Trabajar con Active Directory de Microsoft puede resultar complicado y confuso si no

est preparado, pero con el asesoramiento adecuado cualquier administrador puede

aprender a manejarlo con solvencia.
La Gua de Aprendizaje del Active Directory (AD) que le ofrecemos, por medio de
nuestro sitio hermano SearchWindowsServer.com, le pondr al da en muy poco tiempo
sobre esta importante tecnologa Windows y lo ayudar a superar cualquier aprehensin
que pueda tener ante AD. Este tutorial aborda de forma integral la informacin que todo
administrador debe conocer, desde los aspectos ms bsicos de Active Directory hasta
consejos y explicaciones relativas al DNS, la replicacin, la seguridad, la planificacin
de las migraciones y mucho ms.

Aspectos bsicos de Active Directory

En esta seccin conocer los aspectos

bsicos de Active Directory y los beneficios que aporta su implementacin. Infrmese
sobre los rboles, dominios, sitios y unidades organizativas de Active Directory, as
como de las caractersticas bsicas de LDAP (Lightweight Directory Access Protocol) y
las Directivas de Grupo. Despus de esto, analizaremos el Sistema de Nombres de
Dominio (DNS).

Lo esencial de Active Directory

Qu es Active Directory? Active Directory es el servicio de directorios creado y
registrado por Microsoft, un componente integral de la arquitectura Windows. Igual que
otros servicios de directorios, como Novell Directory Services (NDS), Active Directory
es un sistema centralizado y estandarizado que automatiza la gestin en red de los datos
de usuario, la seguridad y los recursos distribuidos, adems de facilitar la
interoperabilidad con otros directorios. Active Directory est especialmente diseado
para ambientes de red distribuidos.
Active Directory se present con Windows 2000 Server y fue mejorado para Windows
2003, donde cobr an mayor importancia dentro del sistema operativo. Windows
Server 2003 Active Directory proporciona una referencia nica, llamada servicio de
directorio, para todos los objetos que forman parte de una red, como usuarios, grupos,
computadoras, impresoras, directivas y permisos.

Para los usuarios o el administrador, Active Directory proporciona una visin jerrquica
nica desde donde acceder y gestionar todos los recursos de la red.

Por qu implementar Active Directory?

Hay muchas razones para implementar Active Directory. En primer lugar, existe la
perspectiva generalizada de que Microsoft Active Directory supone una mejora
significativa respecto a los dominios o, incluso, las redes de servidores independientes
de Windows NT Server 4.0. Active Directory tiene un mecanismo de administracin
centralizado para la red entera y ofrece tolerancia ante la redundancia y las fallas que se
producen cuando se despliegan dos o ms controladores dentro de un mismo dominio.
Active Directory gestiona automticamente las comunicaciones entre los controladores
de dominio para garantizar as la viabilidad de la red. Los usuarios pueden acceder a
todos los recursos de la red para la que tienen autorizacin siguiendo un nico
procedimiento de acceso. Todos los recursos de la red estn protegidos por un slido
mecanismo de seguridad que verifica la identidad de los usuarios y las autorizaciones de
recursos para cada acceso.
Incluso contando con la mejor seguridad y control de la red que proporciona Active
Directory, la mayora de sus prestaciones son invisibles para el usuario final. Por tanto,
si un usuario desea migrar a una red con Active Directory necesitar una cierta
recapacitacin. Active Directory ofrece un sistema sencillo para promover y degradar
los controladores de dominio y servidores miembros. Los sistemas pueden administrarse
y protegerse mediante Directivas de Grupo. Se trata de un modelo organizativo
jerrquico y flexible que permite una gestin fcil y una delegacin especfica y
detallada de las responsabilidades administrativas. Pero quizs lo ms importante sea
que Active Directory es capaz de manejar millones de objetos dentro de un nico
dominio.

Divisiones bsicas de Active Directory

Las redes de Active Directory estn organizadas en cuatro tipos de divisiones o
estructuras de almacenamiento: bosques, dominios, unidades organizativas y sitios.
1. Bosques: El conjunto de todos los objetos, sus atributos y sintaxis de atributos
en Active Directory.
2. Dominio: Una coleccin de computadoras que comparten un conjunto de
directivas comunes, un nombre y una base de datos para sus miembros.
3. Unidades organizativas: Contenedores en los que se agrupan los dominios.
Establecen una jerarqua para el dominio y crean la estructura del Active
Directory de la compaa en trminos geogrficos u organizativos.
4. Sitios: Agrupamientos fsicos independientes del dominio y la estructura de las
unidades organizativas. Los sitios distinguen entre ubicaciones conectadas por
conexiones de baja o de alta velocidad y estn definidos por una o ms subredes
IP.
Los bosques no estn limitados en cuanto a su geografa o topologa de red. Un nico
bosque puede contener numerosos dominios y cada uno de ellos compartir un esquema
comn. Los dominios que son miembros del mismo bosque no necesitan siquiera tener

una conexin LAN o WAN dedicada entre ellos. Una nica red puede alojar tambin
mltiples bosques independientes. En general, se debera utilizar un solo bosque para
cada entidad corporativa. Sin embargo, puede ser deseable usar bosques adicionales
para hacer pruebas e investigaciones fuera del bosque de produccin.
Los dominios actan de contenedores para las polticas de seguridad y las actividades
administrativas. Todos los objetos dentro de un dominio estn sujetos, por defecto, a las
Directivas de Grupo aplicables a todo el dominio. De igual manera, cualquier
administrador de dominio puede gestionar todos los objetos dentro del mismo. Es ms,
cada dominio tiene su propia y nica base de datos para sus cuentas. Por tanto, cada
dominio tiene su propio proceso de autenticacin. Una vez que la cuenta de un usuario
es autenticada para un dominio, esa cuenta tendr acceso a los recursos contenidos en
dicho dominio.
Active Directory necesita uno o ms dominios en los que operar. Como se mencion
ms arriba, cada dominio de Active Directory es una coleccin de computadoras que
comparten un conjunto comn de directivas, un nombre y una base de datos de sus
miembros. El dominio debe tener uno o ms servidores que actan como controladores
del dominio (DC) y almacenan la base de datos, mantienen las directivas y verifican la
autenticacin de los accesos al dominio.
Con Windows NT, los roles de controlador de dominio principal (PDC) y controlador
adicional o secundario (BDC) podan asignarse a un servidor en una red de
computadoras que usaba el sistema operativo Windows. Este OS utilizaba la idea del
dominio para administrar el acceso a un conjunto de recursos en red (aplicaciones,
impresoras y dems) para un grupo de usuarios. El usuario slo necesita ingresar en el
dominio para tener acceso a los recursos, los cuales pueden estar ubicados en una
variedad de servidores dentro de la red. Un servidor, conocido como el controlador de
dominio principal, administraba la base de datos maestra de usuarios para el dominio.
Haba uno o ms servidores designados como controladores de dominio adicionales. El
controlador principal enviaba peridicamente copias de la base de datos a los
controladores secundarios. El controlador de dominio adicional poda entrar en juego si
fallaba el servidor PDC y poda, tambin, ayudar a equilibrar la carga de trabajo si la red
estaba demasiado cargada.
Con Windows 2000 Server, si bien se mantienen los controladores de dominio, los
papeles de los servidores PDC y BDC bsicamente fueron absorbidos por Active
Directory. Ya no es necesario crear dominios separados para dividir los privilegios de
administracin. Dentro de Active Directory se pueden delegar privilegios
administrativos en funcin de las unidades organizativas. Los dominios ya no estn
restringidos por un lmite de 40,000 usuarios. Los dominios de Active Directory pueden
gestionar millones de objetos. Como ya no existen PDCs ni BDCs, Active Directory usa
replicacin multimaestra y todos los controladores de dominio son parejos entre s.
Las unidades organizativas (UO) son, en general, mucho ms flexibles y sencillas de
administrar que los dominios. Las UO brindan prcticamente una flexibilidad infinita,
ya que se pueden mover, borrar y crear otras nuevas segn se vaya necesitando. Sin
embargo, los dominios son mucho ms rgidos; se pueden borrar y crear otros nuevos,
pero el proceso genera mayores distorsiones en el ambiente que en el caso de las UO y
debera evitarse siempre que sea posible.

Por definicin, los sitios son conjuntos de subredes IP con enlaces de comunicacin
rpidos y confiables entre todos los anfitriones. O, dicho de otra forma, el sitio contiene
conexiones LAN pero no WAN, ya que se entiende que las conexiones WAN son mucho
ms lentas y menos confiables que las LAN. Al usar sitios, puedes controlar y reducir la
cantidad de trfico que fluye por tus enlaces WAN. Esto puede ayudar a mejorar la
eficiencia del flujo en las tareas de productividad. Y tambin permite controlar los
costos de los enlaces WAN en los servicios pay-per-bit

Maestro de Infraestructura y el Catlogo Global

Entre los dems elementos clave incluidos en Active Directory est el Maestro de
Infraestructura (IM). El Maestro de Infraestructura es un FSMO (Flexible Single Master
of Operations) que opera en todo el dominio y es responsable de un proceso no vigilado
para reparar las referencias obsoletas, conocidas como phantoms, que se encuentran
en la base de datos de Active Directory.
Los phantoms (fantasmas) se crean en DCs que requieren una referencia cruzada de
bases de datos entre un objeto dentro de su propia base de datos y un objeto de otro
dominio dentro del bosque. Esto sucede, por ejemplo, cuando se aade un usuario de un
dominio a un grupo dentro de otro dominio en el mismo bosque. Se entiende que los
phantoms estn obsoletos cuando ya no contienen informacin actualizada. Esto suele
producirse debido a cambios realizados al objeto extrao representado por el fantasma
(por ejemplo, cuando el objeto en cuestin cambia de nombre, es trasladado o migrado
de un dominio a otro o se borra). El Maestro de Infraestructura es responsable
exclusivamente de ubicar y reparar los fantasmas obsoletos. Cualquier cambio
introducido como resultado del proceso de reparacin debe ser replicado en todos los
DCs que permanecen en el dominio.
El Maestro de Infraestructura a veces se confunde con el Catlogo Global (GC), que
mantiene una copia parcial, slo de lectura, de todos los dominios de un bosque y se
emplea para el almacenamiento universal de grupos y el procesamiento de accesos (log
on), entre otras cosas. Dado que los GCs guardan una copia parcial de todos los objetos
incluidos en el bosque, son capaces de crear referencias cruzadas entre dominios sin
necesidad de fantasmas.

Active Directory y LDAP

Microsoft incluye LDAP (Lightweight Directory Access Protocol) dentro de Active
Directory. LDAP es un protocolo de software que permite a cualquiera que lo desee
localizar organizaciones, individuos y otros recursos, como archivos y dispositivos en
red, tanto en Internet como en intranets privadas.
En una red, es el directorio quien informa de dnde est ubicado algo. En las redes
TCP/IP (como internet), el sistema de nombres de dominio (DNS) es el sistema de
directorio usado para conectar el nombre de un dominio con una direccin de red
especfica (una ubicacin nica en la red). Sin embargo, es posible que no conozcamos
el nombre del dominio. En ese caso, LDAP te permite hacer una bsqueda de individuos
sin saber dnde se encuentran (aunque cualquier informacin aadida facilitar la
bsqueda).

Los directorios LDAP estn organizados en una simple estructura de rbol consistente
de los siguientes niveles:
1.
2.
3.
4.

Directorio raz (el punto de inicio o el origen del rbol) del que surgen los
ases, cada uno de los cuales se divide en
Organizaciones, de las cuales nacen
Unidades organizativas (divisiones, departamentos, etc.), las cuales derivan en
(incluir una entrada para)
5. Individuos (donde se incluyen personas, archivos y recursos compartidos, como
impresoras)
El directorio LDAP puede estar distribuido entre muchos servidores. Cada uno de estos
servidores puede tener una versin replicada del directorio total que se sincroniza
peridicamente.
Es importante que todos y cada uno de los administradores comprendan claramente qu
es LDAP a la hora de buscar informacin en Active Directory. Es especialmente til
saber crear consultas de LDAP cuando se busca informacin almacenada en la base de
datos de Active Directory. Por esta razn, muchos administradores dedican grandes
esfuerzos a saber manejar con soltura el filtro de bsqueda de LDAP.

Gestin de Directiva de Grupo y Active Directory

Es difcil hablar de Active Directory sin mencionar Directiva de Grupo. Los
administradores pueden usar Directivas de Grupo en Active Directory de Microsoft a fin
de definir ajustes para usuarios y computadoras en toda la red. Estos ajustes se
configuran y almacenan en lo que se denomina Objetos de Directiva de Grupo (GPOs),
los cuales son, posteriormente, asociados con objetos de Active Directory, incluidos
dominios y sitios. Es el mecanismo principal para aplicar cambios a las computadoras y
los usuarios que operan en el entorno Windows.
Con la gestin de Directiva de Grupo, entre otras funcionalidades, los administradores
tienen la opcin de ajustar globalmente la configuracin del escritorio en las
computadoras de los usuarios y de restringir/autorizar el acceso a ciertos archivos y
carpetas dentro de una red.
Es importante entender cmo se usan y aplican los GPOs. Los Objetos de Directiva de
Grupo se aplican en el siguiente orden: primero se aplican las directivas de la mquina
local, seguidas de las polticas del sitio, de las del dominio, y de las directivas aplicadas
a las unidades organizativas individuales. Un objeto de usuario o de computadora slo
puede pertenecer a un nico sitio y un nico dominio cada vez, por lo que solo recibirn
GPOs conectados a ese sitio o dominio.
Las GPOs se dividen en dos partes bien diferenciadas: la Plantilla de Directiva de Grupo
(GPT) y el Contenedor de Directiva de Grupo (GPC). La GPT es responsable de
almacenar los ajustes especficos creados dentro del GPO y es esencial para su xito.
Guarda los ajustes en una gran estructura de carpetas y archivos. A fin de que los ajustes
se apliquen correctamente a todos los objetos de usuario y de computadora, se debe
replicar el GPT a todos los controladores de dominio que operen dentro del mismo.

El Contenedor de Directiva de Grupo es la porcin de un GPO almacenada en Active

Directory que reside en cada controlador de dominio del dominio. El GPC tiene la
responsabilidad de mantener las referencias a las Extensiones del Lado Cliente (CSEs),
el camino a la GPT, los caminos a los paquetes de instalacin de software y otros
aspectos referenciales del GPO. El GPC no contiene gran cantidad de informacin
relacionada con su correspondiente GPO, pero es fundamental para la funcionalidad de
la Directiva de Grupo. Al configurar las directivas para la instalacin de software, el
GPC ayuda a mantener los enlaces asociados dentro del GPO. El GPC tambin
mantiene otros enlaces relacionales y caminos almacenados dentro de los atributos del
objeto. Conocer la estructura del GPC y la forma de llegar a la informacin oculta
guardada en los atributos resultar muy til cuando haya que examinar cualquier
cuestin relacionada con la Directiva de Grupo.
Para Windows Server 2003, Microsoft lanz una solucin de gestin de la Directiva de
Grupo al objeto de unificar la administracin de sta en torno a un snap-in conocido
como Consola de Administracin de Directiva de Grupo (GPMC). La GPMC ofrece una
interfaz de administracin centrada en los GPOs, lo que facilita enormemente la
administracin, gestin y localizacin de los GPOs. Por medio de la GPMC se pueden
crear nuevos GPOs, modificarlos, editarlos, cortar/copiar/pegar GPOs, respaldarlos con
copias de seguridad y efectuar simulaciones del Conjunto Resultante de Directivas.