Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen Windows Server Active Directory
Resumen Windows Server Active Directory
Active Directory
El Directorio Activo es el servicio de directorio en una red Windows 2000 y Windows Server 2003.
Un servicio de directorio es un servicio de red donde se almacena la información de los recursos
de la red para hacer más fácil la accesibilidad a las aplicaciones y a los usuarios. El servicio de
directorio proporciona una manera consistente de nombrar, describir, localizar, acceder,
administrar y asegurar la información los recursos.
El Directorio Activo organiza el directorio en secciones que permiten almacenar un gran número
de objetos. Como resultado, el Directorio Activo puede expandirse tanto como requiera la
organización, desde un servidor con cientos de objetos hasta cientos de servidores con millones de
objetos.
El Directorio Activo se incluye en cada producto de las versiones de Windows 2000 Server,
Advanced Server y Datacenter Server y en las versiones de Windows Server 2003 Estándar Edition,
Enterprise Edition y Datacenter Edition. Se diseñó para trabajar bien en cualquier tamaño de
instalación, desde un server con cientos de objetos a miles de servidores y millones de objetos.
Windows 2000 Server y Windows Server 2003 almacenan la información de la configuración del
sistema, perfiles de usuario y aplicaciones en el Directorio Activo. En combinación con las políticas
de grupo, el Directorio Activo permite a los administradores administrar los servicios de red y las
aplicaciones desde una localización central usando una interfaz de administración consistente. La
seguridad está integrada en el Directorio Activo mediante la autenticación del inicio de sesión y el
control de acceso a los objetos del directorio. Con un único inicio de sesión en la red, los
administradores pueden administrar datos del directorio y de la organización en cualquier punto
de la red, y los usuarios autorizados de la red pueden tener acceso a recursos en cualquier lugar de
la red. La administración basada en directivas facilita la tarea del administrador incluso en las
redes más complejas.
Estructura Física
Activo, la estructura lógica está separada de la estructura física. La estructura lógica se usa para
organizar los recursos de la red y se usa la estructura física para configurar y administrar el tráfico
de red. La estructura física del Directorio Activo está compuesta por sites y controladores de
dominio.
Site ó Sitio
Un sitio es la combinación de una o más subredes IP conectadas en enlaces de alta velocidad. Esta
definición permite configurar el acceso al Directorio Activo y la topología de replicación para que
Windows 2000 y/oWindows Server 2003 utilicen los enlaces más eficientes y sincronice el tráfico
de replicación y de logon.
Ventajas:
Solicitudes de servicio: Cuando un cliente solicita un servicio a un controlador de dominio,
éste la dirige a un controlador de dominio del mismo sitio, si hay alguno disponible. La
selección de un controlador de dominio que esté conectado correctamente con el cliente
que formuló la solicitud facilita su tratamiento.
Replicación: Los sitios optimizan la replicación de información del directorio. La
información de configuración y de esquema del directorio se distribuye por todo el bosque
y los datos del dominio se distribuyen entre todos los controladores de dominio del
dominio. Al reducir la replicación de forma estratégica, igualmente se puede reducir el
uso de la red. El Directorio Activo replica información del directorio dentro de un sitio
con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio mejor
conectados, es decir, aquellos que con más probabilidad necesitarán información especial
del directorio, son los que primero reciben las replicaciones. Los controladores de dominio
de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor
frecuencia, con lo que se reduce el consumo de ancho de banda de red.
Domain Controller
Los controladores de dominio almacenan directorios y administran la comunicación entre usuarios
y dominios, incluyendo el proceso de log-on, autenticación, y busqueas del directorio. Cuando es
instalado el Active Directory en una computadora que ejecuta Windows Server 2003, dicha
computadora se convierte en un controlador de dominio.
Mebers server
Son todos los servidores en el dominio que no son controladores de dominio.
Workgroup servers
Servidores que no están asociados a un dominio.
Un dominio puede tener uno o más controladores de dominio. Una organización pequeña que
utilice una red de área local (LAN) puede necesitar nada mas que un solo dominio con dos
controladores de dominio para proporcionar la adecuada disponibilidad y tolerancia a fallos
mientras que una compañía grande con muchas localizaciones geográficas necesitará uno o más
controladores de dominio en cada localización para proporcionar también una adecuada
disponibilidad y tolerancia a fallos requerido.
Replicación multi-master
Es utilizada en el Active Directory, consiste en que ningún controlador de dominio es el
controlador de dominio maestro. En lugar de eso, todos los controladores de dominio contienen
una copia del directorio. Cualquier controlador de dominio puede almacenar una copia del
directorio con información diferente durante cortos periodos de tiempo hasta que todos los
controladores de dominio realicen una sincronización de los cambios hechos en el
Active Directory.
Un dominio puede tener uno o varios controladores de dominio. Cada controlador de dominio
dispone de una copia del directorio en todo el dominio en el que está ubicado. Los cambios
realizados en el directorio en un controlador de dominio se replican al resto de los controladores
en el dominio, el árbol de dominios o el bosque. El Directorio Activo utiliza cuatro tipos
diferentes de particiones de directorio para almacenar y copiar distintas clases de datos. Las
particiones de directorio contienen:
datos de dominio
configuración
esquema
aplicación.
Los administradores y los programadores pueden ampliar este esquema mediante la definición de
nuevos tipos de objetos y atributos o bien con la adición de atributos nuevos para los objetos
existentes. Los objetos del esquema están protegidos por listas de control de acceso, lo que
asegura que sólo los usuarios autorizados puedan modificar el esquema.
Cuotas:
Una nueva característica de los controladores de dominio que ejecutan Windows Server 2003,
determinan el número de objetos que un principal de seguridad puede poseer en una partición de
directorio determinada. (El propietario del objeto suele ser su creador, pero esto no siempre es
así). Las cuotas ayudan a evitar la denegación de servicio que puede ocurrir si un principal de
seguridad crea objetos, accidental o intencionalmente, hasta que el controlador de dominio
afectado ya no tiene más espacio para el almacenamiento.
Sólo los controladores de dominio que ejecuten Windows Server 2003 pueden aplicar cuotas. Las
cuotas sólo se aplican en operaciones de directorio iniciales; las cuotas no se aplican en
operaciones replicadas.
En el esquema, una clase de objeto representa una categoría de objetos de directorio como:
Usuarios
Impresoras
Aplicaciones
La definición de cada clase de objeto contiene una lista de los atributos de esquema que
se puede utilizar para describir instancias de la clase. Por ejemplo, la clase Usuario tiene
atributos como givenName, surname y streetAddress. Al crear un nuevo usuario en el
directorio, aquél se convierte en una instancia de la clase Usuario y la información de usuario
especificada se convierte en instancias de los atributos. Cada bosque sólo puede contener un
esquema, que se almacena en la partición de directorio del esquema.
Catálogo global
Un catálogo global es un controlador de dominio que almacena una copia de todos los objetos del
Directorio Activo de un bosque. En el catálogo global se almacena una copia completa de todos los
objetos del directorio para su dominio host y una copia parcial de todos los objetos de los demás
dominios del bosque.
Funciones:
Busca objetos: El catálogo global permite
al usuario realizar búsquedas de
información del directorio en todos los
dominios de un bosque,
independientemente de la ubicación de
los datos.
Valida las referencias a objetos dentro de un bosque: Los controladores de dominio utilizan el
catálogo global para validar las referencias a objetos de otros dominios del bosque. Si un
controlador de dominio incluye un objeto de directorio con un atributo que contiene una
referencia a un objeto de otro dominio, esta referencia se validará mediante un catálogo global.
puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más
pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede
delegar la autoridad administrativa.
Beneficios:
Organizar objetos en un dominio: Las OU contienen objetos de dominio, tales como
cuentas de usuarios y computadoras, grupos. Los archivos e impresoras compartidas que
están publicadas en el Active Directory también están encontradas en el AD.
Delegar el control administrativo: Usted puede delegar control administrativo total, tal
como Full Control Permission, sobre todos los objetos de una unidad organizacional, ó
puede asignar control administrativo limitado, tal como la habilidad de modificar
información de e-mail. Para delegar el control administrativo usted asigna permisos
específicos en las unidades organizacionales y en los objetos que contienen las OU para
uno ó más usuarios ó un grupo de usuarios.
LDAP relative distinguished name: The Lightweight Directory Access Protocol (LDAP) distinguished
name unicamente identifica el objeto en su parte contenedora. Por ejemplo el LDAP rdn de una
unidad organizacional llamada MyOrganizationalUnit es OU= MyOrganizationalUnit. Los relative
distinguished name deben ser únicos en una unidad organizacional.
Canonical Name:
El nombre canonico es construido bajo el mismo es que que el LDAP distinguished name, pero
este representado por una notación diferente. El nombre canonico de una unidad organizacional
llamada MyOrganizationalUnit en el dominio Microsoft.com es:
Microsoft.com/MyOrganizationalUnit. Los administradores de sistemas utilizan el nombre
canonico para algunas herramientas administrativas. Es utilizado para representar una jerarquía
en las herramientas administrativas.
Dominio ó Domain
Un dominio constituye un límite de seguridad. El directorio incluye uno o más dominios, cada uno
de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros
dominios.
Ventajas:
Las directivas y la configuración de seguridad (como los derechos administrativos y las
listas de control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la
necesidad de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.
Cada dominio almacena solamente la información acerca de los objetos que se encuentran
ubicados en ese dominio. Al crear particiones en el directorio, Directorio Activo puede
ampliarse y llegar a contener una gran cantidad de objetos.
Árboles ó Tree
Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo
llamado árbol. El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios
adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que se encuentra
inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del
dominio secundario.
| universidad mariano gálvez - Quetzaltenango
sistemas operativos abiertos 10
Bosque ó Forest
Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no
constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio
(microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado
"soporte", los nombres DNS de esos dominios secundarios serán soporte.microsoft.com y
soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres
contiguo.
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del
bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de
dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.
En la figura 5.3, microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles
de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de
confianza transitivas con microsoft.com. Estas relaciones de confianza son necesarias para poder
establecer otras entre todos los árboles de dominio del bosque. Al utilizar bosques y árboles de
dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no
contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones
independientes que necesitan conservar sus propios nombres DNS.