Diferencias entre Dominios Active Directory y Grupos de Trabajo

Los equipos de una red pueden formar parte de un grupo de trabajo o de un dominio. La diferencia
principal entre los grupos de trabajo y los dominios es la forma en que se administran los recursos
de la red. Generalmente, los equipos de redes domsticas forman parte de un grupo de trabajo y
los equipos de redes de reas de trabajo forman parte de un dominio.
En un grupo de trabajo:
1. Todos los equipos se encuentran en el mismo nivel, ninguno tiene el control sobre otro.
2. Cada equipo dispone de un conjunto de cuentas de usuario. Para utilizar un equipo del
grupo de trabajo, debe disponer de una cuenta en l.
3. Normalmente, slo incluye entre diez y veinte equipos.
4. Todos los equipos deben encontrarse en la misma red local o subred.
En un dominio:
1. Uno o ms equipos son servidores.
2. Los administradores de red utilizan los servidores para controlar la seguridad y los
permisos de todos los equipos del dominio. As resulta ms sencillo efectuar cambios, ya
que stos se aplican automticamente a todos los equipos.
3. Si dispone de una cuenta de usuario en el dominio, puede iniciar sesin en cualquier
equipo del dominio sin necesidad de disponer de una cuenta en dicho equipo.
4. Puede haber cientos o miles de equipos.
5. Los equipos pueden encontrarse en diferentes redes locales.
Funciones de los Controladores de Dominio
Los controladores de dominio almacenan datos y administran las interacciones entre el usuario y
el dominio, como los procesos de inicio de sesin, la autenticacin y las bsquedas de directorio.
Qu es la particin
Organizacin del almacn de directorio de AD LDS est en particiones de directorio lgicas.
Existen tres tipos diferentes de particiones de directorio: de configuracin, de esquema y de
aplicaciones. Cada almacn de directorio de AD LDS debe tener una sola particin de directorio de
configuracin y una sola particin de directorio de esquema, pero puede tener cero o ms
particiones de directorio de aplicaciones.

Informacin y funciones del Catlogo Global (Global Catalog)

La funcionalidad de Catlogo Global (Global Catalog) es algo que pueden cumplir solamente los
Controladores de Dominio. Esta funcionalidad la pueden cumplir uno, varios, o inclusive todos los
Controladores de Dominio. Esta funcin es necesaria para que los usuarios normales puedan iniciar
sesin. Aunque recordemos que por omisin el cliente si puede utilizar cached credentials que
permiten el acceso local, esto no funcionar cuando el usuario quiera acceder a un recurso de red
ya que en ese caso el Controlador de Dominio que lo autentica debe poder consultar a un Catlogo
Global.

Bsquedas supongamos que tenemos un Bosque con varios Dominios, y debemos localizar una
cuenta de usuario o mquina, pero no sabemos en qu Dominio est creada.
La opcin de hacer bsquedas en cada uno de los Dominios puede ser laboriosa, en cambio si
hacemos la bsqueda sobre un Catlogo Global, nos proporcionar fcilmente la ubicacin de la
cuenta sin importar en qu Dominio del Bosque est.
Creacin de Cuentas en Active Directory
Cuando un administrador crea una cuenta en Active Directory el sistema debe asegurarse que se
cumplen las reglas de unicidad. Por ejemplo que no exista otra cuenta con el mismo User Principal
Name (UPN usuario@dominio.sufijo),Si un adminstador creara una cuenta mientras no hay acceso
al Catlogo Global, esta cuenta permanecer desactivada hasta que se pueda comprobar
Requerido para Iniciar Sesin
Cuando un usuario inicia sesin, adems de la autenticacin y entre otras se debe asignar la
membresa en grupos Universales
Y adems, si el usuario inciara sesin usando su UPN (usuario@dominio.sufijo) habra que resolver
en qu Dominio tiene cuenta el usuario, ya que dominio.sufijo podra corresponder al Dominio
Raz y el usuario tener cuenta en un subdominio, o inclusive no tener relacin con el nombre del
Dominio Active Directory, sino corresponder a su direccin de correo electrnico.
Que en las credenciales de usuario (Access Token) figure la membresa en los grupos Universales
es un requisito para iniciar sesin, ya que la falta en los mismos podra hacer que escale
privilegios, o que los pierda no pudiendo hacer su labor. Por lo tanto el sistema no permite logon
incompletos.
Definicin de Bosque de Dominios (Forest)
Cuando varios dominios comparten un esquema y un catlogo global comunes se denomina
bosque. Recordemos que el esquema son un conjunto de reglas bsicas que definen las clases de
objetos y los atributos contenidos en el directorio (restricciones en instancias, lmites, formato de
nombres,...) y el catlogo contienen informacin sobre cada objeto del directorio permitiendo a
los usuarios encontrar informacin independientemente del dominio que contienen los datos.

Definicin de rbol de Dominios (Tree)

El primer dominio que se crea en el bosque de AD DS se designa automticamente como dominio
raz del bosque. El dominio raz del bosque ofrece las bases para la infraestructura de AD DS. Debe
crear el dominio raz del bosque antes de crear dominios regionales. Adems, los servicios que se
ejecutan en los controladores de dominio raz del bosque, como el protocolo de autenticacin
Kerberos versin 5, deben estar altamente disponibles para garantizar que los usuarios mantengan
el acceso a los recursos en todo el bosque. El propietario del bosque es responsable de
implementar el dominio raz del bosque.

Si el diseo del bosque de AD DS requiere slo un dominio, el dominio raz del bosque tambin
contendr todos los usuarios, grupos y recursos. Durante la implementacin, puede crear la
estructura de una unidad organizativa (OU) una vez que la implementacin del dominio raz del
bosque est completa.
En un diseo de varios dominios de AD DS, el dominio raz del bosque puede ser una raz dedicada
que se use slo para la administracin del bosque o puede contener usuarios, grupos y recursos,
adems de las cuentas de administracin del bosque. Una vez implementado el dominio raz del
bosque, el propietario del bosque crear uno o ms dominios regionales para completar la
jerarqua del bosque de AD DS.

RELACIONES DE CONFIANZA
Las relaciones de confianza se crean automticamente entre dominios adyacentes (dominio
principal y sus secundarios) cuando se crea un dominio en un rbol de dominios.
En un bosque se crean automticamente relaciones de confianza entre el dominio raz del bosque
y el dominio raz de cada rbol de dominio que se agrega al bosque (como dichas relaciones de
confianza son transitivas, los usuarios y equipos podrn autentificarse en cualquier dominio del
bosque o del rbol de dominios).