Active Directory

Universidad Tecnolgica Intercontinental
Redes II Page 1


Redes II Page 2

Introduccin

Inicialmente, Windows 2003 se gest como el sucesor y el integrador de todos
los Windows. La idea original pasaba por incorporar en Windows 2003 las features de
PnP y resto de subsistemas probados y experimentados en la serie de Windows al
consumo (9X). A lo largo de la fase beta de W2003, Microsoft se replante la posicin
anterior, entiendo que correctamente, ya que el mercado no estaba preparado todava
para una transicin completa a ncleo NT, y por tanto, el producto final que sali al
mercado, sigui siendo un NT puro.
Un servicio del directorio es una base de datos de Red que almacena
informacin de recursos, tal como cuentas del usuario. Un servicio del directorio
proporciona un lugar a la informacin almacenada sobre entidades de la red, tales como
usuarios, archivos, impresoras, o aplicaciones. Proporciona una manera constante de
nombrar, de describir, de encontrar, de tener acceso, de manejar, y de asegurar a la
informacin sobre esos recursos individuales. El directorio tambin acta como el punto
central del control y de la gerencia para el sistema operativo de la red. Acta como la
autoridad central para identificar y autenticar correctamente las identidades de
recursos.
En Microsoft el servicio de directorio activo, desempea un papel crtico en la
capacidad de una organizacin de manejar la infraestructura de la red, de realizar la
administracin del sistema y de controlar el ambiente de usuario. Los servicios basados
en la nueva filosofa del Directorio Activo, se ajustan ms de cara al mundo real a la
estructura de una organizacin, la implementacin no fue del todo completa. Dicha
implementacin ha sido corregida en las versiones de Windows .NET.
Active Directory, renombrado a NTDS : Implementacin de Microsoft del servicio
de directorios LDAP para utilizarse en entornos Windows. Permite a los administradores
poder crear polticas a nivel empresa, aplicar actualizaciones a una organizacin
completa, desplegar programas en mltiples computadoras, etc.


Redes II Page 3

ACTIVE DIRECTORY

Es un sistema parejo al rbol de netware que sirve para compartir recursos en
un conjunto de dominios. Para ello utiliza un sistema comn de resolucin de nombres
(dns) y un catlogo comn que contiene una rplica completa de todos los objetos de
directorio del dominio en que se aloja adems de una rplica parcial de todos los
objetos de directorio de cada dominio del bosque.
El objetivo de un catlogo global es proporcionar autentificacin a los inicios de
sesin. Adems contiene informacin sobre todos los objetos de todos los dominios del
bosque, la bsqueda de informacin en el directorio no requiere consultas innecesarias
a los dominios.
Una nica consulta al catlogo produce la informacin sobre donde se puede
encontrar el objeto. En definitiva Active Directory es el servicio de directorio incluido
con Windows 2000/2003

Qu es un servicio de directorio?

Un servicio de directorio es uno de los componentes ms importantes de una
red. Los usuarios y administradores con frecuencia no saben el nombre exacto de los
objetos en que estn interesados. Quiz conozcan uno o ms atributos de los objetos y
puedan consultar el directorio para obtener una lista de objetos que concuerden cono
los atributos: por ejemplo, "Encontrar todas las impresoras duplex en Edificio B". Un
servicio de directorio permite que un usuario encuentre cualquier objeto con slo uno
de sus atributos.

Qu es un objeto?

Es cualquier cosa que tenga entidad en el directorio. Puede ser un programa, un
usuario, un ordenador, un router, una impresora, un proxy,


Redes II Page 4

Qu es un dominio?

Es un conjunto de normas que especifican que administran los recursos y los
clientes en una red local. En un dominio hay lo que se llama un servidor principal
llamado pdc (primary domain controller) que es quien asigna derechos controla usuarios
y recursos.
Dado que este servidor puede recibir muchas peticiones de red por parte de los
clientes, es posible instalar un servidor de rplica llamado bdc (backup domain
controller) que contiene siempre una rplica de la base de datos del pdc y acta como
pdc en cuanto a peticiones de clientes.
Adems en caso de fallo del pdc, l se sita en el dominio como pdc. En caso de
haber varios bdc, uno de ellos se coloca como pdc y los dems se dedican a respaldar a
ese.

Por qu es tan importante active directory?

Porque es la respuesta a la crtica que siempre se le hizo a microsoft en windows
NT de que sus sistemas de red no son escalables. Con active directory se agilizan las
bsquedas de recursos, se asegura la autentificacin de usuarios y mquinas, se
comparten mejor los recursos de la red, se abandona netbios como protocolo para
compartir recursos (se resuelven mediante dns y el catlogo global).

Qu hace active directory que no pueda hacer con un dominio?

Active directory no controla ordenadores, controla dominios y administra los
recursos y clientes de esos dominios. Utiliza DNS como sistema de resolucin de
nombres (debe haber obligatoriamente uno). Active directory es accesible desde
cualquier servidor de dominio.

Para qu me sirve?

Es til en redes grandes que se puedan dividir en dominios mas pequeos,
centros de trabajo con varios dominios y redes intranet donde hay sucursales que
comparten recursos.
Sobre un dominio miempresa.com podr tener subdominios
'comerciales.miempresa.com' por ejemplo para el acceso al dominio 'comerciales'
Las consultas a recursos de la red son mucho mas rpidas porque se resuelven
mediante el catlogo global en vez de bsquedas netbios.
La autentificacin tambin se resuelve mediante el catlogo lo que resuelve
problemas de seguridad variados. Un directorio activo es lo mas seguro que tiene
windows hoy por hoy. Las consultas al servidor o a otros sitios se resuelven por dns y no
por netbios. La administracin del directorio activo puede realizarse desde cualquier
servidor de dominio de toda la red. Puede incluir cada objeto individual (impresora,
archivo o usuario), cada servidor y cada dominio en una sola red de rea amplia.
Tambin puede incluir varias redes de rea amplia combinadas.


Redes II Page 5

Estructura Jerrquica

Active Directory est basado en una serie de estndares llamados (X.500), aqu
se encuentra una definicin lgica a modo jerrquico.
Dominios y subdominios se identifican utilizando la misma notacin de las zonas
DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan
el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el
listado de equipos conectados; y los componentes lgicos de la red, como el listado de
usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario
pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese
dominio, sin necesidad de pertenecer a cada uno de los subdominios.
A su vez, los rboles pueden integrarse en un espacio comn denominado
bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y
establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y
recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura
de rbol el propio Active Directory.

Funcionamiento Jerrquico

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory
Access Protocol), ya que este protocolo viene implementado de forma similar a una base
de datos, la cual almacena en forma centralizada toda la informacin relativa a un
dominio de autenticacin. La ventaja que presenta esto es la sincronizacin presente
entre los distintos servidores de autenticacin de todo el dominio.
A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos
en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email,
etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo
modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda
almacenada en Active Directory replicndose de forma automtica entre todos los
servidores que controlan el acceso al dominio.
De esta forma, es posible crear recursos (como carpetas compartidas,
impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que
estando todos estos objetos memorizados en Active Directory, y siendo esta lista de
objetos replicada a todo el dominio de administracin, los eventuales cambios sern
visibles en todo el mbito. Para decirlo en otras palabras, Active Directory es una
implementacin de servicio de directorio centralizado en una red distribuida que facilita
el control, la administracin y la consulta de todos los elementos lgicos de una red
(como pueden ser usuarios, equipos y recursos).


Redes II Page 6

Caractersticas de Active Directory en Windows Server 2003

La siguiente lista resume las caractersticas de Active Directory disponibles de
forma predeterminada en cualquier controlador de dominio que utilice Windows
Server 2003.
Seleccin mltiple de objetos de usuario. Los atributos comunes de
objetos de usuario mltiples se pueden modificar al mismo tiempo.
Funcin de arrastrar y colocar. Permite mover los objetos de Active
Directory de contenedor en contenedor mediante la funcin de arrastrar y colocar en la
ubicacin deseada de la jerarqua de dominios. Tambin puede agregar objetos a las
listas de pertenencia a grupos con la funcin de arrastrar uno o ms objetos, incluidos
otros objetos de grupo, al grupo de destino.
Funciones de bsqueda eficaces. La funcionalidad de bsqueda est
orientada a objetos y proporciona una bsqueda eficaz que reduce el trfico de red que
se produce con la exploracin de objetos.
Consultas guardadas. Los parmetros de bsqueda ms utilizados se
pueden guardar para volver a usarlos en Usuarios y equipos de Active Directory. Para
obtener ms informacin.
Herramientas de lnea de comandos de Active Directory. Permiten
ejecutar nuevos comandos de servicio de directorio en escenarios de administracin.
Para obtener ms informacin.
Clase inetOrgPerson. Se ha agregado la clase inetOrgPerson al esquema
de base como principal de seguridad y puede utilizarse de igual forma que la clase de
usuario. El atributo userPassword tambin puede utilizase para establecer la contrasea
de cuenta. Para obtener ms informacin.
Particiones de directorio de aplicaciones. El mbito de replicacin se
puede configurar con datos especficos de aplicaciones entre controladores de dominio.
Por ejemplo, puede controlar el mbito de replicacin de los datos de la zona Sistema de
nombres de dominio (DNS) almacenados en Active Directory para que slo
determinados controladores de dominio del bosque participen en la replicacin de
zonas DNS. Para obtener ms informacin.
Capacidad de agregar controladores de dominio adicionales mediante
medios de copia de seguridad. Se reduce el tiempo necesario para agregar un
controlador de dominio en un dominio existente gracias a los medios de copia de
seguridad. Para obtener ms informacin.
Almacenamiento en cach de la pertenencia al grupo universal. Evita la
necesidad de buscar un catlogo global a travs de una WAN al iniciar una sesin ya que
permite almacenar la informacin de pertenencia al grupo universal en un controlador
de dominio de autenticacin. Para ms informacin.
Trfico LDAP seguro. Las herramientas administrativas de Active
Directory firman y codifican de forma predeterminada todo el trfico LDAP. La firma del
trfico LDAP garantiza que los datos empaquetados provienen de una fuente conocida y
que no han sido modificados en el camino. Para obtener ms informacin.
Cuotas de Active Directory. Se pueden especificar las cuotas de Active
Directory para controlar el nmero de objetos que un usuario, grupo o equipo puede
poseer en determinada particin de directorio. Los Administradores de dominio y de
organizacin estn exentos de cuotas.


Redes II Page 7

Cmo funciona?

Ambos sistemas se basan en una arquitectura jerrquica de objetos. Lo que
significa que est organizada en forma de rbol, donde de la raz o nodo principal
(Objeto [Root] en el NDS) sale el resto que a su vez se diversifica en otros nodos o
contenedores. Cada contenedor tiene objetos que no son ms que los usuarios,
dispositivos, aplicaciones, etc.
Los objetos tienen unas propiedades que dependern del tipo de elemento, por
ejemplo en los usuarios sern el nombre, la contrasea, los permisos, su buzn de
correo, etc.
Ahora bien, no toda la informacin del rbol se almacena en un equipo, existen
lo que se denominan las rplicas de directorio que no son ms que otros ordenadores
que almacenan las copias del sistema de rbol. Cualquier cambio en un nodo de una
rplica, automticamente es modificado en el resto de rplicas.
El rbol de rplicas de NetWare, permite mantener particiones de una
determinada rama de rbol, en lugar del rbol completo, de esa forma el trfico que
genera la actualizacin de las rplicas disminuye.
Podemos gestionar las rplicas y particiones mediante una aplicacin el NDS
Manager que nos permitir ver el estado de las particiones, forzar las rplicas, crear,
modificar y eliminar las particiones ya existen, etc.

Actualizaciones y Software

Active Directory tambin simplifica la distribucin de software gracias a su
sistema llamado InteliMirror. Este sistema distribuye actualizaciones de software a los
equipos pertenecientes a un nodo determinado, o a todo el rbol.
En Netware podemos realizar las actualizaciones de software, modificaciones de
configuracin en puestos de trabajo, etc. Pudiendo realizar instalaciones o
modificaciones selectivas en funcin del tipo de equipo y de forma desatendida y
transparente para el usuario (es decir, sin que ste se entere). Para ello cuenta con el
NAL (Novell Application Launcher).

Seguridad

La seguridad es uno de los puntos fuertes tanto de Active Directory como del
NDS. Podemos poner diferentes niveles de seguridad para cada rama del rrbol,
contenedor o servidor de replicacin.
Se basa en los estndares adoptados por Windows 2000 Server, kerberos,
certificados x.509 o mediante tarjetas inteligentes. A su vez soporta las tpicas
protecciones de la red internet como claves pblicas y privadas, as como LDAP sobre
SSL.
Una de las caractersticas son los derechos heredados, proporcionados para
evitar tener que dar derechos sobre cada uno de los objetos de forma independiente.
Adems se podrn definir filtros que permitan heredar unos derechos y otros no.


Redes II Page 8

Active Directory frente a NDS de Novell

Puesto que el sistema active directory es una rplica de NDS de Novell (fue
comprado por Microsoft a ste) las ventajas que tiene sobre l son pocas.
Cabe destacar la facilidad en la gestin de impresoras en Active Directory,
comparndola con la gestin en una red NetWare, ya que Windows fusiona los
elementos del NDS y los suyos propios para que las impresoras reconozcan de forma
automtica en la red, sin necesidad de crear los objetos de impresin como en el NDS.

Fallos de Active Directory frente a NDS

Uno de los grandes problemas que acusa Active Directory frente a NDS de Novell
es el tema de las rplicas. Cuando tengamos ms de un servidor, y en cada uno de ellos
tengamos diferentes objetos, estos debern estar sincronizados, de forma que los
objetos que estn en un servidor estn en el otro. Si cada servidos posee y es el dueo
de unos objetos, los objetos del otro servidor debern estar referenciados en este (los
objetos que no posee). El proceso de paso de las propiedades de los objetos entres
servidores se llaman rplicas de rbol.
En Active Directory las rplicas son totales, es decir, todos los servidores
manejan rboles enteros, todos los servidores llevan todos los objetos. Cuando se hace
un cambio en un objeto de una rama del rbol, el cambio no es slo transmitido, sino
que se transfiere al otro servido todo el rbol entero.
As en un principio se evitan los errores por degradacin del rbol en cualquiera
de los servidores. Esto que parece una ventaja no es ms que un gran inconveniente. Si
dos servidores estn separados por un ancho de banda pequeo (por ejemplo, dos
edificios con sus correspondientes departamentos en ramas conectadas por una RDSI),
la rplica del rbol ser un proceso muy lento y llevar muchsimo tiempo.
NDS de Novell no tiene esta desventaja, las rplicas se hacen por objetos o
ramas (o rbol entero si hace falta), lo que hace que la actualizacin sea ms rpida y
eficiente que con Active Directory.
Novell NDS
Explicado Active Directory es tener explicado NDS de Novell puesto que se basa
en lo mismo. Novell es una empresa dedicada a soluciones de rede desde el ao 1979, lo
que hace que su experiencia en entornos de red sea de las mejores.
Actualmente NDS de Novell ha pasado a llamarse eDirectory. Esto no ha sido un
slo un cambio de look, sino tambin un cambio en el corazn de la aplicacin
hacindola ms robusta frente a redes de gran tamao (grandes empresas espaolas e
internacionales tienen a Novell como motor de sus redes).
NDS o eDirectory incluye potentes herramientas para la administracin de la red
y los equipos conectados a esta. Todas las herramientas (como el propio sistema
operativo o sus elementos) estn programas en Java, lo que ofrece una total
compatibilidad con equipos y sistemas. Un ejemplo es ConsoleOne que es una
herramienta bsica de control de la red y sus servidores, con cientos de plugins que
ahorran muchsimo tiempo en las tareas ms comunes de control de una red. Tareas
como arrancado y mantenimiento de servidores, control de conexiones a los servidores,
control de usuarios, importado de estaciones, asignacin de trusties (un mtodo ms de
permisos en ficheros o directorios) Otro ejemplo es eGuide, una aplicacin para la
bsqueda de personas, recursos, direcciones y un largo etctera. Compatible con LDAP3
y con soporte Web integrado (totalmente escrito en java), soporta los ACLs para saber si
un usuario tiene permiso para buscar en ciertos sitios y que ciertas cosas.

Redes II Page 9

Esto y otras cosas hacen de Novell una herramienta ideal para redes medianas y
grandes, mientras que Active Directory es una herramienta orientada a redes pequeas.
Novell ha solucionado multitud de problemas que Microsoft an no ha visto, gracias a su
experiencia en el mercado.

El Directorio Activo o Active Diectory Que es y para que sirve?

Active Directory y no hace mucho que lo dije viene a ser como una gran base de
datos con multitud de recursos compartidos en la red y que nos va a permitir
administrar, organizar y controlarlos desde una misma ubicacin. Por ejemplo al
compartir un recurso, bien sea una impresora, un fichero lo que sea, para el usuario del
equipo cliente ese recurso simplemente estar disponible y este no tendra porque saber
donde se encuentra, como se conecta etc etc. Otra de las grandes ventajas de Active
Directory es su escalabilidad, la capacidad de crecer a la par de una empresa no tiene
lmites lo que evita migraciones, cambios de sistemas u otros.
Otra de las ventajas que ofrece es la capacidad de controlar mediante directivas
de gupo escritorios, servicios de red y aplicaciones proporcionando adems un control
centralizado de los recursos de la red que permitie a los usuarios, con un nico inicio de
sesin, acceder a todos los recursos mediante Active directory.

La estructura lgica de Active Directory

Objects clases.

Esto son como la base de todos los objetos de Active Directory, viene a ser
como la coleccin de objetos de Active directory pero sin definir nnguno de sus
atributos, por ejemplo al crear un Usuario vemos todos los campos en blanco, sin
definir.
Cada objeto tiene una combinacin nica de los valores de atributos.

Organizational Units (Unidades Organizativas)

Esto son unos contendores que agrupan a otros objetos del directorio con el fin
de facilitarnos la tarea de administracin, por ejemplo al aplicar una directiva a una
Unidad Organizativa ser aplicada a todos los miembros de esta evitandonos el tener
que aplicar la directiva objeto por objeto. Existe la posibilidad de delegar en otro usuario
para administrar una Unidad Organizativa. Una Unidad Organizativa puede contener
mas Unidades Organizativas anidadas.

Dominios

Esto es el centro del universo de nuestro Active Directory, es su corazoncito. Los
dominios son una coleccin de objetos administrativos definidos que comparten la base
de datos comn del directorio, polticas de seguridad y relaciones de confianza con otros
dominios. Los domains proporcionan las tres funciones siguientes:
1. Lmite administrativo para los objetos
2. Medios de administrar la seguridad para los recursos compartidos
3. Una unidad de replica para los objetos


Redes II Page 10

rboles de dominio (domain Tree)

Un rbol es una estructura de Active Directory un poco mas avanzada que
consta de dos o mas dominios agrupados. Cuando ya tenemos un dominio creado
podemos agregar un segundo dominio a este pasando a ser este un child domain del
Parent Domain. El child domain puede contener a su vez otros child domains. El
nombre del child domain se combina con el de su parent domain como un subdominio,
por ejemplo si tenemos el dominio s3v-i.net, un child domain de este podra ser
datos.s3v-i.net, de esta forma adquiere su propio nombre DNS, a su vez si el child
domain datos.s3v-i.net tiene un child domain bajo el este pasara a tomar como base su
nombre de dominio lo que podra ser contabilidad.datos.s3v-i.net.

Bosques (Forest)

Un bosque es una instancia completa de Active Directory. Consiste en uno o ms
trees. En un solo two-level tree, el cual se recomienda en la mayora de las
organizaciones, todos los child domains se hacen children del forest root domain para
formar un tree contiguo. El primer dominio en el forest se llama forest root domain. El
nombre de ese dominio refiere al forest, por ejemplo, nwtraders.msft. Por defecto, la
informacin en Active Directory se comparte solamente dentro del forest. De esta
manera, la seguridad del forest est contenida en una sola instancia de Active Directory.

La estructura fsica de Active Directory

La estructura fsica de Active Directory optimiza el trfico de red determinando
cmo y cundo ocurre la replicacin y el trfico de logon. Veamos cuales son sus
componentes:

Domain Controllers o Controladores de Dominio
Pues es un sistema servidor que tiene instalado un Microsoft Windows Server
2000 o 2003 y un Active Directory. Como ya sabemos un controlador de dominio solo
soporta un dominio y para su correcta implementacin deberemos de replicar un
dominio en almenos dos servidores lo que nos asegurar una disponibilidad mnima.
Active Directory Sites o Sitios de Active Directory
Los sites son grupos de computadoras conectadas. Cuando usted establece sites,
los domain controllers dentro de un solo site pueden comunicarse con frecuencia. Esta
comunicacin reduce al mnimo el estado de la latencia dentro del site; eso es, el tiempo
requerido para que un cambio que se realiza en un domain controller sea replicado a
otros domain controllers. Usted crea sites para optimizar el uso del ancho de banda
entre domain controllers en diversas locaciones.

Redes II Page 11

Active diretory Partitions o Particiones de Active Directory

Cada controlador de dominio contiene las siguientes particiones de Active
directory:
1. Domain partition: Contiene una rplica de todos los objetos de ese dominio.
Esta particin se replica slo a otros controladores de dominio del mismo dominio.
2. Configuration partition: Contiene la topologa del forest. La topologa del
registra todas las conexiones de los domain controllers en el mismo forest.
3. Schema partition: Cada forest tiene un schema de modo que la definicin de
cada clase del objeto sea constante. Las particiones configuration y schema partitions
son replicadas a cada domain controller en el forest.
4. Application partitions (estos son opcionales): Contienen los objetos
relacionados con la seguridad y que son utilizados por una o ms aplicaciones. Las
application partitions son replicadas a domain controllers especficos en el forest.

Como crear un dominio

Lo que vamos a hacer es crear el primer dominio llamado MegaCrack de un
futuro bosque de dominios, tambin vamos a crear una zona de bsqueda inversa en el
DNS que instalaremos con el Domain Controller. Espero que os sea de gran ayuda.

Esta ser la pantalla final cuando arranquemos nuestra sesin con el Domain
controller o con algn cliente que aadamos al dominio creado.

Lo primero que haremos despus de instalar un servidor con Windows 2003
Server Standard Edition ser configurarle una ip fija. En nuestro caso va a ser
192.168.1.100 como se muestra en la figura:

Este DNS (127.0.0.1) es la direccin de loopback del servidor, s, podramos
poner su direccin ip (192.168.1.100) pero as no presta a confusin.

Redes II Page 12

Si disponemos de acceso a internet uno de los pasos recomendados sera
ponerlo al ltimo nivel de parches (www.windowsupdate.com) y as dejaramos el
servidor un poco ms protegido. (Ya me entendis) para poder hacer esto tenis que
poner en los DNS unos dns externos por ejemplo unos que utilizo yo y me han ido
siempre muy bien son 194.179.1.100 y 194.179.1.101, acordaros cuando terminis de
actualizar windows de volver a poner los DNS como en la imagen anterior.
El nombre del servidor ser FirstDomain.
Cuando ya tenemos ip fija y los ltimos parches de seguridad ya podemos
empezar el proceso de creacin de nuestro dominio:
Lo primero que hay que hacer es ejecutar el comando dcpromo o bien ejecutar
el Administre su servidor y aadir la funcin Controlador de dominio (Active Directory)
nosotros vamos a usar la primera opcin (dcpromo) que es 4 pantallas ms rpida y
hace exactamente lo mismo.

Pulsar Siguiente.

Pulsar Siguiente. (En el caso que vuestros clientes sean Windows 95, NT 4 deberis leer
la Ayuda sobre compatibilidad del enlace de la misma pantalla para decidir que hacer).


Redes II Page 13

Como nuestro servidor va a ser el primer controlador de dominio deberemos dejar
seleccionado Controlador de dominio para un dominio nuevo y pulsar Siguiente.

Pulsar Siguiente. (Como nosotros no disponemos en la actualidad de ms dominios, o al
menos queremos separar este dominio de cualquier otro dejaremos seleccionada la
primera opcin (Dominio en un nuevo bosque)).

Aqu pondremos el nombre del dominio a crear, en nuestro caso megacrack.es, podis
poner el nombre que vosotros creis pero tened en cuenta que si va a pertenecer a un
dominio de internet sera bueno que se llamara igual para luego poder vincular
servidores de mensajera, servicios web, etc

Pulsar Siguiente. El nombre NETBIOS se usa para clientes con versiones anteriores de
Windows puedan identificar el dominio. Se puede cambiar pero recomendamos dejarlo
por defecto.

Redes II Page 14

Pulsar Siguiente. (nicamente en el caso que vuestro Domain Controller vaya a albergar
una gran cantidad de usuarios deberis cambiar la unidad en la que guarde estos
directorios para hacer que el rendimiento del servidor sea mejor).

Pulsar Siguiente.

La instalacin ejecuta una consulta SOA de _ldap._tcp.dc._msdcs.megacrack.es para
comprobar si existe un servidor DNS principal y le devuelve un time out, gracias a esta
consulta nos da la opcin de corregir el problema instalando un DNS en segundo plano,
de instalarlo y configurarlo desde el mismo asistente o de realizarlo mas tarde.
Pulsar Siguiente, para Instalar y configurar este equipo de manera que utilice este
servidor DNS como el preferido.

Redes II Page 15

Pulsar Siguiente. En este caso ya que no disponemos de servidores con versiones
anteriores de windows 2000 dejaremos la opcin por defecto seleccionada.

Aqu pondremos una contrasea por si alguna vez necesitamos despromover este
domain controller o necesitamos entrar en modo restauracin para solventar cualquier
problema relacionado con Active Directory, poned una contrasea que os sea fcil de
recordar y pulsar Siguiente.

Finalmente nos muestra un resumen del proceso de instalacin y al pulsar Siguiente
empezar el proceso de instalacin.

Redes II Page 16

Instalar el servidor DNS tambin y os solicitar el CD de instalacin de Windows 2003
Server.

Pulsar Finalizar para terminar la instalacin.

Pulsar Reiniciar ahora.

Y cuando pulsemos ctrl+alt+supr veremos que el dominio MEGACRACK ya est creado.
Si queris tener acceso a internet siempre que tengis bien configurada la puerta de
enlace nicamente deberis configurar los reenviadores en el dns ejecutando el
comando dnsmgmt.msc y botn derecho sobre vuestro servidor > propiedades en la
pestaa reenviadores agregar las ips 194.179.1.100 y 194.179.1.101 y pulsar Aceptar.

Redes II Page 17

Lo que vamos a hacer ahora es crear una nueva zona DNS para poder resolver los
nombres de forma inversa, esto significa que cuando haces un ping -a a la ip te devuelva
un nombre de pc.
Para llevar esto a cabo desde la consola del DNS que tenis abierta pulsad botn
derecho sobre el servidor DNS y pulsar sobre Zona nueva.

Pulsar Siguiente.

Dejar seleccionada Zona principal y pulsar Siguiente.


Redes II Page 18

Ya que lo que tenemos nosotros en la actualidad es un dominio dejaremos marcada la
opcin Para todos los servidores DNS e el dominio megacrack.es de Active Directory y
pulsar Siguiente.

Como ya disponemos de una zona de bsqueda directa debemos seleccionar Zona de
bsqueda inversa y pulsar Siguiente.

Escribiremos la ID de red que tengamos en nuestro caso es 192.168.1 ya que la mscara
que tenamos es de clase C o 255.255.255.0 o /24 o como queris llamarla y pulsar
Siguiente.

Dejar seleccionada Permitir slo actualizaciones dinmicas seguras (recomendado para
Active Directory) y pulsar Siguiente, ya que con la tercera opcin deberamos aadir
todos los registros DNS manualmente y la segunda opcin dejara actualizar registros de
clientes que no son de confianza.

Redes II Page 19

Pulsar Finalizar para terminar con la creacin de la zona inversa.

Crear usuarios y grupos

Vamos a Inicio --> Herramientas Administrativas --> Usuarios y Equipos de Active
Directory

Para administrar mejor los usuarios y los grupos podemos crear unidades para los
grupos y los usuarios.


Redes II Page 20

Clic derecho sobre el nombre del dominio --> Nuevo --> Unidad Organizativa --> Y
creamos una unidad para Usuarios y otra para Grupo.

Tendremos algo as

Ahora imaginmonos que estamos dentro de una empresa y los empleados
trabajan en distintos departamentos: Contabilidad, Recursos Humanos y Direccin.
Procedemos a crear los grupos. Hacemos clic derecho sobre la unidad organizativa que
hemos creado anteriormente llamada Grupos --> Nuevo --> Grupos


Redes II Page 21

Creamos nuestros grupos.

Repetimos el proceso con los dems grupo

El mbito de Grupo y el Tipo de Grupo los ajustamos a nuestra necesidad, en mi caso lo
dejar por defecto.


Redes II Page 22

Ahora que ya tenemos creados los grupos, vamos a crear los usuarios del dominio.
Clic derecho sobre la unidad organizativa Usuarios --> Nuevo --> Usuarios

Rellenamos los datos pedidos.

Elegimos la contrasea del usuarios (debe cumplir los requisitos de seguridad, podis
ponerle: ElHacker.net123

Y finalizamos


Redes II Page 23

Para hacer las pruebas crearemos al menos 3 usuarios.

Agregar usuario a un grupo
Seleccionamos uno de nuestros usuario --> Clic derecho sobre l --> Propiedades

Una vez abierta la ventana de propiedades, vamos a la pestaa Miembro de .


Redes II Page 24

Hacemos clic en Agregar. A este usuario vamos a unirle al grupo Recursos Humanos.
Despus de escribir el nombre del grupo le damos a Comprobar Nombres.

Ahora si observamos la ventana de Miembro de, veremos que pertenece tambin el
grupo Recursos Humanos.

Eso es todo en cuanto a Grupos de Usuarios.

Creacin de Perfiles Mviles .

Creamos una carpeta llamada Perfiles dentro de nuestro servidor, yo la crear
en el Disco Local C. Hacemos clic derecho sobre esta carpeta --> Propriedades --> Uso
compartido avanzado


Redes II Page 25

Despus marcamos la casilla de Compartir y hacemos clic en Permisos -->
Seleccionamos Todos y marcamos Control Total

Aplicamos los cambios y Aceptamos.
Ahora vamos a Usuarios y Equipos de Active Directory --> Unidad Organizativa
"Usuarios" --> Clic derecho sobre un usuario --> Pestaa Perfil

En Ruta de Acceso al Perfil, ponemos la IP del Servidor + la carpeta Perfiles +
%username% haccemos clic en Aplicar y Aceptar.


Redes II Page 26

Unir un equipo a un dominio

Arrancamos el equipo que queremos unir al dominio. Primero debemos
configurar el protocolo TCP/IP. Vamos a Inicio --> Panel de Control --> Conexiones de
Red --> Clic derecho sobre nuestra conexin --> Propriedades --> Protocolo TCP/IP --> Y
configuramos el equipo. Nota: El DNS debemos poner la IP del servidor con Active
Directory.

Para comprobar que la configuracin ha surgido efecto es recomendable reiniciar el
equipo y despus hacer un ping al servidor.


Redes II Page 27

Ahora toca unir el equipo al dominio.
Vamos a Inicio --> Panel de Control --> Sistema --> Nombre de Equipo --> Cambiar --> Y
ponemos el nombre del equipo y el nombre de dominio.

Hacemos clic en Aceptar y si todo ha salido bien no deber mostrar un mensaje como el
de abajo.

Donde ponemos el nombre de inicio de sesin de algunos de nuestros usuarios y su
contrasea. Clic en Aceptar y nos dar la bienvenida al dominio.

Reiniciamos el equipo y al iniciar tendremos activada el inicio de sesin clsico por
usuarios.


Redes II Page 28

Iniciamos sesin.

Ahora podemos hacer algn cambio como cambiar el fondo de escritorio, guardar algn
fichero en Mis Documentos para comprobar que funciona el perfil mvil. Al reiniciar e
iniciar sesin con ese usuario veremos que no se han perdido los cambios.
Si vamos a la carpeta Perfiles creada en el servidor podemos ver dentro una
carpeta que tendr el nombre del usuario con el que hemos iniciado sesin
anteriormente, en esa carpeta es donde se guardan las configuraciones y archivos de
ese usuario.


Redes II Page 29

Ventajas

Visin general de Active Directory.Active Directory posee numerosas ventajas,
no slo el poder manejar instalaciones de cualquier tamao, desde un nico servidor
con unos cientos de objetos hasta miles de servidores con millones de objetos. Active
Directory tambin simplifica enormemente el proceso de localizar recursos a lo largo de
una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services
Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el
directorio, proporcionando a los usuarios una nica forma de acceder a mltiples
directorios, ya estn basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS,
NT Directory Services).
Active Directory no es un directorio X.500. En cambio, utiliza LDAP como
protocolo de acceso y soporta el modelo de informacin X.500 sin requerir sistemas que
soporten toda la sobrecarga de X.500. LDAP est basado en TCP/IP y es
considerablemente ms simple que el DAP de X.500. Al igual que X.500, el modelo de
directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para
identificar una entrada sin ambigedad. Pero en lugar de utilizar la estructurada
codificacin de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas
para representar las entradas de directorio. LDAP utiliza muchas de las tcnicas de
acceso a directorio especificadas en el estndar DAP de X.500 pero requiere menos
recursos del cliente, hacindolo ms prctico cuando se tiende a usarlo sobre un enlace
TCP/IP.
Active Directory tambin soporta directamente el Protocolo de transferencia de
hipertexto (HTTP, Hypertext Transfer Protocol). El directorio soporta extensiones para
que el Servicio de informacin de Internet (IIS, Internet Information Service) de
Microsoft traduzca las peticiones HTTP para objetos del directorio en pginas HTML para
mostrarlas en cualquier cliente HTML.

Active Directory permite un punto nico de administracin para todos los
recursos pblicos, entre los que se pueden incluir archivos, dispositivos perifricos,
conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios,
servicios, etc. Utiliza el DNS de Internet como servicio de localizacin, organiza los
objetos en dominios dentro de una jerarqua de unidades organizativas (OU,
Organizational Unit) y permite que varios dominios se conecten en una estructura en
rbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain
Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller)
desaparecen. Active Directory slo utiliza controladores de dominio, y las
actualizaciones se replicarn en el resto de controladores de dominio.

Conceptos de Active Directory.

Hay varios conceptos nuevos que se presentan con Active Directory, como son el
catlogo global, la replicacin, las relaciones de confianza, el espacio de nombres DNS y
el convenio para nombres. Es importante entender el significado de estos conceptos
aplicados a Active Directory.

Catlogo Global
Replicacin
Relaciones de Confianza
Espacio de Nombres DNS

Redes II Page 30

Servidores de Nombres
Convenio de Nombres
Catlogo global Es el almacn central de informacin sobre objetos en un rbol
del bosque. De manera predeterminada, un catlogo global se crea automticamente en
el controlador de dominio inicial del bosque, conocido como servidor de catlogo global.
Almacena una copia completa de todos los atributos de los objetos del directorio para
su host de dominio y una copia parcial de todos los atributos de objetos que contiene el
directorio de cada dominio en el bosque. La copia parcial almacena los atributos usados
con ms frecuencia en las operaciones de bsqueda (nombre y apellidos de usuario,
nombre de inicio de sesin, etc.).
Los atributos de los objetos que se copian en el catlogo global heredan los
mismos permisos que tienen en los dominios origen, garantizando la seguridad de los
datos almacenados en el catlogo global.
Realiza dos funciones clave:
Permite el inicio de sesin en red proporcionando informacin universal sobre
pertenencia al grupo de un controlador de dominio cuando se realiza un proceso de
inicio de sesin.
Permite encontrar informacin de directorio con independencia de qu
dominio del bosque contenga los datos en ese momento.
Cuando un usuario inicia la sesin en red, el catlogo global proporciona
informacin universal de pertenencia al grupo para la cuenta a los controladores de
dominio que procesan la informacin de inicio de sesin. Si slo hay un controlador de
dominio en el dominio, el controlador de dominio y el catlogo global son el mismo
servidor. Si hay varios controladores
Replicacin
La replicacin garantiza que los cambios en un controlador de dominio se reflejen en
todos los controladores de dominio de un dominio. La informacin del directorio se
replica a los controladores de dominio tanto dentro como entre los sitios.
La informacin almacenada en el directorio se divide en tres categoras. Cada
directorio contiene la siguiente informacin:
Informacin de esquema. Define los objetos que se pueden crear en el
directorio y los atributos que esos objetos pueden tener. Esta informacin es comn a
todos los dominios en el rbol de directorio o bosque.
Informacin de configuracin. Describe la estructura lgica de un desarrollo,
con informacin como la estructura del dominio o la topologa de replicacin. Esta
informacin es comn a todos los dominios en el rbol de dominio o bosque.
Datos del dominio. Describe todos los objetos del dominio. Estos datos son
especficos del dominio y no se distribuyen a otros dominios.
Dentro de un sitio, Active Directory genera automticamente una topologa para
la replicacin entre controladores de dominio en el mismo dominio utilizando una
estructura en anillo. La topologa define la trayectoria para las actualizaciones de
directorio de manera que dichas actualizaciones van desde un controlador de dominio a
otro hasta que todos los controladores de dominio reciben las actualizaciones del
directorio.
Para garantizar la replicacin entre sitios, se debe personalizar la forma
mediante la que Active Directory replica informacin utilizando vnculos de sitios para
representar conexiones de red. Active Directory utiliza las informaciones de conexiones
de red para generar objetos de conexin que proporcionan una replicacin eficiente y
tolerante a fallos.


Redes II Page 31

Relaciones de confianza

Una relacin de confianza en un vnculo entre dos dominios en el que el dominio
que confa lleva a cabo la autenticacin en el inicio de sesin del dominio en el que se
confa.
Active Directory permite dos formas de relacin de confianza:

Confianza bilateral transitiva implcita. Una relacin entre un dominio principal
y secundario dentro de un rbol y entre los dominios de alto nivel del bosque. Es la
relacin de confianza predeterminada; las relaciones de confianza entre dominios en un
rbol se establecen y mantienen implcitamente (automticamente). La confianza
transitiva es una caracterstica del protocolo de autenticacin Kerberos, que
proporciona autenticacin distribuida y autorizacin en Windows 2000. La confianza
transitiva entre los dominios elimina la administracin de cuentas de confianza entre
dominios. Los dominios que son miembros del mismo rbol participan automticamente
en una relacin de confianza transitiva y bilateral con el dominio principal. Como
resultado, los usuarios en un dominio pueden acceder a los recursos a los que tienen
permisos en otros dominios del rbol.
Confianza explcita unidireccional no transitiva. Una relacin entre dominios
que no son parte de un mismo rbol. Una confianza no transitiva se circunscribe por dos
dominios que forman la relacin de confianza y no se transmite a otros dominios en el
bosque. En la mayora de los casos, se deben crear (de forma manual) explcitamente las
confianzas no transitivas. La confianza explcita no transitiva unidireccional es la nica
forma posible de confianza en los siguientes casos: Un dominio Windows 2000 con un
dominio Windows NT, Un dominio Windows 2000 en un bosque con un dominio
Windows 2000 en otro bosque y un dominio Windows 2000 y un rea MIT Kerberos V.
Espacio de nombres DNS Active Directory, como todos los servicios de
directorio, es por encima de todo un espacio de nombres. Un espacio de nombres es un
rea de circunscripcin donde un nombre puede ser resuelto. La resolucin de nombres
es el proceso que se utiliza para traducir un nombre en algn objeto o informacin que
representa el nombre. El espacio de nombres de Active Directory se basa en el esquema
de nombres de DNS, que permite la interoperabilidad con las tecnologas de Internet. La
redes privadas utilizan DNS con mucha frecuencia para resolver los nombres de equipos
y localizar sus equipos dentro de su red local as como en Internet. La utilizacin de DNS
aporta los siguientes beneficios:
Los nombres de DNS son amigables, lo que significa que son ms fciles de
recordar que las direcciones IP.
Los nombres DNS permanecen de forma ms constante que las direcciones IP'.
Una direccin IP de un servidor puede cambiar, pero el nombre del servidor permanece
igual.
DNS permite a los usuarios enlazar sus servidores locales utilizando el mismo convenio
de nombres que en Internet.

Espacio de nombres de dominio

El espacio de nombres de dominio es el esquema de nombres que proporciona
la estructura jerrquica para la base de dates DNS. Cada nodo representa un particin
de la base de datos DNS. A estos nodos se les denomina dominios.

Redes II Page 32

La base de datos DNS est indexada por nombres, por tanto, cada dominio debe
tener un nombre. Cuando se aaden dominios a la jerarqua, el nombre del dominio
principal se aade al del dominio secundario (llamado subdominio). Come consecuencia,
un nombre de dominio identifica su propia posicin en la jerarqua.
La estructura jerrquica del espacio de nombres de dominio contiene
tpicamente un dominio raz, dominios de nivel superior, dominios de segundo nivel y
nombres de host.

Hay dos tipos de espacios de nombres:

Espacio de nombres contiguo. El nombre del objeto secundario en una
jerarqua de objetos siempre contiene el nombre del dominio principal. Un rbol es un
espacio de nombres contiguo
Espacio de nombres discontinuo. Los nombres de un objeto.

Servidores de nombres

Un servidor de nombres DNS almacena el archivo de la base de datos de la zona.
Los servidores de nombres pueden almacenar datos de una zona o de muchas zonas. Un
servidor de nombres tiene autoridad sobre el espacio de nombres de dominio que
comprende toda la zona.
Un servidor de nombres contiene el archivo maestro de la base de datos de la
zona, que se conoce como archivo de base de datos de la zona principal, para la zona
especificada.
Como consecuencia, debe haber por lo menos un servidor de nombres por cada
zona. Los cambios en una zona, como pueden ser aadir dominios o hosts, se realizan en
el servidor que contiene el archivo de base de datos de la zona principal.
Proporcionan redundancia. Si el servidor de nombres que contiene el archivo de
base de datos de la zona principal falla, el resto de servidores de nombres pueden
proporcionar el servicio.
Mejoran la velocidad de acceso para localizaciones remotas. Si hay clientes en
localizaciones remotas, se pueden utilizar servidores de nombres adicionales para
reducir el trfico de preguntas a travs de los enlaces de la red de rea.
Reducen la carga en el servidor de nombres que contiene el archivo de base de
datos de la zona principal.

Convenios de nombres.

Cada objeto en Active Directory se identifica por su nombre. Active Directory
utiliza una variedad de convenios de nombres: nombres completos, nombres completos
relativos, identificadores globales nicos y nombres principales de usuarios.
Nombre completo. Cada objeto en Active Directory tiene un nombre completo
(DN - Distinguished Name) que lo identifica de manera nica y contiene suficiente
informacin para que un cliente sea capaz de coger un objeto del directorio. El DN
incluye el nombre del dominio que contiene al objeto, al igual que la ruta completa a
travs de la jerarqua del contenedor del objeto.

Redes II Page 33

Nombre completo relativo. Active Directory soporta preguntas por atributos, de
forma que se pueda localizar un objeto incluso en el caso de que el DN sea desconocido
o haya cambiado. El hombre completo relativo (RDN - Relative Distinguished Name) de
un objeto es la parte del hombre que es atributo del propio objeto. Se pueden tener
RDN duplicados en los objetos de Active Directory, pero no se pueden tener dos objetos
con el mismo RDN dentro de la misma OU.
Identificador global nico. Un identificador global nico (GUID - Globally Unique
IDentifier) es un nmero de 128 bits nico, se asignan a los objetos cuando se crean,
nunca cambia, incluso si se mueve o se renombra un objeto. Las aplicaciones pueden
almacenar el GUID de un objeto y utilizarlo para acceder al objeto con independencia
del DN actual del objeto.
Las cuentas de usuario tienen un nombre < amigable, el nombre principal de
usuario (UPN - User Principal Name). El UPN se compone de un nombre taquigrfico
de la cuenta de usuario y del nombre DNS del rbol donde el objeto de la cuenta de
usuario est localizado.

Objetos de Active Directory

Active Directory almacena informacin sobre los recursos de red, al igual que
sobre todos los servicios que permiten que la informacin se encuentre disponible y sea
til. Los recursos almacenados en el directorio, como pueden ser datos de usuarios,
impresoras, servidores, bases de datos, grupos, equipos y directivas de seguridad, se
denominan objetos.
Un objeto es un conjunto de atributos, diferenciado por un nombre, que
representa un recurso de red. Los atributos de los objetos son caractersticas de los
objetos del directorio. Por ejemplo, los atributos de una cuenta de usuario pueden
incluir los nombres y apellidos del usuario, departamento y direccin de correo
electrnico.
En Active Directory, los objetos se pueden organizar en clases, que son
agrupaciones lgicas de objetos. Algunos ejemplos de clases de objetos son las cuentas
de usuarios, grupos, equipos, dominios y unidades organizativas (OU - Organizational
Units).
Algunos objetos, conocidos como contenedores, pueden contener a otros
objetos. Por ejemplo, un dominio es un objeto contenedor que puede contener
usuarios, equipos y otros objetos. El esquema de Active Directory define los objetos que
se pueden almacenar en Active Directory.

Esquema de Active Directory

El esquema de Active Directory es una lista de definiciones sobre los tipos de
objetos e informaciones sobre esos objetos que se pueden almacenar en Active
Directory. Las propias definiciones se almacenan como objetos de forma que Active
Directory administra los objetos del esquema con las mismas operaciones de
administracin de objetos utilizadas con el resto de los objetos de Active Directory.
Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y
clases se conocen tambin como objetos del esquema o metadatos.
Los atributos se definen de forma diferente a las clases. Cada atributo se define
slo una vez y se puede utilizar con muchas clases. Por ejemplo, el atributo Descripcin
se utiliza en muchas clases, pero se define una vez solamente en el esquema,
garantizando de esta manera la consistencia.

Redes II Page 34

Las clases, tambin denominadas clases de objetos, describen los objetos de
Active Directory que se pueden crear. Cada clase es una coleccin de atributos. Cuando
se crea un objeto, los atributos almacenan la informacin que describe a ese objeto. La
clase Usuario, por ejemplo, est compuesta por muchos atributos, que incluyen la
Direccin de Red, Directorio Base, etc. Cada objeto de Active Directory es una instancia
de una clase de objeto.

Componentes de Active Directory

Active Directory utiliza componentes para construir una estructura de directorio
acorde con las necesidades de una organizacin. Las estructuras lgicas de la
organizacin se representan en los siguientes componentes de Active Directory:
dominio, unidades organizativas, rboles y bosques. La estructura fsica de una
organizacin est recogida por los siguientes componentes de Active Directory: sitios
(subredes fsicas) y controladores de dominio. Active Directory separa completamente la
estructura lgica de la fsica.
a. Estructuras lgicas. En Active Directory, los recursos se organizan en una
estructura lgica que refleja la estructura lgica de una organizacin. Agrupar recursos
lgicamente permite encontrar un recurso por su nombre en vez de por su localizacin
fsica. Por el hecho de agrupar recursos lgicamente, Active Directory hace transparente
la estructura fsica a los usuarios.
b. Dominios. La unidad central de la estructura lgica de Active Directory es el
dominio, que puede almacenar millones de objetos. Los objetos que se almacenan en un
dominio son aquellos que se consideran interesantes para la red. Los objetos
interesantes son productos que los miembros de la comunidad de la red necesitan
para realizar su trabajo: impresoras, documentos, direcciones de correo electrnico,
bases de datos, usuarios, componentes distribuidos y otros recursos. Todos los objetos
de la red existen en un dominio, y cada dominio almacena informacin exclusivamente
sobre los objetos que contiene. Active Directory est compuesto por uno o ms
dominios. Un dominio puede expandirse en ms de una localizacin fsica. Agrupar
objetos en uno o ms dominios permite a la red reflejar la organizacin de la empresa.
Los dominios comparten estas caractersticas: Todos los objetos de red pueden estar
dentro de un dominio y un dominio es un lmite de seguridad. Las listas de control de
acceso (ACL -Access Control List) controlan el acceso a los objetos del dominio.
c. Unidades organizativas. (OU - Organizational Unit) es un contenedor que se
utiliza para organizar objetos dentro de un domino en grupos administrativos lgicos
que reflejan la estructura funcional y de negocios de una organizacin. Una OU puede
contener objetos tales como cuentas de usuarios, grupos, equipos, impresoras,
aplicaciones, archivos compartidos y otras OU del dominio. La jerarqua de una OU
dentro de un dominio es independiente de la estructura jerrquica de la OU de otros
dominios: cada dominio puede implementar su propia jerarqua de OU. Las OU pueden
proporcionar una forma de manejar las tareas administrativas, ya que representan el
punto de vista ms pequeo de delegacin para las autoridades administrativas. Esto
proporciona una mtodo para delegar la administracin de usuarios y recursos.
d. rboles. Un rbol es una agrupacin o una ordenacin jerrquica de uno o
ms dominios de Windows 2000 que se pueden crear aadiendo uno o ms dominios
secundarios a un dominio principal existente. Los dominios en un rbol comparten un
espacio de nombres contiguo y una estructura jerrquica de nombres. El espacio de
nombres se abarca en detalle en la siguiente leccin.
Los rboles comparten estas caractersticas:

Redes II Page 35

Acorde con los estndares del Sistema de nombres de dominio (DNS), el
nombre de dominio de un dominio secundario es el nombre relativo de ese dominio
secundario agregado al nombre del dominio principal.
Todos los dominios dentro de un mismo rbol comparten un esquema comn,
que es una definicin formal de todas las clases de objeto que se pueden almacenar en
el desarrollo de Active Directory.
Todos los dominios dentro de un mismo rbol comparten un catlogo global,
que es el depsito central de informacin de los objetos del rbol. El catlogo global se
comenta en detalle en la siguiente leccin.
Al crear una jerarqua de dominios en un rbol, se puede preservar la seguridad
y se puede permitir la administracin dentro de una OU o dentro de un dominio simple
de un rbol. Los permisos se pueden extender hacia abajo en un rbol mediante la
concesin de permisos al usuario utilizando los esquemas comunes de una OU. Esta
estructura de rbol puede contemplar con facilidad los cambios en una organizacin.
e. Bosques. Un bosque es una agrupacin o configuracin jerrquica de uno o
ms rboles de dominio distintos y completamente independientes entre s. Por
consiguiente, los bosques tienes las siguientes caractersticas:
Todos los rboles de un bosque comparten un esquema comn.
Los rboles de un bosque tienen diferentes estructuras de nombre de acuerdo
con sus dominios.
Todos los dominios de un bosque comparten un catlogo comn global.
Los dominios en un bosque operan independientemente, pero el bosque permite la
comunicacin a lo largo de toda la organizacin.
Existe una relacin transitiva de confianza bidireccional entre los dominios y los
rboles de dominio.

Estructura fsica

Los componentes fsicos de Active Directory son los sitios y los controladores de
dominio. Utilizar estos componentes para desarrollar una estructura de directorio que
refleje la estructura fsica de una organizacin.

Sitios.

Un sitio es una combinacin de una o ms subredes que utilizan IP conectadas
por un enlace rpido y de alta fiabilidad que permite agrupar la mayor cantidad de
trfico posible. Tpicamente, un sitio tiene los mismos lmites que una red de rea local.
Cuando se agrupan subredes en una red, se deben combinar solamente aquellas
subredes que tengan conexiones rpidas, fiables y baratas.
Con Active Directory, los sitios no son parte de los espacios de nombres. Cuando se mira
en el espacio de nombres lgico, se pueden ver equipos y usuarios agrupados en
dominios y en OU, no en sitios. Los sitios contienen solamente a los objetos equipo y
conexin utilizados para configurar la replicacin entre sitios.Un dominio simple se
puede expandir por muchos sitios geogrficos, y un nico sitio puede contener cuentas
de usuario y equipos pertenecientes a muchos dominios.


Redes II Page 36

Controladores de dominio

Un controlador de dominio es un equipo con Windows 2000 Server que
almacena una copia del directorio de dominio (base de datos local del dominio). Dado
que un dominio puede contener uno o ms controladores de dominio, todos los
controladores de dominio en un dominio tienen una copia completa de la porcin de
dominio del directorio.

Las funciones de los controladores de dominio, son:

Cada controlador de dominio almacena una copia completa de toda la
informacin de Active Directory para ese dominio, administra los cambios y replica esos
cambios a otros controladores de dominio del mismo dominio.
Los controladores de dominio de un dominio replican todos los objetos del
dominio entre ellos. Cuando se realiza una accin que provoca la actualizacin de Active
Directory, se realiza en realidad un cambio en uno de los controladores de dominio. En
ese caso, ese controlador de dominio replica el cambio a los dems controladores de
dominio del dominio.
Los controladores de dominio administran todas las facetas de las interacciones
de los usuarios en un dominio, como pueden ser la localizacin de los objetos de Active
Directory y la validacin de los intentos de inicio de sesin por parte de los usuarios.

ANLISIS

Los directorios no son nada que nuevo han estado en una forma u otra desde los
aos 60. La corriente principal con el lanzamiento de los servicios activos del directorio
de Microsoft en servidor del Windows 2000 y la lnea de productos 2003 del servidor de
Windows.
Hoy, las redes controlan todo de la informacin de la nmina de pago a la
comunicacin del E-mail, de las impresoras a los servicios del fax. Mientras que las redes
ofrecen ms servicios, tambin exigen a ms gerencia. Facilitar el uso y la gerencia de
redes es la meta verdadera de un servicio del directorio.

Los administradores se auxilian de Active Directory para:
Simplificar a la administracin. Actuando como solo punto de la gerencia, un
directorio puede facilitar las tareas administrativas asociadas a las redes complejas.
Proporcionando una mejor seguridad. Ya que que el acceso y la autentificacin
son controlados con un solo servicio, a los administradores y a los usuarios solamente
para saber un solo sistema de herramientas, permitiendo que desarrollen una
comprensin mejor de ellas. Los directorios, puesto que ofrecen una sola facilidad de la
conexin, proporcionan un proceso ms seguro de la autentificacin.
Promueve interoperabilidad. La mayor parte de los servicios de directorio se
basan sobre una serie standards industriales, X.500 y LDAP por nombrar algunos.
Los directorios se pueden concebir como una herramienta de administracin y
de usuario. Como herramienta administrativa con una interfaz central controlada de los
recursos, lo cual puede reducir costos administrativos. Como usuario, se pone a su
disposicin un un servicio central de autenticacin para acceder a travs de la red a
varios recursos.


Redes II Page 37

Conclusin

Active Directory o servicio de directorio permite controlar de forma centralizada
los recursos de una red. Proporcionando seguridad, mejor administracin y reduccin de
recursos.
A pesar de que sea una herramienta difcil visualmente brinda herramientas de
gran apoyo.
El control en una red es de gran importancia para el correcto manejo y fluidez de
la informacin y los recursos.
Como conclusin podemos decir que active directory utiliza DNS, para tres
funciones principales:
a. Resolucin de nombres
b. Definicin del espacio de nombres
c. Bsqueda de los componentes fsicos de AD.

Todo este proceso es casi una ciencia. Lleva mucho trabajo dificil porque se est
trabajando con redes que an no existen y coordinando al equipo de administracin de
todas las sucursales y del sitio raz.
Cuando son sitios grandes es realmente complicado. En redes pequeas
(quinientos puestos o menos) todo es ms sencillo porque suelen ser un par de edificios
y dos redes fsicas con lo que las velocidades de conexin son elevadas. La complejidad
aumenta en la medida en que haya ms sucursales externas porque la velocidad de
transmisin es pequea y las rplicas pueden llegar a ser un problema serio si no est
bien planificado.
Por eso se recomienda en caso de duda la instalacin de servidores puente que
agilicen las rplicas a pesar de un mayor coste.
Por ltimo hay que tener especial cuidado con los ordenadores que ms sufren
que son los controladores de dominio pues son los que estn ms cerca de los clientes y
son los que tienen ms facilidad de recibir ataques, virus, errores y dems.

Active Directory

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Active Directory

Cargado por

Copyright:

Formatos disponibles

Universidad Tecnolgica Intercontinental

También podría gustarte