Vous êtes sur la page 1sur 40

Introducción a las

infraestructuras de
Active Directory
Contenido

Introducción 1
Lección: Arquitectura de Active Directory 2
Lección: Cómo funciona Active Directory 11
Lección: Examen de Active Directory 21
Lección: Procesos de diseño,
planeamiento e implementación
de Active Directory 31
2 Introducción a las infraestructuras de Active Directory

Introducción

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Este módulo sirve de introducción a la estructura lógica y física del servicio
de directorio Active Directory® y su función como servicio de directorio.
Además, presenta los complementos, las herramientas de línea de comandos y
Microsoft® Windows Script Host que se pueden utilizar para administrar los
componentes de Active Directory y los procesos de diseño, planeamiento e
implementación de Active Directory.
Objetivos Después de finalizar este módulo, podrá:
„ Describir la arquitectura de Active Directory.
„ Describir cómo funciona Active Directory.
„ Utilizar complementos administrativos para examinar los componentes de
Active Directory.
„ Describir los procesos de diseño, planeamiento e implementación de Active
Directory.
Introducción a las infraestructuras de Active Directory 3

Lección: Arquitectura de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Active Directory consta de componentes que constituyen su estructura lógica


y física. Se deben planear las estructuras lógica y física de Active Directory
para que cumplan los requisitos de la organización. Para administrar Active
Directory, se debe comprender el propósito de estos componentes y cómo
utilizarlos.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Describir la función de Active Directory.
„ Describir la estructura lógica de Active Directory.
„ Describir la estructura física de Active Directory.
„ Describir las funciones de maestro de operaciones.
4 Introducción a las infraestructuras de Active Directory

Qué funciones desempeña Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Active Directory almacena información acerca de los usuarios, equipos y


recursos de red y permite el acceso a los recursos por parte de usuarios y
aplicaciones. Asimismo, proporciona una forma coherente de asignar nombres,
describir, localizar, obtener acceso, administrar y proteger la información de
estos recursos.
Función de Active Active Directory proporciona las siguientes funciones:
Directory
„ Centralizar el control de los recursos de red. Al centralizar el control de
recursos como servidores, archivos compartidos e impresoras, sólo los
usuarios autorizados pueden obtener acceso a los recursos de Active
Directory.
„ Centralizar y descentralizar la administración de recursos. Los
administradores pueden administrar equipos cliente distribuidos, servicios
de red y aplicaciones desde una ubicación central mediante una interfaz de
administración coherente o pueden distribuir tareas administrativas mediante
la delegación del control de los recursos a otros administradores.
„ Almacenar objetos de forma segura en una estructura lógica. Active
Directory almacena todos los recursos como objetos en una estructura
lógica, jerárquica y segura.
„ Optimizar el tráfico de red. La estructura física de Active Directory permite
utilizar el ancho de banda de red de forma más efectiva. Por ejemplo,
garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de
autenticación más cercana a él lo autentique, reduciendo así la cantidad de
tráfico de red.
Introducción a las infraestructuras de Active Directory 5

Presentación multimedia: Estructura lógica de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Ubicación de Para iniciar la presentación, abrir el archivo media08_1.html que se puede


los archivos encontrar dentro del fichero media08.zip.
Objetivos Al final de esta presentación, podrá:
„ Definir los elementos de la estructura lógica de Active Directory.
„ Comentar el propósito de estos elementos.

Puntos clave Active Directory proporciona un almacenamiento seguro de información


acerca de los objetos en su estructura lógica jerárquica. Los objetos de Active
Directory representan a los usuarios y los recursos, como equipos e impresoras.
Algunos objetos son contenedores de otros objetos. Una vez que se ha
comprendido el propósito y la función de estos objetos, se pueden realizar
diversas tareas, entre las que se incluyen la instalación, configuración,
administración y solución de problemas de Active Directory.
La estructura lógica de Active Directory comprende los siguientes componentes:
„ Objetos. Son los componentes más básicos de la estructura lógica.
Las clases de objetos son plantillas o planos técnicos para los tipos de
objetos que se pueden crear en Active Directory. Cada clase de objetos
se define mediante un grupo de atributos, que definen los posibles valores
que se pueden asociar a un objeto. Cada objeto posee una única
combinación de valores de atributos.
„ Unidades organizativas. Se pueden utilizar estos objetos contenedores
para estructurar otros objetos de modo que admitan los propósitos
administrativos. Mediante la estructuración de los objetos por unidades
organizativas, se facilita su localización y administración. También se puede
delegar la autoridad para administrar una unidad organizativa. Las unidades
organizativas pueden estar anidadas en otras unidades organizativas, lo que
simplifica la administración de objetos.
6 Introducción a las infraestructuras de Active Directory

„ Dominios. Se trata de las unidades funcionales centrales en la estructura


lógica de Active Directory que son un conjunto de objetos definidos de
forma administrativa y que comparten una base de datos, directivas de
seguridad y relaciones de confianza comunes con otros dominios. Los
dominios proporcionan las siguientes tres funciones:
• Un límite administrativo para objetos
• Un medio de administración de la seguridad para recursos compartidos
• Una unidad de replicación para objetos
„ Árboles de dominios. Los dominios que están agrupados en estructuras
jerárquicas se denominan árboles de dominios. Al agregar un segundo
dominio a un árbol, se convierte en secundario del dominio raíz del árbol.
El dominio al que está adjunto un dominio secundario se denomina dominio
primario. Un dominio secundario puede tener a su vez su propio dominio
secundario.
El nombre de un dominio secundario se combina con el nombre de su
dominio primario para formar su propio nombre único de Sistema de nombres
de dominio (DNS, Domain Name System), como corp.nwtraders.msft. De esta
forma, el árbol dispone de un a espacio de nombres contiguo.
„ Bosques. Un bosque es una instancia completa de Active Directory. Consta de
uno o varios árboles. En un árbol de sólo dos niveles, que se recomienda para
la mayoría de las organizaciones, todos los dominios secundarios se convierten
en secundarios del dominio raíz de bosque para formar un árbol contiguo.
El primer dominio del bosque se denomina dominio raíz de bosque.
El nombre de ese dominio se refiere al bosque, como por ejemplo
nwtraders.msft. De forma predeterminada, la información de Active Directory
se comparte sólo dentro del bosque. De este modo, el bosque es un límite de
seguridad para la información contenida en la instancia de Active Directory.
Introducción a las infraestructuras de Active Directory 7

Presentación multimedia: Estructura física de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Ubicación de Para iniciar la presentación, abrir el archivo media08_2.html que se puede


los archivos encontrar dentro del fichero media08.zip.
Objetivos Al final de esta presentación, podrá:
„ Definir los elementos de la estructura física de Active Directory.
„ Comentar el propósito de estos elementos.

Puntos clave A diferencia de la estructura lógica, que se basa en requisitos administrativos,


la estructura física de Active Directory optimiza el tráfico de red mediante la
determinación del lugar y el momento en que se produce la replicación y el
tráfico de conexión. Para optimizar el uso del ancho de banda de red de Active
Directory, se debe comprender la estructura física. Los elementos de la
estructura física de Active Directory son los siguientes:
„ Controladores de dominio. En estos equipos se ejecuta Microsoft Windows®
Server™ 2003 o Microsoft Windows 2000 Server y Active Directory. Cada
controlador de dominio realiza funciones de almacenamiento y replicación.
Un controlador de dominio sólo puede admitir un dominio. Para asegurarse de
la disponibilidad continua de Active Directory, cada dominio debe disponer
de más de un controlador de dominio.
8 Introducción a las infraestructuras de Active Directory

„ Sitios de Active Directory. Estos sitios son grupos de equipos conectados


correctamente. Al establecer sitios, los controladores de dominio de un único
sitio se comunican con frecuencia. Esta comunicación minimiza la latencia
dentro del sitio, es decir, el tiempo necesario para que un cambio realizado
en un controlador de dominio pueda replicarse en otros controladores de
dominio. Se pueden crear sitios para optimizar el uso del ancho de banda
entre los controladores de dominio que están en ubicaciones diferentes.

Nota Para obtener más información acerca de los sitios de Active


Directory, consulte el módulo 7, “Implementación de sitios para administrar
la replicación de Active Directory” del curso 2196A: Planeamiento,
implementación y mantenimiento de infraestructuras de Active Directory en
Microsoft Windows Server 2003.

„ Particiones de Active Directory. Cada controlador de dominio contiene las


siguientes particiones de Active Directory:
• La partición del dominio contiene replicados de todos los objetos de
ese dominio. La partición del dominio sólo puede replicarse en otro
controlador de dominio del mismo dominio.
• La partición de configuración contiene la topología del bosque.
La topología es un registro de todos los controladores de dominio y
las conexiones entre ellos en un bosque.
• La partición del esquema contiene el esquema de todo el bosque. Cada
bosque tiene un esquema para que la definición de las clases de objetos
sea coherente. Las particiones de configuración y del esquema pueden
replicarse en los controladores de dominio del bosque.
• Las particiones de aplicaciones opcionales contienen objetos no
relacionados con la seguridad y utilizados por una o varias aplicaciones.
Las particiones de aplicaciones pueden replicarse en controladores de
dominio especificados del bosque.

Nota Para obtener más información acerca de las particiones de Active


Directory, consulte el módulo 7, “Implementación de sitios para administrar
la replicación de Active Directory” del curso 2196A: Planeamiento,
implementación y mantenimiento de infraestructuras de Active Directory en
Microsoft Windows Server 2003.
Introducción a las infraestructuras de Active Directory 9

Qué son los maestros de operaciones

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Cuando se realiza un cambio en un dominio, el cambio puede replicarse a


través de todos los controladores del dominio. Algunos cambios, como los que
se realizan en el esquema, pueden replicarse en todos los dominios del bosque.
Esta replicación se denomina replicación de varios maestros.
Operaciones de Durante la replicación de varios maestros, se puede producir un conflicto
maestro único de replicación si las actualizaciones que la originan se llevan a cabo
simultáneamente en el mismo atributo de objeto en dos controladores de
dominio. Para evitar conflictos de replicación, se puede utilizar la replicación
de maestro único, que designa un controlador de dominio como el único
controlador en el que se pueden realizar cambios en determinados directorios.
De este modo, los cambios no se pueden producir en distintos lugares de la red
al mismo tiempo. Active Directory utiliza la replicación de maestro único para
cambios importantes, como la adición de un nuevo dominio o un cambio en el
esquema de todo el bosque.
Funciones de maestro Las operaciones que utiliza la replicación de maestro único se organizan
de operaciones conjuntamente en funciones específicas de un bosque o dominio. Estas
funciones se denominan funciones de maestro de operaciones. Sólo el
controlador de dominio que posee una función de maestro de operaciones
determinada puede realizar cambios en el directorio asociado. El controlador
de dominio responsable de una función concreta se denomina maestro de
operaciones para dicha función. Active Directory almacena la información
acerca del controlador de dominio que posee una función específica.
10 Introducción a las infraestructuras de Active Directory

Active Directory define cinco funciones de maestro de operaciones, con


una ubicación predeterminada para cada una. Las funciones de maestro de
operaciones abarcan todo el bosque o todo el dominio.
„ Funciones para todo el bosque. Estas funciones son únicas para un bosque
y son las siguientes:
• Maestro de esquema. Controla todas las actualizaciones del esquema.
El esquema contiene una lista general de clases de objetos y atributos
utilizados para crear todos los objetos de Active Directory como, por
ejemplo, usuarios, equipos e impresoras.
• Maestro de nombres de dominio. Controla la adición o la eliminación
de dominios del bosque. Sólo el controlador de dominio que posee la
función de maestro de nombres de dominio puede agregar un nuevo
dominio al bosque.
• Sólo existe un maestro de esquema y un maestro de nombres de dominio
en todo el bosque.
„ Funciones para todo el dominio. Estas funciones son únicas para cada
dominio de un bosque y son las siguientes:
• Emulador del controlador de dominio principal (PDC, Primary domain
controller). Funciona como un PDC de Microsoft Windows NT que
admite controladores de reserva (BDC, Backup domain controller)
que se ejecutan en Windows NT dentro de un dominio de modo mixto.
Este tipo de dominio dispone de controladores con Windows NT 4.0.
El emulador del PDC es el primer controlador de dominio que se crea
en un dominio nuevo.
• Maestro de identificadores relativos. Al crear un objeto nuevo, el
controlador de dominio crea una nueva entidad principal de seguridad
que representa el objeto y le asigna un único identificador de seguridad
(SID, security identifier). Este SID consta de un SID de dominio, que es
el mismo para todas las entidades principales de seguridad creadas en el
dominio, y un identificador relativo (RID, relative identifier), que es
único para cada entidad principal de seguridad creada en el dominio.
El maestro de RID asigna bloques de identificadores relativos a cada
controlador del dominio. A continuación, el controlador de dominio
asigna un RID a los objetos creados a partir de su bloque asignado de
identificadores relativos.
Introducción a las infraestructuras de Active Directory 11

• Maestro de infraestructuras. Al desplazar objetos de un dominio a otro,


el maestro de infraestructuras actualiza las referencias a objetos de su
dominio que apuntan al objeto en el otro dominio. La referencia al
objeto contiene el identificador único global (GUID, globally unique
identifier) del objeto, nombre completo y un SID. Active Directory
actualiza periódicamente el nombre completo y el SID en la referencia
al objeto para que se reflejen los cambios realizados en el objeto real,
como el desplazamiento dentro del dominio o entre ellos y la
eliminación del objeto.
Cada dominio de un bosque dispone de su propio emulador del PDC,
maestro de RID y maestro de infraestructuras.

Nota Para obtener más información acerca de las funciones de maestro de


operaciones, consulte el módulo 9, “Administración de los maestros de
operaciones”, del curso 2196A: Planeamiento, implementación y mantenimiento
de infraestructuras de Active Directory en Microsoft Windows Server 2003.
12 Introducción a las infraestructuras de Active Directory

Lección: Cómo funciona Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción En esta lección se presenta la función de Active Directory como servicio de


directorio. La comprensión del funcionamiento de Active Directory facilitará la
administración de recursos y la solución de problemas con el acceso a los
recursos.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Describir la función de Active Directory como servicio de directorio.
„ Definir el propósito del esquema de Active Directory y cómo se utiliza.
„ Definir el propósito del catálogo global.
„ Determinar el nombre completo y el nombre completo relativo de un objeto
de Active Directory.
„ Describir cómo Active Directory permite que se pueda iniciar sesión una
única vez.
Introducción a las infraestructuras de Active Directory 13

Qué es un servicio de directorio

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Muchos usuarios y aplicaciones comparten los recursos en grandes redes.


Para permitir a los usuarios y aplicaciones obtener acceso a estos recursos y a la
información acerca de ellos, necesita una forma coherente de asignar nombres,
describir, localizar, obtener acceso, administrar y proteger la información de
estos recursos. Un servicio de directorio realiza esta función.
Qué es un servicio Un servicio de directorio es un repositorio de información estructurado sobre
de directorio personas y recursos de una organización. En una red de Windows Server 2003,
el directorio de servicio es Active Directory.
Capacidades de Active Directory dispone de las siguientes capacidades:
Active Directory
„ Permite a usuarios y aplicaciones obtener acceso a información sobre
objetos. Esta información se almacena en forma de valores de atributos.
Se pueden buscar objetos basándose en su clase, atributos, valores de
atributos, ubicación dentro de la estructura de Active Directory o cualquier
combinación de estos valores.
„ Clarifica la topología de red física y los protocolos. De este modo, un
usuario de una red puede obtener acceso a cualquier recurso, como una
impresora, sin saber el lugar donde se encuentra o el modo en que está
conectado físicamente a la red.
14 Introducción a las infraestructuras de Active Directory

„ Permite el almacenamiento de un gran número de objetos. Puesto que se


organiza en particiones, Active Directory se puede ampliar a medida que la
organización crece. Por ejemplo, un directorio se puede ampliar de un solo
servidor con varios cientos de objetos a miles de servidores y millones de
objetos.
„ Se puede ejecutar como un servicio del sistema no operativo. Active
Directory en modo de aplicación (AD/AM) es una nueva capacidad de
Microsoft Active Directory que trata determinadas situaciones de
implementación relacionadas con aplicaciones habilitadas para directorios.
AD/AM se ejecuta como un servicio del sistema no operativo y, como tal,
no requiere implementación en un controlador de dominio. La ejecución
como servicio del sistema no operativo significa que se pueden ejecutar
varias instancias de AD/AM a la vez en un único servidor y cada una de
ellas se puede configurar por separado.

Nota Para obtener más información acerca de AD/AM, consulte


“Introduction to Active Directory in Application Mode” (en inglés) en
http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx.
Introducción a las infraestructuras de Active Directory 15

Qué es un esquema

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El esquema de Active Directory define las clases de objetos, los tipos de
información sobre dichos objetos y la configuración de seguridad
predeterminada para ellos que se puede almacenar en Active Directory.
Qué es el esquema El esquema de Active Directory contiene las definiciones de todos los objetos,
de Active Directory como usuarios, equipos e impresoras, almacenadas en Active Directory. En los
controladores de dominio con Windows Server 2003, sólo existe un esquema
para un bosque completo. De este modo, todos los objetos creados en Active
Directory ajustan a las mismas reglas.
El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las
clases de objetos, como usuario, equipo e impresora, describen los objetos de
directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos.
Los atributos se definen independientemente de las clases de objetos. Cada
atributo se define sólo una vez y se puede utilizar en varias clases de objetos.
Por ejemplo, el atributo Descripción se utiliza en muchas clases de objetos,
pero se define sólo una vez en el esquema para garantizar la coherencia.
Esquema y Se pueden crear nuevos tipos de objetos en Active Directory mediante la
extensibilidad de ampliación del esquema. Por ejemplo, para una aplicación de servidor de
Active Directory correo electrónico, se puede extender la clase de usuario en Active Directory
con nuevos atributos que almacenan información adicional, como direcciones
de correo electrónico de los usuarios.

Nota Para obtener más información acerca de la extensión del esquema de


Active Directory, consulte Extending the Schema (en inglés) en la referencia
en línea de MSDN Library.
16 Introducción a las infraestructuras de Active Directory

Cambios en el esquema En los controladores de dominio de Windows Server 2003, se pueden deshacer
y desactivación los cambios realizados en el esquema mediante su desactivación, lo que permite
que las organizaciones saquen provecho de las características de extensibilidad
de Active Directory.
También se puede volver a definir una clase o un atributo del esquema. Por
ejemplo, se puede cambiar la sintaxis de una cadena Unicode de un atributo
denominado Administrador de ventas por Nombre completo.
Introducción a las infraestructuras de Active Directory 17

Qué es el catálogo global

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Los recursos de Active Directory se pueden compartir en dominios y bosques.


La característica de catálogo global en Active Directory facilita al usuario la
búsqueda de recursos en dominios y bosques. Por ejemplo, si busca todas las
impresoras de un bosque, un servidor de catálogo global procesa la consulta en
el catálogo global y, a continuación, devuelve los resultados. Sin un servidor de
catálogo global, esta consulta requeriría una búsqueda en cada dominio del
bosque.
Qué es el catálogo El catálogo global es un repositorio de información que contiene un
global subconjunto de los atributos de todos los objetos de Active Directory.
Los miembros del grupo Administradores de esquema pueden cambiar
los atributos almacenados en el catálogo global, en función de los requisitos
de la organización. El catálogo global contiene los siguientes elementos:
„ Los atributos utilizados con más frecuencia en consultas, como el nombre,
apellido y nombre de inicio de sesión de un usuario.
„ La información necesaria para determinar la ubicación de cualquier objeto
en el directorio.
„ Un subconjunto predeterminado de atributos para cada tipo de objeto.
„ Los permisos de acceso para cada objeto y atributo almacenado en el
catálogo global. Si busca un objeto para el que no dispone de los permisos
adecuados para verlo, el objeto no aparecerá en los resultados de la
búsqueda. Los permisos de acceso aseguran que los usuarios sólo puedan
encontrar los objetos para los que se les ha asignado acceso.

Qué es un servidor Un servidor de catálogo global es un controlador de dominio que procesa


de catálogo global de forma efectiva consultas dentro de un mismo bosque del catálogo global.
El primer controlador de dominio que se crea en Active Directory se convierte
automáticamente en un servidor de catálogo global. Se pueden configurar
servidores de catálogo global adicionales para equilibrar el tráfico de la
autenticación de inicio de sesión y consultas.
18 Introducción a las infraestructuras de Active Directory

Funciones del El catálogo global permite a los usuarios realizar dos importantes funciones:
catálogo global
„ Buscar la información de Active Directory en cualquier lugar del bosque,
independientemente de la ubicación de los datos.
„ Utilizar la información de pertenencia al grupo universal para iniciar la
sesión en la red.

Nota Para obtener más información acerca del catálogo global, consulte el
módulo 8, “Implementación de la ubicación de controladores de dominio”,
en el curso 2196A: Planeamiento, implementación y mantenimiento de
infraestructuras de Active Directory en Microsoft Windows Server 2003.
Introducción a las infraestructuras de Active Directory 19

Qué son los nombres completos y los nombres completos relativos

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP,
Lightweight Directory Access Protocol) para buscar y modificar objetos en
una base de datos de Active Directory. LDAP es un subconjunto de X.500, un
estándar del sector que define cómo estructurar directorios. LDAP utiliza la
información acerca de la estructura de un directorio para buscar objetos
individuales, cada uno de los cuales tiene un nombre único.
Definición LDAP utiliza un nombre que representa un objeto de Active Directory mediante
una serie de componentes que se relacionan con la estructura lógica. Esta
representación, denominada el nombre completo del objeto, identifica el
dominio en el que el objeto está ubicado y la ruta completa para llegar a él.
Los nombres completos deben ser únicos en un bosque de Active Directory.
El nombre completo relativo de un objeto únicamente identifica el objeto en
su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo
nombre. El nombre completo relativo es siempre el primer componente del
nombre completo, pero puede que no siempre sea un nombre común.
Ejemplo de un Para un usuario llamado Cristina Martínez de la unidad organizativa Sales en el
nombre completo dominio Contoso.msft, cada elemento de la estructura lógica se representa con
el nombre completo siguiente:
CN=Cristina Martínez,OU=Sales,DC=contoso,DC=msft

„ CN es el nombre común del objeto en su contenedor.


„ OU es la unidad organizativa que contiene el objeto. Puede haber más de un
valor de OU si el objeto reside en una unidad organizativa anidada.
„ DC es un componente de dominio, como “com” o “msft”. Siempre hay por
lo menos dos componentes de dominio, pero es posible que existan más si el
dominio es secundario.

Los componentes de dominio del nombre completo se basan en el Sistema de


nombres de dominio (DNS, Domain Name System).
20 Introducción a las infraestructuras de Active Directory

Ejemplo de un nombre En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad
completo relativo organizativa que se representa mediante la siguiente ruta de nombre de LDAP:
OU=Sales,DC=contoso,DC=msft
Introducción a las infraestructuras de Active Directory 21

Presentación multimedia: Cómo permite Active Directory que se


pueda iniciar sesión una única vez

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Ubicación de Para iniciar la presentación, abrir el archivo media08_3.html que se puede


los archivos encontrar dentro del fichero media08.zip.
Objetivos Al final de esta presentación, podrá:
„ Describir el proceso mediante el cual Active Directory permite que se pueda
iniciar sesión una única vez.
„ Explicar la importante de iniciar sesión una única vez.

Puntos clave Al permitir que se inicie sesión una única vez, Active Directory facilita al
usuario los complejos procesos de autenticación y autorización. Los usuarios no
necesitan administrar varios conjuntos de credenciales.
Un inicio de sesión una única vez consta de los siguientes aspectos:
„ Autenticación, que comprueba las credenciales del intento de conexión.
„ Autorización, que comprueba que el intento de conexión está permitido.

Como ingeniero de sistemas, debe comprender cómo funcionan estos procesos


para optimizar y solucionar los problemas de la estructura de Active Directory.
22 Introducción a las infraestructuras de Active Directory

Lección: Examen de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Windows Server 2003 proporciona a los administradores las herramientas


de línea de comandos y los complementos para administrar Active Directory.
En esta lección se presentan estas herramientas de línea de comandos y estos
complementos y se explica cómo utilizarlos para examinar la estructura lógica y
física de Active Directory.
Objetivos de la lección Después de finalizar esta lección, podrá:
„ Explicar cómo está diseñado Active Directory para permitir la
administración centralizada y descentralizada.
„ Describir las herramientas de línea de comandos y los complementos
administrativos comunes de Active Directory.
„ Examinar la estructura lógica y física de Active Directory.
Introducción a las infraestructuras de Active Directory 23

Administración de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Mediante Active Directory, se puede administrar un gran número de usuarios,


equipos, impresoras y recursos de red desde una ubicación central, con
herramientas y complementos administrativos en Windows Server 2003. Active
Directory también admite la administración descentralizada. Un administrador
con la autoridad adecuada puede delegar un conjunto de privilegios
administrativos seleccionado a otros usuarios o grupos de una organización.
Cómo admite Active Directory incluye varias características que admiten la administración
Active Directory la centralizada:
administración
centralizada „ Contiene información acerca de todos los objetos y sus atributos. Los
atributos contienen datos que describen el recurso que el objeto identifica.
Puesto que la información acerca de todos los recursos de red se almacena
en Active Directory, un administrador puede administrar los recursos de
forma centralizada.
„ Se puede consultar Active Directory mediante protocolos como LDAP.
Se puede localizar fácilmente la información acerca de objetos mediante la
búsqueda de atributos seleccionados del objeto, utilizando herramientas que
admitan el protocolo LDAP.
„ Se pueden organizar en unidades organizativas objetos que posean
requisitos administrativos y de seguridad similares. Las unidades
organizativas proporcionan varios niveles de autoridad administrativa,
de modo que se puede aplicar la configuración de directivas de grupo y
delegar el control administrativo. Esta delegación simplifica la tarea de
administración de estos objetos y permite estructurar Active Directory
para que se ajuste a los requisitos de la organización.
„ Se puede especificar la configuración de directivas de grupo para un sitio,
un dominio o una unidad organizativa. Active Directory impone esta
configuración de directivas de grupo a todos los usuarios y equipos del
contenedor.
24 Introducción a las infraestructuras de Active Directory

Cómo admite Active Active Directory también admite la administración descentralizada. Se pueden
Directory la asignar permisos y conceder derechos de usuario de formas muy específicas.
administración Por ejemplo, se pueden delegar privilegios administrativos para determinados
descentralizada objetos a los equipos de ventas y mercadotecnia de una organización.
Se puede delegar la asignación de permisos en los siguientes casos:
„ Para unidades organizativas específicas a distintos grupos locales de
dominio. Por ejemplo, se puede delegar el permiso Control total para la
unidad organizativa Sales.
„ Para modificar los atributos específicos de un objeto en una unidad
organizativa. Por ejemplo, se puede asignar el permiso para cambiar el
nombre, la dirección y el número de teléfono y para restablecer contraseñas
de un objeto de cuenta de usuario.
„ Para realizar la misma tarea, como restablecer contraseñas, en todas las
unidades organizativas de un dominio.
Introducción a las infraestructuras de Active Directory 25

Herramientas y complementos administrativos de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Windows Server 2003 proporciona varias herramientas de línea de comandos y


complementos para administrar Active Directory. También se puede
administrar Active Directory mediante los objetos de Active Directory Service
Interface (ADSI) de las secuencias de comandos de Microsoft Windows Script
Host. ADSI es una sencilla pero potente interfaz para la creación de secuencias
de comandos reutilizables para administrar Active Directory.
Complementos En la siguiente tabla se describen algunos complementos administrativos
administrativos comunes para administrar Active Directory.
Complemento Descripción

Usuarios y equipos de Complemento Microsoft Management Console (MMC) que se utiliza para
Active Directory administrar y publicar información en Active Directory. Se pueden administrar
cuentas de usuario, grupos y cuentas de equipo, agregar equipos a un dominio,
administrar directivas de cuenta y derechos de usuario y directivas de auditoría.
Dominios y confianzas MMC que se utiliza para administrar confianzas de dominio y de bosque, agregar
de Active Directory sufijos de nombre principal de usuario y cambiar los niveles funcionales de dominio
y bosque.
Sitios y servicios de MMC que se utiliza para administrar la replicación de datos de directorios.
Active Directory
Esquema de Active MMC que se utiliza para administrar el esquema. No está disponible de forma
Directory predeterminada en el menú Herramientas administrativas. Se debe agregar
manualmente.

Nota También se puede utilizar el Editor ADSI para ver, crear, modificar y
eliminar objetos en Active Directory. El Editor ADSI no se instala de forma
predeterminada. Para instalar el Editor ADSI, instale las herramientas de
soporte de Windows Server 2003 desde la carpeta \Support\Tools del disco
compacto del producto.
26 Introducción a las infraestructuras de Active Directory

Se pueden personalizar las consolas administrativas para que coincidan con las
tareas administrativas que se delegan a otros administradores. También se
pueden combinar todas las consolas necesarias para cada función administrativa
en una única consola.
Herramientas En la siguiente tabla se describen algunas herramientas de línea de comandos
administrativas de comunes que se utilizan para administrar Active Directory.
línea de comandos
Herramienta Descripción

Dsadd Permite agregar objetos, como equipos, usuarios, grupos, unidades organizativas y
contactos, a Active Directory.
Dsmod Permite modificar objetos, como equipos, servidores, usuarios, grupos, unidades
organizativas y contactos, en Active Directory.
Dsquery Permite ejecutar consultas en Active Directory con los criterios especificados.
Puede realizar consultas sobre servidores, equipos, grupos, usuarios, sitios, unidades
organizativas y particiones.
Dsmove Permite mover un solo objeto, dentro de un dominio, a una nueva ubicación de
Active Directory o cambiar el nombre de un solo objeto sin moverlo.
Dsrm Permite eliminar un objeto de Active Directory.
Dsget Permite mostrar los atributos seleccionados de un equipo, contacto, grupo, unidad
organizativa, servidor o usuario de Active Directory.
Csvde Permite importar y exportar datos de Active Directory en formato de texto separado
por comas.
Ldifde Permite crear, modificar y eliminar objetos de Active Directory. También permite
ampliar el esquema de Active Directory, exportar información de usuarios y grupos a
otras aplicaciones o servicios y rellenar Active Directory con los datos de otros
servicios de directorio.

Nota Para obtener más información acerca de las herramientas de línea de


comandos proporcionadas por Windows Server 2003, consulte “Administrar
Active Directory desde la línea de comandos” en Centro de ayuda y soporte
técnico.

Microsoft Windows Aunque Windows Server 2003 proporciona varios complementos y


Script Host herramientas de línea de comandos para administrar Active Directory, no son
adecuados para realizar operaciones por lotes de cambios en Active Directory
que impliquen condiciones complejas. En estos casos, puede realizar cambios
más rápidamente mediante secuencias de comandos. Por ejemplo, puede
cambiar el primer dígito del número de la extensión telefónica de 3 a 5 y de
4 a 5 para todos los empleados que se hayan trasladado al edificio 5.
Se pueden crear secuencias de comandos de Windows Script Host que utilicen
ADSI para realizar las siguientes tareas:
„ Recuperar información acerca de los objetos de Active Directory.
„ Agregar objetos a Active Directory.
„ Modificar valores de atributos para objetos de Active Directory.
„ Eliminar objetos de Active Directory.
„ Extender el esquema de Active Directory.

ADSI utiliza el protocolo LDAP para comunicarse con Active Directory.


Introducción a las infraestructuras de Active Directory 27

Cómo examinar Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Se puede ver la estructura física y lógica de Active Directory mediante


Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory
y Dominios y confianzas de Active Directory.
Procedimiento Para ver la estructura lógica y física de Active Directory, siga los
siguientes pasos:
1. Abra Usuario y equipos de Active Directory y examine las unidades
organizativas en Active Directory. Para ello, siga los siguientes pasos:
a. Haga clic en Inicio, seleccione Todos los programas, Herramientas
administrativas y, a continuación, haga clic en Usuarios y equipos de
Active Directory.
b. En el árbol de consola, expanda Usuarios y equipos de Active Directory.
c. En el árbol de consola, expanda el dominio cuyas unidades organizativas
desea ver.
d. Visualice la página Propiedades de cada contenedor en el árbol de
consola.
e. Determine el tipo de objeto mediante la información de clase de objeto
en la ficha Objeto. La clase de objeto de las unidades organizativas es
Unidad organizativa.
2. Abra Dominios y confianzas de Active Directory para ver la estructura
lógica de Active Directory. Para ello, siga los siguientes pasos:
a. Haga clic en Inicio, seleccione Todos los programas, Herramientas
administrativas y, a continuación, haga clic en Dominios y confianzas
de Active Directory.
b. En el panel de la izquierda, expanda el nodo que representa el dominio
raíz de bosque para ver los dominios que constituye la estructura lógica
de Active Directory.
28 Introducción a las infraestructuras de Active Directory

3. Abra Sitios y servicios de Active Directory para ver la estructura física de


Active Directory. Para ello, siga los siguientes pasos:
a. Haga clic en Inicio, seleccione Todos los programas, Herramientas
administrativas y, a continuación, haga clic en Sitios y servicios de
Active Directory.
b. En el árbol de consola, expanda Sites y, a continuación, la carpeta que
representa el sitio para el que desea ver una lista de servidores.
c. Haga clic en Servers para ver una lista de servidores en el panel de la
derecha.

Nota Para obtener más información acerca del examen de Active


Directory, consulte “Cómo examinar Active Directory” en el módulo 1
de los apéndices del disco compacto Material del alumno.
Introducción a las infraestructuras de Active Directory 29

Ejercicio: Examen de la estructura de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Objetivos En este ejercicio, examinará la estructura lógica y física de Active Directory.


Situación de ejemplo Hoy es su primer día como ingeniero de sistemas en Northwind Traders.
El administrador ha pedido un estudio de la estructura lógica y física de Active
Directory en Northwind Traders.
Ejercicio Examinar la estructura predeterminada de los objetos de Active
Directory mediante Usuarios y equipos de Active Directory
1. Inicie sesión como nwtradersx\NombreDeEquipoUser con la contraseña
P@ssw0rd
2. Instale el paquete de herramientas de administración de Windows
Server 2003. Para ello, siga los siguientes pasos:
a. Haga clic en Inicio, haga clic con el botón secundario del mouse (ratón)
en Símbolo del sistema y, a continuación, haga clic en Ejecutar como.
b. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente
usuario, escriba un nombre de usuario de nwtraders\administrador
y una contraseña P@ssw0rd y, a continuación, haga clic en Aceptar.
c. Inserte el CD de Windows 2003 Server en la lectora de CD-ROM
d. En el símbolo del sistema, escriba CDROM:\i386\Adminpak.msi y, a
continuación, presione ENTRAR. (CDROM es el nombre de la unidad
lectora de CDs)
e. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir y,
a continuación, complete la instalación.
f. Cierre la ventana de símbolo del sistema.
3. Abra Usuarios y equipos de Active Directory.
4. Habilite Características avanzadas.
30 Introducción a las infraestructuras de Active Directory

5. Expanda nwtraders.msft y busque el objeto Locations. ¿Qué es el tipo


de objeto?
_____________________________________________________________

_____________________________________________________________

6. Expanda Locations. ¿Qué tipos de objetos contiene la carpeta?


_____________________________________________________________

_____________________________________________________________

7. Los objetos de la carpeta Locations representan las ubicaciones geográficas


de una organización. Cada ubicación contiene tres objetos. ¿Cuál es el
propósito de estos objetos?
_____________________________________________________________

_____________________________________________________________

8. Abra cualquiera de los contenedores que representan una ubicación y, a


continuación, abra el contenedor Users.
¿Qué observa en los objetos ubicados en este contenedor?
_____________________________________________________________

Examinar la estructura predeterminada de Active Directory mediante


Sitios y servicios de Active Directory
1. Abra Sitios y servicios de Active Directory.
2. Expanda Sites, haga clic con el botón secundario en Nombre-
predeterminado-primer-sitio y, a continuación, haga clic en Propiedades.
Introducción a las infraestructuras de Active Directory 31

3. En la ficha Seguridad, examine los permisos para el grupo Admins. del


dominio. ¿Cuáles son los permisos?
____________________________________________________________

____________________________________________________________

4. Examine los permisos asignados al grupo Admins. del dominio para


el objeto Nombre-predeterminado-primer-sitio\Servers\London.
¿Qué observa?
____________________________________________________________

____________________________________________________________

Examinar la estructura predeterminada de Active Directory mediante


Dominios y confianzas de Active Directory
1. Abra Dominios y confianzas de Active Directory.
2. Expanda nwtraders.msft y, a continuación, examine las propiedades de
nwtraders.msft.
¿Qué observa?
____________________________________________________________

3. Opte por administrar el dominio corp.nwtraders.msft. ¿Qué ocurre?


____________________________________________________________
32 Introducción a las infraestructuras de Active Directory

Lección: Procesos de diseño, planeamiento e


implementación de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción En esta lección se proporciona información general de los procesos de diseño,


planeamiento e implementación de Active Directory.
Objetivo de la lección Después de finalizar esta lección, podrá:
„ Diferenciar entre el diseño, el planeamiento y la implementación de
Active Directory.
„ Describir las fases del proceso de diseño de Active Directory.
„ Describir las fases del proceso de planeamiento de Active Directory.
„ Describir las fases del proceso de implementación de Active Directory.
Introducción a las infraestructuras de Active Directory 33

Información general del diseño, planeamiento e implementación


de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción La implementación de Active Directory se inicia con la creación del diseño de


Active Directory. Puede utilizar el diseño para planear la implementación de
Active Directory y, a continuación, implementar Active Directory.
Diseño de Active Uno o varios arquitectos de sistemas crean el diseño de Active Directory, de
Directory acuerdo con los requisitos empresariales de una organización. Estos requisitos
empresariales determinan las especificaciones funcionales del diseño.
Plan de implementación El plan de implementación de Active Directory determina cómo se implementa
de Active Directory el diseño de Active Directory, de acuerdo con la infraestructura de hardware de
la organización. Por ejemplo, el diseño de Active Directory puede especificar
el número de controladores de dominio para cada dominio basándose en una
configuración de servidor específica. Sin embargo, si esta configuración no está
disponible, en la fase de planeamiento, se puede alterar el número de servidores
para cumplir los requisitos empresariales de la organización.
Después de implementar Active Directory, se debe administrar y mantener para
garantizar la disponibilidad, la fiabilidad y la seguridad de la red. En este curso
se describen las fases de planeamiento e implementación. El diseño detallado de
Active Directory no se incluye en este curso.
Implementación de Durante la implementación de Active Directory, los ingenieros de sistemas
Active Directory deben realizar las siguientes acciones:
„ Crear la estructura de dominios y de bosques e implementar los servidores.
„ Crear la estructura de unidad organizativa.
„ Crear las cuentas de usuario y equipo.
„ Crear los grupos de distribución y seguridad.
„ Crear objetos de directiva de grupo (GPO, Group Policy object) y, a
continuación, aplicarlos a dominios, sitios y unidades organizativas.
„ Crear directivas de distribución de software.
34 Introducción a las infraestructuras de Active Directory

Proceso de diseño de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción El diseño de Active Directory supone varias tareas, que definen los requisitos
funcionales para un componente de una implementación de Active Directory.
Tareas del proceso El proceso de diseño de Active Directory incluye las siguientes tareas:
de diseño de Active
Directory „ Recopilación de información organizativa. Esta primera tarea define la
necesidad del servicio de directorio y los requisitos empresariales del
proyecto. Entre los ejemplos de información organizativa se incluye un
perfil organizativo avanzado, ubicaciones geográficas de la organización,
infraestructura técnica y de red y planes de cambios en la organización.
„ Análisis de información organizativa. Analice la información recopilada
para evaluar su relevancia y valor para el proceso de diseño. Determine
la información más importante y los componentes del diseño de Active
Directory a los que afectará la información. Debe estar preparado para
aplicar la información en todo el proceso de diseño.
„ Análisis de las opciones de diseño. Al analizar requisitos empresariales
específicos, varias opciones de diseño pueden satisfacer los requisitos
empresariales. Por ejemplo, se puede cumplir un requisito administrativo con
un diseño de dominios o una estructura de unidad organizativa. Cada opción
seleccionada puede afectar a otros componentes del diseño, por lo que debe
existir cierta flexibilidad en el enfoque del diseño en todo el proceso.
Introducción a las infraestructuras de Active Directory 35

„ Selección de un diseño. Desarrolle varios diseños de Active Directory y,


a continuación, compare sus puntos fuertes y débiles. Al seleccionar un
diseño, examine los requisitos empresariales conflictivos y considere sus
efectos en las opciones de diseño. Puede que no haya un claro ganador entre
las opciones de diseño. Seleccione el diseño que cumpla la mayoría de los
requisitos empresariales y represente la mejor opción en general.
„ Perfeccionamiento del diseño. Probablemente tenga que cambiar la
primera versión del plan de diseño antes de la fase experimental de la
implementación. El proceso de diseño es iterativo porque se deben
considerar demasiadas variables al diseñar una infraestructura de Active
Directory. Revise y perfeccione cada concepto de diseño varias veces
para adaptarlo a todos los requisitos empresariales.

Salida del proceso La salida de la fase de diseño de Active Directory incluye los siguientes
de diseño de Active elementos:
Directory
„ Diseño de bosques y dominios. El diseño de bosques incluye información
como, por ejemplo, el número de bosques necesarios, las directrices para
crear confianzas y el nombre de dominio completo (FQDN, fully qualified
domain name) para el dominio raíz de bosque para cada bosque. En el
diseño también se incluye la directiva de control de cambios de bosque,
que identifica los procesos de propiedad y de aprobación para los cambios
de configuración que afectan a todo el bosque. Identifique quién es el
responsable de determinar la directiva de control de cambios de bosque para
cada bosque de la organización. Si hay varios bosques en el plan de diseño,
puede evaluar si las confianzas de bosque son necesarias para compartir los
recursos de red en los bosques.
En el diseño de dominios se indica el número de dominios necesarios en
cada bosque, los dominios que estarán en el dominio raíz de bosque para
cada bosque y la jerarquía de dominios si existen varios dominios en el
diseño. En el diseño de dominios también se incluye el nombre DNS de
cada dominio y cualquier relación de confianza entre dominios.
„ Diseño de unidades organizativas. Permite especificar cómo se crearán las
unidades organizativas para cada dominio del bosque. Incluya una descripción
de la autoridad administrativa que se aplicará a cada unidad organizativa y a
la que se delegará dicha autoridad. Finalmente, incluya la estrategia para
aplicar directivas de grupo a la estructura de unidades organizativas.
„ Diseño de sitios. Permite especificar el número y la ubicación de los sitios en
la organización, los vínculos del sitio necesarios y el costo de los vínculos.
36 Introducción a las infraestructuras de Active Directory

Proceso de planeamiento de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción La salida del proceso de planeamiento es el plan de implementación de Active


Directory. Este plan consta de varios planes que definen los requisitos funcionales
para un componente específico de una implementación de Active Directory.
Componentes de un En un plan de Active Directory se incluyen los siguientes componentes:
plan de Active Directory
„ Estrategia de cuentas. Permite incluir información, como directrices para
nombres de cuentas y directivas de bloqueo, la directiva de contraseñas y
las directrices para la configuración de seguridad de objetos.
„ Estrategia de auditoría. Permite determinar cómo supervisar las
modificaciones en objetos de Active Directory.
„ Plan de implementación de unidades organizativas. Permite definir qué
unidades organizativas crear y cómo crearlas. Por ejemplo, si el diseño de
unidades organizativas especifica que las unidades organizativas se crearán
de forma geográfica y se organizarán por unidad empresarial dentro de cada
área geográfica, el plan de implementación de unidades organizativas define
las unidades organizativas que se van a implementar, como Sales, Human
Resources y Production. El plan también proporciona directrices para la
delegación de autoridad.
„ Plan de directivas de grupo. Permite determinar quién crea, vincula y
administra los objetos de directiva de grupo y cómo se implementará la
directiva de grupo.
„ Plan de implementación de sitios. Permite especificar los sitios, vínculos
a sitios y la programación de vínculos. También permite especificar la
programación y el intervalo de replicación y las directrices para garantizar
y configurar la replicación entre sitios.
Introducción a las infraestructuras de Active Directory 37

„ Plan de implementación del software. Permite especificar cómo utilizar


las directivas de grupo para implementar un nuevo software y las
actualizaciones del software. Por ejemplo, se puede especificar si las
actualizaciones de software son obligatorias u opcionales.
„ Plan de ubicación de servidores. Permite especificar la ubicación de
controladores de dominio, servidores de catálogo global, servidores DNS
integrados en Active Directory y maestros de operaciones. También permite
especificar si se habilitará el almacenamiento en caché de la pertenencia al
grupo universal de sitios que no dispongan de un servidor de catálogo global.

Una vez completado el plan de cada componente, combínelos para formar el


plan de implementación de Active Directory completo.
38 Introducción a las infraestructuras de Active Directory

Proceso de implementación de Active Directory

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Introducción Una vez que el plan de implementación de Active Directory está disponible,
se puede iniciar la implementación de Active Directory de acuerdo con el plan
de diseño.
Proceso de Realice las siguientes tareas al implementar Active Directory:
implementación
„ Implementar la estructura de bosques, dominios y DNS. Cree el dominio
raíz de bosque, árboles de dominios y dominios secundarios que constituyan
la jerarquía de bosques y dominios.
„ Crear unidades organizativas y grupos de seguridad. Cree la estructura de
unidades organizativas para cada dominio en cada bosque, cree grupos de
seguridad y delegue autoridad administrativa a grupos administrativos de
cada unidad organizativa.
„ Crear cuentas de usuario y equipo. Importe cuentas de usuario a Active
Directory.
„ Crear objetos de directiva de grupo. Cree GPO basados en la estrategia
de directivas de grupo y, a continuación, vincúlelos a sitios, dominios y
unidades organizativas.
„ Implementar sitios. Cree sitios según el plan de sitios, cree vínculos a
sitios, configure la programación de los vínculos a sitios e implemente
controladores de dominio, servidores de catálogo global, servidores DNS y
maestros de operaciones en los sitios.

Vous aimerez peut-être aussi