active directory
TRANSCRIPT
1
ACTIVE DIRECTORY
Contenido
ADMINISTRADOR DE SERVIDORES I
2
Active Directory (AD) Es El Término Que Usa Microsoft Para Referirse A Su Implementación De Servicio De Directorio En Una Red Distribuida De Computadores. Utiliza Distintos Protocolos (Principalmente LDAP, DNS, DHCP, Kerberos…). De Forma Sencilla Se Puede Decir Que Es Un Servicio Establecido En Uno O Varios Servidores En Donde Se Crean Objetos Tales Como Usuarios, Equipos O Grupos, Con El Objetivo De Administrar Los Inicios De Sesión En Los Equipos Conectados A La Red, Así Como También La Administración De Políticas En Toda La Red.
Definición
ADMINISTRADOR DE SERVIDORES I
3ADMINISTRADOR DE SERVIDORES I
4
Sitio:
Un Sitio Es Un Grupo De Ordenadores Que Se Encuentran Relacionados, De Una Forma Lógica, Con Una Localización Geográfica Particular.
Componentes físicos(Sitios y Controladores de Dominio) y lógicos (Unidad Organizativas, Dominios,
Arboles y Bosques)
ADMINISTRADOR DE SERVIDORES I
5
Bosque: A este nivel, y localizados siempre en algún DC del dominio raíz del bosque (el primero que montas cuando lo creas) hay dos, el maestro de esquema y el maestro de nombres de dominio.Maestro de Esquema: es el DC que dirige todas las operaciones de cambio en el esquema del AD (la definición de clases de objeto, con sus atributos). Cuando se hace una modificación al esquema, siempre se realiza sobre el maestro de esquema (aunque la consola la lancemos desde otro DC), y a continuación se replica a todos los DCs del bosque. Esto permite asegurar que el esquema sea único para todo el AD.Maestro de Nombres de Dominio: El DC que ostenta este rol es el que controla que los nombres propuestos para nuevos dominios en el bosque no estén en uso, y además que la topología de nombres sea la correcta (por ejemplo, si tenemos un árbol con un dominio de nombre “españa.es”, no podremos crear otro árbol de nombre “sevilla.españa.es”, sino que tendrá que ser un subdominio del anterior.
ADMINISTRADOR DE SERVIDORES I
6
Dominio: En cada dominio del bosque hay tres roles maestros, que pueden ser ejercidos por el mismo o por distintos DCs del dominio. Son los siguientes:Emulador de PDC: Entre otras, realiza todas aquellas tareas que los equipos anteriores a Windows 2000 esperaban que se realizasen en un PDC de NT4. Entre otras cosas, cuando un DC recibe una modificación de la contraseña de un usuario, al primero que se lo replica es al PDC, quien además ejerce de árbitro cuando se produce una autenticación incorrecta de la contraseña de un usuario (antes de generar el mensaje de error, el DC en que se valida la contraseña errónea le pregunta al PDC por si éste ya hubiera recibido un cambio de la contraseña).RID Master (Relativa Identifier Master): Al crear un objeto de tipo usuario, grupo o equipo se le asigna un identificador único de seguridad en el dominio (SID). Este identificador consta de una parte única para todo el dominio y de otra variable dentro del mismo, que le asigna el DC en que se crea el objeto. Para evitar que dos DCs distintos generen el mismo SID para un objeto, el DC que hace de RID master asigna al resto de DCs del dominio un número de IDs (un RID Pool), de tal forma que son distintos en cada DC.Maestro de Infraestructura: Es el DC responsable de actualizar en otros dominios de su mismo bosque aquellos objetos del dominio propio que son referenciados por objetos de otros dominios.
ADMINISTRADOR DE SERVIDORES I
7
ELEMENTOS DE UN DOMINIO (CONTROLADORES DE DOMINIO, SERVIDORES, MIEMBROS Y
CLIENTES)Controlador de dominio:Un Controlador de dominio (domain controller) contiene la base de datos de objetos del directorio para un determinado dominio, incluida la información relativa a la seguridad. Además, será responsable de la autenticación de objetos dentro de su ámbito de control.En un dominio dado, puede haber varios controladores de dominio asociados, de modo que cada uno de ellos represente un rol diferente dentro del directorio. Sin embargo, a todos los efectos, todos los controladores de dominio, dentro del mismo dominio, tendrán la misma importancia.
ADMINISTRADOR DE SERVIDORES I
8
Una Organización De Pequeño Tamaño Que Utiliza Una Única Red De Área Local (LAN) Es Posible Que Solamente Necesite Un Dominio Con Dos Controladores De Dominio Para Obtener Una Elevada Disponibilidad Y Tolerancia A Errores. Una Organización Más Grande Con Muchas Ubicaciones De Red Necesitará Uno O Varios Controladores De Dominio En Cada Sitio Para El Mismo Fin.Si La Red Está Dividida En Varios Sitios, Suele Resultar Conveniente Poner Al Menos Un Controlador De Dominio En Cada Sitio Para Mejorar El Rendimiento De La Red. Cuando Los Usuarios Inician La Sesión En La Red, Es Necesario Ponerse En Contacto Con Un Controlador De Dominio Como Parte Del Proceso De Inicio De Sesión. Si Los Clientes Deben Conectarse Con Un Controlador De Dominio Ubicado En Un Sitio Diferente, El Proceso De Inicio De Sesión Puede Llevar Mucho Tiempo. Para Obtener Más Información, Vea Replicación Entre Sitios.La Creación De Un Controlador De Dominio En Cada Sitio Permite Que El Inicio De Sesión De Los Usuarios Se Procese Más Eficazmente Dentro Del Sitio. Para Obtener Información Acerca De Cómo Crear Controladores De Dominio Adicionales, Vea Crear Un Controlador De Dominio Adicional.Para Optimizar El Tráfico De La Red También Puede Configurar Los Controladores De Dominio De Modo Que Sólo Reciban Las Actualizaciones De Replicación De Directorios Durante Las Horas De Menos Actividad. Para Obtener Información Acerca De Cómo Programar La Replicación De Sitios, Vea configurar La Disponibilidad De La Replicación De Vínculos A Sitios.El Mejor Rendimiento De Red Se Consigue Cuando El Controlador De Dominio De Un Sitio También Es Un Catálogo Global. De Esta Forma, El Servidor Puede Responder Las Consultas Relativas A Los Objetos De Todo El Bosque. Sin Embargo, Al Habilitar Muchos Controladores De Dominio Como Catálogos Globales Puede Aumentar El Tráfico De Replicación En La Red. Para Obtener Más Información Acerca Del Catálogo Global, Vea Función Del Catálogo Global. Para Obtener Más Información Acerca De Cómo Agregar Catálogos Globales A Los Sitios, Vea Catálogos Globales Y Sitios.En Los Dominios Que Tienen Más De Un Controlador De Dominio, No Debe Habilitar Como Catálogo Global El Controlador De Dominio Que Realiza La Función De Maestro De Infraestructuras. Para Obtener Más Información, Vea Funciones Del Maestro De Operaciones.
Determinar el número de controladores de dominio necesarios
ADMINISTRADOR DE SERVIDORES I
9
EL CATALOGO GLOBAL Y NIVELES FUNCIONALES(DOMINIO Y BOSQUES)
Funcionalidad De Dominios Y BosquesLa Funcionalidad De Dominios Y Bosques, Disponible En Los Servicios De Dominio De Active Directory (AD DS) De Windows Server® 2008 R2, Proporciona Una Forma De Habilitar Características Para Todo El Dominio O Características De Active Directory Para Todo El Bosque En Su Entorno De Red. Hay Disponibles Varios Niveles De Funcionalidad Del Dominio Y Funcionalidad Del Bosque, Dependiendo De Su Entorno De Red.Si Todos Los Controladores De Dominio De Su Bosque O Dominio Ejecutan Windows Server 2008 R2 Y El Nivel Funcional Del Bosque Y Del Dominio Se Establece En Windows Server 2008 R2, Estarán Disponibles Todas Las Características Para Todo El Dominio Y Para Todo El Bosque. Cuando El Dominio O El Bosque Contienen Controladores De Dominio De Windows® 2000, Windows Server 2003 O Windows Server 2008, Las Características De Active Directory Serán Limitadas. Para Obtener Más Información Acerca De Cómo Habilitar Características Para Todo El Dominio O Para Todo El Bosque, Consulte Elevar El Nivel Funcional Del Dominio Y Elevar El Nivel Funcional Del Bosque.
ADMINISTRADOR DE SERVIDORES I
10
Funcionalidad de dominio
La Funcionalidad De Dominio Habilita Características Que Afectan Al Dominio Entero, Y Sólo A Ese Dominio. En AD DS De Windows Server 2008 R2, Hay Disponibles Cuatro Niveles Funcionales Del Dominio: Windows 2000 Nativo, Windows Server 2003 (El Predeterminado), Windows Server 2008 Y Windows Server 2008 R2.En La Tabla Siguiente, Se Enumeran Los Niveles Funcionales Del Dominio Y Sus Controladores De Dominio Compatibles Correspondientes:
ADMINISTRADOR DE SERVIDORES I
11
Nivel funcional del dominio Controladores de dominio compatibles
Windows 2000 nativo Windows 2000 ServerWindows Server 2003Windows Server 2008Windows Server 2008 R2
Windows Server 2003 Windows Server 2003Windows Server 2008Windows Server 2008 R2
Windows Server 2008 Windows Server 2008Windows Server 2008 R2
Windows Server 2008 R2 Windows Server 2008 R2
ADMINISTRADOR DE SERVIDORES I
13
FUNCIONALIDAD DE BOSQUELa Funcionalidad De Bosque Habilita Características En Todos Los Dominios Del Bosque. Hay Disponibles Cuatro Niveles Funcionales Del Bosque En El Sistema Operativo Windows Server 2008 R2: Windows 2000, Windows Server 2003 (Predeterminado), Windows Server 2008 Y Windows Server 2008 R2.En La Tabla Siguiente Se Enumeran Los Niveles Funcionales Del Bosque Disponibles En El Sistema Operativo Windows Server 2008 R2 Y Sus Controladores De Dominio Compatibles Correspondientes:
ADMINISTRADOR DE SERVIDORES I
14
FUNCIONALIDAD DE DOMINIOS Y BOSQUES
Actualizado: Enero De 2005Se Aplica A: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 With SP1, Windows Server 2003 With SP2 ADMINISTRADOR DE SERVIDORES I
15
FUNCIONALIDAD DE DOMINIOS Y BOSQUES La Funcionalidad De Los Dominios Y Los Bosques, Introducida En Active Directory De Windows Server 2003, Proporciona Un Método Para Habilitar Funciones De Active Directory Para Todo Un Dominio O Bosque Del Entorno De Red. Tiene A Su Disposición Distintos Niveles De Funcionalidad De Dominios Y Funcionalidad De Bosques Según Los Entornos.Si Todos Los Controladores De Dominio De Su Dominio O Bosque Ejecutan Windows Server 2003 Y El Nivel Funcional Se Establece En Windows Server 2003, Tendrá A Su Disposición Todas Las Funciones Para Dominios Y Bosques Completos. En Cambio, Cuando Un Dominio O Bosque Con Controladores De Dominio Que Ejecutan Windows Server 2003 Incluye Controladores De Dominio De Windows NT 4.0 O Windows 2000, Las Funciones De Active Directory Estarán Limitadas. Para Obtener Más Información Acerca De Cómo Habilitar Las Funciones De Todo Un Dominio O Bosque, Vea Aumentar Los Niveles Funcionales De Dominios Y Bosques.El Concepto De Habilitar Funcionalidades Adicionales En Active Directory Es Posible En Windows 2000 Tanto En Modos Nativos Como Mixtos. Los Dominios De Modo Mixto Pueden Incluir Controladores De Reserva Del Dominio De Windows NT 4.0 Pero No Pueden Utilizar Grupos De Seguridad Universales, Anidamiento De Grupos Ni Funcionalidad De Historial De Id. De Seguridad (SID). Cuando El Dominio Se Establece En Modo Nativo Sí Que Están Disponibles Los Grupos De Seguridad Universales, El Anidamiento De Grupos Y Las Capacidades De Historial De SID. Los Controladores De Dominio Que Ejecutan Windows 2000 Server No Admiten La Funcionalidad De Dominios Y Bosques.
ADMINISTRADOR DE SERVIDORES I
16
FUNCIONALIDAD DE DOMINIOS La Funcionalidad De Dominios Habilita Las Funciones Que Afectan A Un Único Dominio Por Completo. Existen Cuatro Niveles Funcionales De Dominio: Windows 2000 Mixto (Predeterminado), Windows 2000 Nativo, Windows Server 2003 Versión Preliminar Y Windows Server 2003. De Forma Predeterminada, Los Dominios Operan Al Nivel Funcional De Windows 2000 Mixto.La Siguiente Tabla Incluye Los Niveles Funcionales De Dominios Y Los Controladores De Dominio Compatibles Correspondientes.
ADMINISTRADOR DE SERVIDORES I
17
RESUMEN
Servicios De Directorio Es Una Base De Datos Distribuida Que Permite Almacenar Información Relativa A Los Recursos De Una Red Con El Fin De Facilitar Su Localización Y Administración. Microsoft Active Directory Es La Implementación Más Reciente De Servicios De Directorio Para Windows 2000. Las Cuestiones Básicas Relacionadas Con Un Centro De Servicios De Directorio Giran Alrededor De La Información Que Se Puede Almacenar En La Base De Datos, Cómo Se Almacena, Cómo Se Puede Consultar Información Específica Y Qué Se Puede Hacer Con Los Resultados. Active Directory Se Compone Del Propio Servicio De Directorio Junto Con Un Servicio Secundario Que Permite El Acceso A La Base De Datos Y Admite Las Convenciones De Denominación X.500.
Puede Consultar El Directorio Con Un Nombre De Usuario Para Obtener Información Como El Número De Teléfono O La Dirección De Correo Electrónico De Ese Usuario. Los Servicios De Directorio También Son Lo Suficientemente Flexibles Como Para Permitir La Realización De Consultas Generalizadas (" ¿Dónde Están Las Impresoras?)" O Bien " ¿Cuáles Son Los Nombres De Servidores? ") Para Ver Una Lista Resumida De Las Impresoras O Servidores Disponibles.
Los Servicios De Directorio También Ofrecen La Ventaja De Suponer Un Único Punto De Entrada Para Los Usuarios A La Red De Toda La Empresa. Los Usuarios Pueden Buscar Y Usar Recursos En La Red Sin Conocer El Nombre O La Ubicación Exactos Del Recurso. Igualmente, Puede Administrar Toda La Red Con Una Vista Lógica Y Unificada De La Organización De La Red Y De Sus Recursos.
ADMINISTRADOR DE SERVIDORES I