Captulo 4

Active Directory
Active Directory almacena informacin sobre los recursos disponibles en la red y
hace ms sencillo a los usuarios localizar, gestionar y usar estos recursos. Active
Directory est compuesto de mltiples componentes.
Active Directory es el servicio de directorio en las redes Windows desde su
aparicin con Windows 2000 Server. Un servicio de directorio es un servicio de red
que, como hemos comentado, almacena informacin sobre los recursos de la red y
los hace accesibles a los usuarios y a las aplicaciones. Los servicios de directorio
facilitan una manera consistente de gestionar, localizar, acceder, nombrar y
securizar informacin sobre estos recursos.

Al finalizar el estudio de estas lecciones sers capaz de:

Entender y explicar que es y cmo funciona Active Directory
Entender y explicar las estructuras lgicas y fsicas de Active Directory
Realizar la administracin de una red Windows con Active Directory

Instalacin y configuracin

Leccin 1
Introduccin a Active Directory
Active Directory provee la funcionalidad de los servicios de directorio, lo que incluye
una gestin y administracin centralizada del control de acceso, de la gestin y de
la organizacin de los recursos de la red. Active Directory consigue que la topologa
de la red y los protocolos usados en la misma sean transparentes al usuario para
que pueda obtener acceso a cualquier recurso sin conocer donde est ubicado o
como est conectado a la red. Cuando se habla de recursos podemos referirnos a
ficheros, impresoras o discos externos.
Active Directory est organizado en secciones que permiten almacenar una gran
cantidad de objetos lo que le permite adaptarse a redes de cualquier tamao, ya
sean grandes de inicio o vayan creciendo progresivamente. Active Directory puede
gestionar desde redes pequeas con un servidor y unos pocos cientos de objetos
hasta redes muy grandes con cientos de servidores y millones de objetos.
Cualquier servidor Windows (a partir de Windows 2000) guarda en Active Directory
configuracin del sistema, perfiles de usuario e informacin de las aplicaciones.
Combinado con las Directivas de grupo Active Directory permite a los
administradores gestionar escritorios distribuidos, servicios de red y aplicaciones
desde una ubicacin central, todo ellos desde una nica interface de administracin
consistente.
Active tambin provee un control centralizado de acceso a los recursos de la red
permitiendo a los usuarios logarse en la red una nica vez para tener acceso
completo a todos los recursos disponibles en Active Directory, an cuando estos se
encuentren en otro servidor o dominio.

Los objetos y el esquema de Active Directory

Active Directory almacena informacin sobre objetos de red. Los objetos de Active
Directory representan los recursos de red como usuarios, grupos, mquinas e
impresoras. Tambin los servidores, dominios y sitios en la red son representados
como objetos. Al representar Active Directory todos los recursos de la red como
objetos, un administrador puede administrar y gestionar los recursos de una
manera centralizada.
Cuando creamos un objeto, las propiedades o atributos del objeto creado
almacenan la informacin que describe al objeto. Los usuarios pueden localizar
objetos a travs de Active Directory buscando por atributos especficos, como el
departamento de un usuario o la ubicacin de una impresora.

Instalacin y configuracin

El esquema de Active Directory contiene las definiciones de todos los objetos, como
mquinas, usuarios e impresoras que estn almacenados en Active Directory.
Los dos tipos de definiciones que existen en el esquema son clases de objetos y
atributos. Clases de objetos son los posibles objetos que pueden ser creados en
Active Directory. Cada clase de objeto es una coleccin de atributos, los cuales son
definidos de forma independiente de las clases de objetos. Cada atributo es definido
solo una vez aunque puede ser usado muchas veces en diferentes clases de
objetos. Un ejemplo de esto es el campo Nombre.
La base de datos de Active Directory almacena el esquema, lo que permite lo
siguiente:
Est dinmicamente disponible para las aplicaciones de usuario, lo que
significa que las aplicaciones pueden leer el esquema para descubrir que
objetos y propiedades estn disponibles para usar.
Es dinmicamente actualizable, lo cual habilita a una aplicacin a
extender el esquema con nuevos atributos y clases de objeto y usar estas
nuevas actualizaciones inmediatamente
Pueden usar ACL (listas de control de acceso) para proteger todas las
clases y atributos. El uso de ACL dinmicas permite que solo usuarios
autorizados puedan realizar cambios en el esquema.

Objetos

Atributos o propiedades

Usuario

Nombre
Departamento
Contrasea

Mquina

Nombre
Ubicacin

Impresora

Nombre
Ubicacin

Ejemplo de clases de objetos y atributos en el esquema

El protocolo LDAP
Instalacin y configuracin

LDAP (Lightweight Directory Access Protocol Protocolo Ligero de Acceso al

Directorio) es un protocolo de servicio de directorio que es usado para consultar y
actualizar Active Directory. La especificacin de protocolo para LDAP especifica que
un objeto Active Directory es representado por una serie de componentes de
dominio, OU (unidades organizativas) y nombres comunes (common names) los
cuales crean una ruta de nombre LDAP dentro de Active Directory. Las rutas de
nombre LDAP son utilizadas para acceder a objetos de Active Directory y son las
siguientes:
Nombre distinguido: todos los objetos en Active Directory tienen un
nombre distinguido. Este nombre identifica el dominio donde el objeto est
ubicado y la ruta completa por la cual el objeto es encontrado. Un ejemplo
tpico de nombre distinguido sera:
CN=Nombre Apellido, OU=Contabilidad, DC=Curso2008, DC=com
La clave DC es la parte DNS del nombre e identifica el dominio en el que
est ubicado el objeto.
La clave OU especifica la unidad organizativa que contiene al objeto. Puede
haber ms objetos en la misma OU.
La clave CN (common name) es el nombre del objeto independientemente
del dominio y de la unidad organizativa. Puede haber ms de un objeto en
Active Directory con el mismo nombre si estn en diferentes dominios.
Nombre distinguido relativo: el nombre distinguido relativo LDAP es la
parte del nombre distinguido que nicamente identifica al objeto en s
mismo sin tener en cuenta su ubicacin. Si el objeto es un usuario este
nombre es el CN y si el objeto es una unidad organizativa este nombre es la
OU.

La estructura lgica de Active Directory

La estructura lgica de Active Directory es muy flexible y est organizada de un
modo jerrquico en Active Directory, la cual es fcil de comprender tanto por parte
de los administradores como de los usuarios.
Los componentes lgicos de la estructura de Active Directory son:
Dominios: la unidad principal de una estructura lgica de Active Directory
es el dominio. Un domino es una coleccin de ordenadores, definida por un
administrador, que comparten una base de datos de directorio comn. Un
dominio tiene un nombre nico y proporciona acceso a las cuentas de
usuario y grupo centralizadas por el administrador del dominio.
El dominio establece una frontera de seguridad. El propsito de una
frontera de seguridad es asegurar que un administrador de dominio tiene los
permisos necesarios para realizar la administracin solo dentro de su
dominio, salvo que expresamente se le concedan para otro dominio. Cada
dominio tiene sus propias directivas de seguridad y relaciones de confianza
con otros dominios.
Instalacin y configuracin

Los dominios tambin son unidades de replicacin. En un dominio, los

servidores controladores de dominio almacenan una rplica de Active
Directory. Todos los controladores de dominio en un dominio concreto
pueden recibir cambios en la base de datos de Active Directory y replicar
estos cambios al resto de controladores de dominio del mismo.

Unidades organizativas: una unidad organizativa es un objeto contenedor

que se utiliza para organizar objetos dentro de un dominio. Una OU puede
contener objetos como un usuario, un grupo, una cuenta de mquina, una
impresora u otra OU.
Se pueden utilizar las unidades organizativas para agrupar objetos creando
la estructura lgica que mejor de adapte a nuestras necesidades. Por
ejemplo se podran crear tantas OU como departamentos o como
ubicaciones geogrficas tengamos y dentro de ellas crear otras con usuarios,
impresoras, etc. La estructura de OU que se cree en un dominio es
independiente de la de otro.
Las unidades organizativas permiten su delegacin a nivel administrativo, de
tal manera que el administrador principal del dominio puede delegar en
otros usuarios la administracin de todos los objetos contenidos en una OU
determinada adjudicndole los permisos adecuados, que podran ser control
total sobre los objetos o que solo puedan realizar algunas tareas concretas
como cambiar las contraseas o valores de atributos de los objetos.

Instalacin y configuracin

Ejemplo de estructura de unidades organizativas en un dominio

rboles y bosques: el primer dominio creado en una red Windows es

llamado el dominio raz del bosque. Los siguientes dominios son aadidos al
dominio raz para crear la estructura de rbol o la estructura del bosque.
Un rbol es una estructura jerrquica de dominios que comparten un espacio
de nombres contiguo. Un espacio de nombres contiguo hace referencia a la
pertenencia a los dominios de primer y segundo nivel. As dos dominios que
pertenecen a dominio1.com comparten el espacio de nombres. Un ejemplo
concreto
seran
los
dominios
contabilidad.dominio1.com
y
facturacin.dominio1.com.
Cuando aadimos un dominio a un rbol existente, el nuevo dominio es un
dominio hijo de un dominio ya existente llamado dominio padre. Al nombre
que le hemos dado al nuevo dominio se le aade el nombre del dominio
padre para formar un nombre con formato DNS. Todos los dominios hijo
tienen una relacin de confianza transitiva de dos vas con su dominio padre.
Hay dos tipos de relaciones de confianza:
1. Relaciones transitivas: una relacin transitiva quiere decir que la
relacin de confianza con un dominio es automticamente ampliada a
todos los dems dominios que confan en ese dominio. Es decir, si el
dominio A confa en el dominio B y el dominio B confa en el dominio C,
el dominio A tambin confa en el dominio C an cuando no tenga una
relacin de confianza directa con l.
Instalacin y configuracin

2. Relaciones de dos vas: una relacin de dos vas establece que la

relacin de confianza es vlida en los dos sentidos. Esto quiere decir
que si el dominio A confa en el dominio B, el dominio B tambin confa
en el dominio A.
Por defecto, cuando se crean los dominios, se establece entre ellos una
relacin de confianza transitiva de dos vas.
Esto permite que se puedan compartir recursos entre todos los dominios de
Active Directory mientras el usuario solo se identifica en su propio dominio.
Todos los rboles enlazados por relaciones de confianza forman un bosque.
Un bosque es uno o ms rboles. Los rboles en un bosque no comparten un
espacio de nombres contiguo, un ejemplo podra ser dominio1.com y
curso2008.com. Sin embargo todos los rboles en un bosque comparten un
esquema comn y el catlogo global.
Un nico rbol no relacionado con otros rboles constituye un bosque de un nico
rbol. As pues, el dominio raz del rbol tiene una relacin de confianza transitiva
con el dominio raz del bosque. El nombre del dominio raz del bosque es utilizado
para dar nombre al bosque.
Cada rbol en un bosque tiene su propio espacio de nombres, por ejemplo,
dominio1.com y curso2008.com podran ser los dominios raz de dos rboles
distintos en un bosque. Estos dominios aunque no comparten el espacio de
nombres al pertenecer al mismo bosque de Active Directory pueden compartir
recursos y tareas administrativas.

El catalogo global
El catlogo global es un repositorio de informacin que contiene un subconjunto de
los atributos de todos los objetos en Active Directory. Por defecto, los atributos que
se guardan en el catlogo global son aquellos que ms frecuentemente son usados
en las consultas al Active Directory como el primer nombre del usuario, el apellido y
el nombre con el que se identifica en la red (logon).
El catlogo global contiene la informacin que es necesaria para determinar la
ubicacin de cualquier objeto en Active Directory.
El catlogo global permite a los usuarios realizar dos funciones importantes:
Encontrar en Active Directory toda la informacin relativa al bosque, sin
importar donde est ubicado el dato a buscar.
Usar la informacin de pertenencia a grupos universales para identificarse en
la red.
Instalacin y configuracin

Un servidor de catlogo global es un controlador de dominio que almacena una

copia de las consultas y procesos relativos al catlogo global. El primer controlador
de dominio que creamos en Active Directory automticamente se convierte en
servidor de catlogo global. Posteriormente podemos configurar
ms para realizar balanceo de carga en los procesos de
consultas y autenticacin de los usuarios.
El catlogo global hace que la estructura del Active Directory
sea transparente a los usuarios. Por ejemplo, podramos
buscar cualquier objeto en el bosque entero y el catlogo
global nos devolver el resultado de la consulta sin importar
su ubicacin. De otro modo, la consulta se tendra que realizar
dominio a dominio.
El catlogo global tambin almacena los permisos que los usuarios
tienen sobre los objetos de manera que si un usuario no tiene permisos sobre un
objeto no le ser mostrado en ninguna bsqueda. De esta manera, un usuario solo
podr encontrar objetos para los que tenga permisos.

La estructura fsica de Active Directory

Las estructuras lgica y fsica de Active Directory se separan dadas las diferentes
caractersticas y funciones de cada una. La estructura lgica se utiliza para
organizar los recursos de la red mientras que la estructura fsica se utiliza para
administrar y configurar el trfico de la red.
La estructura fsica de Active Directory la componen dos elementos concretos:
Controladores de dominio: un controlador de dominio es un servidor con
un sistema operativo Windows Server que almacena una rplica del Active
Directory. Un controlador de dominio tambin gestiona los cambios que se
realizan en l y replica estos cambios al resto de controladores de dominio
de su dominio. Los controladores de dominio almacenan datos del directorio
y administran los procesos de logon y autenticacin de los usuarios y las
consultas.
Los controladores de dominio replican de forma automtica los cambios que
se producen en la base de datos del Active Directory al resto de
controladores de dominio intercambindose entre s todas las
actualizaciones, asegurando de esta manera que todos ellos tienen en todo
momento toda la informacin para ofrecrsela a los servidores y usuarios.
La estructura fsica de Active Directory determina cuando y como se realiza
esta replicacin.
De forma general todos los controladores de dominio son de lectura y
escritura, es decir, todos pueden ser consultados y actualizados, aunque hoy
en da existe una variedad que son los controladores de dominio de solo
lectura (RODC Read Only Domain Controller).
Instalacin y configuracin

Hay algunas tareas de Active Directory que no se puede realizar en todos los
controladores de dominio ya que podran intentar hacerse en varios
controladores de dominio al mismo tiempo y provocar conflictos en
operaciones esenciales. Por ello hay tareas asignadas a controladores de
dominio especficos, llamados maestros de operaciones. Un maestro de
operaciones es un controlador de dominio que tiene asignada una o ms de
estas tareas en un dominio o bosque de Active Directory. Estos
controladores de dominio realizan tareas como aadir o eliminar un dominio
a un bosque, algo que no est permitido que se realice en diferentes
controladores de dominio al mismo tiempo.
Sitios: un sitio consiste de una o ms subredes IP que estn conectadas por
enlaces de alta velocidad, como Ethernet a 100 Mb o 1 Gb. Si creamos
sitios tenemos la posibilidad de configurar la topologa de replicacin de
Active Directory para que los controladores de dominio utilicen de una
manera ms eficiente los enlaces de conexin as como programar cuando y
como se realizar la replicacin.
Creamos sitios por dos razones principales:
1. Optimizar el trfico de replicacin.
2. Permitir a los usuarios que se conecten a un controlador de dominio
usando enlaces confiables y de alta velocidad.
Los sitios definen la estructura fsica de la red al igual que los dominios
definen la estructura lgica de la misma. Las estructura fsica y lgica son
independientes una de la otra por lo que:
No es necesario que exista ningn tipo de relacin entre la estructura
fsica y la estructura lgica.
Active Directory permite mltiples dominios en un nico sitio y
mltiples sitios en un nico dominio.
No es necesaria ninguna relacin entre los espacios de nombres de
los sitios y los dominios.

Active Directory y DNS

La integracin de Active Directory con el DNS es un elemento clave en las redes
Windows. Tanto DNS como Active Directory utilizan la misma estructura de
nombres jerrquica y tanto los dominios como las mquinas son representados
como objetos en Active Directory y como dominios DNS y registros de recursos en
el DNS.
El resultado de la integracin es que los clientes de una red Windows utilizan el
DNS para localizar servidores que suministran servicios relativos al Active Directory,
como los controladores de dominio o de correo, o para realizar las bsquedas de
recursos de red.

Instalacin y configuracin

Adems, las zonas DNS pueden integrarse en Active Directory de tal manera que la
replicacin de las mismas se realiza dentro del proceso de replicacin de Active
Directory. Por otro lado, proporciona ms seguridad al permitir nicamente que
actualicen las zonas DNS aquellos clientes que se han autenticado correctamente.
Por todo ello se necesita que exista una infraestructura DNS adecuada cuando
pretendemos instalar Active Directory.
Una vez instalado Active Directory, como ya hemos comentado, los dominios y las
mquinas son representados como objetos en Active Directory y como registros de
recursos en el DNS. Por tanto, el nombre de host DNS de una mquina es el mismo
que se usa para una cuenta de mquina en el Active Directory.
El nombre de mquina es el nombre distinguido relativo del objeto en Active
Directory. El nombre de dominio DNS, conocido como sufijo DNS primario es
tambin el mismo nombre del dominio Active Directory en el cual se ha integrado la
mquina. Esto quiere decir que una mquina es representada con el mismo nombre
tanto
en
el
DNS
como
en
Active
Directory.
Un
ejemplo
sera
maquina1.dominio1.com (FQDN).
Para que los clientes puedan encontrar a los servidores que ofrecen un servicio de
Active Directory determinado, cada vez que un servidor con Active Directory
instalado (controlador de dominio) se inicia, se registra en el DNS y anuncia todos
los servicios que ofrece para cada uno de los cuales se crea un registro de recurso
SRV.
DNS debe ofrecer soporte para los registros de recurso SRV. Estos registros de
recursos apuntan al nombre de mquina DNS que alberga el servicio en cuestin,
que ser resuelto a una direccin IP a travs del registro A del DNS.
Cuando se instala el servicio DNS por primera vez carece de este tipo de registros y
conforme se van aadiendo a la red servidores con Active Directory instalado, cada
servidor aade los registros necesarios para ofrecer todos sus servicios a la red.
Si buscamos entre los diferentes registros creados una vez que se han registrado
en DNS uno o ms servidores controladores de dominio encontraremos registros
cuyo nombre, en parte, nos indica el servicio que se ofrece a travs de l, como por
ejemplo:
Kerberos_tcp: los servicios con esta parte de nombre permiten a una
mquina localizar a un servidor capaz de autenticarle
Gc._tcp: este tipo de servicio permite encontrar un servidor que sea
Catlogo global.
dc: servicios con esta clave en su nombre identifican a un controlador de
dominio (Domain Controller).

Instalacin y configuracin

10

Consola de un servidor DNS con registros SRV de Active Directory

Los maestros de operaciones

Como ya hemos visto anteriormente, Active Directory permite la replicacin de
igual a igual de los cambios en el Active Directory entre todos los controladores de
dominio del dominio. Esto quiere decir que cualquier tipo de cambio podra
producirse en dos controladores de dominio al mismo tiempo, ya que todos ellos
son de lectura y escritura y ninguna manda sobre otro, lo que podra producir
conflictos si se intenta actualizar el mismo dato en dos controladores de dominio al
mismo tiempo.
Para evitar estas posibles situaciones, ciertas operaciones especialmente
importantes no estn permitidas que funcionen de esta manera, no permitiendo
que se realicen en diferentes sitios al mismo tiempo. Para ello se hace responsable
de esas operaciones a un controlador de dominio determinado.
Estas operaciones han sido agrupadas en lo que se ha dado a llamar Roles dentro
del bosque o Roles dentro del dominio. Estos roles se denominan roles de maestro
de operaciones. Para cada Rol de maestro de operaciones solo un controlador de
dominio especificado puede hacer los cambios necesarios.

Instalacin y configuracin

11

El controlador de dominio responsable es llamado Maestro de operaciones para ese

rol. Active Directory almacena la informacin sobre los controladores de dominio
que son Maestros de operaciones para los diferentes roles de dominio y del bosque.
Cualquier controlador de dominio puede ser Maestro de operaciones para un rol y
los roles pueden ser traspasados de un controlador de dominio a otro en cualquier
momento, incluso cuando el servidor que tiene uno de los roles no est disponible.
En Active Directory hay definidos cinco Roles de maestro de operaciones:
Maestro de esquema: controla todas las modificaciones realizadas en el
esquema. El esquema contiene una lista maestra de todas las clases de
objetos y atributos que son usadas para crear objetos como los usuarios,
mquinas e impresoras en Active Directory.
Solo el controlador de dominio que tiene este rol puede realizar
modificaciones en el esquema. Despus, este controlador de dominio replica
todas las modificaciones al resto de controladores de dominio del bosque. De
esta manera evitamos que puedan surgir conflictos si varios controladores
de dominio intentan hacer cambios al mismo tiempo. Solo los usuarios que
pertenezcan al grupo de Active Directory Administradores de Esquema
pueden realizar modificaciones en el esquema.
Solo hay un maestro de esquema en todo el bosque, ya que todos los
dominios y subdominios en un bosque comparten un esquema comn.
Maestro de nomenclatura de dominios: controla el aadido y eliminacin
de dominios en el bosque. Por tanto, solo hay uno en todo el bosque. Es as
ya que se encarga de controlar que no se creen dos dominios con el mismo
nombre dentro del mismo bosque.
Cuando aadimos un nuevo dominio solo el controlador de dominio que tiene
este rol tiene los permisos necesarios para aadirlo. Cuando ejecutamos el
asistente de instalacin de Active Directory para aadir un dominio a un
rbol y bosque ya existentes, el servidor contacta con el Maestro de
nomenclatura de dominios y hace una peticin para aadir el dominio (o
para quitarlo si es el caso). Entonces el Maestro de nomenclatura de
dominios se asegura que el nombre propuesto no existe ya en el bosque. Si
el Maestro de nomenclatura de dominios no est disponible no podemos
aadir dominios al bosque.
El controlador de dominio que es Maestro de nomenclatura de dominio debe
ser tambin un servidor de Catlogo global. Cuando el Maestro de
nomenclatura de dominios crea un objeto que representa al nuevo dominio
verifica consultando al servidor de catlogo global que ningn otro objeto,
incluyendo los objetos de dominio, tienen ya ese mismo nombre. Debido a
esta consulta el rol de Maestro de nomenclatura de dominio y el catlogo
global deben estar juntos en el mismo servidor.
Emulador de PDC: el emulador de PDC acta como un servidor PDC
(Primary domain controller) de Windows NT para soportar cualquier servidor
BDC (Backup domain controller) que ejecute Windows NT dentro de un
dominio en modo mixto

Instalacin y configuracin

12

El emulador de PDC realiza las siguientes funciones:

1. Acta como un PDC para cualquier existente BDC.
Si un dominio contiene servidores BDC o clientes anteriores a Windows
2000 este servidor funciona como un servidor PDC de Windows NT. El
emulador de PDC sirve a los clientes anteriores a Windows 2000 y
replica los cambios en el directorio a cualquier BDC ejecutando
Windows NT.
2. Administra los cambios de contraseas en mquinas anteriores a
Windows 2000 y que es necesario escribir en el Active Directory, ya
que este tipo de mquinas no lo soportan.
3. Minimiza la latencia de replicacin de los cambios de contraseas.
Cuando se realiza un cambio de contrasea en un controlador de
dominio, este replica el cambio al resto de controladores de dominio,
sin embargo, este proceso lleva un tiempo. Si durante este tiempo un
usuario intenta acceder y la autenticacin falla, el controlador de
dominio al que est intentando conectarse el usuario contactar con el
emulador de PDC para comprobar la contrasea antes de rechazar la
conexin.
4. Sincroniza la hora de todos los controladores de dominio del dominio
a su hora.
5. Evita la posibilidad de conflictos en los objetos de directiva de
grupo.
Por defecto, la consola de directiva de grupo se ejecuta en este
controlador de dominio, de manera que todos los cambios se realizan
en l, evitando as potenciales conflictos en la configuracin de las
directivas de grupo (GPO).
Maestro RID: el Maestro de identificativos relativos (RID Relative
IDentifier) asigna bloques de RID a cada uno de los controladores de
dominio del dominio. Cuando un controlador de dominio crea un nuevo
objeto como un usuario, grupo o cuenta de mquina asigna al objeto un
Identificador de seguridad nico (SID Security IDentifier). El SID consiste
en un SID de dominio, el cual es el mismo para todos los objetos creados en
el dominio y un RID, el cual es nico para cada objeto creado en el dominio.
Como todos los controladores de dominio en un dominio pueden crear
objetos como usuarios, grupos y mquinas, todos disponen de un grupo de
RID disponibles asignados por el Maestro RID para asignar a los objetos que
crean. Cuando este grupo de RID se ha terminado, el controlador de dominio
debe ponerse en contacto con el Maestro RID para pedirle otro grupo de RID
para asignar cuando deba crear ms objetos.
Si el Maestro RID no est disponible no se pueden crear ms objetos en ese
controlador de dominio.
Cuando se mueven objetos de un dominio a otro, el Maestro RID es el
encargado de gestionarlo para evitar posibles conflictos, borrando el objeto
en el dominio actual.
Instalacin y configuracin

13

Maestro de infraestructura: el Maestro de infraestructura es utilizado

para actualizar las referencias a un objeto en el dominio del Maestro de
infraestructura que apuntan al objeto en si mismo que est ubicado en otro
dominio.
La referencia al objeto consiste en identificador nico global (GUID Global
Unique Identifier, un nombre distinguido y un SID. El nombre distinguido y
el SID en la referencia del objeto son peridicamente actualizados para
reflejar cambios hechos al objeto en s mismo en su dominio. Estos cambios
incluyen el movimiento del objeto dentro de su dominio o a otro dominio y el
borrado del mismo.
Si el SID o el nombre distinguido cambia en cuentas de usuario o grupos en
otros dominios, la pertenencia a grupos para un grupo en el dominio del
Maestro de infraestructura que hace referencia usuario o grupo modificado
necesita ser actualizado. El Maestro de infraestructura para el dominio en el
cual el grupo o referencia est ubicado es el responsable de realizar la
actualizacin, la cual distribuye a travs de la replicacin habitual del Active
Directory.
El maestro de infraestructura actualiza la identificacin del objeto siguiendo
las siguientes normas:
1. Si el objeto cambia completamente de ubicacin su nombre distinguido
cambiar porque representa la ubicacin exacta del objeto en Active
Directory.
2. Si el objeto es movido dentro del mismo dominio, el SID sigue siendo
el mismo.
3. Si el objeto es movido a otro dominio, el SID cambia para incorporar el
SID del nuevo dominio
4. El GUID no cambia aunque cambie la ubicacin ya que es nico a nivel
de bosque.
Si tenemos un bosque con un nico dominio, el Maestro de infraestructura
no es necesario ya que no hay referencias externas (de otros dominios) para
actualizar.
El Maestro de infraestructura no debe estar en el mismo controlador de
dominio que tiene la funcin de Catlogo global. Si el Maestro de
infraestructura y el catlogo global estn en el mismo controlador de
dominio, el Maestro de infraestructura no funcionar porque no contiene
ninguna referencia a objetos que no almacena. En este caso, los datos de
rplica del dominio y el servidor de catlogo global no pueden existir en el
mismo controlador de dominio.
El Maestro de infraestructura de un dominio peridicamente examina las
referencias, dentro de su rplica de los datos del directorio, a objetos no
almacenados en ese controlador de dominio. Consulta al catlogo global
para conseguir la informacin actualizada sobre el nombre distinguido y el
SID de cada objeto referenciado. Si esta informacin ha cambiado, el
Maestro de infraestructura realiza el cambio en su rplica local. Estos
Instalacin y configuracin

14

cambios son replicados al resto de controladores de dominio del dominio

usando la replicacin normal.
Para determinar que controladores de dominio son los diferentes Maestros de
operaciones y cambiarlos si es necesario usamos diferentes consolas de
administracin:
Para Maestro RID, Emulador de PDC y Maestro de Infraestructura usamos la
consola Usuarios y Equipos de Active Directory y hacemos clic en Maestros
de Operaciones al que llegamos a travs del botn derecho del ratn sobre
el nombre del dominio.
Para el Maestro de Nomenclatura de dominios usamos la consola Dominios y
confianzas de Active Directory y hacemos clic en Maestros de Operaciones al
que llegamos a travs del botn derecho del ratn sobre el nombre de la
consola.
Para el Maestro de Esquema es algo diferente. Lo primero que tenemos que
hacer es registrar la consola de administracin del Esquema ejecutando el
siguiente comando:
Regsvr32.exe %systemroot%\system32\schmmgmt.dll
Una vez hecho abrimos una consola nueva personalizada con el comando mmc y
aadimos el complemento del Esquema a la consola y hacemos clic en Maestros de
Operaciones al que llegamos a travs del botn derecho del ratn sobre el nombre
de la consola.

Instalacin y configuracin

15

Instalacin y configuracin

16

Leccin 2
Administracin de Active Directory

Creacin de un dominio
Un dominio se crea cuando instalamos Active Directory por primera vez en un
servidor Windows.
Cuando ejecutamos el asistente de instalacin de Active Directory una de las
primeras cosas que nos pregunta es qu tipo de dominio vamos a crear
exactamente en base a la estructura ya existente.
Tenemos varias opciones:
1. Tipo de controlador de dominio: si creamos un controlador de dominio
para un nuevo dominio, lo que lo convertir en el principal del nuevo
dominio y crear el dominio o es un controlador de dominio adicional para
un dominio ya existente. En este caso no creamos dominios nuevos, solo
creamos al propio controlador de dominio.
2. Nuevo rbol o dominio hijo: si hemos elegido crear un nuevo dominio, en
esta opcin nos pregunta si vamos a crear un nuevo rbol en el bosque o va
a ser un dominio hijo que cuelgue de un rbol ya existente.
3. Nuevo bosque o integrar en un bosque existente: si hemos
seleccionado Crear un nuevo rbol, aqu se nos preguntar si creamos un
nuevo bosque o si el nuevo rbol va a pertenecer a un bosque ya existente.
Posteriormente tenemos que facilitar el nombre DNS y el nombre Netbios del nuevo
dominio si estamos creando uno.
Con estos paso en cada creacin de un nuevo controlador de dominio vamos
construyendo nuestra estructura jerrquica de Active Directory, al mismo tiempo
que establecemos el nmero de controladores de dominio de los que dispondr
cada dominio.
Para que todas las instalaciones sean satisfactorias debemos estar seguros de que
la configuracin de nuestra red as como del propio servidor donde instalamos
Active Directory es correcta, ya que si algo no est bien tenemos unas
probabilidades muy altas de que falle la instalacin.
Debemos estar seguros que los valores de configuracin TCP/IP, del DNS y las
credenciales utilizadas para la instalacin son los adecuados.

Instalacin y configuracin

17

Una vez concluida la instalacin de Active Directory hay algunas tareas de

verificacin de debemos realizar para comprobar que todo se ha hecho
correctamente.
Estas tareas incluyen:
1. Verificar los registros de recursos SRV: la instalacin de Active Directory
crea numerosos registros de recursos SRV en el DNS, como ya hemos
comentado previamente. Estos registros de recursos permiten a los clientes
localizar los servidores que ofrecen ciertos servicios de Active Directory.
Debemos comprobar en el DNS que todos estos registros se han creado
correctamente.
2. Verificar las carpetas SYSVOL: durante la instalacin se crea la carpeta
SYSVOL en la ruta %systemroot%\sysvol. Esta carpeta contiene varias
carpetas de sistema utilizadas por Active Directory. Tambin se crean dos
recursos compartidos llamados NETLOGON y SYSVOL. Si alguno de estos
recursos compartidos no se crea o se crea mal el dominio no funcionar
correctamente ya que utilizan para el proceso de Logon de los usuarios.
3. Verificar los archivos de base de datos y log de Active Directory:
active Directory almacena toda su informacin en una base de datos llamada
ntds.dit ubicada en la ruta %systemroot%\ntds. En esta misma ruta deben
haberse creado tambin los archivos de log.
4. Por ltimo
error que
Podramos
servicio de

debemos verificar el Visor de sucesos en busca de cualquier

se haya podido producir y registrar durante la instalacin.
encontrar errores en los eventos del sistema, del DNS y del
directorio.

Una vez hemos terminado las verificaciones oportunas, ya tenemos nuestro

dominio creado y operativo. Sin embargo nos queda una tarea importante:
comprobar y cambiar si lo deseamos el Nivel funcional del dominio.
La funcionalidad disponible en un dominio Active Directory o en el bosque depende
de su nivel funcional. El nivel funcional es una configuracin que habilita
caractersticas avanzadas de AD DS a nivel de dominio o bosque. Hay tres niveles
funcionales de dominio que son Windows 2000 nativo, Windows Server 2003 y
Windows Server 2008 y dos niveles funcionales de bosque, Windows Server 2003 y
Windows Server 2008. Cuando elevamos el nivel funcional del dominio las
caractersticas que aade la nueva versin de Windows estn disponibles en AD DS.
Con Windows Server 2008, cuando elevamos el nivel funcional a Windows Server
2008 se aade la caracterstica que agrega un nuevo atributo que permite ver la
ltima hora a la que un usuario se conect en una mquina, la mquina en la que
se conect y el nmero de intentos fallidos de conexin desde la ltima conexin
satisfactoria.
En cualquier caso, lo principal que debemos saber sobre el nivel funcional es que
establece que versiones de Windows en los controladores de dominio estn
permitidas. Antes de elevar el nivel funcional de dominio a Windows Server 2008
debemos estar seguros que todos los controladores de dominio son Windows Server
2008. Funciona igual para las versiones anteriores de Windows.

Instalacin y configuracin

18

Publicacin de recursos
La publicacin significa crear objetos en Active Directory que contienen la
informacin que queremos hacer disponible a los usuarios
o que tienen una referencia a la misma.
Por ejemplo, podemos crear un objeto Carpeta compartida
que apunta a una carpeta compartida real que puede estar
en cualquier servidor de la red. Una vez hecho los usuarios
pueden realizar bsquedas en el Active Directory para
encontrar carpetas compartidas en la red, siendo
transparente al usuario la ubicacin de la misma. Esto
mismo nos sirve, por ejemplo, para impresoras. A travs
de la publicacin tambin podemos encontrar informacin adicional de usuarios y
mquinas.
La publicacin permite que estn siempre disponibles a los usuarios los recursos
que se publican aunque cambien de ubicacin, ya que basta con actualizar los
objetos de Active Directory para que apunten a la nueva ubicacin.
La publicacin de objetos se realiza de forma automtica cuando se crean en Active
Directory por lo que nada ms crearlos pueden ser localizados a travs de las
bsquedas. Algunos objetos como las impresoras permiten, en sus propiedades,
seleccionar si deben publicarse o no.
En todos los objetos existe la posibilidad de configurar permisos (al igual que se
hace sobre las carpetas y archivos en el disco) para los usuarios, para establecer si
se les permite o no ver y usar un objeto. Cuando un usuario no tiene permisos
sobre un objeto, este objeto no le aparecer en ninguna de sus bsquedas.
Tenemos que diferenciar bien los objetos publicados en Active Directory de los
recursos compartidos. En ambos podemos especificar permisos pero cada uno tiene
los suyos de manera que un usuario puede tener permisos sobre el objeto
publicado y por tanto lo encontrar en las bsquedas y sin embargo no tener
permisos sobre el recurso compartido con lo que aunque pueda encontrarlo a
travs de las bsquedas en Active Directory cuando intente acceder al recurso
compartido se le denegar al acceso.

Delegar el control administrativo

En Active Directory tenemos la posibilidad de crear un tipo de objeto denominado
Unidad Organizativa.
Las unidades organizativas nos permiten realizar varias funciones. La ms bsica es
la organizacin de los objetos en Active Directory ya que podemos crear tantas
como necesitemos y darles los nombres ms adecuados para identificar para que
las estamos usando.

Instalacin y configuracin

19

Sin embargo las dos funciones principales de las unidades organizativas son las
siguientes:
1. Aplicar directivas de grupo a los objetos: las directivas de grupo sirven
para aplicar parmetros de seguridad y de gestin del dominio a los objetos
que estn dentro de cada unidad organizativa. Este tema lo veremos en un
captulo posterior.
2. Delegar el control administrativo: podemos delegar ciertas o todas las
tareas administrativas sobre los objetos que queramos creando una unidad
organizativa y metiendo en ella los objetos para los que deseemos delegar el
control administrativo. Despus, con un asistente de configuracin podemos
establecer que usuarios podrn realizar las tareas administrativas y qu
exactamente, que puede ir desde realizar solo el reseteo de contraseas
hasta el control total de todos los objetos.

La replicacin de Active Directory

La replicacin es el proceso por el cual un controlador de dominio transfiere al resto
de controladores de dominio del dominio todas las actualizaciones que se han
realizado en l en Active Directory.
Esta replicacin se realiza automticamente entre todos los controladores de
dominio que se encuentran encendidos y conectados, de forma peridica en un
intervalo de tiempo especificado.
Como la informacin de Active Directory es a nivel dominio, los controladores de
dominio solo replican con el resto de controladores de dominio de su propio
dominio. No lo harn con otros controladores de dominio de otros dominios an
cuando pertenezcan al mismo rbol o bosque.
El trfico provocado por la replicacin de Active Directory es intenso y consume un
ancho de banda importante. Esto no es problema dentro de una red local ya sea
una red Ethernet a 100 Mb a 1 Gb ya que el ancho de banda interno es ms que
suficiente. Sin embargo, si el trfico de replicacin debe atravesar enlaces lentos
podra llegar a saturar y bloquear el enlace, ralentizando e exceso o incluso
bloqueando el trfico de otras aplicaciones o servicios.
Para solucionar este problema, creamos
Sitios en Active Directory a travs de la
consola Sitios y Servicios de Active Directory.
Por defecto, cuando se crea un dominio con
la primera instalacin de Active Directory, se
crea un sitio por defecto denominado Primersitio-predeterminado, sitio en el que, salvo
que creemos nuevos sitios, Active Directory
entiende que estn ubicados todos los
equipos del dominio o dominios si hay
varios.
Instalacin y configuracin

20

Si efectivamente todos los controladores de dominio estn en la misma ubicacin

geogrfica no hay problema con que la replicacin se haga en cualquier momento
en el intervalo establecido. Sin embargo si los controladores de dominio estn
ubicados en distintas localizaciones geogrficas y conectados por enlaces lentos, si
la replicacin se realiza en horas de trabajo y en cada intervalo especificado podra
llegar a paralizarnos la red.
En este caso debemos crear un sitio para cada ubicacin geogrfica. Una vez
creados los sitios, estos nos permiten configurar cuando y como se realizar la
replicacin. Podemos establecer a qu hora se realiza, recomendable por la noche o
en horas de bajo uso de los enlaces lentos y cada cuanto tiempo se realizar
evitando as que afecte al trfico del resto de aplicaciones, servicios y usuarios.

Mantenimiento de la base de datos de Active Directory

La informacin de Active Directory se almacena en una base de datos de la que
tenemos que realizar el adecuado mantenimiento para evitar la prdida de datos y
rendimiento. Podemos realizar varias acciones:
1. Realizar y restaurar una copia de seguridad de la base de datos que
realizaremos con la utilidad de backup de Windows Server eligiendo el
System State Data.
2. Mover la base de datos a otra ubicacin. Este proceso desfragmentar la
base de datos. Como no se borra la base de datos original se puede utilizar
en caso de problemas con la base de datos desfragmentada Igualmente es
una solucin si nos quedamos sin espacio en el disco actual
3. Desfragmentar la base de datos. Las actualizaciones hacen que el uso del
espacio sea ineficiente. La desfragmentacin puede disminuir el tamao de
la base de datos.

Instalacin y configuracin

21

Leccin 3
Active Directory y Windows Server 2008
Active Directory incorpora en Windows Server 2008 nuevas tecnologas y
funcionalidades.
En Windows Server 2008 las tecnologas que abarca la solucin completa de Active
Directory son las siguientes:
Active Directory Domain Services AD DS - (Identity) (Servicios de
dominio de Active Directory): provee un repositorio central para la
gestin autenticacin y la seguridad. Provee servicios de autenticacin y
autorizacin en la rd y soporta la administracin de objetos a travs de las
directivas de grupo. Tambin provee gestin de la informacin y servicios
compartidos, habilitando a los usuarios para encontrar cualquier
componente del directorio como servidores de archivos, impresoras, grupos
y usuarios realizando bsquedas en el mismo.
Es la tecnologa primaria de Active Directory y debe ser instalada en
cualquier red que ejecute sistemas operativos Windows Server 2008.
Active Directory Lightweight Directory Services AD LDS (Applications): bsicamente es una versin independiente de Active
Directory. En Windows 2003 era conocida como Active Directory Application
Mode (ADAM) (Modo de aplicacin de Active Directory) y su funcin es
proveer soporte para las aplicaciones habilitadas para usar Active Directory.
AD LDS es realmente un subconjunto de AD DS, ya que ambos estn
basados en el mismo ncleo. AD LDS solo almacena y replica informacin
relativa a las aplicaciones. Es utilizado por las aplicaciones que necesitan
almacenar informacin en Active Directory pero no necesitan que se replique
a todos los controladores de dominio. Tambin permite la utilizacin de un
esquema personalizado para ser modificado por las aplicaciones sin
actualizar el esquema principal del AD DS. Igualmente posibilita que cada
aplicacin tenga su configuracin personalizada.
AD LDS puede funcionar en entornos independientes o de grupo de trabajo.
Sin embargo, en entornos de dominio puede usar AD DS para temas de
autenticacin de usuarios, grupos y mquinas.
AD LDS tambin puede utilizarse para proveer autenticacin en entornos no
seguros como extranets. En esta situacin tiene menos riesgo que AD DS.
Active Directory Certificate Services AD
CS - (Trust) (Servicios de certificados de
Active Directory): las empresas pueden
utilizar los Servicios de Certificados para crear y
configurar una autoridad certificadora para
suministrar certificados digitales como parte de
una infraestructura de clave pblica (PKY) que
enlaza la identidad de una persona, dispositivo
o servicio a su correspondiente clave privada.

Instalacin y configuracin

22

Los certificados pueden ser usados para autenticar usuarios y mquinas,

proveer autenticacin Web, soportar la autenticacin con Tarjetas
inteligentes (SmartCard) y soportar aplicaciones que incluyen redes wireless
seguras, redes privadas virtuales (VPN), protocolo IP seguro (IPsec),
sistema de ficheros encriptado (EFS), firmas digitales, etc. AD CS provee
una forma segura de suministrar y gestionar certificados. Podemos utilizar
AD CS para ofrecer servicios a colaboradores externos, en cuyo caso habra
que configurar AD CS para que utilice una autoridad certificadora conocida
que probar nuestra identidad en el exterior. AD CS sirve para proporcionar
confianza donde no la hay verificando la identidad de los participantes en
una determinada comunicacin. En la red interna puede usarse para
suministrar certificados automticamente a usuarios y mquinas.
Active Directory Rights Management Services AD RMS (Integrity): aunque un servidor que ejecuta Windows controla el acceso a
los archivos a travs de los permisos de seguridad, no se controla que pasa
con la informacin contenida en los mismos una vez que se han abierto. AD
RMS es una tecnologa que permite implementar unas plantillas de
seguridad permanentes que definen lo que se puede hacer o no con el
contenido de un archivo en funcin de si hay conexin con ellos, si se
trabaja sin conexin o si estn detrs o delante de un firewall. Estas
plantillas se pueden configurar para especificar, por ejemplo, si un usuario
puede abrir y leer el fichero pero no imprimirlo o copiar su contenido. De
esta manera se protege la integridad del documento y los derechos de autor
y en general todo el contenido generado por las empresas.
Requiere un dominio Windows 2000 o posterior, IIS, una base de datos SQL
Server y un navegador o aplicacin que soporte RMS como Internet
Explorer, MS Word, Outlook o PowerPoint. AD RMS puede usar AD CS para
incluir certificados en los archivos o AD DS para gestionar los permisos de
acceso.
Active Directory Federation Services AD FS - (Partnership)
(Servicios de federacin de Active Directory): AD FS permite extender
las posibilidades de todas las tecnologas de Active Directory a plataformas
que incluyen tanto entornos Windows como No-Windows y proteger la
identidad y los permisos de acceso cuando se comparte entornos seguros
con empresas colaboradoras. Cada organizacin gestiona su propia
seguridad pero puede aceptar identidades de las otras organizaciones. Los
usuarios se autentican en su red pero tienen acceso a los recursos de las
otras redes, debido al proceso de autenticacin nica.
AD FS soporta colaboradores externos ya que permite compartir
aplicaciones de extranet al tiempo que utiliza AD DS para el proceso de
autenticacin. Para ello utiliza los protocolos HTTP Y HTTPS y normalmente
se instala en el permetro de la red. AD FS puede utilizar AD CS para
configurar servidores seguros y AD RMS para proveer proteccin externa de
los documentos propios.

Instalacin y configuracin

23