Académique Documents
Professionnel Documents
Culture Documents
infraestructuras de
Active Directory
Contenido
Introducción 1
Lección: Arquitectura de Active Directory 2
Lección: Cómo funciona Active Directory 11
Lección: Examen de Active Directory 21
Lección: Procesos de diseño,
planeamiento e implementación
de Active Directory 31
2 Introducción a las infraestructuras de Active Directory
Introducción
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Este módulo sirve de introducción a la estructura lógica y física del servicio
de directorio Active Directory® y su función como servicio de directorio.
Además, presenta los complementos, las herramientas de línea de comandos y
Microsoft® Windows Script Host que se pueden utilizar para administrar los
componentes de Active Directory y los procesos de diseño, planeamiento e
implementación de Active Directory.
Objetivos Después de finalizar este módulo, podrá:
Describir la arquitectura de Active Directory.
Describir cómo funciona Active Directory.
Utilizar complementos administrativos para examinar los componentes de
Active Directory.
Describir los procesos de diseño, planeamiento e implementación de Active
Directory.
Introducción a las infraestructuras de Active Directory 3
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Qué es un esquema
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción El esquema de Active Directory define las clases de objetos, los tipos de
información sobre dichos objetos y la configuración de seguridad
predeterminada para ellos que se puede almacenar en Active Directory.
Qué es el esquema El esquema de Active Directory contiene las definiciones de todos los objetos,
de Active Directory como usuarios, equipos e impresoras, almacenadas en Active Directory. En los
controladores de dominio con Windows Server 2003, sólo existe un esquema
para un bosque completo. De este modo, todos los objetos creados en Active
Directory ajustan a las mismas reglas.
El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las
clases de objetos, como usuario, equipo e impresora, describen los objetos de
directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos.
Los atributos se definen independientemente de las clases de objetos. Cada
atributo se define sólo una vez y se puede utilizar en varias clases de objetos.
Por ejemplo, el atributo Descripción se utiliza en muchas clases de objetos,
pero se define sólo una vez en el esquema para garantizar la coherencia.
Esquema y Se pueden crear nuevos tipos de objetos en Active Directory mediante la
extensibilidad de ampliación del esquema. Por ejemplo, para una aplicación de servidor de
Active Directory correo electrónico, se puede extender la clase de usuario en Active Directory
con nuevos atributos que almacenan información adicional, como direcciones
de correo electrónico de los usuarios.
Cambios en el esquema En los controladores de dominio de Windows Server 2003, se pueden deshacer
y desactivación los cambios realizados en el esquema mediante su desactivación, lo que permite
que las organizaciones saquen provecho de las características de extensibilidad
de Active Directory.
También se puede volver a definir una clase o un atributo del esquema. Por
ejemplo, se puede cambiar la sintaxis de una cadena Unicode de un atributo
denominado Administrador de ventas por Nombre completo.
Introducción a las infraestructuras de Active Directory 17
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Funciones del El catálogo global permite a los usuarios realizar dos importantes funciones:
catálogo global
Buscar la información de Active Directory en cualquier lugar del bosque,
independientemente de la ubicación de los datos.
Utilizar la información de pertenencia al grupo universal para iniciar la
sesión en la red.
Nota Para obtener más información acerca del catálogo global, consulte el
módulo 8, “Implementación de la ubicación de controladores de dominio”,
en el curso 2196A: Planeamiento, implementación y mantenimiento de
infraestructuras de Active Directory en Microsoft Windows Server 2003.
Introducción a las infraestructuras de Active Directory 19
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP,
Lightweight Directory Access Protocol) para buscar y modificar objetos en
una base de datos de Active Directory. LDAP es un subconjunto de X.500, un
estándar del sector que define cómo estructurar directorios. LDAP utiliza la
información acerca de la estructura de un directorio para buscar objetos
individuales, cada uno de los cuales tiene un nombre único.
Definición LDAP utiliza un nombre que representa un objeto de Active Directory mediante
una serie de componentes que se relacionan con la estructura lógica. Esta
representación, denominada el nombre completo del objeto, identifica el
dominio en el que el objeto está ubicado y la ruta completa para llegar a él.
Los nombres completos deben ser únicos en un bosque de Active Directory.
El nombre completo relativo de un objeto únicamente identifica el objeto en
su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo
nombre. El nombre completo relativo es siempre el primer componente del
nombre completo, pero puede que no siempre sea un nombre común.
Ejemplo de un Para un usuario llamado Cristina Martínez de la unidad organizativa Sales en el
nombre completo dominio Contoso.msft, cada elemento de la estructura lógica se representa con
el nombre completo siguiente:
CN=Cristina Martínez,OU=Sales,DC=contoso,DC=msft
Ejemplo de un nombre En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad
completo relativo organizativa que se representa mediante la siguiente ruta de nombre de LDAP:
OU=Sales,DC=contoso,DC=msft
Introducción a las infraestructuras de Active Directory 21
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Puntos clave Al permitir que se inicie sesión una única vez, Active Directory facilita al
usuario los complejos procesos de autenticación y autorización. Los usuarios no
necesitan administrar varios conjuntos de credenciales.
Un inicio de sesión una única vez consta de los siguientes aspectos:
Autenticación, que comprueba las credenciales del intento de conexión.
Autorización, que comprueba que el intento de conexión está permitido.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Cómo admite Active Active Directory también admite la administración descentralizada. Se pueden
Directory la asignar permisos y conceder derechos de usuario de formas muy específicas.
administración Por ejemplo, se pueden delegar privilegios administrativos para determinados
descentralizada objetos a los equipos de ventas y mercadotecnia de una organización.
Se puede delegar la asignación de permisos en los siguientes casos:
Para unidades organizativas específicas a distintos grupos locales de
dominio. Por ejemplo, se puede delegar el permiso Control total para la
unidad organizativa Sales.
Para modificar los atributos específicos de un objeto en una unidad
organizativa. Por ejemplo, se puede asignar el permiso para cambiar el
nombre, la dirección y el número de teléfono y para restablecer contraseñas
de un objeto de cuenta de usuario.
Para realizar la misma tarea, como restablecer contraseñas, en todas las
unidades organizativas de un dominio.
Introducción a las infraestructuras de Active Directory 25
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Usuarios y equipos de Complemento Microsoft Management Console (MMC) que se utiliza para
Active Directory administrar y publicar información en Active Directory. Se pueden administrar
cuentas de usuario, grupos y cuentas de equipo, agregar equipos a un dominio,
administrar directivas de cuenta y derechos de usuario y directivas de auditoría.
Dominios y confianzas MMC que se utiliza para administrar confianzas de dominio y de bosque, agregar
de Active Directory sufijos de nombre principal de usuario y cambiar los niveles funcionales de dominio
y bosque.
Sitios y servicios de MMC que se utiliza para administrar la replicación de datos de directorios.
Active Directory
Esquema de Active MMC que se utiliza para administrar el esquema. No está disponible de forma
Directory predeterminada en el menú Herramientas administrativas. Se debe agregar
manualmente.
Nota También se puede utilizar el Editor ADSI para ver, crear, modificar y
eliminar objetos en Active Directory. El Editor ADSI no se instala de forma
predeterminada. Para instalar el Editor ADSI, instale las herramientas de
soporte de Windows Server 2003 desde la carpeta \Support\Tools del disco
compacto del producto.
26 Introducción a las infraestructuras de Active Directory
Se pueden personalizar las consolas administrativas para que coincidan con las
tareas administrativas que se delegan a otros administradores. También se
pueden combinar todas las consolas necesarias para cada función administrativa
en una única consola.
Herramientas En la siguiente tabla se describen algunas herramientas de línea de comandos
administrativas de comunes que se utilizan para administrar Active Directory.
línea de comandos
Herramienta Descripción
Dsadd Permite agregar objetos, como equipos, usuarios, grupos, unidades organizativas y
contactos, a Active Directory.
Dsmod Permite modificar objetos, como equipos, servidores, usuarios, grupos, unidades
organizativas y contactos, en Active Directory.
Dsquery Permite ejecutar consultas en Active Directory con los criterios especificados.
Puede realizar consultas sobre servidores, equipos, grupos, usuarios, sitios, unidades
organizativas y particiones.
Dsmove Permite mover un solo objeto, dentro de un dominio, a una nueva ubicación de
Active Directory o cambiar el nombre de un solo objeto sin moverlo.
Dsrm Permite eliminar un objeto de Active Directory.
Dsget Permite mostrar los atributos seleccionados de un equipo, contacto, grupo, unidad
organizativa, servidor o usuario de Active Directory.
Csvde Permite importar y exportar datos de Active Directory en formato de texto separado
por comas.
Ldifde Permite crear, modificar y eliminar objetos de Active Directory. También permite
ampliar el esquema de Active Directory, exportar información de usuarios y grupos a
otras aplicaciones o servicios y rellenar Active Directory con los datos de otros
servicios de directorio.
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
_____________________________________________________________
_____________________________________________________________
_____________________________________________________________
____________________________________________________________
____________________________________________________________
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción El diseño de Active Directory supone varias tareas, que definen los requisitos
funcionales para un componente de una implementación de Active Directory.
Tareas del proceso El proceso de diseño de Active Directory incluye las siguientes tareas:
de diseño de Active
Directory Recopilación de información organizativa. Esta primera tarea define la
necesidad del servicio de directorio y los requisitos empresariales del
proyecto. Entre los ejemplos de información organizativa se incluye un
perfil organizativo avanzado, ubicaciones geográficas de la organización,
infraestructura técnica y de red y planes de cambios en la organización.
Análisis de información organizativa. Analice la información recopilada
para evaluar su relevancia y valor para el proceso de diseño. Determine
la información más importante y los componentes del diseño de Active
Directory a los que afectará la información. Debe estar preparado para
aplicar la información en todo el proceso de diseño.
Análisis de las opciones de diseño. Al analizar requisitos empresariales
específicos, varias opciones de diseño pueden satisfacer los requisitos
empresariales. Por ejemplo, se puede cumplir un requisito administrativo con
un diseño de dominios o una estructura de unidad organizativa. Cada opción
seleccionada puede afectar a otros componentes del diseño, por lo que debe
existir cierta flexibilidad en el enfoque del diseño en todo el proceso.
Introducción a las infraestructuras de Active Directory 35
Salida del proceso La salida de la fase de diseño de Active Directory incluye los siguientes
de diseño de Active elementos:
Directory
Diseño de bosques y dominios. El diseño de bosques incluye información
como, por ejemplo, el número de bosques necesarios, las directrices para
crear confianzas y el nombre de dominio completo (FQDN, fully qualified
domain name) para el dominio raíz de bosque para cada bosque. En el
diseño también se incluye la directiva de control de cambios de bosque,
que identifica los procesos de propiedad y de aprobación para los cambios
de configuración que afectan a todo el bosque. Identifique quién es el
responsable de determinar la directiva de control de cambios de bosque para
cada bosque de la organización. Si hay varios bosques en el plan de diseño,
puede evaluar si las confianzas de bosque son necesarias para compartir los
recursos de red en los bosques.
En el diseño de dominios se indica el número de dominios necesarios en
cada bosque, los dominios que estarán en el dominio raíz de bosque para
cada bosque y la jerarquía de dominios si existen varios dominios en el
diseño. En el diseño de dominios también se incluye el nombre DNS de
cada dominio y cualquier relación de confianza entre dominios.
Diseño de unidades organizativas. Permite especificar cómo se crearán las
unidades organizativas para cada dominio del bosque. Incluya una descripción
de la autoridad administrativa que se aplicará a cada unidad organizativa y a
la que se delegará dicha autoridad. Finalmente, incluya la estrategia para
aplicar directivas de grupo a la estructura de unidades organizativas.
Diseño de sitios. Permite especificar el número y la ubicación de los sitios en
la organización, los vínculos del sitio necesarios y el costo de los vínculos.
36 Introducción a las infraestructuras de Active Directory
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
******el uso por quienes no sean instructores no está autorizado y resulta ilegal******
Introducción Una vez que el plan de implementación de Active Directory está disponible,
se puede iniciar la implementación de Active Directory de acuerdo con el plan
de diseño.
Proceso de Realice las siguientes tareas al implementar Active Directory:
implementación
Implementar la estructura de bosques, dominios y DNS. Cree el dominio
raíz de bosque, árboles de dominios y dominios secundarios que constituyan
la jerarquía de bosques y dominios.
Crear unidades organizativas y grupos de seguridad. Cree la estructura de
unidades organizativas para cada dominio en cada bosque, cree grupos de
seguridad y delegue autoridad administrativa a grupos administrativos de
cada unidad organizativa.
Crear cuentas de usuario y equipo. Importe cuentas de usuario a Active
Directory.
Crear objetos de directiva de grupo. Cree GPO basados en la estrategia
de directivas de grupo y, a continuación, vincúlelos a sitios, dominios y
unidades organizativas.
Implementar sitios. Cree sitios según el plan de sitios, cree vínculos a
sitios, configure la programación de los vínculos a sitios e implemente
controladores de dominio, servidores de catálogo global, servidores DNS y
maestros de operaciones en los sitios.