8.- introduccion a las infraestructuras de active directory[1]

Contenido

Introduccin 1

Leccin: Arquitectura de Active Directory 2

Leccin: Cmo funciona Active Directory 11

Leccin: Examen de Active Directory 21

Leccin: Procesos de diseo, planeamiento e implementacin de Active Directory 31

Introduccin a las infraestructuras de Active Directory

2 Introduccin a las infraestructuras de Active Directory

Introduccin

******el uso por quienes no sean instructores no est autorizado y resulta ilegal******

Este mdulo sirve de introduccin a la estructura lgica y fsica del servicio de directorio Active Directory y su funcin como servicio de directorio. Adems, presenta los complementos, las herramientas de lnea de comandos y Microsoft Windows Script Host que se pueden utilizar para administrar los componentes de Active Directory y los procesos de diseo, planeamiento e implementacin de Active Directory.

Despus de finalizar este mdulo, podr:

Describir la arquitectura de Active Directory. Describir cmo funciona Active Directory. Utilizar complementos administrativos para examinar los componentes de

Active Directory. Describir los procesos de diseo, planeamiento e implementacin de Active

Directory.

Introduccin

Objetivos

Introduccin a las infraestructuras de Active Directory 3

Leccin: Arquitectura de Active Directory


Active Directory consta de componentes que constituyen su estructura lgica y fsica. Se deben planear las estructuras lgica y fsica de Active Directory para que cumplan los requisitos de la organizacin. Para administrar Active Directory, se debe comprender el propsito de estos componentes y cmo utilizarlos.

Despus de finalizar esta leccin, podr:

Describir la funcin de Active Directory. Describir la estructura lgica de Active Directory. Describir la estructura fsica de Active Directory. Describir las funciones de maestro de operaciones.

Introduccin

Objetivos de la leccin


Qu funciones desempea Active Directory


Active Directory almacena informacin acerca de los usuarios, equipos y recursos de red y permite el acceso a los recursos por parte de usuarios y aplicaciones. Asimismo, proporciona una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la informacin de estos recursos.

Active Directory proporciona las siguientes funciones:

Centralizar el control de los recursos de red. Al centralizar el control de recursos como servidores, archivos compartidos e impresoras, slo los usuarios autorizados pueden obtener acceso a los recursos de Active Directory.

Centralizar y descentralizar la administracin de recursos. Los administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicacin central mediante una interfaz de administracin coherente o pueden distribuir tareas administrativas mediante la delegacin del control de los recursos a otros administradores.

Almacenar objetos de forma segura en una estructura lgica. Active Directory almacena todos los recursos como objetos en una estructura lgica, jerrquica y segura.

Optimizar el trfico de red. La estructura fsica de Active Directory permite utilizar el ancho de banda de red de forma ms efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesin en la red, la autoridad de autenticacin ms cercana a l lo autentique, reduciendo as la cantidad de trfico de red.

Introduccin

Funcin de Active Directory


Presentacin multimedia: Estructura lgica de Active Directory


Para iniciar la presentacin, abrir el archivo media08_1.html que se puede encontrar dentro del fichero media08.zip.

Al final de esta presentacin, podr:

Definir los elementos de la estructura lgica de Active Directory. Comentar el propsito de estos elementos.

Active Directory proporciona un almacenamiento seguro de informacin acerca de los objetos en su estructura lgica jerrquica. Los objetos de Active Directory representan a los usuarios y los recursos, como equipos e impresoras. Algunos objetos son contenedores de otros objetos. Una vez que se ha comprendido el propsito y la funcin de estos objetos, se pueden realizar diversas tareas, entre las que se incluyen la instalacin, configuracin, administracin y solucin de problemas de Active Directory.

La estructura lgica de Active Directory comprende los siguientes componentes:

Objetos. Son los componentes ms bsicos de la estructura lgica. Las clases de objetos son plantillas o planos tcnicos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objetos se define mediante un grupo de atributos, que definen los posibles valores que se pueden asociar a un objeto. Cada objeto posee una nica combinacin de valores de atributos.

Unidades organizativas. Se pueden utilizar estos objetos contenedores para estructurar otros objetos de modo que admitan los propsitos administrativos. Mediante la estructuracin de los objetos por unidades organizativas, se facilita su localizacin y administracin. Tambin se puede delegar la autoridad para administrar una unidad organizativa. Las unidades organizativas pueden estar anidadas en otras unidades organizativas, lo que simplifica la administracin de objetos.

Ubicacin de los archivos

Objetivos

Puntos clave


Dominios. Se trata de las unidades funcionales centrales en la estructura lgica de Active Directory que son un conjunto de objetos definidos de forma administrativa y que comparten una base de datos, directivas de seguridad y relaciones de confianza comunes con otros dominios. Los dominios proporcionan las siguientes tres funciones:

Un lmite administrativo para objetos Un medio de administracin de la seguridad para recursos compartidos Una unidad de replicacin para objetos

rboles de dominios. Los dominios que estn agrupados en estructuras jerrquicas se denominan rboles de dominios. Al agregar un segundo dominio a un rbol, se convierte en secundario del dominio raz del rbol. El dominio al que est adjunto un dominio secundario se denomina dominio primario. Un dominio secundario puede tener a su vez su propio dominio secundario. El nombre de un dominio secundario se combina con el nombre de su dominio primario para formar su propio nombre nico de Sistema de nombres de dominio (DNS, Domain Name System), como corp.nwtraders.msft. De esta forma, el rbol dispone de un a espacio de nombres contiguo.

Bosques. Un bosque es una instancia completa de Active Directory. Consta de uno o varios rboles. En un rbol de slo dos niveles, que se recomienda para la mayora de las organizaciones, todos los dominios secundarios se convierten en secundarios del dominio raz de bosque para formar un rbol contiguo. El primer dominio del bosque se denomina dominio raz de bosque. El nombre de ese dominio se refiere al bosque, como por ejemplo nwtraders.msft. De forma predeterminada, la informacin de Active Directory se comparte slo dentro del bosque. De este modo, el bosque es un lmite de seguridad para la informacin contenida en la instancia de Active Directory.


Presentacin multimedia: Estructura fsica de Active Directory




Definir los elementos de la estructura fsica de Active Directory. Comentar el propsito de estos elementos.

A diferencia de la estructura lgica, que se basa en requisitos administrativos, la estructura fsica de Active Directory optimiza el trfico de red mediante la determinacin del lugar y el momento en que se produce la replicacin y el trfico de conexin. Para optimizar el uso del ancho de banda de red de Active Directory, se debe comprender la estructura fsica. Los elementos de la estructura fsica de Active Directory son los siguientes:

Controladores de dominio. En estos equipos se ejecuta Microsoft Windows Server 2003 o Microsoft Windows 2000 Server y Active Directory. Cada controlador de dominio realiza funciones de almacenamiento y replicacin. Un controlador de dominio slo puede admitir un dominio. Para asegurarse de la disponibilidad continua de Active Directory, cada dominio debe disponer de ms de un controlador de dominio.


Objetivos

Puntos clave


Sitios de Active Directory. Estos sitios son grupos de equipos conectados correctamente. Al establecer sitios, los controladores de dominio de un nico sitio se comunican con frecuencia. Esta comunicacin minimiza la latencia dentro del sitio, es decir, el tiempo necesario para que un cambio realizado en un controlador de dominio pueda replicarse en otros controladores de dominio. Se pueden crear sitios para optimizar el uso del ancho de banda entre los controladores de dominio que estn en ubicaciones diferentes.

Para obtener ms informacin acerca de los sitios de Active Directory, consulte el mdulo 7, Implementacin de sitios para administrar la replicacin de Active Directory del curso 2196A: Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.

Particiones de Active Directory. Cada controlador de dominio contiene las siguientes particiones de Active Directory:

La particin del dominio contiene replicados de todos los objetos de ese dominio. La particin del dominio slo puede replicarse en otro controlador de dominio del mismo dominio.

La particin de configuracin contiene la topologa del bosque. La topologa es un registro de todos los controladores de dominio y las conexiones entre ellos en un bosque.

La particin del esquema contiene el esquema de todo el bosque. Cada bosque tiene un esquema para que la definicin de las clases de objetos sea coherente. Las particiones de configuracin y del esquema pueden replicarse en los controladores de dominio del bosque.

Las particiones de aplicaciones opcionales contienen objetos no relacionados con la seguridad y utilizados por una o varias aplicaciones. Las particiones de aplicaciones pueden replicarse en controladores de dominio especificados del bosque.

Para obtener ms informacin acerca de las particiones de Active Directory, consulte el mdulo 7, Implementacin de sitios para administrar la replicacin de Active Directory del curso 2196A: Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.

Nota

Nota


Qu son los maestros de operaciones


Cuando se realiza un cambio en un dominio, el cambio puede replicarse a travs de todos los controladores del dominio. Algunos cambios, como los que se realizan en el esquema, pueden replicarse en todos los dominios del bosque. Esta replicacin se denomina replicacin de varios maestros.

Durante la replicacin de varios maestros, se puede producir un conflicto de replicacin si las actualizaciones que la originan se llevan a cabo simultneamente en el mismo atributo de objeto en dos controladores de dominio. Para evitar conflictos de replicacin, se puede utilizar la replicacin de maestro nico, que designa un controlador de dominio como el nico controlador en el que se pueden realizar cambios en determinados directorios. De este modo, los cambios no se pueden producir en distintos lugares de la red al mismo tiempo. Active Directory utiliza la replicacin de maestro nico para cambios importantes, como la adicin de un nuevo dominio o un cambio en el esquema de todo el bosque.

Las operaciones que utiliza la replicacin de maestro nico se organizan conjuntamente en funciones especficas de un bosque o dominio. Estas funciones se denominan funciones de maestro de operaciones. Slo el controlador de dominio que posee una funcin de maestro de operaciones determinada puede realizar cambios en el directorio asociado. El controlador de dominio responsable de una funcin concreta se denomina maestro de operaciones para dicha funcin. Active Directory almacena la informacin acerca del controlador de dominio que posee una funcin especfica.

Introduccin

Operaciones de maestro nico

Funciones de maestro de operaciones


Active Directory define cinco funciones de maestro de operaciones, con una ubicacin predeterminada para cada una. Las funciones de maestro de operaciones abarcan todo el bosque o todo el dominio.

Funciones para todo el bosque. Estas funciones son nicas para un bosque y son las siguientes:

Maestro de esquema. Controla todas las actualizaciones del esquema. El esquema contiene una lista general de clases de objetos y atributos utilizados para crear todos los objetos de Active Directory como, por ejemplo, usuarios, equipos e impresoras.

Maestro de nombres de dominio. Controla la adicin o la eliminacin de dominios del bosque. Slo el controlador de dominio que posee la funcin de maestro de nombres de dominio puede agregar un nuevo dominio al bosque.

Slo existe un maestro de esquema y un maestro de nombres de dominio en todo el bosque.

Funciones para todo el dominio. Estas funciones son nicas para cada dominio de un bosque y son las siguientes:

Emulador del controlador de dominio principal (PDC, Primary domain controller). Funciona como un PDC de Microsoft Windows NT que admite controladores de reserva (BDC, Backup domain controller) que se ejecutan en Windows NT dentro de un dominio de modo mixto. Este tipo de dominio dispone de controladores con Windows NT 4.0. El emulador del PDC es el primer controlador de dominio que se crea en un dominio nuevo.

Maestro de identificadores relativos. Al crear un objeto nuevo, el controlador de dominio crea una nueva entidad principal de seguridad que representa el objeto y le asigna un nico identificador de seguridad (SID, security identifier). Este SID consta de un SID de dominio, que es el mismo para todas las entidades principales de seguridad creadas en el dominio, y un identificador relativo (RID, relative identifier), que es nico para cada entidad principal de seguridad creada en el dominio. El maestro de RID asigna bloques de identificadores relativos a cada controlador del dominio. A continuacin, el controlador de dominio asigna un RID a los objetos creados a partir de su bloque asignado de identificadores relativos.


Maestro de infraestructuras. Al desplazar objetos de un dominio a otro, el maestro de infraestructuras actualiza las referencias a objetos de su dominio que apuntan al objeto en el otro dominio. La referencia al objeto contiene el identificador nico global (GUID, globally unique identifier) del objeto, nombre completo y un SID. Active Directory actualiza peridicamente el nombre completo y el SID en la referencia al objeto para que se reflejen los cambios realizados en el objeto real, como el desplazamiento dentro del dominio o entre ellos y la eliminacin del objeto.

Cada dominio de un bosque dispone de su propio emulador del PDC, maestro de RID y maestro de infraestructuras.

Para obtener ms informacin acerca de las funciones de maestro de operaciones, consulte el mdulo 9, Administracin de los maestros de operaciones, del curso 2196A: Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.

Nota


Leccin: Cmo funciona Active Directory


En esta leccin se presenta la funcin de Active Directory como servicio de directorio. La comprensin del funcionamiento de Active Directory facilitar la administracin de recursos y la solucin de problemas con el acceso a los recursos.


Describir la funcin de Active Directory como servicio de directorio. Definir el propsito del esquema de Active Directory y cmo se utiliza. Definir el propsito del catlogo global. Determinar el nombre completo y el nombre completo relativo de un objeto

de Active Directory. Describir cmo Active Directory permite que se pueda iniciar sesin una

nica vez.

Introduccin



Qu es un servicio de directorio


Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y aplicaciones obtener acceso a estos recursos y a la informacin acerca de ellos, necesita una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la informacin de estos recursos. Un servicio de directorio realiza esta funcin.

Un servicio de directorio es un repositorio de informacin estructurado sobre personas y recursos de una organizacin. En una red de Windows Server 2003, el directorio de servicio es Active Directory.

Active Directory dispone de las siguientes capacidades:

Permite a usuarios y aplicaciones obtener acceso a informacin sobre objetos. Esta informacin se almacena en forma de valores de atributos. Se pueden buscar objetos basndose en su clase, atributos, valores de atributos, ubicacin dentro de la estructura de Active Directory o cualquier combinacin de estos valores.

Clarifica la topologa de red fsica y los protocolos. De este modo, un usuario de una red puede obtener acceso a cualquier recurso, como una impresora, sin saber el lugar donde se encuentra o el modo en que est conectado fsicamente a la red.

Introduccin

Qu es un servicio de directorio

Capacidades de Active Directory


Permite el almacenamiento de un gran nmero de objetos. Puesto que se organiza en particiones, Active Directory se puede ampliar a medida que la organizacin crece. Por ejemplo, un directorio se puede ampliar de un solo servidor con varios cientos de objetos a miles de servidores y millones de objetos.

Se puede ejecutar como un servicio del sistema no operativo. Active Directory en modo de aplicacin (AD/AM) es una nueva capacidad de Microsoft Active Directory que trata determinadas situaciones de implementacin relacionadas con aplicaciones habilitadas para directorios. AD/AM se ejecuta como un servicio del sistema no operativo y, como tal, no requiere implementacin en un controlador de dominio. La ejecucin como servicio del sistema no operativo significa que se pueden ejecutar varias instancias de AD/AM a la vez en un nico servidor y cada una de ellas se puede configurar por separado.

Para obtener ms informacin acerca de AD/AM, consulte Introduction to Active Directory in Application Mode (en ingls) en http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx.

Nota


Qu es un esquema


El esquema de Active Directory define las clases de objetos, los tipos de informacin sobre dichos objetos y la configuracin de seguridad predeterminada para ellos que se puede almacenar en Active Directory.

El esquema de Active Directory contiene las definiciones de todos los objetos, como usuarios, equipos e impresoras, almacenadas en Active Directory. En los controladores de dominio con Windows Server 2003, slo existe un esquema para un bosque completo. De este modo, todos los objetos creados en Active Directory ajustan a las mismas reglas.

El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las clases de objetos, como usuario, equipo e impresora, describen los objetos de directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos.

Los atributos se definen independientemente de las clases de objetos. Cada atributo se define slo una vez y se puede utilizar en varias clases de objetos. Por ejemplo, el atributo Descripcin se utiliza en muchas clases de objetos, pero se define slo una vez en el esquema para garantizar la coherencia.

Se pueden crear nuevos tipos de objetos en Active Directory mediante la ampliacin del esquema. Por ejemplo, para una aplicacin de servidor de correo electrnico, se puede extender la clase de usuario en Active Directory con nuevos atributos que almacenan informacin adicional, como direcciones de correo electrnico de los usuarios.

Para obtener ms informacin acerca de la extensin del esquema de Active Directory, consulte Extending the Schema (en ingls) en la referencia en lnea de MSDN Library.

Introduccin

Qu es el esquema de Active Directory

Esquema y extensibilidad de Active Directory

Nota


En los controladores de dominio de Windows Server 2003, se pueden deshacer los cambios realizados en el esquema mediante su desactivacin, lo que permite que las organizaciones saquen provecho de las caractersticas de extensibilidad de Active Directory.

Tambin se puede volver a definir una clase o un atributo del esquema. Por ejemplo, se puede cambiar la sintaxis de una cadena Unicode de un atributo denominado Administrador de ventas por Nombre completo.

Cambios en el esquema y desactivacin


Qu es el catlogo global


Los recursos de Active Directory se pueden compartir en dominios y bosques. La caracterstica de catlogo global en Active Directory facilita al usuario la bsqueda de recursos en dominios y bosques. Por ejemplo, si busca todas las impresoras de un bosque, un servidor de catlogo global procesa la consulta en el catlogo global y, a continuacin, devuelve los resultados. Sin un servidor de catlogo global, esta consulta requerira una bsqueda en cada dominio del bosque.

El catlogo global es un repositorio de informacin que contiene un subconjunto de los atributos de todos los objetos de Active Directory. Los miembros del grupo Administradores de esquema pueden cambiar los atributos almacenados en el catlogo global, en funcin de los requisitos de la organizacin. El catlogo global contiene los siguientes elementos:

Los atributos utilizados con ms frecuencia en consultas, como el nombre, apellido y nombre de inicio de sesin de un usuario.

La informacin necesaria para determinar la ubicacin de cualquier objeto en el directorio.

Un subconjunto predeterminado de atributos para cada tipo de objeto. Los permisos de acceso para cada objeto y atributo almacenado en el

catlogo global. Si busca un objeto para el que no dispone de los permisos adecuados para verlo, el objeto no aparecer en los resultados de la bsqueda. Los permisos de acceso aseguran que los usuarios slo puedan encontrar los objetos para los que se les ha asignado acceso.

Un servidor de catlogo global es un controlador de dominio que procesa de forma efectiva consultas dentro de un mismo bosque del catlogo global. El primer controlador de dominio que se crea en Active Directory se convierte automticamente en un servidor de catlogo global. Se pueden configurar servidores de catlogo global adicionales para equilibrar el trfico de la autenticacin de inicio de sesin y consultas.

Introduccin

Qu es el catlogo global

Qu es un servidor de catlogo global


El catlogo global permite a los usuarios realizar dos importantes funciones:

Buscar la informacin de Active Directory en cualquier lugar del bosque, independientemente de la ubicacin de los datos.

Utilizar la informacin de pertenencia al grupo universal para iniciar la sesin en la red.

Para obtener ms informacin acerca del catlogo global, consulte el mdulo 8, Implementacin de la ubicacin de controladores de dominio, en el curso 2196A: Planeamiento, implementacin y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.

Funciones del catlogo global

Nota


Qu son los nombres completos y los nombres completos relativos


Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) para buscar y modificar objetos en una base de datos de Active Directory. LDAP es un subconjunto de X.500, un estndar del sector que define cmo estructurar directorios. LDAP utiliza la informacin acerca de la estructura de un directorio para buscar objetos individuales, cada uno de los cuales tiene un nombre nico.

LDAP utiliza un nombre que representa un objeto de Active Directory mediante una serie de componentes que se relacionan con la estructura lgica. Esta representacin, denominada el nombre completo del objeto, identifica el dominio en el que el objeto est ubicado y la ruta completa para llegar a l. Los nombres completos deben ser nicos en un bosque de Active Directory.

El nombre completo relativo de un objeto nicamente identifica el objeto en su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo nombre. El nombre completo relativo es siempre el primer componente del nombre completo, pero puede que no siempre sea un nombre comn.

Para un usuario llamado Cristina Martnez de la unidad organizativa Sales en el dominio Contoso.msft, cada elemento de la estructura lgica se representa con el nombre completo siguiente:

CN=Cristina Martnez,OU=Sales,DC=contoso,DC=msft

CN es el nombre comn del objeto en su contenedor. OU es la unidad organizativa que contiene el objeto. Puede haber ms de un

valor de OU si el objeto reside en una unidad organizativa anidada. DC es un componente de dominio, como com o msft. Siempre hay por

lo menos dos componentes de dominio, pero es posible que existan ms si el dominio es secundario.

Los componentes de dominio del nombre completo se basan en el Sistema de nombres de dominio (DNS, Domain Name System).

Introduccin

Definicin

Ejemplo de un nombre completo


En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad organizativa que se representa mediante la siguiente ruta de nombre de LDAP:

OU=Sales,DC=contoso,DC=msft

Ejemplo de un nombre completo relativo


Presentacin multimedia: Cmo permite Active Directory que se pueda iniciar sesin una nica vez




Describir el proceso mediante el cual Active Directory permite que se pueda iniciar sesin una nica vez.

Explicar la importante de iniciar sesin una nica vez.

Al permitir que se inicie sesin una nica vez, Active Directory facilita al usuario los complejos procesos de autenticacin y autorizacin. Los usuarios no necesitan administrar varios conjuntos de credenciales.

Un inicio de sesin una nica vez consta de los siguientes aspectos:

Autenticacin, que comprueba las credenciales del intento de conexin. Autorizacin, que comprueba que el intento de conexin est permitido.

Como ingeniero de sistemas, debe comprender cmo funcionan estos procesos para optimizar y solucionar los problemas de la estructura de Active Directory.


Objetivos

Puntos clave


Leccin: Examen de Active Directory


Windows Server 2003 proporciona a los administradores las herramientas de lnea de comandos y los complementos para administrar Active Directory. En esta leccin se presentan estas herramientas de lnea de comandos y estos complementos y se explica cmo utilizarlos para examinar la estructura lgica y fsica de Active Directory.


Explicar cmo est diseado Active Directory para permitir la administracin centralizada y descentralizada.

Describir las herramientas de lnea de comandos y los complementos administrativos comunes de Active Directory.

Examinar la estructura lgica y fsica de Active Directory.

Introduccin



Administracin de Active Directory


Mediante Active Directory, se puede administrar un gran nmero de usuarios, equipos, impresoras y recursos de red desde una ubicacin central, con herramientas y complementos administrativos en Windows Server 2003. Active Directory tambin admite la administracin descentralizada. Un administrador con la autoridad adecuada puede delegar un conjunto de privilegios administrativos seleccionado a otros usuarios o grupos de una organizacin.

Active Directory incluye varias caractersticas que admiten la administracin centralizada:

Contiene informacin acerca de todos los objetos y sus atributos. Los atributos contienen datos que describen el recurso que el objeto identifica. Puesto que la informacin acerca de todos los recursos de red se almacena en Active Directory, un administrador puede administrar los recursos de forma centralizada.

Se puede consultar Active Directory mediante protocolos como LDAP. Se puede localizar fcilmente la informacin acerca de objetos mediante la bsqueda de atributos seleccionados del objeto, utilizando herramientas que admitan el protocolo LDAP.

Se pueden organizar en unidades organizativas objetos que posean requisitos administrativos y de seguridad similares. Las unidades organizativas proporcionan varios niveles de autoridad administrativa, de modo que se puede aplicar la configuracin de directivas de grupo y delegar el control administrativo. Esta delegacin simplifica la tarea de administracin de estos objetos y permite estructurar Active Directory para que se ajuste a los requisitos de la organizacin.

Se puede especificar la configuracin de directivas de grupo para un sitio, un dominio o una unidad organizativa. Active Directory impone esta configuracin de directivas de grupo a todos los usuarios y equipos del contenedor.

Introduccin

Cmo admite Active Directory la administracin centralizada


Active Directory tambin admite la administracin descentralizada. Se pueden asignar permisos y conceder derechos de usuario de formas muy especficas. Por ejemplo, se pueden delegar privilegios administrativos para determinados objetos a los equipos de ventas y mercadotecnia de una organizacin.

Se puede delegar la asignacin de permisos en los siguientes casos:

Para unidades organizativas especficas a distintos grupos locales de dominio. Por ejemplo, se puede delegar el permiso Control total para la unidad organizativa Sales.

Para modificar los atributos especficos de un objeto en una unidad organizativa. Por ejemplo, se puede asignar el permiso para cambiar el nombre, la direccin y el nmero de telfono y para restablecer contraseas de un objeto de cuenta de usuario.

Para realizar la misma tarea, como restablecer contraseas, en todas las unidades organizativas de un dominio.

Cmo admite Active Directory la administracin descentralizada


Herramientas y complementos administrativos de Active Directory


Windows Server 2003 proporciona varias herramientas de lnea de comandos y complementos para administrar Active Directory. Tambin se puede administrar Active Directory mediante los objetos de Active Directory Service Interface (ADSI) de las secuencias de comandos de Microsoft Windows Script Host. ADSI es una sencilla pero potente interfaz para la creacin de secuencias de comandos reutilizables para administrar Active Directory.

En la siguiente tabla se describen algunos complementos administrativos comunes para administrar Active Directory.

Complemento Descripcin Usuarios y equipos de Active Directory

Complemento Microsoft Management Console (MMC) que se utiliza para administrar y publicar informacin en Active Directory. Se pueden administrar cuentas de usuario, grupos y cuentas de equipo, agregar equipos a un dominio, administrar directivas de cuenta y derechos de usuario y directivas de auditora.

Dominios y confianzas de Active Directory

MMC que se utiliza para administrar confianzas de dominio y de bosque, agregar sufijos de nombre principal de usuario y cambiar los niveles funcionales de dominio y bosque.

Sitios y servicios de Active Directory

MMC que se utiliza para administrar la replicacin de datos de directorios.

Esquema de Active Directory

MMC que se utiliza para administrar el esquema. No est disponible de forma predeterminada en el men Herramientas administrativas. Se debe agregar manualmente.

Tambin se puede utilizar el Editor ADSI para ver, crear, modificar y eliminar objetos en Active Directory. El Editor ADSI no se instala de forma predeterminada. Para instalar el Editor ADSI, instale las herramientas de soporte de Windows Server 2003 desde la carpeta \Support\Tools del disco compacto del producto.

Introduccin

Complementos administrativos

Nota


Se pueden personalizar las consolas administrativas para que coincidan con las tareas administrativas que se delegan a otros administradores. Tambin se pueden combinar todas las consolas necesarias para cada funcin administrativa en una nica consola.

En la siguiente tabla se describen algunas herramientas de lnea de comandos comunes que se utilizan para administrar Active Directory.

Herramienta Descripcin Dsadd Permite agregar objetos, como equipos, usuarios, grupos, unidades organizativas y

contactos, a Active Directory.

Dsmod Permite modificar objetos, como equipos, servidores, usuarios, grupos, unidades organizativas y contactos, en Active Directory.

Dsquery Permite ejecutar consultas en Active Directory con los criterios especificados. Puede realizar consultas sobre servidores, equipos, grupos, usuarios, sitios, unidades organizativas y particiones.

Dsmove Permite mover un solo objeto, dentro de un dominio, a una nueva ubicacin de Active Directory o cambiar el nombre de un solo objeto sin moverlo.

Dsrm Permite eliminar un objeto de Active Directory.

Dsget Permite mostrar los atributos seleccionados de un equipo, contacto, grupo, unidad organizativa, servidor o usuario de Active Directory.

Csvde Permite importar y exportar datos de Active Directory en formato de texto separado por comas.

Ldifde Permite crear, modificar y eliminar objetos de Active Directory. Tambin permite ampliar el esquema de Active Directory, exportar informacin de usuarios y grupos a otras aplicaciones o servicios y rellenar Active Directory con los datos de otros servicios de directorio.

Para obtener ms informacin acerca de las herramientas de lnea de comandos proporcionadas por Windows Server 2003, consulte Administrar Active Directory desde la lnea de comandos en Centro de ayuda y soporte tcnico.

Aunque Windows Server 2003 proporciona varios complementos y herramientas de lnea de comandos para administrar Active Directory, no son adecuados para realizar operaciones por lotes de cambios en Active Directory que impliquen condiciones complejas. En estos casos, puede realizar cambios ms rpidamente mediante secuencias de comandos. Por ejemplo, puede cambiar el primer dgito del nmero de la extensin telefnica de 3 a 5 y de 4 a 5 para todos los empleados que se hayan trasladado al edificio 5.

Se pueden crear secuencias de comandos de Windows Script Host que utilicen ADSI para realizar las siguientes tareas:

Recuperar informacin acerca de los objetos de Active Directory. Agregar objetos a Active Directory. Modificar valores de atributos para objetos de Active Directory. Eliminar objetos de Active Directory. Extender el esquema de Active Directory.

ADSI utiliza el protocolo LDAP para comunicarse con Active Directory.

Herramientas administrativas de lnea de comandos

Nota

Microsoft Windows Script Host


Cmo examinar Active Directory


Se puede ver la estructura fsica y lgica de Active Directory mediante Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Dominios y confianzas de Active Directory.

Para ver la estructura lgica y fsica de Active Directory, siga los siguientes pasos:

1. Abra Usuario y equipos de Active Directory y examine las unidades organizativas en Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas

administrativas y, a continuacin, haga clic en Usuarios y equipos de Active Directory.

b. En el rbol de consola, expanda Usuarios y equipos de Active Directory. c. En el rbol de consola, expanda el dominio cuyas unidades organizativas

desea ver. d. Visualice la pgina Propiedades de cada contenedor en el rbol de

consola. e. Determine el tipo de objeto mediante la informacin de clase de objeto

en la ficha Objeto. La clase de objeto de las unidades organizativas es Unidad organizativa.

2. Abra Dominios y confianzas de Active Directory para ver la estructura lgica de Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas

administrativas y, a continuacin, haga clic en Dominios y confianzas de Active Directory.

b. En el panel de la izquierda, expanda el nodo que representa el dominio raz de bosque para ver los dominios que constituye la estructura lgica de Active Directory.

Introduccin

Procedimiento


3. Abra Sitios y servicios de Active Directory para ver la estructura fsica de Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas

administrativas y, a continuacin, haga clic en Sitios y servicios de Active Directory.

b. En el rbol de consola, expanda Sites y, a continuacin, la carpeta que representa el sitio para el que desea ver una lista de servidores.

c. Haga clic en Servers para ver una lista de servidores en el panel de la derecha.

Para obtener ms informacin acerca del examen de Active Directory, consulte Cmo examinar Active Directory en el mdulo 1 de los apndices del disco compacto Material del alumno.

Nota


Ejercicio: Examen de la estructura de Active Directory


En este ejercicio, examinar la estructura lgica y fsica de Active Directory.

Hoy es su primer da como ingeniero de sistemas en Northwind Traders. El administrador ha pedido un estudio de la estructura lgica y fsica de Active Directory en Northwind Traders.

Examinar la estructura predeterminada de los objetos de Active Directory mediante Usuarios y equipos de Active Directory

1. Inicie sesin como nwtradersx\NombreDeEquipoUser con la contrasea P@ssw0rd

2. Instale el paquete de herramientas de administracin de Windows Server 2003. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, haga clic con el botn secundario del mouse (ratn)

en Smbolo del sistema y, a continuacin, haga clic en Ejecutar como. b. En el cuadro de dilogo Ejecutar como, haga clic en El siguiente

usuario, escriba un nombre de usuario de nwtraders\administrador y una contrasea P@ssw0rd y, a continuacin, haga clic en Aceptar.

c. Inserte el CD de Windows 2003 Server en la lectora de CD-ROM d. En el smbolo del sistema, escriba CDROM:\i386\Adminpak.msi y, a

continuacin, presione ENTRAR. (CDROM es el nombre de la unidad lectora de CDs)

e. En el cuadro de dilogo Descarga de archivos, haga clic en Abrir y, a continuacin, complete la instalacin.

f. Cierre la ventana de smbolo del sistema. 3. Abra Usuarios y equipos de Active Directory. 4. Habilite Caractersticas avanzadas.

Objetivos

Situacin de ejemplo

Ejercicio


5. Expanda nwtraders.msft y busque el objeto Locations. Qu es el tipo de objeto? _____________________________________________________________

_____________________________________________________________

6. Expanda Locations. Qu tipos de objetos contiene la carpeta? _____________________________________________________________

_____________________________________________________________

7. Los objetos de la carpeta Locations representan las ubicaciones geogrficas de una organizacin. Cada ubicacin contiene tres objetos. Cul es el propsito de estos objetos? _____________________________________________________________

_____________________________________________________________

8. Abra cualquiera de los contenedores que representan una ubicacin y, a continuacin, abra el contenedor Users. Qu observa en los objetos ubicados en este contenedor? _____________________________________________________________

Examinar la estructura predeterminada de Active Directory mediante Sitios y servicios de Active Directory

1. Abra Sitios y servicios de Active Directory. 2. Expanda Sites, haga clic con el botn secundario en Nombre-

predeterminado-primer-sitio y, a continuacin, haga clic en Propiedades.


3. En la ficha Seguridad, examine los permisos para el grupo Admins. del dominio. Cules son los permisos? ____________________________________________________________

____________________________________________________________

4. Examine los permisos asignados al grupo Admins. del dominio para el objeto Nombre-predeterminado-primer-sitio\Servers\London. Qu observa? ____________________________________________________________

____________________________________________________________

Examinar la estructura predeterminada de Active Directory mediante Dominios y confianzas de Active Directory

1. Abra Dominios y confianzas de Active Directory. 2. Expanda nwtraders.msft y, a continuacin, examine las propiedades de

nwtraders.msft. Qu observa? ____________________________________________________________

3. Opte por administrar el dominio corp.nwtraders.msft. Qu ocurre? ____________________________________________________________


Leccin: Procesos de diseo, planeamiento e implementacin de Active Directory


En esta leccin se proporciona informacin general de los procesos de diseo, planeamiento e implementacin de Active Directory.


Diferenciar entre el diseo, el planeamiento y la implementacin de Active Directory.

Describir las fases del proceso de diseo de Active Directory. Describir las fases del proceso de planeamiento de Active Directory. Describir las fases del proceso de implementacin de Active Directory.

Introduccin

Objetivo de la leccin


Informacin general del diseo, planeamiento e implementacin de Active Directory


La implementacin de Active Directory se inicia con la creacin del diseo de Active Directory. Puede utilizar el diseo para planear la implementacin de Active Directory y, a continuacin, implementar Active Directory.

Uno o varios arquitectos de sistemas crean el diseo de Active Directory, de acuerdo con los requisitos empresariales de una organizacin. Estos requisitos empresariales determinan las especificaciones funcionales del diseo.

El plan de implementacin de Active Directory determina cmo se implementa el diseo de Active Directory, de acuerdo con la infraestructura de hardware de la organizacin. Por ejemplo, el diseo de Active Directory puede especificar el nmero de controladores de dominio para cada dominio basndose en una configuracin de servidor especfica. Sin embargo, si esta configuracin no est disponible, en la fase de planeamiento, se puede alterar el nmero de servidores para cumplir los requisitos empresariales de la organizacin.

Despus de implementar Active Directory, se debe administrar y mantener para garantizar la disponibilidad, la fiabilidad y la seguridad de la red. En este curso se describen las fases de planeamiento e implementacin. El diseo detallado de Active Directory no se incluye en este curso.

Durante la implementacin de Active Directory, los ingenieros de sistemas deben realizar las siguientes acciones:

Crear la estructura de dominios y de bosques e implementar los servidores. Crear la estructura de unidad organizativa. Crear las cuentas de usuario y equipo. Crear los grupos de distribucin y seguridad. Crear objetos de directiva de grupo (GPO, Group Policy object) y, a

continuacin, aplicarlos a dominios, sitios y unidades organizativas. Crear directivas de distribucin de software.

Introduccin

Diseo de Active Directory

Plan de implementacin de Active Directory

Implementacin de Active Directory


Proceso de diseo de Active Directory


El diseo de Active Directory supone varias tareas, que definen los requisitos funcionales para un componente de una implementacin de Active Directory.

El proceso de diseo de Active Directory incluye las siguientes tareas:

Recopilacin de informacin organizativa. Esta primera tarea define la necesidad del servicio de directorio y los requisitos empresariales del proyecto. Entre los ejemplos de informacin organizativa se incluye un perfil organizativo avanzado, ubicaciones geogrficas de la organizacin, infraestructura tcnica y de red y planes de cambios en la organizacin.

Anlisis de informacin organizativa. Analice la informacin recopilada para evaluar su relevancia y valor para el proceso de diseo. Determine la informacin ms importante y los componentes del diseo de Active Directory a los que afectar la informacin. Debe estar preparado para aplicar la informacin en todo el proceso de diseo.

Anlisis de las opciones de diseo. Al analizar requisitos empresariales especficos, varias opciones de diseo pueden satisfacer los requisitos empresariales. Por ejemplo, se puede cumplir un requisito administrativo con un diseo de dominios o una estructura de unidad organizativa. Cada opcin seleccionada puede afectar a otros componentes del diseo, por lo que debe existir cierta flexibilidad en el enfoque del diseo en todo el proceso.

Introduccin

Tareas del proceso de diseo de Active Directory


Seleccin de un diseo. Desarrolle varios diseos de Active Directory y, a continuacin, compare sus puntos fuertes y dbiles. Al seleccionar un diseo, examine los requisitos empresariales conflictivos y considere sus efectos en las opciones de diseo. Puede que no haya un claro ganador entre las opciones de diseo. Seleccione el diseo que cumpla la mayora de los requisitos empresariales y represente la mejor opcin en general.

Perfeccionamiento del diseo. Probablemente tenga que cambiar la primera versin del plan de diseo antes de la fase experimental de la implementacin. El proceso de diseo es iterativo porque se deben considerar demasiadas variables al disear una infraestructura de Active Directory. Revise y perfeccione cada concepto de diseo varias veces para adaptarlo a todos los requisitos empresariales.

La salida de la fase de diseo de Active Directory incluye los siguientes elementos:

Diseo de bosques y dominios. El diseo de bosques incluye informacin como, por ejemplo, el nmero de bosques necesarios, las directrices para crear confianzas y el nombre de dominio completo (FQDN, fully qualified domain name) para el dominio raz de bosque para cada bosque. En el diseo tambin se incluye la directiva de control de cambios de bosque, que identifica los procesos de propiedad y de aprobacin para los cambios de configuracin que afectan a todo el bosque. Identifique quin es el responsable de determinar la directiva de control de cambios de bosque para cada bosque de la organizacin. Si hay varios bosques en el plan de diseo, puede evaluar si las confianzas de bosque son necesarias para compartir los recursos de red en los bosques. En el diseo de dominios se indica el nmero de dominios necesarios en cada bosque, los dominios que estarn en el dominio raz de bosque para cada bosque y la jerarqua de dominios si existen varios dominios en el diseo. En el diseo de dominios tambin se incluye el nombre DNS de cada dominio y cualquier relacin de confianza entre dominios.

Diseo de unidades organizativas. Permite especificar cmo se crearn las unidades organizativas para cada dominio del bosque. Incluya una descripcin de la autoridad administrativa que se aplicar a cada unidad organizativa y a la que se delegar dicha autoridad. Finalmente, incluya la estrategia para aplicar directivas de grupo a la estructura de unidades organizativas.

Diseo de sitios. Permite especificar el nmero y la ubicacin de los sitios en la organizacin, los vnculos del sitio necesarios y el costo de los vnculos.

Salida del proceso de diseo de Active Directory


Proceso de planeamiento de Active Directory


La salida del proceso de planeamiento es el plan de implementacin de Active Directory. Este plan consta de varios planes que definen los requisitos funcionales para un componente especfico de una implementacin de Active Directory.

En un plan de Active Directory se incluyen los siguientes componentes:

Estrategia de cuentas. Permite incluir informacin, como directrices para nombres de cuentas y directivas de bloqueo, la directiva de contraseas y las directrices para la configuracin de seguridad de objetos.

Estrategia de auditora. Permite determinar cmo supervisar las modificaciones en objetos de Active Directory.

Plan de implementacin de unidades organizativas. Permite definir qu unidades organizativas crear y cmo crearlas. Por ejemplo, si el diseo de unidades organizativas especifica que las unidades organizativas se crearn de forma geogrfica y se organizarn por unidad empresarial dentro de cada rea geogrfica, el plan de implementacin de unidades organizativas define las unidades organizativas que se van a implementar, como Sales, Human Resources y Production. El plan tambin proporciona directrices para la delegacin de autoridad.

Plan de directivas de grupo. Permite determinar quin crea, vincula y administra los objetos de directiva de grupo y cmo se implementar la directiva de grupo.

Plan de implementacin de sitios. Permite especificar los sitios, vnculos a sitios y la programacin de vnculos. Tambin permite especificar la programacin y el intervalo de replicacin y las directrices para garantizar y configurar la replicacin entre sitios.

Introduccin

Componentes de un plan de Active Directory


Plan de implementacin del software. Permite especificar cmo utilizar las directivas de grupo para implementar un nuevo software y las actualizaciones del software. Por ejemplo, se puede especificar si las actualizaciones de software son obligatorias u opcionales.

Plan de ubicacin de servidores. Permite especificar la ubicacin de controladores de dominio, servidores de catlogo global, servidores DNS integrados en Active Directory y maestros de operaciones. Tambin permite especificar si se habilitar el almacenamiento en cach de la pertenencia al grupo universal de sitios que no dispongan de un servidor de catlogo global.

Una vez completado el plan de cada componente, combnelos para formar el plan de implementacin de Active Directory completo.


Proceso de implementacin de Active Directory


Una vez que el plan de implementacin de Active Directory est disponible, se puede iniciar la implementacin de Active Directory de acuerdo con el plan de diseo.

Realice las siguientes tareas al implementar Active Directory:

Implementar la estructura de bosques, dominios y DNS. Cree el dominio raz de bosque, rboles de dominios y dominios secundarios que constituyan la jerarqua de bosques y dominios.

Crear unidades organizativas y grupos de seguridad. Cree la estructura de unidades organizativas para cada dominio en cada bosque, cree grupos de seguridad y delegue autoridad administrativa a grupos administrativos de cada unidad organizativa.

Crear cuentas de usuario y equipo. Importe cuentas de usuario a Active Directory.

Crear objetos de directiva de grupo. Cree GPO basados en la estrategia de directivas de grupo y, a continuacin, vinclelos a sitios, dominios y unidades organizativas.

Implementar sitios. Cree sitios segn el plan de sitios, cree vnculos a sitios, configure la programacin de los vnculos a sitios e implemente controladores de dominio, servidores de catlogo global, servidores DNS y maestros de operaciones en los sitios.

Introduccin

Proceso de implementacin

8.- introduccion a las infraestructuras de active directory[1]

Documents