Documente Academic
Documente Profesional
Documente Cultură
Estndares relacionados
A diferencia de su antecesor NT 4.0, Windows 2003 proporciona
compatibilidad con un buen nmero de protocolos y estndares existentes,
ofreciendo interfaces de programacin de aplicaciones que facilitan la
comunicacin con otros servicios de directorio. Entre ellos, podemos
destacar los siguientes:
Estructura lgica
La estructura lgica del Directorio Activo se centra en la administracin de
los recursos de la red organizativa, independientemente de la ubicacin
fsica de dichos recursos, y de la topologa de las redes subyacentes. Como
veremos, la estructura lgica de la organizacin se basa en el concepto de
Dominios
La unidad central de la estructura lgica del Directorio Activo es el dominio.
Un dominio es un conjunto de equipos que comparten una base de datos de
directorio comn. Dentro de una organizacin, el Directorio Activo se
compone de uno o ms dominios, cada uno de ellos soportado, al menos,
por un controlador de dominio. Como hemos visto, cada dominio se
identifica unvocamente por un nombre de dominio DNS, que debe ser el
sufijo DNS principal de todos los ordenadores miembros del dominio,
incluyendo el o los controladores.
El uso de dominios permite conseguir los siguientes objetivos:
Mltiples dominios
en la misma
organizacin
Existen muchos casos en los que es interesante disponer de varios dominios
de ordenadores Windows 2003 en la misma organizacin (distribucin
geogrfica o departamental, distintas empresas, etc.). El Directorio Activo
permite almacenar y organizar la informacin de directorio de varios
dominios de forma que, aunque la administracin de cada uno sea
independiente, dicha informacin est disponible para todos los dominios.
Segn los estndares de nombres DNS, los dominios de Active Directory se
crean dentro de una estructura de rbol invertida, con la raz en la parte
superior. Adems, esta jerarqua de dominios de Windows 2003 se basa en
relaciones de confianza, es decir, los dominios se vinculan por relaciones de
confianza entre dominios.
Cuando se instala el primer controlador de dominio en la organizacin se
crea lo que se denomina el dominio raz del bosque, el cual contiene la
configuracin y el esquema del bosque (compartido por todos los dominios
de la organizacin). Ms adelante, podemos agregar dominios como
subdominios de dicha raz (rbol de dominios) o bien crear otros dominios
"hermanos" de la raz (bosque de dominios), debajo del cual podemos
crear subdominios, y as sucesivamente.
Arbol
Un rbol es un conjunto de uno o ms dominios que comparten un
espacio de nombres contiguo. Si existe ms de un dominio, estos se
disponen en estructuras de rbol jerrquicas.
Niveles funcionales
La funcionalidad de los dominios de Windows 2003 es diferente de la que
tenan sistemas anteriores de la misma familia (Windows NT4 y Windows
2000). Tanto Windows 2000 como Windows 2003 pueden configurarse en
Por tanto, por defecto al crear un nuevo bosque, ste se sita en el nivel
funcional "Windows 2000", y al crear un nuevo dominio, ste se sita en el
nivel funcional "Windows 2000 mixto", manteniendo, en ambos casos, la
compatibilidad completa con sistemas anteriores.
Tanto a nivel de dominio como de bosque, la transicin entre niveles
funcionales slo es posible elevando el nivel actual, es decir, pasando a un
nivel con mayor funcionalidad (a excepcin de los niveles provisionales,
reservados para casos poco frecuentes). La elevacin de nivel funcional es,
por tanto, un paso irreversible, y slo debe hacerse cuando se est seguro
de que no van a aadirse sistemas anteriores como DCs al dominio, o al
bosque. La elevacin del nivel funcional de dominio o de bosque se realiza
desde la herramienta "Dominios y Confianzas de Active Directory".
Relaciones de
confianza
Unidades
Organizativas
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del
Directorio Activo que puede contener a otros objetos del directorio. Es decir,
es un contenedor de otros objetos, de forma anloga a una carpeta o
directorio en un sistema de archivos tradicional. En concreto, dentro de una
unidad de este tipo pueden crearse cuentas de usuario, de grupo, de
equipo, de recurso compartido, de impresora compartida, etc., adems de
Estructura fsica
En Active Directory, la estructura lgica est separada de la estructura
fsica. La estructura lgica se utiliza para organizar los recursos de red
mientras que la estructura fsica se utiliza para configurar y administrar el
trfico de red. En concreto, la estructura fsica de Active Directory se
compone de sitios y controladores de dominio.
La estructura fsica de Active Directory define dnde y cundo se producen
el trfico de replicacin y de inicio de sesin. Una buena comprensin de los
componentes fsicos de Active Directory permite optimizar el trfico de red y
el proceso de inicio de sesin, as como solventar problemas de replicacin.
Sitios
Un sitio es una combinacin de una o varias subredes IP que estn
conectadas por un vnculo de alta velocidad. Definir sitios permite configurar
la topologa de replicacin y acceso a Active Directory de forma que
Windows 2003 utilice los vnculos y programas ms efectivos para el trfico
de inicio de sesin y replicacin.
Normalmente los sitios se crean por dos razones principalmente:
Es decir, los sitios definen la estructura fsica de la red, mientras que los
dominios definen la estructura lgica de la organizacin.
Controladores de
dominio
Un controlador de dominio (Domain Controller, DC) es un equipo donde se
ejecuta Windows 2003 Server y que almacena una replica del directorio. Los
controladores de dominio ejecutan el servicio KDC, que es responsable de
autenticar inicios de sesin de usuario.
La informacin almacenada en cada controlador de dominio se divide en
tres categoras (particiones): dominio, esquema y datos de configuracin.
Estas particiones del directorio son las unidades de replicacin:
Funciones de los
controladores de
dominio
Las versiones anteriores de Windows NT Server usaban mltiples
controladores de dominio y slo se permita que uno de ellos actualizase la
base de datos del directorio. Este esquema de maestro nico exiga que
todos los cambios se replicasen desde el controlador de dominio principal
(Primary Domain Controller, PDC) a los controladores de dominio
secundarios o de reserva (Backup Domain Controllers, BDCs).
Servidor de catlogo
global
El catlogo global es un depsito de informacin que contiene un
subconjunto de atributos para todos los objetos de Active Directory
(particin de directorio de dominio). Los atributos que se almacenan en el
catlogo global son los que se utilizan con ms frecuencia en las consultas.
El catlogo global contiene la informacin necesaria para determinar la
ubicacin de cualquier objeto del directorio.
Un servidor de catlogo global es un controlador de dominio que almacena
una copia del catlogo y procesa las consultas al mismo. El primer
controlador de dominio que se crea en Active Directory es un servidor de
catlogo global. Se pueden configurar controladores de dominio adicionales
para que sean servidores de catlogo global con el fin de equilibrar el trfico
de autenticacin de inicios de sesin y la transferencia de consultas.
El catlogo global cumple dos funciones importantes en el directorio:
Operaciones de
maestro nico
Un maestro de operaciones es un controlador de dominio al que se le ha
asignado una o varias funciones de maestro nico en un dominio o bosque
de Active Directory. Los controladores de dominio a los que se les asignan
Usuarios globales
En la administracin de sistemas Windows 2003 independientes
(administracin local), se crean en los sistemas cuentas de usuario y de
grupo que sirven para:
1. identificar y autentificar a las personas (usuarios) que deben poder
acceder al sistema, y
2. administrar los permisos y derechos que permitirn aplicar el control
de acceso adecuado a dichos usuarios en el sistema.
Grupos
De forma anloga a los usuarios globales, existen grupos que son
almacenados en el Directorio Activo y que por tanto son visibles desde
todos los ordenadores del dominio (y, en algunos casos, tambin de otros
dominios del bosque). En el directorio pueden crearse dos tipos de grupos:
grupos de distribucin y grupos de seguridad. Los primeros se utilizan
exclusivamente para crear listas de distribucin de correo electrnico,
mientras que los segundos son los que se utilizan con fines administrativos.
Por este motivo, a partir de ahora nos referiremos exclusivamente a los
grupos de seguridad.
En concreto, en dominios Windows 2003 se definen tres clases de grupos de
seguridad (o, de forma ms precisa, se pueden definir grupos de tres
mbitos distintos):
Equipos
Como hemos visto, en el Directorio Activo de un dominio se conserva toda
la informacin relativa a cuentas de usuarios y grupos globales. Esta misma
base de datos de directoio recoge tambin una cuenta de equipo por cada
uno de los ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el
nombre del ordenador, as como un identificador nico y privado que lo
identifica unvocamente. Este identificador es anlogo al SID de cada cuenta
de usuario o grupo, y slo lo conocen los DCs y el propio ordenador
miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera
el administrador puede cambiarlo. Es precisamente este dato, propio de las
cuentas de usuario, grupo y equipo, lo que permite asignar permisos y
derechos en los sistemas a estos tres tipos de cuentas. Por este motivo, se
denominan principales de seguridad (security principals). Por tanto, la
asignacin de derechos y permisos (NTFS) a cuentas de equipo es posible,
pero se limita a situaciones muy poco frecuentes y est fuera del mbito de
este texto.
Windows 2003 puede utilizar distintos protocolos de comunicaciones
seguros entre los ordenadores miembro de un dominio y los DCs. Entre
ellos los ms importantes son NTLM (el protocolo utilizado por versiones
anteriores de Windows NT, que se mantiene por compatibilidad hacia atrs)
y Kerberos V5. Kerberos presenta numerosas ventajas respecto a NTLM,
pero slo es viable en la prctica si todas las mquinas del dominio son
Windows 2000, Windows XP o Windows Server 2003. Estos protocolos se
utilizan siempre que informacin relativa a aspectos de seguridad se
intercambia entre sistemas pertenecientes a algn dominio y, en concreto,
para autenticar usuarios (como se ha explicado arriba).
Unidades Organizativas
Como hemos visto en Unidades Organizativas, las unidades organizativas
son objetos del directorio que a su vez, pueden contener otros objetos. El
uso fundamental de las OUs es delegar la administracin de sus objetos a
otros usuarios distintos del administrador del dominio, y personalizar el
comportamiento de los usuarios y/o equipos mediante la aplicacin de
directivas de grupo (GPOs) especficas a la unidad.
Comparticin de recursos
Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o
dominio), puede compartir sus recursos con el resto de ordenadores. En
este contexto, slo vamos a considerar como recursos a compartir las
carpetas o directorios que existen en un sistema Windows. La comparticin
de otros recursos (tales como impresoras, por ejemplo) queda fuera del
mbito de este texto.
Permisos y derechos
Cualquier sistema Windows 2003 puede compartir carpetas, tanto si es un
servidor como si es una estacin de trabajo. Para poder compartir una
carpeta basta con desplegar su men contextual desde una ventana o
desde el explorador de archivos, y seleccionar Compartir.... En la ventana
asociada a esta opcin se determina el nombre que tendr el recurso (que
no tiene por qu coincidir con el nombre de la propia carpeta), as como qu
usuarios van a poder acceder al mismo. En relacin con esto, existe una
gran diferencia entre que el directorio resida en una particin FAT y que
resida en una NTFS.
Si la carpeta reside en una particin FAT, este filtro de acceso ser el nico
que determine los usuarios que van a poder acceder al contenido de la
2003 (C:, D:, etc.) se crea un recurso compartido denominado C$, D$,
etc. Los administradores del dominio, as como los operadores de
copia del domino, pueden conectarse por defecto a estas unidades.
net share
3.
4.
5.
6.
7.
8.
[nombre_dispositivo]
11.
[\\nombre_equipo\recurso_compartido[\volumen]]
12.
[contrasea | *]]
[/user:[nombre_dominio\]nombre_usuario]
13.
[/delete:{yes | no}]
[/persistent:{yes | no}]
Delegacin de la administracin
Para delegar, total o parcialmente, la administracin de una unidad
organizativa existe un asistente (wizard) que aparece cuando se selecciona
la accin Delegar el control... en el men contextual de la unidad
organizativa. Este asistente pregunta bsicamente los dos aspectos propios
de la delegacin: a quin se delega y qu se delega. La primera pregunta se
contesta o bien con un usuario o con un grupo (se recomienda un grupo).
Para responder a la segunda pregunta, se puede elegir una tarea
predefinida a delegar (de entre una lista de tareas frecuentes), o bien
podemos optar por construir una tarea personalizada. En este ltimo caso,
tenemos que especificar la tarea mediante un conjunto de permisos sobre
un cierto tipo de objetos del directorio. Esto se explica a continuacin.
Internamente, los derechos de administracin (o control) sobre un dominio
o unidad organizativa funcionan de forma muy similar a los permisos sobre
una carpeta o archivo: existe una DACL propia y otra heredada, que
contienen como entradas aquellos usuarios/grupos que tienen concedida (o
denegada) una cierta accin sobre la unidad organizativa o sobre su
contenido. En este caso, las acciones son las propias de la administracin de
objetos en el directorio (control total, creacin de objetos, modificacin de
objetos, consulta de objetos, etc.), donde los "objetos" son las entidades
que pueden ser creados dentro de la unidad: usuarios, grupos, unidades
organizativas, recursos, impresoras, etc.
En resumen, la delegacin de control sobre una unidad organizativa puede
hacerse de forma completa (ofreciendo el Control Total sobre la unidad) o
de forma parcial (permitiendo la lectura, modificacin y/o borrado de los
objetos de la misma). Hay que tener en cuenta que en el caso de la
delegacin parcial, el nmero de posibilidades es inmenso: por una parte,
se incluye la posibilidad de establecer el permiso sobre cada atributo de
cada tipo de objeto posible; por otra parte, se puede establecer a qu
unidades se va a aplicar la regla (slo en esa unidad organizativa, en todas
las que se sitan por debajo, en parte de ellas, etc.). Por tanto, para una
delegacin parcial se recomienda el uso del asistente, ya que su lista de
delegacin de tareas ms frecuentes (como por ejemplo "Crear, borrar y
administrar cuentas de usuario" o "Restablecer contraseas en cuentas de
usuario") resulta muy til. Sin embargo, cuando la delegacin que
buscamos no se encuentra en la lista, tendremos que disear una a medida,
asignando los permisos oportunos sobre los objetos del directorio que sean
necesarios.