obtener la autenticacin de un controlador de dominio. %n este escenario$ un principal de 8erberos se asigna a una cuenta de usuario o equipo de 'indo(s )***. 5plicaciones y sistemas operativos. 2as aplicaciones cliente para 'inE)Y y los sistemas operativos distintos de 'indo(s )*** que se basan en la >nterfaz de programacin de aplicaciones de servicios de seguridad generales /&.> ;SS0 pueden obtener vales de sesin para los servicios dentro de un dominio de 'indo(s )***. En un entorno #ue ya utili+a un territorio Uer(eros, el sistema operativo Windows 2000 admite interopera(ilidad con los servicios Uer(eros5 ?erritorio Aerberos. 2os sistemas basados en 'indo(s )*** .rofessional pueden autenticar un servidor 8erberos RU#H@C@* dentro de un territorio con un inicio de sesin nico en el servidor y una cuenta local de 'indo(s )*** .rofessional. +elaciones de con%ian-a con territorios Aerberos. Se puede establecer una relacin de confianza entre un dominio y un territorio 8erberos. %sto significa que un cliente de un territorio 8erberos puede autenticarse en un dominio de &ctive Directory para tener acceso a los recursos de red de dicho dominio.

Comp tibi!id d con e! sistem oper tivo Windows NT

1n tipo especial de interopera(ilidad consiste en mantener la compati(ilidad con versiones anteriores del sistema operativo actual! De orma predeterminada, el sistema operativo Windows 2000 se instala en una con iguracin de red de modo mi"to! 1n dominio de modo mi"to es un con2unto de e#uipos en red #ue e2ecutan controladores de dominio de Windows ,- y Windows 2000! 0uesto #ue Active Directory admite el modo mi"to, puede actuali+ar los dominios y los e#uipos a la velocidad #ue desee, dependiendo de las necesidades de la organi+acin! Active Directory admite el protocolo de autenticacin %A, Manager de Windows ,- =,-%M> utili+ado por el sistema operativo Windows ,-, lo #ue signi ica #ue los usuarios y e#uipos de Windows ,- autori+ados pueden iniciar la sesin y tener acceso a los recursos de un dominio de Windows 2000! 0ara los clientes de Windows ,- y los clientes de Windows PF o PM #ue no e2ecuten so tware cliente de Active Directory, un dominio de Windows 2000 aparece como un dominio de Windows ,- Server .!0!

Resumen
Entre las muc3as me2oras #ue o rece el sistema operativo Windows 2000 Server, la m*s importante es la presentacin del servicio de directorio Active Directory! Active Directory ayuda a centrali+ar y simpli icar la administracin de la red y, de este modo, me2ora la capacidad de la red para respaldar los o(2etivos de la organi+acin! Active Directory almacena in ormacin acerca de los o(2etos de la red y pone esta in ormacin a disposicin de los administradores, los usuarios y las aplicaciones! Se trata de un espacio de nom(res integrado con el Sistema de nom(res de dominio =D,S> de 'nternet y, al mismo tiempo, es el so tware #ue de ine un servidor como controlador de dominio! %os dominios, los *r(oles, los (os#ues, las relaciones de con ian+a, las unidades organi+ativas y los sitios se utili+an para estructurar la red de Active Directory y sus o(2etos! 0uede delegar la responsa(ilidad administrativa de las unidades organi+ativas, dominios o sitios a los usuarios o grupos adecuados y puede asignar valores de con iguracin a estos tres mismos contenedores de Active Directory! Esta estructura permite #ue los administradores controlen la red de modo #ue los usuarios puedan concentrarse en alcan+ar sus o(2etivos empresariales! Actualmente, la norma es #ue las organi+aciones dependan de tecnolog$as diversas #ue necesitan uncionar con2untamente! Active Directory se 3a creado a partir de protocolos est*ndar de acceso a directorios, lo cual, 2unto con varias A0', permite #ue Active Directory interopere con otros servicios de directorio y una amplia variedad de aplicaciones de terceros! Adem*s, Active Directory puede sincroni+ar datos con Microso t E"c3ange y proporciona utilidades de la l$nea de comandos para importar y e"portar datos a y desde otros servicios de directorio!

3 r obtener ms in*orm cin

0ara o(tener la in ormacin m*s reciente acerca del sistema operativo Windows 2000, consulte Microso t -ec3,et o el sitio We( de Microso t Windows 2000 Server =3ttp5??www!microso t!com?latam?windows2000?2?producto?servidor?resumen?>, el oro de Windows ,- Server en MS,8 y el servicio en l$nea -3e Microso t ,etwor@ =LO WODD5 MS,-S>! Adem*s, puede consultar los v$nculos siguientes para o(tener m*s in ormacin5 &yuda del producto 'indo(s )*** /http?==(indo(s.microsoft.com=(indo(s)***=en=server=help=0? cmo obtener un >d. de ob!eto de esquema /:>D0. 8it de desarrollo de soft(are de la plataforma 'indo(s )*** /http?==msdn.microsoft.com=developer=sdK=.latform.asp0? cmo utilizar &DS> para ampliar el esquema mediante programa. 4,otas del producto 4'ntroduccin a 0ol$tica de grupo de Windows 20004 =3ttp5??www!microso t!com?windows?server?-ec3nical?management?Lroup0olicy' ntro!asp>5 Detalles de 0ol$tica de grupo de Windows 2000! &yuda del producto 'indo(s )*** /http?==(((.microsoft.com=(indo(s)***=en=server=help=0 para &ctive Directory #onnector? cmo sincroniza &ctive Directory #onnector los datos entre &ctive Directory y 6icrosoft %-change. 3ovedades tcnicas de 9eta E$ 4>mportacin y e-portacin masiva a &ctive Directory4 /http?==(((.microsoft.com='indo(s=server=Deploy=directory=9lKimpt.asp0? cmo utilizar 2D>UD% para operaciones por lotes con &ctive Directory. Sitio 'eb de >nternet %ngineering 1asK Uorce />%1U0 /http?==(((.ietf.org=0 ? para obtener RU# de >%1U y borradores de >nternet. %a Gua de diseo de la distribucin de Microsoft Windows 2 Server , #ue descri(e cmo planear la estructura y la distri(ucin de los dominios y los sitios de Windows 2000, se pondr* a la venta a principios del a9o 2000! -am(in se encuentra en los &D de Windows 2000 Server y Windows 2000 Advanced Server como parte de las 3erramientas au"iliares!

Apndice A7 Berr mient s

En este apndice se proporciona una (reve introduccin a las 3erramientas de so tware #ue puede utili+ar para llevar a ca(o las tareas asociadas a Active Directory!

)icroso*t ) n &ement Conso!e

En el sistema operativo Windows 2000 Server, Microso t Management &onsole =MM&> proporciona inter aces co3erentes para permitir #ue los administradores e"aminen las unciones de la red y utilicen las 3erramientas administrativas!

%os administradores utili+an la misma consola tanto si son responsa(les de una /nica estacin de tra(a2o como de una red completa de e#uipos! MM& contiene programas denominados complementos y cada uno de ellos trata tareas espec$ icas de administracin de la red! &uatro de estos complementos son 3erramientas de Active Directory!

Comp!ementos de Active Directory

%as 3erramientas administrativas de Active Directory #ue se incluyen con el sistema operativo Windows 2000 Server simpli ican la administracin de los servicios de directorio! 0uede utili+ar las 3erramientas est*ndar o MM& para crear 3erramientas personali+adas centradas en tareas de administracin /nicas! 0uede com(inar varias 3erramientas en una /nica consola! -am(in puede asignar 3erramientas personali+adas a administradores individuales con responsa(ilidades administrativas espec$ icas! %os siguientes complementos de Active Directory est*n disponi(les en el men/ <erramientas administrativas de Windows 2000 Server de todos los controladores de dominio de Windows 20005 "suarios y equipos de &ctive Directory Dominios y confianza de &ctive Directory Sitios y servicios de &ctive Directory El cuarto complemento de Active Directory es5 %squema de &ctive Directory %a orma recomendada para ampliar el es#uema de Active Directory es mediante programa, a travs de las 'nter aces de servicio de Active Directory =ADS'> o la utilidad )ormato de intercam(io de datos %DA0 =%D')DE>! Sin em(argo, para propsitos de desarrollo y de prue(as, tam(in puede ver y modi icar el es#uema de Active Directory con el complemento Es#uema de Active Directory! Es#uema de Active Directory no est* disponi(le en el men/ <erramientas administrativas de Windows 2000 Server! De(e instalar las <erramientas de administracin de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlas a una consola de MM&! 1n #uinto complemento, #ue est* relacionado con las tareas de Active Directory, es5 #omplemento .ol+tica de grupo &on igurar las pol$ticas de grupo es una tarea relacionada con la administracin de usuarios, e#uipos y grupos de Active Directory! %os o(2etos de pol$tica de grupo =L0O>, #ue contienen valores de pol$ticas, controlan la con iguracin de usuarios y e#uipos en sitios, dominios y unidades organi+ativas! 0ara crear o modi icar L0O, utilice el complemento 0ol$tica de grupo, al #ue se tiene acceso a travs de 1suarios y e#uipos de Active Directory o mediante Sitios y servicios de Active Directory =dependiendo de la tarea #ue desee reali+ar>! 0ara utili+ar las 3erramientas administrativas de Active Directory de orma remota, desde un e#uipo #ue no sea un controlador de dominio =por e2emplo, uno #ue e2ecute Windows 2000 0ro essional>, de(e instalar las 3erramientas administrativas de Windows 2000!

%orm s nuev s de re !i, r t re s conocid s

En la ta(la F se enumeran las tareas comunes #ue puede reali+ar mediante los complementos de Active Directory y las 3erramientas administrativas relacionadas! 0ara los usuarios del sistema operativo Windows ,- Server, en la ta(la tam(in se muestra dnde se reali+an estas tareas cuando se utili+an las 3erramientas de administracin proporcionadas por Windows ,- Server .!0! T b! C( T re s re !i, d s con ! s :err mient s de Active Directory y 3o!+tic de &rupo 0n BindoCs N? 'i desea> 0n BindoCs 2DDDE utilice> ..DE utilice> >nstalar un &sistente para instalacin de &ctive >nstalacin de controlador de Directory /al que se tiene acceso desde 'indo(s dominio #onfigurar el servidor0. &dministrar cuentas &dministrador de "suarios y equipos de &ctive Directory de usuario usuarios &dministrador de &dministrar grupos "suarios y equipos de &ctive Directory usuarios &dministrar cuentas &dministrador de "suarios y equipos de &ctive Directory de equipo servidores &gregar un equipo a &dministrador de "suarios y equipos de &ctive Directory un dominio servidores #rear o administrar &dministrador de Dominios y confianza de &ctive relaciones de usuarios Directory. confianza &dministrar &dministrador de "suarios y equipos de &ctive Directory pol+ticas de cuentas usuarios "suarios y equipos de &ctive Directory? 6odifique el ob!eto de pol+tica de &dministrar &dministrador de grupo para el dominio o la unidad derechos de usuario usuarios organizativa que contenga los equipos a los que se aplican los derechos de usuario. "suarios y equipos de &ctive &dministrar Directory? &dministrador de pol+ticas de 6odifique el ob!eto de pol+tica de usuarios auditor+a grupo asignado a la unidad organizativa #ontroladores de dominio. #onfigurar pol+ticas .ol+tica de grupo$ al que se tiene acceso %ditor de pol+ticas para usuarios y a travs de Sitios y servicios de &ctive del sistema equipos de un sitio Directory #onfigurar pol+ticas .ol+tica de grupo$ al que se tiene acceso para usuarios y %ditor de pol+ticas a travs de "suarios y equipos de equipos de un del sistema &ctive Directory dominio

#onfigurar pol+ticas para usuarios y 3o aplicable equipos de un unidad organizativa "sar grupos de seguridad para 3o aplicable filtrar el mbito de la pol+tica

.ol+tica de grupo$ al que se tiene acceso a travs de "suarios y equipos de &ctive Directory 6odificar la entrada de permiso para 5plicar <ol8tica de grupo en la ficha Seguridad de la ho!a de propiedades del ob!eto de pol+tica de grupo.

Berr mient s de ! !+ne de com ndos de Active Directory

%os administradores avan+ados y los especialistas de soporte tcnico de redes tam(in pueden utili+ar diversas 3erramientas de la l$nea de comandos para con igurar, administrar y solucionar pro(lemas de Active Directory! Estas 3erramientas se denominan 3erramientas au"iliares y est*n disponi(les en el disco compacto de Windows 2000 Server en la carpeta HS100OD-HDESU'-! Se descri(en en la ta(la 6! T b! D( Berr mient s de ! !+ne de com ndos re! cion d s con Active Directory Ferramienta #escripci)n $ove?ree 6over ob!etos de un dominio a otro. #onfigurar las listas de control de acceso para ob!etos que 'I#BalGer pertenec+an anteriormente a cuentas que se han movido$ han quedado hurfanas o se han eliminado. .ermite realizar operaciones 2D&. en &ctive Directory. %sta 9#< herramienta tiene una interfaz grfica de usuario. #omprobar el registro dinmico de registros de recursos D3S$ #N'C$# incluida la actualizacin segura de D3S$ as+ como la anulacin del registro de los registros de recursos. Der o modificar las listas de control de acceso de los ob!etos del #'5C9' directorio. &dministracin por lotes de confianzas$ unin de equipos a N0?#!$ dominios$ comprobacin de confianzas y canales seguros. #omprobar de un e-tremo a otro la red y las funciones de N0?#I5@ servicios distribuidos. N9?est #omprobar que el ubicador y el canal seguro estn funcionando. #omprobar la coherencia de replicacin entre asociados de replicacin$ supervisar el estado de replicacin$ mostrar los +0<5dmin metadatos de replicacin$ forzar los eventos de replicacin y actualizar el #omprobador de coherencia de rplica /8##0. 6ostrar la topolog+a de replicacin$ supervisar el estado de replicacin /incluidas las pol+ticas de grupo0$ forzar los eventos +0<9$on de replicacin y actualizar el #omprobador de coherencia de rplica. %sta herramienta tiene una interfaz grfica de usuario.

#'5'tat

5#'I0dit

'#ChecG

5C9#iag

#F'ChecG

#omparar la informacin de directorio en controladores de dominio y detectar las diferencias. #omplemento de 6icrosoft 6anagement #onsole /66#0 que se utiliza para ver todos los ob!etos del directorio /incluida la informacin de esquema y de configuracin0$ modificar ob!etos y configurar listas de control de acceso para los ob!etos. #omprobar la propagacin y la replicacin de las listas de control de acceso de los ob!etos especificados del directorio. %sta herramienta permite que un administrador determine si las listas de control de acceso se heredan correctamente y si los cambios de las mismas se replican de un controlador de dominio a otro. Determinar si a un usuario se le ha concedido o denegado el acceso a un ob!eto del directorio. 1ambin puede utilizarse para restablecer las listas de control de acceso a su estado predeterminado. "tilidad de la l+nea de comandos para administrar todos los aspectos del Sistema de archivos distribuido /Dfs0$ comprobar la simultaneidad de configuracin de los servidores Dfs y mostrar la topolog+a Dfs.

3&in de re*erenci de com ndos de Windows 2000

En la Ayuda de Windows 2000 encontrar* una lista completa de los comandos de Windows 2000, con in ormacin acerca de cmo utili+ar cada uno! Escri(a 4re erencia de comandos4 en la ic3a Endice o en la ic3a ;usc r!

Inter* , de servicio de Active Directory

0uede utili+ar las 'nter aces de servicio de Active Directory =ADS'> para crear secuencias de comandos para diversos propsitos! El &D de Windows 2000 Server contiene varias secuencias de comandos ADS' de e2emplo! 0ara o(tener m*s in ormacin acerca de ADS', consulte las secciones 4'nter a+ de servicio de Active Directory4 y 40ara o(tener m*s in ormacin4! Y BPPP Microso t &orporation! Deservados todos los derec3os! %a in ormacin contenida en este documento representa la visin actual de Microso t &orporation acerca de los asuntos a(ordados en la ec3a de su pu(licacin! &omo Microso t de(e responder a condiciones de mercado varia(les, no de(e interpretarse como un compromiso por parte de Microso t y Microso t no puede garanti+ar la precisin de la in ormacin #ue se presenta despus de la ec3a de pu(licacin! Este documento se proporciona con propsito in ormativo /nicamente! M'&DOSO)- ,O O-ODLA ,',L1,A LADA,-ZA, ,' 'M0%Z&'-A ,' EX0%Z&'-A, E, ES-E DO&1ME,-O! Microso t, Active Directory, ActiveX, :ac@O ice, MS,, Windows y Windows ,son marcas o marcas registradas de Microso t &orporation en EE!11! y?o en otros pa$ses!

%os nom(res de otras compa9$as y productos a#u$ mencionados pueden ser marcas comerciales de sus respectivos propietarios! Microso t &orporation [ One Microso t Way [ Dedmond, WA PM0F2I6;PP [ 1SA 0"PP B En un dominio de Windows 2000 Server, un controlador de dominio es un e#uipo #ue e2ecuta el sistema operativo Windows 2000 Server #ue administra el acceso de los usuarios a una red =esto incluye el inicio de sesin, la autenticacin y el acceso al directorio y a recursos compartidos>! 2 1na +ona D,S es una particin contigua del espacio de nom(res D,S #ue contiene los registros de recursos para los dominios D,S de dic3a +ona! ; %DA0 es un protocolo #ue se utili+ar para tener acceso a un servicio de directorioA consulte las secciones 4,om(res relacionados con %DA04 y 40rotocolo compacto de acceso a directorios4! . Descrito en el (orrador de 'nternet del 'nternet Engineering -as@ )orce ='E-)> denominado dra tIiet IdnsindIr c20F2(isI02!t"t, 4A D,S DD or speci ying t3e location o services =D,S SDE>4! =%os (orradores de 'nternet son documentos de tra(a2o del 'nternet Engineering -as@ )orce ='E-)>, sus *reas y sus grupos de tra(a2o!> F Descrito en D)& 2B;6, O(servations on t3e use o &omponents o t3e &lass A Address Space wit3in t3e 'nternet! 6 %os grupos de Windows 2000 se de inen de orma di erente a Windows ,-! Windows 2000 incluye dos tipos de !rupos5 B, grupos de seguridad =para administrar el acceso de usuarios y e#uipos a recursos compartidos y para iltrar los valores de pol$tica de grupo> y 2, grupos de distri(ucin =para crear listas de distri(ucin de correo electrnico>! Windows 2000 tam(in incluye tres 'mbitos de !rupo5 B, grupos con *m(ito local de dominio =para de inir y administrar el acceso a los recursos dentro de un /nico dominio>A 2, grupos con *m(ito glo(al =para administrar o(2etos de directorio #ue precisan mantenimiento diario, como las cuentas de usuario y e#uipoA el *m(ito glo(al se utili+a para agrupar cuentas dentro de un dominio>A y ;, grupos con *m(ito universal =para consolidar grupos #ue a(arcan dominiosA puede agregar cuentas de usuario a grupos con *m(ito glo(al y, a continuacin, anidar estos grupos dentro de grupos #ue tengan *m(ito universal>! =0ara o(tener m*s in ormacin acerca de los grupos de Windows 2000, incluido el nuevo tipo de grupo universal, consulte la seccin 40ara o(tener m*s in ormacin4 al inal de este documento!> Q 0ara poder o(tener el logotipo &erti icado para Windows, Eeri-est de(e pro(ar la aplicacin con el in de compro(ar #ue cumpla la Especi icacin de aplicaciones para Windows 2000! 0uede elegir cual#uier com(inacin de plata ormas, siempre y cuando se incluya al menos un sistema operativo Windows 2000! %as aplicaciones pueden llevar el logotipo 4&erti icado para Microso t Windows4 una ve+ 3ayan superado las prue(as de con ormidad y se 3aya esta(lecido un contrato de licencia de logotipo con Microso t! El logotipo #ue se o(tiene indica las versiones de Windows para las #ue est* certi icado el producto! &onsulte M Active Directory admite %DA0 v2 y %DA0 v;, #ue reconocen las convenciones de nomenclatura de D)& BQQP y D)& 22.Q! P Si no se 3a agregado ning/n 10,, los usuarios pueden iniciar la sesin e"pl$citamente si proporcionan su nom(re de usuario y el nom(re D,S del dominio ra$+!

B0 %as pol$ticas de grupo #ue controlan los valores predeterminados de las impresoras de pu(licacin son 3ub!ic r utomtic mente impresor s nuev s en Active Directory y 3ermitir -ue se pub!i-uen impresor s =esta /ltima controla si se pueden pu(licar o no las impresoras de ese e#uipo>! BB En comparacin con versiones anteriores de Windows ,- Server, la (ase de datos de SAM ten$a un l$mite de unos .0000 o(2etos por dominio! B2 0ara o(tener una descripcin de esta so(recarga adicional, consulte la 4Lu$a de dise9o de la distri(ucin de Windows 2000 Server4, #ue descri(e cmo planear la estructura y la distri(ucin de dominios y sitios de Windows 2000, en la seccin 40ara o(tener m*s in ormacin4 al inal de este documento! B; 1na DA&% concede o deniega permisos para un o(2eto a determinados usuarios o grupos! B. 0ara o(tener m*s in ormacin acerca de la interopera(ilidad con territorios Uer(eros, consulte la seccin 4)uncin Uer(eros en interopera(ilidad4! BF %os vectores de actuali+acin no son espec$ icos del sitio! 1n vector de actuali+acin contiene una entrada por cada servidor en el #ue se puede escri(ir en la particin del directorio =conte"to de nom(res>! B6 Adem*s de delegar la autoridad en contenedores, puede conceder permisos =como lectura y escritura> 3asta el nivel de atri(uto de un objeto! BQ %as entradas de control de acceso =A&E> de la DA&% de un o(2eto determinan #uin tiene acceso a dic3o o(2eto y #u tipo de acceso tiene! &uando se crea un o(2eto en el directorio, se le aplica una DA&% predeterminada =de inida en el es#uema>! BM De orma predeterminada, al grupo Administradores de empresa se concede &ontrol total so(re todos los o(2etos de un bosque! BP %a e"tensin Dedireccin de carpetas se utili+a para redirigir cual#uier carpeta especial de un per il de usuario a una u(icacin alternativa =por e2emplo, un recurso compartido de red>5 Datos de programa, Escritorio, Mis documentos =y?o Mis im*genes>, Men/ 'nicio! 20 %DA0 versin 2 se descri(e en D)& BQQQA %DA0 versin ; se descri(e en D)& 22FB!