Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Active Directory y Dominios PDF
Active Directory y Dominios PDF
198
AD juega dos funciones básicas importantes para una red: la de un servicio de directorio, que
contiene una lista jerárquica de todos los objetos de la red, así como la de un servicio de
autentificación y seguridad que tanto controla como proporciona acceso a recursos de red. Estas
dos funciones tienen una naturaleza y enfoque diferentes, pero se combinan para brindar mayores
capacidades de usuario mientras se disminuye la sobrecarga administrativa. En su núcleo, AD de
Windows Server 2008 es un servicio de directorio integrado con DNS, además de un servicio de
autentificación de usuario para el sistema operativo Windows Server 2008. Sin embargo, esta
explicación introduce pocos términos e incluye varios conceptos.
Aunque AD es, al mismo tiempo, directorio y servicio de directorio, los términos no son
intercambiables. En la red de Windows Server 2008, un directorio es una lista de objetos en una
red. Un directorio jerárquico tiene una estructura cuya configuración integrada permite que se
agrupen objetos de forma lógica; de tal modo, los objetos de nivel inferior se agrupan y contienen
de forma lógica en objetos de nivel superior en todos los niveles deseados. Esta agrupación puede
basarse en varios criterios diferentes, pero éstos deben ser lógicos y consistentes con toda la
estructura de directorio.
1
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
Dos de las estructuras de directorio más comunes usadas en las redes se basan en funciones de
objeto (como impresoras, servidores y dispositivos de almacenamiento) y responsabilidad
organizacional (como mercadotecnia, contabilidad y manufactura). El modelo organizacional
permite almacenar objetos en grupos o contenedores basados en el lugar que ocupan en una
organización, que tal vez cuenten con estructura propia, como departamentos dentro de
divisiones.
AD es tan básico como la organización recién mostrada. Sin embargo, gran parte de la estructura
central de AD ya ha sido asignada por Microsoft y es consistente en todas las implementaciones de
Windows Server 2008. Por esto, algunos de los contenedores, sólo OU, se han asignado a nombres
específicos y funciones en AD. A medida que esta estructura de directorio preconfigurada se
explica en el resto del capítulo, no deje que términos y nombres lo confundan. En realidad, todo
esto es simplemente una colección de objetos en varias OU.
2
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
que los usuarios acceden a un solo directorio y después se conectan directamente a otros
servidores y servicios que, en apariencia, provienen del directorio original.
Gran parte de la estructura y servicios de AD, además del espacio de nombres en uso, se basa en
el sistema de nombre de dominio (DNS, Domain Name System). Espacio de nombres es el
esquema de direccionamiento empleado para ubicar objetos en la red. AD e Internet utilizan
espacios de nombres jerárquicos separados por puntos, como se describió antes en este capítulo.
En unos momentos se analizará la manera en que AD utiliza DNS, pero es necesario revisar
primero estructura y funcionamiento de DNS y cómo se utiliza para generar las bases de AD.
Todos los servidores y servicios en Internet tienen asignada una dirección numérica de protocolo
de Internet (IP, Internet Protocol), así como todo el tráfico de Internet utiliza este número IP para
llegar a su destino. Los números IP cambian y pueden hospedar varios servicios simultáneamente.
Además, la mayoría tiene dificultades para recordar números arbitrarios grandes, como las
direcciones IP. Éstas son descripciones decimales de números binarios, sin patrón visible. Los
servicios DNS se crearon para permitir a servidores y otros objetos en la red asignar un nombre
amigable para el usuario, mismo que DNS traduce en un número IP. Por ejemplo, un nombre
amigable para el usuario como correo.mcgraw-hill.com puede traducirse o resolverse en un
servidor DNS a una dirección IP como 168.143.56.43, que la red puede usar para ubicar el recurso
deseado.
Los servidores DNS manejan estructuras de directorio jerárquicas, como en el ejemplo descrito al
inicio de este capítulo. En el núcleo de los servidores DNS existen dominios de raíz con un
directorio raíz, al que se hace referencia con un solo punto. Los primeros grupos de OU bajo la raíz
son diversos tipos de dominios que pueden existir, como COM, NET, ORG, GOV, EDU, etc. InterNIC,
una rama del Departamento de Comercio de Estados Unidos, controla más de 250 de estos
dominios de nivel elevado en Estados Unidos, administrados por una empresa privada sin fines de
lucro llamada Internet Corporation for Assigned Names and Numbers (ICANN), que controla varios
servidores raíz que contienen una lista de todas las entradas en cada subdominio.
3
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
raíz, se le denomina nombre de dominio totalmente calificado (FQDN, Fully Qualified Domain
Name). En la figura se muestra el proceso de resolución de nombres requerido cuando un cliente
como el de la esquina inferior izquierda de la figura pide a un servidor DNS resolver un FQDN en
una dirección IP, subiendo y bajando por la cadena de servidores DNS.
Una red AD contiene varios objetos en una estructura muy completa y puede configurarse de
varias formas.
4
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
Esta sección se concentra en la estructura y base de los objetos en AD. Al recordar las diferencias
entre AD y DNS, así como los objetos contenidos, apreciará la amplia variedad de objetos que se
permiten en servicios de directorio. En el caso de AD y otros servicios de directorio basados en
X.500, la creación y uso de esta variedad de objetos se determinan mediante el esquema utilizado
en el directorio.
Esquema
El esquema define la información almacenada y posteriormente proporcionada por AD, para cada
uno de sus objetos. Siempre que un objeto se crea en AD, se le asigna un identificador global único
o GUID (Globally Unique IDentifier), un número hexadecimal único para el objeto. Un GUID
permite que se cambie un nombre de objeto sin afectar la seguridad ni los permisos asignados al
objeto, porque el GUID es todavía el mismo. Una vez que el objeto se crea, AD utiliza el esquema
para crear campos definidos para el objeto, como número telefónico, propietario, dirección,
descripción, etc. La información para cada uno de estos campos la ofrece el administrador o
aplicación de terceros que obtiene la información de una base de datos o estructura de directorio
preexistente, como Microsoft Exchange.
Existen varias OU dentro de AD con varias funciones muy específicas en la red. Estas funciones se
establecen por medio del esquema. Para administrar y configurar una red AD, necesita entender
qué es cada una de estas OU y qué función juegan en la red.
Active Directory está integrado por uno o más dominios. Cuando se instala el primer servidor AD,
se crea el dominio inicial. Todos los dominios AD se asignan a sí mismos a dominios DNS, mientras
los servidores DNS juegan una función crucial en cada dominio.
Dominios
Los dominios están en el núcleo de todos los sistemas operativos basados en Windows NT/2000
Windows Server 2003/2008. En esta sección se revisa la estructura de los dominios en AD, además
de los diversos factores que participan en la creación de varios dominios en una red.
Los dominios en AD delinean una partición dentro de la red AD. La principal razón para crear varios
dominios es la necesidad de particionar la información de red. Las redes más pequeñas tienen muy
poca necesidad de más de un dominio, aun con una red dispersa entre varios sitios físicos, pues los
5
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
dominios pueden cubrir varios sitios de Windows Server 2008. Sin embargo, todavía existen
razones para utilizar varios dominios en una red:
Bosques
6
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
La creación de bosques adicionales en una red debe hacerse con mucho cuidado. Los bosques
adicionales pueden causar gran cantidad de sobrecarga administrativa, sobre todo cuando se
agregan plataformas de mensajería compatibles con AD, como Exchange. Aparte de los problemas
obvios de directiva, existen pocas razones para que una red tenga varios bosques.
Árboles
Nombredeservidor.Sistemasoperativos.Soportetécnico.Costaoeste.Microsoft.Com
7
Centro de Bachillerato Tecnológico industrial y de servicios No. 198
Bibliografía
1
Marty Matthews, Guía del Administrador, mc. Graw Hill