Practica 1 - Creacin de dominios, subdominios, unidades organizativas y sitios

El objetivo de esta practica es determinar los casos en los que es ms conveniente crear un bosque de dominios, un rbol de dominio, un subdominio, una unidad organizativa (UO) o un sitio, es decir, vamos a atender los aspectos relativos al estudio de una organizacin y las distintas opciones de jerarquizacin segn las necesidades de la organizacin.

Dominios y subdominios
Es necesario realizar una planificacin acerca de cmo se desea realizar la organizacin del o de los dominios que van a conformar una empresa, y para ello se han de comprender las ventajas e inconvenientes que nos dan los distintos elementos organizativos del Directorio Activo (dominio, subdominio, UO, sitio). Como hemos visto en la instalacin del Directorio Activo, durante la instalacin se muestran las siguientes opciones: Dominio en nuevo bosque Dominio secundario en un rbol de dominios existente rbol de dominios en un bosque existente Para comprender en que situacin seleccionaremos una u otra opcin hemos de tener en cuenta la estructura de la organizacin o empresa.

Dominio en nuevo bosque

Si la empresa es una organizacin sencilla en la cual con un nico dominio principal se satisfacen las necesidades de seguridad y organizacin, y es la primera vez que se instala el Directorio Activo, el administrador del dominio ha de seleccionar la primera opcin: Dominio en nuevo bosque. Al seleccionar esta opcin, se crear el dominio principal en un nuevo bosque de dominios, y la maquina sobre la que se ha instalado el Directorio Activo pasar a ser el controlador de dominio.

Controlador de dominio

Dominio secundario en un rbol de dominios existente

Si por el contrario la empresa es lo suficientemente grande, el administrador ha de analizar la estructura futura y establecer una organizacin jerrquica que permita gestionar los recursos de la empresa adecuadamente. Esta organizacin puede seguir dos convenios distintos: Convenio de denominacin organizativo Convenio de denominacin geogrfico

El convenio de denominacin organizativo permite modelar el espacio de nombres de la misma forma en la que esta estructurada la organizacin: cada seccin de la organizacin tendr asignado un subdominio que lo identifica. Ventajas o Refleja la organizacin de la compaa o Se entiende fcilmente o Posee un camino natural de crecimiento o Permite organizar los recursos por tipo de necesidad Inconvenientes o Resulta difcil de ajustar cuando las estructuras y nombres de la organizacin cambian o Puede ser polticamente delicado o Es difcil el soporte de divisiones que se dividen y mezclan o Pueden resultar difcil de implementar si las divisiones de la organizacin tienen mltiples ubicaciones de sus sitios. En nuestro ejemplo, se han creado dos subdominios: editorial y compras.

Controladores de dominio

El convenio de denominacin geogrfico permite modelar el espacio de nombres tomando como base las divisiones geogrficas de la organizacin: cada sede geogrfica tendr asignada un subdominio que la identifica. Ventajas o Es apoltico o Emplea nombres que tienden a ser persistentes o Ofrece mayor flexibilidad y granularidad Inconvenientes o No refleja la naturaleza de la organizacin o Puede requerir ms dominios para satisfacer las necesidades de seguridad En nuestro ejemplo, se han creado dos subdominios: andalucia y madrid.

Controladores de dominio

Sea cual sea la decisin por parte del administrador a la hora de llevar a cabo el modelado del espacio de nombres, ste ha de tener en cuenta las ventajas e inconvenientes que presenta un convenio sobre otro. Cabe sealar que es posible combinar ambos convenios para modelar el espacio de nombres, sobre todo en organizaciones donde tengamos distintos rboles de dominios, aunque esto puede llevar a confusin debido a la falta de homogeneidad en los criterios para cada rbol que conforme el bosque. Un aspecto importante que no se ha especificado anteriormente, es que por cada dominio principal y subdominio se ha de crear un controlador de dominio.

rbol de dominios en un bosque existente

Este tipo de modelado del espacio de nombres se da normalmente cuando la organizacin es tan grande, diversificada y heterognea que es necesario crear un bosque que se componga de varios rboles con dominios principales. Un ejemplo claro se da en aquellas organizaciones en las que se han realizado absorciones a otras empresas formando corporaciones multidisciplinares.

En este ejemplo vemos que hay seis controladores de dominio, tres pertenecientes a un rbol y otros tres pertenecientes al otro rbol. Si en un determinado momento, la corporacin decidiera cambiar su poltica de administracin del espacio de nombres, hecho que ocurre normalmente por restructuracin de la corporacin o cambios en las polticas de seguridad, podra llegarse a crear un espacio de nombres como el siguiente:

En este caso pasaramos de tener un bosque con mltiples rboles a tener un bosque con un solo rbol. Hay que tener en cuenta que un cambio de estas caractersticas implica cambios muy serios en el espacio de nombres y en la gestin de la seguridad, ya que las polticas aplicadas en el dominio principal UNA.es se propagarn a sus subdominios.

Unidades organizativas
Las unidades organizativas permiten contener distintos objetos del directorio activo. Las unidades organizativas tienen algunas de las caractersticas de un dominio, pero sin la sobrecarga de recursos. Una OU forma una rama del espacio de nombres, y puede contener a su vez otras UOs. As el dominio andalucia.macgrawhill.UNA.es puede contener otros dominios como huelva, sevilla, cadiz, o en vez de estos subdominios crear unidades organizativas. La ventaja de crear unidades organizativas en vez de subdominios es que la UO proporciona una frontera administrativa conveniente, y los derechos y privilegios para la administracin se pueden conceder a los usuarios en una UO sin comprometer al resto del dominio. Sin embargo, una UO no requiere un controlador de dominio independiente ni est implicada en la replica. Si es necesario, una UO se puede reconvertir fcilmente a un dominio.

Controladores de Dominio Replicados y Sitios

En casos como la corporacin UNA.es donde la extensin geogrfica de la corporacin es bastante grande, es necesario realizar acciones que permitan un correcto funcionamiento del directorio activo tanto a nivel de rendimiento como a nivel de seguridad de datos y tolerancia a fallos. En este sentido, nos introducimos ms en el diseo fsico del directorio activo que en el diseo lgico del directorio activo.

Sitios
Si tenemos un caso practico en el que todos los servidores del directorio activo se van a encontrar lo bastante cerca los unos de los otros como para comunicarse mediante conexiones LAN, no hace falta definir sitios adicionales dentro del directorio activo (por defecto, al instalar el directorio activo se crea un sitio). Pero si los servidores se van a encontrar en ubicaciones remotas, se pueden crear otros sitios. En el directorio activo se le asigna un objeto sitio a cada red fsica que contenga algn recurso del directorio activo. Dentro de cada sitio pueden haber definidos distintos objetos subred, cada uno de ellos define un rango de direcciones IP que componen una red. Estos objetos sitios vienen muy bien para que el directorio activo sepa como ha de trabajar cuando se accede a un determinado recurso que se encuentra en un sitio alejado geogrficamente. El correcto funcionamiento depender en este caso en gran medida de la calidad de las lneas de comunicacin que unen los distintos sitios que conforman el directorio activo, ya que no es lo mismo que los servidores se encuentren en la misma red local o se encuentren en redes fsicas distanciadas miles de kilmetros y conectadas entre si con una T1 por ejemplo.

Controladores de dominio replicados

Los controladores de dominio replicados son mquinas que permiten replicar la informacin guardada en controladores de dominio existentes. Durante la instalacin del directorio activo, se da la posibilidad al usuario de aadir un Controlador de Dominio Adicional de un Dominio Existente, de esta forma estaremos creando en la maquina donde estamos instalando el directorio activo un controlador de dominio que replicar al controlador de dominio especificado. Hay que destacar, que a partir de este momento ambos controladores de dominio se repartirn las tareas, permitiendo un balanceo de carga entre ambos controladores, y aportando una tolerancia a fallos indispensable. Por muy pequea que sea la organizacin, es adecuado y deseable instalar un controlador de dominio replicado en ella.