Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Activo, la estructura lgica est separada de la estructura fsica. La estructura lgica se usa para
organizar los recursos de la red y se usa la estructura fsica para configurar y administrar el trfico
de red. La estructura fsica del Directorio Activo est compuesta por sites y controladores de
dominio.
Site Sitio
Un sitio es la combinacin de una o ms subredes IP conectadas en enlaces de alta velocidad. Esta
definicin permite configurar el acceso al Directorio Activo y la topologa de replicacin para que
Windows 2000 y/oWindows Server 2003 utilicen los enlaces ms eficientes y sincronice el trfico
de replicacin y de logon.
Consecuencias del uso de un sitio:
No hay correlacin entre la estructura de rey de de dominio.
El Active Directory permite mltiples sitios en un dominio, al igual que mltiples dominios
en un solo sitio.
Ventajas:
Solicitudes de servicio: Cuando un cliente solicita un servicio a un controlador de dominio,
ste la dirige a un controlador de dominio del mismo sitio, si hay alguno disponible. La
seleccin de un controlador de dominio que est conectado correctamente con el cliente
que formul la solicitud facilita su tratamiento.
Replicacin: Los sitios optimizan la replicacin de informacin del directorio. La
informacin de configuracin y de esquema del directorio se distribuye por todo el bosque
y los datos del dominio se distribuyen entre todos los controladores de dominio del
dominio. Al reducir la replicacin de forma estratgica, igualmente se puede reducir el
uso de la red. El Directorio Activo replica informacin del directorio dentro de un sitio
con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio mejor
conectados, es decir, aquellos que con ms probabilidad necesitarn informacin especial
del directorio, son los que primero reciben las replicaciones. Los controladores de dominio
de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor
frecuencia, con lo que se reduce el consumo de ancho de banda de red.
Domain Controller
Los controladores de dominio almacenan directorios y administran la comunicacin entre usuarios
y dominios, incluyendo el proceso de log-on, autenticacin, y busqueas del directorio. Cuando es
instalado el Active Directory en una computadora que ejecuta Windows Server 2003, dicha
computadora se convierte en un controlador de dominio.
Mebers server
Son todos los servidores en el dominio que no son controladores de dominio.
Workgroup servers
Servidores que no estn asociados a un dominio.
Un dominio puede tener uno o ms controladores de dominio. Una organizacin pequea que
utilice una red de rea local (LAN) puede necesitar nada mas que un solo dominio con dos
controladores de dominio para proporcionar la adecuada disponibilidad y tolerancia a fallos
mientras que una compaa grande con muchas localizaciones geogrficas necesitar uno o ms
controladores de dominio en cada localizacin para proporcionar tambin una adecuada
disponibilidad y tolerancia a fallos requerido.
Replicacin multi-master
Es utilizada en el Active Directory, consiste en que ningn controlador de dominio es el
controlador de dominio maestro. En lugar de eso, todos los controladores de dominio contienen
una copia del directorio. Cualquier controlador de dominio puede almacenar una copia del
directorio con informacin diferente durante cortos periodos de tiempo hasta que todos los
controladores de dominio realicen una sincronizacin de los cambios hechos en el
Active Directory.
datos de dominio
configuracin
esquema
aplicacin.
Datos del dominio: Los datos del dominio contienen informacin acerca de los objetos de
un dominio. Se trata de informacin como:
o contactos de correo electrnico
o atributos de cuentas de usuarios y equipos
o recursos publicados que son de inters para administradores y usuarios. Por
ejemplo, cuando una cuenta de usuario se agrega a la red, un objeto de la cuenta
de usuario y sus atributos se almacenan en los datos de dominio. Cuando se
producen cambios en los objetos de directorio de la organizacin, como puede ser
la creacin de un objeto, su eliminacin o la modificacin de los atributos, estos
datos se almacenan en los datos de dominio.
Datos de configuracin: Los datos de configuracin describen
o la topologa del directorio.
Estos datos de configuracin incluyen una lista de:
Todos los dominios
rboles
Bosques
Ubicaciones de los controladores de dominio
Catlogos globales.
Datos de esquema: El esquema es la definicin formal de todos los datos de objetos y
atributos que se pueden almacenar en el directorio. Los controladores de dominio que
ejecutan Windows Server 2003 incluyen un esquema predeterminado que define muchos
tipos de objetos:
o como cuentas de usuarios y equipos
o grupos
o dominios
o unidades organizativas
o directivas de seguridad.
Los administradores y los programadores pueden ampliar este esquema mediante la definicin de
nuevos tipos de objetos y atributos o bien con la adicin de atributos nuevos para los objetos
existentes. Los objetos del esquema estn protegidos por listas de control de acceso, lo que
asegura que slo los usuarios autorizados puedan modificar el esquema.
La definicin de cada clase de objeto contiene una lista de los atributos de esquema que
se puede utilizar para describir instancias de la clase. Por ejemplo, la clase Usuario tiene
atributos como givenName, surname y streetAddress. Al crear un nuevo usuario en el
directorio, aqul se convierte en una instancia de la clase Usuario y la informacin de usuario
especificada se convierte en instancias de los atributos. Cada bosque slo puede contener un
esquema, que se almacena en la particin de directorio del esquema.
| universidad mariano glvez - Quetzaltenango
Catlogo global
Un catlogo global es un controlador de dominio que almacena una copia de todos los objetos del
Directorio Activo de un bosque. En el catlogo global se almacena una copia completa de todos los
objetos del directorio para su dominio host y una copia parcial de todos los objetos de los dems
dominios del bosque.
Funciones:
Busca objetos: El catlogo global permite
al usuario realizar bsquedas de
informacin del directorio en todos los
dominios
de
un
bosque,
independientemente de la ubicacin de
los datos.
Proporciona la autenticacin de nombre
principal de usuario: El catlogo global
resuelve los nombres principales de
usuarios (UPN) cuando el controlador de
dominio de autenticacin no tiene
conocimiento de la cuenta. Por ejemplo, si
una cuenta de usuario se encuentra en
ejemplo1.upm.es y el usuario decide
iniciar la sesin con el nombre principal de
usuario usuario1@ejemplo1.upm.es desde un equipo ubicado en ejemplo2.upm.es, el controlador
de dominio de ejemplo2.upm.es no podr encontrar la cuenta del usuario, por lo que tendr que
establecer contacto con un catlogo global para completar el proceso de inicio de sesin.
Proporciona informacin de pertenencia al grupo universal en un entorno de dominios mltiples
A diferencia de la pertenencia al grupo global, que se almacena en cada dominio, la pertenencia al
grupo universal slo se almacena en un catlogo global. Por ejemplo, si un usuario que pertenece
a un grupo universal inicia la sesin en un dominio configurado en el nivel funcional de dominio
nativo deWindows 2000 o superior, el catlogo global proporciona la informacin de pertenencia
al grupo universal de la cuenta del usuario en el momento en que ste inicia la sesin en el
dominio.
Valida las referencias a objetos dentro de un bosque: Los controladores de dominio utilizan el
catlogo global para validar las referencias a objetos de otros dominios del bosque. Si un
controlador de dominio incluye un objeto de directorio con un atributo que contiene una
referencia a un objeto de otro dominio, esta referencia se validar mediante un catlogo global.
puede contener objetos de otros dominios. Una unidad organizativa es el mbito o unidad ms
pequea a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede
delegar la autoridad administrativa.
Delegar el control administrativo: Usted puede delegar control administrativo total, tal
como Full Control Permission, sobre todos los objetos de una unidad organizacional,
puede asignar control administrativo limitado, tal como la habilidad de modificar
informacin de e-mail. Para delegar el control administrativo usted asigna permisos
especficos en las unidades organizacionales y en los objetos que contienen las OU para
uno ms usuarios un grupo de usuarios.
LDAP relative distinguished name: The Lightweight Directory Access Protocol (LDAP) distinguished
name unicamente identifica el objeto en su parte contenedora. Por ejemplo el LDAP rdn de una
unidad organizacional llamada MyOrganizationalUnit es OU= MyOrganizationalUnit. Los relative
distinguished name deben ser nicos en una unidad organizacional.
| universidad mariano glvez - Quetzaltenango
Dominio Domain
Un dominio constituye un lmite de seguridad. El directorio incluye uno o ms dominios, cada uno
de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros
dominios.
Los dominios son las unidades de replicacin.
Un nico dominio puede abarcar varias ubicaciones fsicas distintas o sitios Al utilizar un solo
dominio se simplifican mucho las tareas administrativas. Para crear un dominio, debe promover
uno o ms equipos que ejecutenWindows 2000 Server o Windows Server 2003 a controladores
de dominio. Un controlador de dominio proporciona servicios de directorio de Directorio Activo
Cada dominio debe tener al menos un controlador de dominio. Los dominios ofrecen varias
Ventajas:
Las directivas y la configuracin de seguridad (como los derechos administrativos y las
listas de control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la
necesidad de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organizacin.
Cada dominio almacena solamente la informacin acerca de los objetos que se encuentran
ubicados en ese dominio. Al crear particiones en el directorio, Directorio Activo puede
ampliarse y llegar a contener una gran cantidad de objetos.
rboles Tree
Todos los dominios que comparten el mismo dominio raz forman un espacio de nombres contiguo
llamado rbol. El primer dominio de un rbol de dominio se denomina dominio raz. Los dominios
adicionales del mismo rbol de dominio son dominios secundarios. Un dominio que se encuentra
inmediatamente encima de otro dominio del mismo rbol se denomina dominio principal del
dominio secundario.
| universidad mariano glvez - Quetzaltenango
10
Bosque Forest
Un bosque est formado por varios rboles de dominio. Los rboles de dominio de un bosque no
constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos rboles de dominio
(microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado
"soporte", los nombres DNS de esos dominios secundarios sern soporte.microsoft.com y
soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres
contiguo.
Sin embargo, un bosque no tiene ningn dominio raz propiamente dicho. El dominio raz del
bosque es el primer dominio que se cre en el bosque. Los dominios raz de todos los rboles de
dominio del bosque establecen relaciones de confianza transitivas con el dominio raz del bosque.
En la figura 5.3, microsoft.com es el dominio raz del bosque. Los dominios raz de los otros rboles
de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de
confianza transitivas con microsoft.com. Estas relaciones de confianza son necesarias para poder
establecer otras entre todos los rboles de dominio del bosque. Al utilizar bosques y rboles de
dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no
contiguos. Esto puede ser til, por ejemplo, en el caso de compaas que tienen divisiones
independientes que necesitan conservar sus propios nombres DNS.