Centro de Bachillerato Tecnológico industrial y de servicios No.

198

Uso de Active Directory y dominios

Active Directory provee una sola referencia, llamada servicio de directorio, de todos los objetos de
una red, incluidos usuarios, grupos, equipos, impresoras, directivas y permisos. Para un usuario o
administrador, AD provee una sola vista jerárquica desde la que se acceden y administran todos
los recursos de la red. AD utiliza protocolos y estándares de Internet, incluida la autentificación
Kerberos, capa de conectores seguros (SSL, Secure Sockets Layer) y seguridad en la capa de
transporte (TLS, Transport Layer Security); un protocolo de acceso a directorio ligero (LDAP,
Lightwight Directory Access Protocol) y el servicio de nombre de dominio (DNS, Domain Name
Service). AD requiere uno o más dominios para operar.

Un dominio es una colección de equipos que comparten un conjunto común de directivas,

nombre y base de datos de sus miembros. Un dominio debe tener uno o más servidores que sirven
como controladores de dominio y almacenan la base de datos, mantienen las directivas y
proporcionan autentificación para inicios de sesión de dominio. Un dominio, como se utiliza en
Internet, es el segmento más alto de un nombre de dominio de Internet e identifica el tipo de
organización; por ejemplo, .gov para agencias gubernamentales y .net para proveedores de
servicio de Internet (ISP, Internet Service Provider). Un nombre de dominio es la dirección de
Internet completa, usada para alcanzar una entidad registrada en Internet. Por ejemplo,
www.mcgraw-hill.com o www.mit.edu.

EL ENTORNO DE ACTIVE DIRECTORY

AD juega dos funciones básicas importantes para una red: la de un servicio de directorio, que
contiene una lista jerárquica de todos los objetos de la red, así como la de un servicio de
autentificación y seguridad que tanto controla como proporciona acceso a recursos de red. Estas
dos funciones tienen una naturaleza y enfoque diferentes, pero se combinan para brindar mayores
capacidades de usuario mientras se disminuye la sobrecarga administrativa. En su núcleo, AD de
Windows Server 2008 es un servicio de directorio integrado con DNS, además de un servicio de
autentificación de usuario para el sistema operativo Windows Server 2008. Sin embargo, esta
explicación introduce pocos términos e incluye varios conceptos.

Aunque AD es, al mismo tiempo, directorio y servicio de directorio, los términos no son
intercambiables. En la red de Windows Server 2008, un directorio es una lista de objetos en una
red. Un directorio jerárquico tiene una estructura cuya configuración integrada permite que se
agrupen objetos de forma lógica; de tal modo, los objetos de nivel inferior se agrupan y contienen
de forma lógica en objetos de nivel superior en todos los niveles deseados. Esta agrupación puede
basarse en varios criterios diferentes, pero éstos deben ser lógicos y consistentes con toda la
estructura de directorio.

1
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

Dos de las estructuras de directorio más comunes usadas en las redes se basan en funciones de
objeto (como impresoras, servidores y dispositivos de almacenamiento) y responsabilidad
organizacional (como mercadotecnia, contabilidad y manufactura). El modelo organizacional
permite almacenar objetos en grupos o contenedores basados en el lugar que ocupan en una
organización, que tal vez cuenten con estructura propia, como departamentos dentro de
divisiones.

Un departamento particular sería el primer punto organizativo en una organización. A un

contenedor que almacena todos los objetos en un departamento se le denomina unidad
organizativa (OU, Organizational Unit) y se agrupa en OU de nivel superior, basada en la estructura
lógica.
Tras crear un grupo de OU, verá que la estructura causa que su directorio sea confuso, de
navegación compleja o ambas. Como resultado, quizás necesite cambiar su red para tener más OU
de alto o bajo nivel. En la parte superior de todos los directorios está la OU maestra que contiene
todas las demás OU. A este directorio se le conoce como raíz y normalmente se le designa con un
solo punto. Esta estructura jerárquica se vería así:

AD es tan básico como la organización recién mostrada. Sin embargo, gran parte de la estructura
central de AD ya ha sido asignada por Microsoft y es consistente en todas las implementaciones de
Windows Server 2008. Por esto, algunos de los contenedores, sólo OU, se han asignado a nombres
específicos y funciones en AD. A medida que esta estructura de directorio preconfigurada se
explica en el resto del capítulo, no deje que términos y nombres lo confundan. En realidad, todo
esto es simplemente una colección de objetos en varias OU.

El “servicio” en “servicio de directorio” se añade a las características de un servidor que, de otra

manera, no estarían disponibles. Al principio, un servicio de directorio permite acceso a un
directorio de información y a servicios brindando información acerca de la ubicación, métodos de
acceso y derechos de acceso a los objetos dentro del árbol de servicio de directorio. Esto significa

2
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

que los usuarios acceden a un solo directorio y después se conectan directamente a otros
servidores y servicios que, en apariencia, provienen del directorio original.

1Integración con DNS

Gran parte de la estructura y servicios de AD, además del espacio de nombres en uso, se basa en
el sistema de nombre de dominio (DNS, Domain Name System). Espacio de nombres es el
esquema de direccionamiento empleado para ubicar objetos en la red. AD e Internet utilizan
espacios de nombres jerárquicos separados por puntos, como se describió antes en este capítulo.
En unos momentos se analizará la manera en que AD utiliza DNS, pero es necesario revisar
primero estructura y funcionamiento de DNS y cómo se utiliza para generar las bases de AD.

Todos los servidores y servicios en Internet tienen asignada una dirección numérica de protocolo
de Internet (IP, Internet Protocol), así como todo el tráfico de Internet utiliza este número IP para
llegar a su destino. Los números IP cambian y pueden hospedar varios servicios simultáneamente.
Además, la mayoría tiene dificultades para recordar números arbitrarios grandes, como las
direcciones IP. Éstas son descripciones decimales de números binarios, sin patrón visible. Los
servicios DNS se crearon para permitir a servidores y otros objetos en la red asignar un nombre
amigable para el usuario, mismo que DNS traduce en un número IP. Por ejemplo, un nombre
amigable para el usuario como correo.mcgraw-hill.com puede traducirse o resolverse en un
servidor DNS a una dirección IP como 168.143.56.43, que la red puede usar para ubicar el recurso
deseado.

Los servidores DNS manejan estructuras de directorio jerárquicas, como en el ejemplo descrito al
inicio de este capítulo. En el núcleo de los servidores DNS existen dominios de raíz con un
directorio raíz, al que se hace referencia con un solo punto. Los primeros grupos de OU bajo la raíz
son diversos tipos de dominios que pueden existir, como COM, NET, ORG, GOV, EDU, etc. InterNIC,
una rama del Departamento de Comercio de Estados Unidos, controla más de 250 de estos
dominios de nivel elevado en Estados Unidos, administrados por una empresa privada sin fines de
lucro llamada Internet Corporation for Assigned Names and Numbers (ICANN), que controla varios
servidores raíz que contienen una lista de todas las entradas en cada subdominio.

El siguiente grupo de OU tras “.COM” lo integran nombres de dominio como coke.com,

microsoft.com y mcgraw-hill.com. Las organizaciones o individuos a los que pertenecen registran y
administran estos dominios. Varias compañías han contratado a InterNIC/ICANN para registrar
nuevos nombres de dominio añadidos a Internet; verá una lista alfabética de estas compañías en
http://www.internic.com/alpha.html. Un nombre de dominio, como mcgraw-hill.com, puede
obtener OU adicionales, llamadas subdominios y objetos de servidor reales. En el ejemplo
anterior, correo.mcgraw-hill.com, el servidor de correo es un objeto del dominio mcgraw-hill.com.
A un nombre de servidor como correo.mcgraw-hill.com, que contiene todas las OU entre éste y la

3
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

raíz, se le denomina nombre de dominio totalmente calificado (FQDN, Fully Qualified Domain
Name). En la figura se muestra el proceso de resolución de nombres requerido cuando un cliente
como el de la esquina inferior izquierda de la figura pide a un servidor DNS resolver un FQDN en
una dirección IP, subiendo y bajando por la cadena de servidores DNS.

LA ESTRUCTURA Y CONFIGURACIÓN DE ACTIVE DIRECTORY

Una red AD contiene varios objetos en una estructura muy completa y puede configurarse de
varias formas.

Objetos de Active Directory

4
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

Un objeto dentro de AD es un conjunto de atributos (nombre, dirección e ID) representando algo

concreto, como un usuario, impresora o aplicación. Como DNS, AD agrupa e incluye estos objetos
en OU, que luego se agrupan en otras OU hasta llegar a la raíz. Además, como DNS, AD
proporciona después acceso e información acerca de cada uno de estos diferentes objetos. Como
un servicio de directorio, AD mantiene una lista de todos los objetos en el dominio y ofrece acceso
a estos objetos, ya sea directamente o mediante redireccionamiento.

Esta sección se concentra en la estructura y base de los objetos en AD. Al recordar las diferencias
entre AD y DNS, así como los objetos contenidos, apreciará la amplia variedad de objetos que se
permiten en servicios de directorio. En el caso de AD y otros servicios de directorio basados en
X.500, la creación y uso de esta variedad de objetos se determinan mediante el esquema utilizado
en el directorio.

Esquema

El esquema define la información almacenada y posteriormente proporcionada por AD, para cada
uno de sus objetos. Siempre que un objeto se crea en AD, se le asigna un identificador global único
o GUID (Globally Unique IDentifier), un número hexadecimal único para el objeto. Un GUID
permite que se cambie un nombre de objeto sin afectar la seguridad ni los permisos asignados al
objeto, porque el GUID es todavía el mismo. Una vez que el objeto se crea, AD utiliza el esquema
para crear campos definidos para el objeto, como número telefónico, propietario, dirección,
descripción, etc. La información para cada uno de estos campos la ofrece el administrador o
aplicación de terceros que obtiene la información de una base de datos o estructura de directorio
preexistente, como Microsoft Exchange.

La estructura de Active Directory

Existen varias OU dentro de AD con varias funciones muy específicas en la red. Estas funciones se
establecen por medio del esquema. Para administrar y configurar una red AD, necesita entender
qué es cada una de estas OU y qué función juegan en la red.
Active Directory está integrado por uno o más dominios. Cuando se instala el primer servidor AD,
se crea el dominio inicial. Todos los dominios AD se asignan a sí mismos a dominios DNS, mientras
los servidores DNS juegan una función crucial en cada dominio.

Dominios

Los dominios están en el núcleo de todos los sistemas operativos basados en Windows NT/2000
Windows Server 2003/2008. En esta sección se revisa la estructura de los dominios en AD, además
de los diversos factores que participan en la creación de varios dominios en una red.

Los dominios en AD delinean una partición dentro de la red AD. La principal razón para crear varios
dominios es la necesidad de particionar la información de red. Las redes más pequeñas tienen muy
poca necesidad de más de un dominio, aun con una red dispersa entre varios sitios físicos, pues los

5
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

dominios pueden cubrir varios sitios de Windows Server 2008. Sin embargo, todavía existen
razones para utilizar varios dominios en una red:

 Proporcionan estructura de red. A diferencia de los dominios NT heredados, no existe

límite real para el número de objetos que se pueden agregar a un dominio AD ejecutado
en modo nativo. Por esto, casi ninguna red necesita establecer dominios separados para
cada unidad de negocio. Sin embargo, en algunas redes muy grandes, es posible que
varios factores de directivas necesiten varios dominios. Por ejemplo, una compañía puede
tener varias subsidiarias completamente autónomas. Un AD central compartido entre las
compañías ofrece varios beneficios; tal vez un dominio compartido no tenga tanto
sentido. En este caso, puede configurarse un dominio separado para cada compañía
 Replicación. Los servidores AD sólo contienen información de su propio dominio. Los
servidores de catálogo global se requieren para publicar información entre dominios para
el acceso de usuario. Esto significa que todos los objetos en un dominio se replican a todos
los demás controladores de dominio, mientras los recursos externos se replican sólo entre
servidores de catálogo global. En las redes grandes esparcidas entre varios vínculos WAN,
cada sitio físico debe ser su propio dominio, para asegurar que el tráfico de replicación
innecesario no consuma el limitado ancho de banda de los vínculos WAN
 Seguridad y administración. Aunque AD suministra la apariencia de una infraestructura de
red central a los usuarios de la red, las capacidades administrativas y permisos de usuario
no cruzarán particiones de dominio. Esta limitación se supera mediante el uso de grupos
globales universales y relaciones de confianza, pero los dominios son realmente grupos
administrativos separados que pueden o no estar vinculados
 Delegación de administración. Aunque la delegación de autoridad administrativa en la red
hace que varios dominios sean fáciles de manejar y Windows Server 2008 provee varias
herramientas administrativas, todavía pueden darse beneficios para otras redes,
dividiendo los dominios entre las líneas de autoridad y responsabilidad administrativa.

Bosques

Además de dominios, AD se compone de bosques, árboles y otras OU personalizadas. Cada una de

estas OU existe en un nivel específico de la jerarquía de AD, empezando con el bosque contenedor
más alto. Un bosque es el OU más alto en la red y puede contener cualquier número de árboles y
dominios. Todos los dominios en un bosque comparten el mismo esquema y catálogo global. En
esencia, los bosques son similares al contenedor raíz del DNS. Casi todas las organizaciones que
implementan AD tendrán un solo bosque; en realidad, es posible que las organizaciones más
pequeñas con un solo dominio incluso no se percaten de la existencia del bosque, pues todas las
funciones parecen existir sólo en el nivel de dominio. En efecto, el bosque se utiliza como el
directorio principal para toda la red. El bosque abarca todos los árboles, dominios y otras OU,
además de toda la información publicada para todos los objetos en el bosque, como se verá a
continuación.

6
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

La creación de bosques adicionales en una red debe hacerse con mucho cuidado. Los bosques
adicionales pueden causar gran cantidad de sobrecarga administrativa, sobre todo cuando se
agregan plataformas de mensajería compatibles con AD, como Exchange. Aparte de los problemas
obvios de directiva, existen pocas razones para que una red tenga varios bosques.

Árboles

Dentro de AD, los árboles se utilizan principalmente para agrupaciones administrativas y

problemas de espacios de nombres. En esencia, un árbol es una colección de dominios que
comparten un espacio de nombres contiguo y forman un entorno jerárquico. Por ejemplo, es
posible que una organización como Microsoft divida su estructura DNS para que el nombre de
dominio Microsoft.com no sea el nombre principal, utilizado en correos electrónicos y referencias
de recurso. Por ejemplo, suponga que Microsoft se divide primero geográficamente, para que
haya una OU de la costa oeste y una OU de la costa este, en el dominio Microsoft, mientras cada
una de estas OU (o dominios secundarios) contiene un árbol para más divisiones, como Ventas y
Soporte técnico, que puede dividirse más en Sistemas operativos y Aplicaciones. En este ejemplo,
hasta ahora, Microsoft tendría dos árboles en su estructura DNS, costa este y costa oeste. Ambos
dominios se dividen más, creando un posible FQDN para un servidor dentro del departamento de
soporte técnico, como se muestra a continuación:

Nombredeservidor.Sistemasoperativos.Soportetécnico.Costaoeste.Microsoft.Com

7
 Centro de Bachillerato Tecnológico industrial y de servicios No. 198

Bibliografía
1
Marty Matthews, Guía del Administrador, mc. Graw Hill