Introducción al servicio de

directorio Microsoft Active

Directory

Contenido

Descripción general 1
Introducción a Active Directory 2
Estructura lógica de Active Directory 16
Estructura física de Active Directory 25
Introducción al servicio de directorio Microsoft Active Directory i

Notas para el instructor

El módulo presenta los conceptos del servicio de directorio Active Directory®
con sus estructuras lógica y física.
Después de completar este módulo, los alumnos serán capaces de:
• Describir la función de Active Directory.
• Describir la estructura lógica de Active Directory.
• Describir la estructura física de Active Directory.

Desarrollo del módulo

Para presentar este módulo, utilice la estrategia siguiente:
• Introducción a Active Directory
En este tema presentará Active Directory. Empiece por ilustrar el propósito
de Active Directory como servicio de directorio de red. Muestre el archivo
multimedia (disponible en el fichero media03.zip). Explique la manera en
que las extensiones de cliente de Active Directory permiten que
determinada funcionalidad de Active Directory para equipos cliente no
ejecute Microsoft Windows® 2000. Explique el propósito de los objetos de
Active Directory y sus atributos. Analice el esquema de Active Directory y
ponga de relieve cómo se usa el Protocolo ligero de acceso a directorios
(LDAP, Lightweight Directory Access Protocol) para comunicarse con
Active Directory.
• Estructura lógica de Active Directory
En este tema presentará la estructura lógica de Active Directory. Empiece
por ilustrar el propósito de los dominios de Active Directory. Explique la
manera en que se pueden usar las unidades organizativas para agrupar
objetos en una jerarquía lógica dentro de un dominio, así como para delegar
el control administrativo sobre los objetos. Ilustre cómo se usan los
dominios para formar árboles y bosques que ayudan al uso compartido de
los recursos de red y las funciones administrativas. Analice el catálogo
global y la manera en que se usa para encontrar información acerca de los
objetos de directorio y para iniciar sesión en la red.
• Estructura física de Active Directory
En este tema presentará la estructura física de Active Directory. Empiece
por ilustrar cómo se usan los controladores de dominio para replicar en
Active Directory y realizar una o varias funciones de maestro único o de
varios maestros. Explique el concepto de sitios como objetos físicamente
discretos y ponga de relieve cómo optimizan el tráfico de replicación y de
inicio de sesión.
Introducción al servicio de directorio Microsoft Active Directory 1

‹ Descripción general
Objetivo del tema
Proporcionar una
introducción a los temas
y objetivos del módulo. „ Introducción a Active Directory
Explicación previa „ Estructura lógica de Active Directory
En este módulo aprenderá
acerca de Active Directory. „ Estructura física de Active Directory

En una red de Microsoft® Windows® 2000, el servicio de directorio

Active Directory® proporciona la estructura y las funciones para organizar,
administrar y controlar el acceso a los recursos de red. Para implementar y
administrar una red de Windows 2000, debe comprender el propósito y la
estructura de Active Directory.
Active Directory proporciona también la capacidad de administrar centralmente
la red de Windows 2000. Esta capacidad significa que puede almacenar
centralmente información acerca de la empresa, por ejemplo información de
usuarios, grupos e impresoras, y que los administradores pueden administrar la
red desde una sola ubicación.
Active Directory admite la delegación del control administrativo sobre los
objetos de Active Directory. Esta delegación permite que los administradores
asignen a un grupo específico de administradores permisos administrativos
específicos para objetos, como cuentas de usuario o de grupo.
Después de finalizar este módulo, el alumno será capaz de:
• Describir la función de Active Directory.
• Describir la estructura lógica de Active Directory.
• Describir la estructura física de Active Directory.
Introducción al servicio de directorio Microsoft Active Directory 2

‹ Introducción a Active Directory

Objetivo del tema
Presentar Active Directory
Explicación previa
Active Directory almacena
información acerca de los
recursos de toda la red.
„ Qué es Active Directory
„ Presentación multimedia
„ Tecnologías compatibles con Active Directory
„ Objetos de Active Directory
„ Esquema de Active Directory
„ Protocolo ligero de acceso a directorios
„ Grupos de Active Directory
„ Active Directory y DNS

Active Directory almacena información acerca de los recursos de toda la red y

facilita a los usuarios la búsqueda, administración y acceso a estos recursos.
Los recursos se administran dentro de Active Directory como objetos. Los
objetos representan recursos físicos, como equipos, impresoras y usuarios.
Active Directory está formado por varios componentes. Para administrar
Active Directory, debe entender sus componentes y la manera de usarlos.
Introducción al servicio de directorio Microsoft Active Directory 3

Qué es Active Directory

Objetivo del tema
Ilustrar el propósito de usar
Active Directory como
servicio de directorio de red.
Explicación previa
Active Directory almacena
información acerca de los
recursos en una red de La
La funcionalidad
funcionalidad del
del Administración
Administración centralizada
centralizada
Windows 2000 y permite servicio
servicio de
de directorio
directorio
que los recursos resulten
accesibles a los usuarios y „ Punto
„ Punto de
de administración
administración único
único
„ Organizar
„ Organizar
las aplicaciones.
„ Acceso
„ Acceso completo
completo del
del usuario
usuario aa los
los
„ Administrar
„ Administrar Recursos
Recursos
recursos
recursos de
de directorios
directorios al
al iniciar
iniciar
„ Controlar
„ Controlar sesión una vez
sesión una vez

Active Directory es el servicio de directorio de una red de Windows 2000.

Puntos clave
Active Directory proporciona
funcionalidad de servicio de
directorio, como un medio
de organizar, administrar y
controlar centralmente el
acceso a los recursos de
red.
Active Directory permite a
los administradores
controlar escritorios
distribuidos, servicios de red
y aplicaciones desde una
ubicación central, al tiempo
que utiliza una interfaz de
administración coherente.
Un servicio de directorio es un servicio de red que almacena información
acerca de los recursos de la red y permite que los recursos resulten accesibles a
los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una
manera coherente de nombrar, describir, localizar, tener acceso, administrar y
asegurar la información relativa a los recursos de red.
La funcionalidad del servicio de directorio
Active Directory proporciona funcionalidad de servicio de directorio, como
un medio de organizar, administrar y controlar centralmente el acceso a los
recursos de red. Active Directory hace que la topología física de red y los
protocolos pasen desapercibidos, de forma que un usuario de una red puede
tener acceso a cualquier recurso sin saber dónde está el recurso o cómo está
conectado físicamente a la red. Un ejemplo de este tipo de recurso es una
impresora.
Active Directory está organizado en secciones que permiten el almacenamiento
de una gran cantidad de objetos. Como resultado, es posible ampliar
Active Directory a medida que crece una organización, lo que permite que
una organización que tiene un único servidor con unos cuantos centenares
de objetos crezca hasta tener miles de servidores y millones de objetos.
Introducción al servicio de directorio Microsoft Active Directory 4

Administración centralizada
Un servidor que ejecuta Windows 2000 almacena la configuración del sistema,
información de las aplicaciones e información acerca de la ubicación de los
perfiles de usuario en Active Directory. En combinación con las directivas de
grupo, Active Directory permite a los administradores controlar escritorios
distribuidos, servicios de red y aplicaciones desde una ubicación central, al
tiempo que utiliza una interfaz de administración coherente.
Active Directory proporciona también un control centralizado del acceso a los
recursos de red, al permitir que los usuarios sólo inicien sesión una vez para
obtener pleno acceso a los recursos mediante Active Directory.
Introducción al servicio de directorio Microsoft Active Directory 5

Presentación multimedia: Conceptos de Active Directory

en Windows 2000
Objetivo del tema
Explicar la presentación
multimedia acerca
de los conceptos de
Active Directory en
Windows 2000.
Explicación previa
Antes de empezar,
veamos una presentación
multimedia que explica los
conceptos importantes de
Active Directory.

Empiece esta presentación
desde el equipo del
instructor.
El tiempo estimado para
realizar esta presentación
es de siete minutos.
Esta presentación multimedia describe conceptos básicos de Active Directory,
como las unidades organizativas, árboles, bosques, convenciones de
nomenclatura del Sistema de nombres de dominio (DNS, Domain Name
System) y sitios. El archivo de la presentación esta disponible en el fichero
media03.zip.
Introducción al servicio de directorio Microsoft Active Directory 6

Tecnologías compatibles con Active Directory

Objetivo de la
diapositiva
Describir las normas, DNS
DNS
protocolos y API SNTP
SNTP
compatibles con Active DHCP
DHCP
Directory y Windows 2000.
Tecnologías
Tecnologíasestándar
estándardel
delsector
sector
Introducción
Active Directory es
compatible con varias de las LDAP
LDAP
normas, los protocolos y las TCP/IP
TCP/IP
API más importantes.

LDIF
LDIF
X.509
X.509
Kerberos
Kerberos

El objetivo de Active Directory es aportar una visión unificada de la red que

reducirá considerablemente el número de directorios y espacios de nombre con
los que tienen que lidiar los administradores de red y los usuarios. Active
Directory está diseñado específicamente para operar con otros directorios y
administrarlos, independientemente de su ubicación o de los sistemas
operativos subyacentes. Para ello, Active Directory ofrece una amplia
compatibilidad con las normas y los protocolos existentes y proporciona
interfaces de programación de aplicaciones (API) que facilitan la comunicación
con otros directorios.
En la siguiente tabla se describen las tecnologías compatibles con Active
Directory, su función y una referencia para obtener más información sobre ella.
Tecnología Descripción Referencia

Protocolo de configuración Administración de RFC 2131

dinámica de host (DHCP) las direcciones de
red
Protocolo de actualización Administración de RFC 2052 y 2163
dinámica (DNS) espacios de nombre
de host
Protocolo de tiempo de red Servicio de tiempo RFC 1769
simple (SNTP) distribuido
Protocolo ligero de acceso al Acceso a directorios RFC 2247, 2251, 2252 y
directorio (LDAP) v3 2256
LDAP ‘C’ API del directorio RFC 1823
Formato de intercambio de datos Sincronización de Borrador de Grupo de
LDAP (LDIF) directorios Tareas sobre Ingeniería de
Internet (IETF)
Kerberos versión 5 Autenticación RFC 1510
Introducción al servicio de directorio Microsoft Active Directory 7

(continuación)
Tecnología Descripción Referencia

Certificados de X.509 v3 Autenticación Norma X.509 de la

Protocolo de control de
transporte/Protocolo de Internet
(TCP/IP)
Organización internacional
de normalización (ISO)
Protocolo de red RFC 791 y 793

La compatibilidad con estas tecnologías estándar del sector ofrece varias

ventajas:
• El protocolo de actualización dinámica DNS permite a las empresas
conseguir una estructura de nomenclatura global compatible con las
convenciones DNS estándar de Internet.
• LDAP potencia al máximo la interoperabilidad entre aplicaciones y
servicios de directorio y facilita la interoperabilidad de directorios gracias a
la sincronización.
• La integración de Kerberos v5 y el certificado X.509 con Active Directory
aporta a las empresas flexibilidad para mezclar y ajustar la seguridad que
implanta, tanto en entornos de Internet como de Intranet, en función de sus
necesidades.
Introducción al servicio de directorio Microsoft Active Directory 8

Objetos de Active Directory

Objetivo del tema
Identificar el propósito Active
Active Directory
Directory
de los objetos de Objetos
Objetos
Active Directory. Impresoras
Atributos
Atributos
Impresora1
Explicación previa Nombre
Nombre de de
impresora
impresora
Los objetos de Ubicación Impresora2
Ubicación de de
Active Directory representan Impresoras
Impresoras lala impresora
impresora
los recursos de red, como Impresora3 Atributo
Atributo
los usuarios, grupos, Valor
Valor
Atributos
Atributos Usuarios
equipos e impresoras. Nombre
Nombre Don Hall
Apellidos
Apellidos
Nombre
Nombre dede inicio
inicio Suzan Fine
Usuarios
Usuarios de
de sesión
sesión

„ Los objetos representan los recursos de red

„ Los atributos definen la información relativa a un objeto

Active Directory almacena información acerca de los objetos de red. Los

objetos de Active Directory representan los recursos de red, como los usuarios,
grupos, equipos e impresoras. Todos los servidores, dominios y sitios de la red
se representan también como objetos. Como Active Directory representa todos
los recursos de red como objetos en una base de datos distribuida, un único
administrador puede controlar centralmente esos recursos.
Cuando crea un objeto, las propiedades o atributos que lo describen se
almacenan en el directorio. Los usuarios pueden encontrar objetos en
Active Directory mediante la búsqueda de atributos específicos. Por ejemplo,
un usuario puede encontrar una impresora en un edificio concreto mediante la
búsqueda del atributo Location de la clase de objeto de impresora.
Una función importante de algunos objetos de Active Directory (dominios,
contenedores y unidades organizativas) es la de contener otros objetos.
Después, arquitectos de infraestructura con experiencia organizan en una
jerarquía, o bosque, estos dominios, contenedores y unidades organizativas.
Los objetos que representan los recursos de red, como usuarios, grupos,
impresoras y carpetas de uso compartido, se colocan en el bosque basándose
en la manera en que se administrarán esos objetos.

Nota El objeto de contenedor tipo de Active Directory es un objeto integrado

diseñado para facilitar la migración desde un dominio de Windows NT. No
puede vincular los objetos de directiva de grupo con estos contenedores, ni
tampoco pueden contener unidades organizativas que se usen para organizar
otros objetos de Active Directory. Estas restricciones significan que los
arquitectos de infraestructura expertos planean el diseño del dominio y la
jerarquía de unidades organizativas de Active Directory que más conviene a las
necesidades de la empresa y, a menudo, sólo dejan los objetos integrados en los
contenedores integrados; por ejemplo, el grupo Administradores de esquema en
el contenedor Usuarios.
Introducción al servicio de directorio Microsoft Active Directory 9

Esquema de Active Directory

Objetivo del tema
Identificar el propósito Objeto
Objeto Definidas en el Almacenadas en el
del esquema en Ejemplos
Ejemplos de
de clase
clase contexto de nombres contexto de nombres de
Active Directory. de esquema de dominio de Active Directory
Active Directory
Explicación previa
El esquema de Ejemplo
Ejemplo Ejemplo
Ejemplo
Active Directory define Atributos
Atributos Propiedades
Propiedades
Equipos
Equipos
todos los objetos de
Active Directory. Atributos
Atributos de
de usuarios:
usuarios::
usuarios Propiedades
Propiedades

caducaCuenta
caducaCuenta 10/02/03
10/02/03
departamento
departamento Ventas
Ventas
nombreCompleto
nombreCompleto CN=Wendy
CN=Wendy Kahn,
Kahn,
Usuarios
Usuarios nombre
nombre OU=Beth
OU=Beth

Impresoras
Impresoras

El esquema de Active Directory contiene las definiciones de todos los objetos,

como usuarios, equipos e impresoras, almacenados en Active Directory. En
Windows 2000 sólo hay un esquema para todo un bosque, de manera que todos
los objetos creados en Active Directory se ajustan a las mismas reglas.
Los dos tipos de definiciones del esquema son los atributos y las clases de
objeto. Las clases de objeto describen los objetos de directorio que se pueden
crear. Cada clase de objeto es un conjunto de atributos. Los atributos se definen
de forma independiente de las clases de objeto. Cada atributo se define sólo una
vez y se puede utilizar en múltiples clases de objetos. Por ejemplo, el atributo
Description se usa en muchas clases de objetos, pero para asegurar la
coherencia se define sólo una vez en el esquema.
La base de datos de Active Directory almacena el esquema. El almacenamiento
del esquema en una base de datos significa que el esquema:
• Está dinámicamente a disposición de las aplicaciones de usuario, lo que
permite a las aplicaciones de usuario leer el esquema para descubrir qué
objetos y propiedades están disponibles y se puedan usar.
• Es dinámicamente actualizable, por lo que una aplicación puede
extender el esquema con nuevos atributos y clases de objetos, utilizando
inmediatamente esas extensiones del esquema.
• Puede usar las listas de permisos, conocidas como Listas de control de
acceso discrecional (DACL, Discretionary Access Control Lists), para
proteger todas las clases de objetos y atributos. Por el uso de permisos,
sólo los usuarios autorizados pueden hacer cambios en el esquema.

Importante Sólo los miembros del grupo Administradores de esquema pueden

actualizar el esquema. Hay que supervisar cuidadosamente la pertenencia a este
grupo, pues las actualizaciones del esquema pueden afectar a los nuevos objetos
creados y a la integridad de los objetos existentes.
Introducción al servicio de directorio Microsoft Active Directory
Protocolo ligero de acceso a directorios
Objetivo del tema
Identificar las rutas de
nomenclatura LDAP
para los objetos de
Active Directory.
Explicación previa
LDAP es el protocolo que
se usa para el acceso
a Active Directory.
Sugerencia
Use la ilustración de la
diapositiva para explicar
en el aula los conceptos
de nombres completos
y nombres completos
relativos.
Clave Atributo
DC Componente de dominio
OU Unidad organizativa
CN Nombre común
CN Contenedor
10
„ LDAP proporciona una manera de comunicar
con Active Directory especificando las rutas de
nomenclatura únicas de cada objeto del directorio
„ Las rutas de nomenclatura de LDAP incluyen:
z Nombre completo
CN=Suzan
Suzan Fine,OU=Sales,DC=contoso,DC=msft
Fine
z Nombre completo relativo
El Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory
Access Protocol) es un protocolo de servicios de directorio que se usa para
consultar y actualizar Active Directory. La especificación de protocolo para
LDAP especifica que un objeto de Active Directory sea representado por una
serie de componentes de dominio, unidades organizativas y nombres comunes,
creando una ruta de nomenclatura LDAP en Active Directory.
Las rutas de nomenclatura LDAP se usan para el acceso a los objetos de
Active Directory e incluyen lo siguiente:
• Nombre completo
• Nombre completo relativo
Nombre completo
Todos los objetos de Active Directory tienen un nombre completo. El nombre
completo identifica el dominio donde se encuentra el objeto y la ruta de acceso
completa a través de la que se llega hasta él. Un ejemplo de nombre completo
es:
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
Descripción
Un componente del nombre DNS de dominio, como com.
Una unidad organizativa que se puede usar para contener otros objetos.
Cualquier objeto, aparte de los componentes de dominio y las unidades
organizativas, como los objetos de usuario y de equipo.
CN se usa también para representar el objeto de Active Directory,
contenedor. Los contenedores son objetos integrados de Active Directory
que no puede modificar y que están diseñados para contener objetos de
recursos. Un ejemplo es el contenedor Usuarios predeterminado.
Introducción al servicio de directorio Microsoft Active Directory 11

Si el mismo objeto de usuarios que se utiliza en la diapositiva se ha almacenado

en el contenedor Usuarios en lugar de en la unidad organizativa Ventas, el
nombre LDAP completo sería:
CN=Suzan Fine,CN=Users,DC=contoso,DC=msft

Nota El uso de contenedores integrados, en lugar de agregar sus propias

unidades organizativas, da menos flexibilidad a Active Directory. Por ejemplo,
no puede vincular objetos de la directiva de grupo a los contenedores
integrados.

Nombre completo relativo

El nombre completo relativo LDAP es la parte del nombre completo LDAP que
únicamente identifica el objeto en su contexto de búsqueda. Su composición
varía dependiendo del alcance del contexto de búsqueda existente establecido
por el cliente.
El contexto de búsqueda puede variar desde el nivel de componente de dominio
al nivel de nombre común. En el ejemplo anterior, el nombre completo relativo
del objeto de usuario Suzan Fine es Suzan Fine.
La tabla siguiente proporciona ejemplos de nombres completos y nombres
completos relativos.
Nombre completo Contexto de búsqueda Nombre completo relativo

CN=Suzan Fine,OU=Sales, OU=Sales,DC=contoso,DC=msft CN=Suzan Fine

DC=contoso,DC=msft
CN=Suzan Fine,OU=Sales, DC=contoso,DC=msft CN=Suzan Fine,OU=Sales
DC=contoso,DC=msft
OU=Sales,DC=contoso,DC=msft DC=contoso,DC=msft OU=Sales
CN=Judy Lew,OU=Shipping, OU=Shipping,DC=Europe, CN=Judy Lew
DC=europe,DC=contoso,DC=msft DC=contoso,DC=msft

Nota Las dos primeras entradas de la tabla hacen referencia al mismo objeto,
pero en diferentes contextos de búsqueda. Es posible que, para conservar su
exclusividad, el nombre completo relativo deba ser más largo que el nombre
del objeto final.
Introducción al servicio de directorio Microsoft Active Directory 12

Grupos de Active Directory

Objetivo del tema
Explicar los tipos de grupos Grupos
Grupos locales
locales de
de dominio
dominio
de seguridad disponibles „ Miembros
„ Miembros dede cualquier
cualquier dominio
dominio del
del bosque
bosque
en un dominio de „ Uso
„ Uso para
para el
el acceso
acceso aa los
los recursos
recursos
Active Directory. del
del propio
propio dominio
dominio
Explicación previa
Los grupos de seguridad Grupos
Grupos globales
global es
globales
son las unidades que se
utilizan para asignar y „ Sólo
„ Sólo miembros
miembros deldel propio
propio dominio
dominio
mantener los permisos. „ Uso
„ Uso para
para el
el acceso
acceso aa los
los recursos
recursos
Es fundamental elegir de
de cualquier
cualquier dominio
dominio
el grupo de seguridad
apropiado para realizar una Grupos
Grupos universales
universales
universales
administración y replicación
eficaces en Active Directory. „ Miembros
„ Miembros de
de cualquier
cualquier dominio
dominio del
del bosque
bosque
„ Uso
„ Uso para
para el
el acceso
acceso aa los
los recursos
recursos
de
de cualquier
cualquier dominio
dominio

Active Directory utiliza los siguientes tipos de grupos de seguridad:

• Grupos locales de dominio, que conceden permisos a los usuarios para que
obtengan acceso a recursos de la red como carpetas, archivos o impresoras
de un único dominio.
• Grupos globales, que organizan objetos de usuario de dominio entre
dominios.
• Grupos universales, que se utilizan para agrupar usuarios y conceder
permisos en todo el bosque.

Puede utilizar estos grupos de seguridad para proteger recursos. Los grupos
de seguridad le permiten asignar los mismos permisos a un gran número de
usuarios en una operación, lo que garantiza que los permisos son coherentes
para todos los miembros de un grupo. Una parte importante de un entorno de
red basado en Windows 2000 consiste en decidir cuándo usar cada tipo de
grupo de seguridad.
Introducción al servicio de directorio Microsoft Active Directory
Sugerencia
Señale la nota relativa
a los grupos universales
y la replicación del catálogo
global.
13
Grupos locales de dominio
A continuación se resumen las reglas de pertenencia a un grupo local
de dominio:
• Pertenencia. Puede contener usuarios, grupos globales y otros grupos
universales de cualquier dominio del bosque. En un dominio de modo
nativo, también puede contener grupos locales de dominio de su propio
dominio.
• Puede ser miembro de. En un dominio de modo nativo, puede ser miembro
de otro grupo local de dominio desde su propio dominio.
• Se le puede conceder permiso para. Cualquier recurso del dominio en donde
reside el grupo local de dominio.
Use un grupo de dominio local para asignar permisos de acceso a recursos que
se encuentren en el mismo dominio en el que se creó el grupo de dominio local.
Agregará grupos globales que comparten los mismos recursos al
correspondiente grupo local de dominio.
Grupos globales
A continuación se resumen las reglas de pertenencia a un grupo global:
• Pertenencia. Puede contener cuentas de usuario del dominio en donde existe
el grupo. En un dominio de modo nativo, los grupos globales también
pueden contener otros grupos globales desde el dominio en donde existe.
• Puede ser miembro de. Grupos locales de dominio de cualquier dominio del
bosque. En un dominio de modo nativo, también puede ser miembro de
otro global en su propio dominio.
• Se le puede conceder permiso para. Todos los dominios del bosque.
Use los grupos globales para organizar a los usuarios que comparten las mismas
tareas y deben tener requisitos de acceso a red similares. Un tipo diferente de
grupo resulta más apropiado para controlar el acceso a los recursos; use los
grupos globales sólo para organizar usuarios o grupos de usuarios.
Introducción al servicio de directorio Microsoft Active Directory 14

Grupos universales
A continuación se resumen las reglas de pertenencia a un grupo universal:
• Pertenencia. Puede contener cuentas de usuario, grupos globales y otros
grupos universales de cualquier dominio del bosque.
• Puede ser miembro de. Grupos locales de dominio y otros grupos
universales de cualquier dominio del bosque.
• Se le puede conceder permiso para. Todos los dominios del bosque.

Los dominios de Windows 2000 deben encontrarse en modo nativo para poder
usar los grupos universales. Use grupos universales para anidar los grupos
globales, para que pueda asignar permisos a los recursos relacionados en
múltiples dominios. Evite agregar usuarios individuales a los grupos universales
para mantener en el mínimo la necesidad de cambios de pertenencia.

Nota Diseñe grupos universales con miembros que permanezcan estáticos a lo

largo del tiempo. Realice las modificaciones mínimas en los grupos, ya que al
actualizar la pertenencia a un grupo universal, toda la pertenencia a ese grupo
universal se replica en todos los servidores de catálogos globales del bosque.
Esta replicación puede causar una importante cantidad de tráfico en la red y
crear retrasos en la propagación.
Introducción al servicio de directorio Microsoft Active Directory 15

Active Directory y DNS

Objetivo de la
diapositiva
Explicar la función de DNS
en Active Directory. „ Resolución de nombres
Introducción
DNS realiza tres funciones „ Definición de espacios de nombre
básicas en Active Directory.
„ Localización de los componentes físicos de Active
Directory

DNS es un servicio obligatorio para una red de Windows 2000, puesto que es
necesario para la funcionalidad de Active Directory. Active Directory utiliza
DNS para tres funciones básicas:
• Resolución de nombres. DNS realiza la resolución de nombres traduciendo
los nombres de host en direcciones IP.
• Definición de espacios de nombres. Active Directory utiliza las
convenciones de nomenclatura de DNS para dar nombre a los dominios.
Los nombres de dominios de Windows 2000 son nombres de dominios
DNS. Por ejemplo, contoso.com es un nombre de dominio DNS válido y
también podría ser el nombre de un dominio de Windows 2000.
• Localización de los componentes físicos de Active Directory. Para iniciar
sesión en la red y realizar consultas en Active Directory, un equipo en el
que se ejecute Windows 2000 debe buscar primero un controlador de
dominios o un servidor de catálogo global para autenticar el inicio de
sesión o procesar la consulta. La base de datos DNS almacena y
proporciona la información de qué equipos realizan estas funciones para
que se pueda dirigir la petición correctamente.
Introducción al servicio de directorio Microsoft Active Directory 16

‹ Estructura lógica de Active Directory

Objetivo de la
diapositiva
Presentar los componentes „ Dominios
lógicos de Active Directory.
Introducción „ Unidades organizativas
Dominio
Dominio
Los componentes de Active
Directory se utilizan para „ Árboles y bosques
diseñar una jerarquía de Árbol
directorios. „ Catálogo global UO
UO
Dominio
Dominio Domain
Domain
UO
UO UO
UO
Bosque Dominio
Dominio

Dominio
Dominio

Árbol
Dominio
Dominio Dominio
Dominio

La estructura lógica de Active Directory es flexible y ofrece un método para

diseñar una jerarquía de directorios útil tanto para los usuarios como para los
que tengan que administrarla. Los componentes lógicos de la estructura de
Active Directory incluyen:
• Dominios
• Unidades organizativas
• Árboles
• Bosques
• Es muy importante conocer la finalidad y la función de los componentes
lógicos de la estructura de Active Directory para realizar una gran variedad
de tareas, como la planificación, instalación, configuración y resolución de
problemas de Active Directory.
Introducción al servicio de directorio Microsoft Active Directory 17

Dominios
Objetivo del tema
Ilustrar el propósito del
dominio en Active Directory.
Explicación previa
El dominio es la unidad
central de la estructura
lógica de Active Directory.
„ Un dominio es un límite de seguridad
z Un administrador de dominio sólo puede administrar dentro
del dominio, a menos que se le concedan explícitamente
derechos de administración en otros dominios
„ Un dominio es una unidad de replicación
z Los controladores de un dominio participan en la replicación
y contienen una copia completa de toda la información
de directorio de su dominio

ario1 Replicación
Replicación ario1
Usu rio2 Usu rio2
a a
Usu Usu

Dominio
Dominiode
de
Windows
Windows2000
2000

La unidad central de la estructura lógica de Active Directory es el dominio.

Un dominio es un conjunto de equipos, definido por un administrador, que
comparten una base de datos de directorios común. Un dominio tiene un
nombre único y proporciona acceso a las cuentas de usuario centralizadas
y a las cuentas de grupo mantenidas por el administrador de dominio.

Límite de seguridad
En una red de Windows 2000, el dominio sirve como límite de seguridad.
El propósito de un límite de seguridad es garantizar que un administrador
de un dominio tenga los permisos y derechos necesarios para realizar la
administración sólo en ese dominio, a menos que al administrador se le
concedan explícitamente esos permisos y derechos en un dominio adicional.
Todos los dominios tienen sus propias directivas de seguridad y relaciones
de seguridad con otros dominios.

Unidad de replicación
Los dominios son también unidades de replicación. Una unidad de replicación
significa que todos los controladores de dominio de un determinado dominio
reciben los cambios en la información de su propio dominio, replicando esos
cambios en los otros controladores de dominio del mismo dominio.
Introducción al servicio de directorio Microsoft Active Directory 18

Cambio del modo de dominio

Objetivo del tema „ Active Directory se instala en modo mixto para la compatibilidad
Describir los modos de con los controladores de dominio existentes
dominio y la manera de
cambiarlos. „ El anidamiento de grupo y los grupos de seguridad universales
requieren que un dominio esté en modo nativo
Explicación previa
Después de haber instalado
Active Directory y haber z Modo mixto z Modo nativo
establecido un dominio,
el dominio opera en
modo mixto.
Controlador de dominio
(Windows 2000)

y
Controlador de dominio Controladores
Controladoresde
dedominio
dominio
(Windows NT 4.0) (sólo
(sóloen
enWindows
Windows2000)
2000)

Después de instalar Active Directory y establecer un dominio, éste opera en

modo mixto como modo de dominio predeterminado. Un dominio de modo
mixto es compatible con controladores de dominio que ejecutan Windows 2000
o Windows NT 4.0. Active Directory se instala en modo mixto para
proporcionar compatibilidad con los controladores de dominio existentes
que no se hayan actualizado con Windows 2000. La capacidad de utilizar
indefinidamente el dominio en modo mixto significa que puede actualizar los
controladores de dominio que ejecutan Windows NT 4.0 en cualquier momento,
según las necesidades de su organización.
Si la red no dispone de ningún controlador de dominio que ejecute
Windows NT 4.0, o cuando todos los controladores de dominio se hayan
actualizado a Windows 2000, puede convertir el dominio de modo mixto a
modo nativo. En un dominio de modo nativo, todos los controladores de
dominio ejecutan Windows 2000. Sin embargo, no es necesario actualizar a
Windows 2000 los servidores miembro y los equipos cliente antes de convertir
un dominio a modo nativo. Algunas funciones de Active Directory, como el
anidamiento de grupo y los grupos de seguridad universales, requieren que ese
dominio esté en el modo nativo. Ya no puede agregar controladores de dominio
que ejecutan Windows NT 4.0 a un dominio en modo nativo.
Introducción al servicio de directorio Microsoft Active Directory 19

Para cambiar su dominio al modo nativo, siga estos pasos:

1. Haga clic en el menú Inicio, seleccione Programas y haga clic en
Herramientas administrativas.
2. Abra Usuarios y equipos de Active Directory o Dominios y confianzas de
Active Directory desde el menú Herramientas administrativas.
3. Abra el cuadro de diálogo Propiedades correspondiente al dominio.
4. En la ficha General, haga clic en Cambiar modo.
5. Haga clic en Sí y, después, en Aceptar.

Precaución El cambio de modo mixto a modo nativo es un proceso

unidireccional; no se puede cambiar de modo nativo a modo mixto.
Introducción al servicio de directorio Microsoft Active Directory 20

Unidades organizativas
Objetivo del tema
Ilustrar el propósito de las
unidades organizativas en Modelo
Modelo administrativo de red
red Estructura
Estructura organizativa
organizativa
Active Directory.
Ventas Vancouver
Explicación previa
Una unidad organizativa es Usuarios Ventas
un contenedor en el que
organiza los objetos de un Equipos Reparaciones
dominio.

„ Utilizar las unidades organizativas para agrupar

objetos en la jerarquía lógica que mejor se adapte
a las necesidades de su organización
„ Delegar el control administrativo sobre los objetos
que están dentro de una unidad organizativa
asignando permisos específicos a usuarios y grupos

Una unidad organizativa es un objeto que usa para organizar los objetos de un
dominio. Una unidad organizativa puede contener objetos, como cuentas de
usuario, grupos, equipos, impresoras y otras unidades organizativas.

Jerarquía de unidades organizativas

Puede utilizar las unidades organizativas para agrupar objetos en la jerarquía
lógica que mejor se adapte a las necesidades de su organización. Por ejemplo,
puede crear una jerarquía de unidades organizativas que represente lo siguiente
en una organización:
• Un modelo administrativo de red basado en responsabilidades
administrativas. Por ejemplo, una organización podría tener un
administrador responsable de todas las cuentas de usuario y otro
responsable de todos los equipos. En ese caso, podría crear una unidad
organizativa para usuarios y otra para equipos.
• Una estructura organizativa basada en límites geográficos o
departamentales.
• Una combinación de estas dos jerarquías anteriores.

La jerarquía de unidades organizativas de un dominio es independiente de la

estructura de unidades organizativas de otros dominios: cada dominio puede
implementar su propia jerarquía de unidades organizativas.
Introducción al servicio de directorio Microsoft Active Directory 21

Control administrativo de las unidades organizativas

Puede delegar el control administrativo sobre los objetos de una unidad
organizativa. Para delegar el control administrativo de una unidad organizativa,
asigne a uno o más grupos de usuarios los permisos específicos para la unidad
organizativa y los objetos que contiene la unidad organizativa.
Para una unidad organizativa, puede asignar el control completo sobre todos
los objetos que hay en ella o bien un control administrativo limitado, como
la capacidad de modificar la información de correo electrónico acerca de los
objetos de usuario de la unidad organizativa o de restablecer las contraseñas
sólo en los objetos de usuario.
Introducción al servicio de directorio Microsoft Active Directory 22

Árboles, bosques y confianzas transitivas bidireccionales

Objetivo del tema
Ilustrar cómo los dominios
forman árboles y bosques.
Relación
Relación de
de confianza
confianza (raíz)
Explicación previa transitiva
transitiva bidireccional
bidireccional
El primer dominio de contoso.msft
contoso.msft
Windows 2000 que se
crea es el dominio raíz Bosque
del bosque.
Árbol
asia.
asia. au.
au.
nwtraders.msft
nwtraders.msft contoso.msft
contoso.msft contoso.msft
contoso.msft

Relaciones
Relaciones de
de confianza
confianza
Árbol transitivas
transitivas bidireccionales
bidireccionales
asia.
asia. au.
au.
nwtraders.msft
nwtraders.msft nwtraders.msft
nwtraders.msft

El primer dominio de Windows 2000 de cualquier empresa recibe el nombre

de dominio raíz del bosque. El dominio raíz del bosque es importante por las
razones siguientes:
• Siempre se hará referencia al bosque con el nombre de su dominio raíz, por
ejemplo el bosque Contoso. Cambiar el nombre de este dominio significa
quitar Active Directory de todos sus controladores de dominio.
• Se agregan dominios adicionales al dominio raíz para formar la estructura
de árboles o la estructura de bosques, según los requisitos de los nombres
de dominio.
• Se crean grupos especiales para administrar Active Directory sólo en el
dominio raíz del bosque, por ejemplo en el grupo Administradores de
empresa y el grupo Administradores de esquema.
• En el dominio raíz del bosque deben existir las funciones de Maestro de
operaciones de esquema y Maestro de nombres de dominio.

Árboles
Un árbol es una disposición jerárquica de los dominios de Windows 2000 que
comparten un espacio de nombres contiguo.
Cuando se agrega un dominio a un árbol existente, el nuevo dominio es un
dominio secundario de un dominio principal existente. El nombre del dominio
secundario se combina con el del dominio principal para formar su nombre
DNS. Todo dominio secundario tiene una relación de confianza transitiva y
bidireccional con respecto a su dominio principal.
Introducción al servicio de directorio Microsoft Active Directory 23

Bosques
Un bosque es uno o más árboles. Los árboles de un bosque no comparten
necesariamente un espacio de nombres contiguo. Los árboles de un bosque
comparten un esquema, un contexto de configuración de Active Directory y un
catálogo global comunes. Un solo árbol que no esté relacionado con otro es un
bosque de un solo árbol. Así, todo dominio de raíz de árbol tiene una relación
de confianza transitiva con el dominio de raíz de bosque. El nombre del
dominio raíz del bosque se utiliza para hacer referencia a un bosque concreto.
Cada árbol de un bosque tiene su propio espacio de nombres único. Por
ejemplo, Contoso, Ltd. crea una organización independiente llamada
Northwind Traders. Contoso, Ltd. decide crear un nuevo nombre de dominio
de Active Directory para Northwind Traders, llamado nwtraders.msft. Aunque
las dos organizaciones no comparten un espacio de nombres común, al agregar
el nuevo dominio de Active Directory como un nuevo árbol de un bosque
existente las dos organizaciones podrán compartir recursos y funciones
administrativas.

Relaciones de confianza transitivas bidireccionales

Una confianza es un vínculo de comunicación unidireccional segura entre
dominios. Una confianza bidireccional significa que hay dos rutas de
confianza que van en direcciones opuestas entre los dos dominios. Por ejemplo,
el dominio au.contoso.msft confía en contoso.msft en una dirección, mientras
que contoso.msft confía en au.contoso.msft en la dirección opuesta.
Una confianza transitiva significa que la relación de confianza extendida a
un dominio se extiende automáticamente a todos los otros dominios que
confían en él. Por ejemplo, el dominio au.contoso.msft confía directamente
en contoso.msft. El dominio asia.contoso.msft también confía directamente
en contoso.msft. Como ambas confianzas son transitivas, au.contoso.msft
confía indirectamente en asia.contoso.msft.
Una relación de confianza transitiva bidireccional es la relación de confianza
predeterminada entre los dominios del mismo bosque en Windows 2000.
Una confianza transitiva bidireccional es una combinación de una confianza
transitiva y una confianza bidireccional.
La ventaja de las confianzas transitivas bidireccionales de los dominios de
Windows 2000 es que existe una confianza completa entre todos los dominios
de una jerarquía de dominios de Active Directory. Los árboles vinculados por
relaciones de confianza forman un bosque.
Introducción al servicio de directorio Microsoft Active Directory 24

Catálogo global
Objetivo del tema
Ilustrar las funciones Subconjunto
Subconjunto de de
del catálogo global. atributos
atributos de
de todos
todos Dominio
los
los objetos
objetos
Explicación previa Dominio
El catálogo global contiene
Dominio Dominio
un subconjunto de los
atributos de todos los Dominio Dominio
objetos de Active Directory.
Catálogo
Catálogo global
Catálogo global

Consultas
Consultas

Pertenencia
Pertenencia
aa grupos
grupos cuando
cuando elel
usuario
usuario inicia
inicia sesión
sesión
Servidor de
catálogo global

El catálogo global es un depósito de información que contiene un subconjunto

de atributos de todos los objetos de Active Directory. De forma predeterminada,
los atributos que se almacenan en el catálogo global son los que se utilizan con
más frecuencia en las consultas, como el nombre, el apellido y el nombre de
inicio de sesión de un usuario. El catálogo global contiene la información
necesaria para determinar la ubicación de cualquier objeto del directorio.
El catálogo global habilita a los usuarios para que realicen tres funciones
importantes:
• Encontrar información de Active Directory en todo el bosque,
independientemente de la ubicación de los datos.
• Utilizar la información de pertenencia a un grupo universal para iniciar
sesión en la red.
• Iniciar sesión utilizando un nombre principal de usuario en varios bosques
de dominio.
Un servidor de catálogo global es un controlador de dominio que procesa
consultas contra el catálogo global. El primer controlador de dominio que crea
en Active Directory se convierte automáticamente en un servidor de catálogo
global. Puede configurar otros servidores de catálogo global para equilibrar el
tráfico de la autenticación del inicio de sesión y las consultas.
El catálogo global hace que la estructura de directorios de un bosque sea
transparente para los usuarios que realizan una búsqueda. Por ejemplo, si busca
todas las impresoras de un bosque, un servidor de catálogo global procesará la
consulta en el catálogo global y devolverá después los resultados. Sin un
servidor de catálogo global, esta consulta requeriría buscar en todos los
dominios del bosque.
El catálogo global contiene también los permisos de acceso de cada objeto
y atributo almacenados en el catálogo global. Si busca un objeto y no tiene
los permisos apropiados para verlo, no lo podrá ver en los resultados de la
búsqueda. Esto garantiza que los usuarios sólo podrán encontrar los objetos
a los que se les ha asignado acceso.
Introducción al servicio de directorio Microsoft Active Directory 25

‹ Estructura física de Active Directory

Objetivo del tema
Presentar los temas La estructura física de Active Directory está formada por:
relacionados con la
estructura física de „ Controladores de dominio
Active Directory.
Explicación previa
„ Sitios
La estructura física de
Active Directory está
separada y es distinta
de la estructura lógica.

En Active Directory, la estructura lógica es diferente de la estructura física y

está separada de ella. La estructura lógica se utiliza para organizar los recursos
de red y la estructura física se utiliza para configurar y administrar el tráfico de
red. Los controladores de dominio y los sitios constituyen la estructura física de
Active Directory.
La estructura física de Active Directory define dónde y cuándo se producen
el tráfico de replicación y de inicio de sesión. Es fundamental entender los
componentes físicos de Active Directory para poder optimizar el tráfico de red
y el proceso de inicio de sesión. Conocer la estructura física ayuda también a
solucionar problemas de replicación y de inicio de sesión.
Introducción al servicio de directorio Microsoft Active Directory 26

Controladores de dominio
Objetivo del tema Controladores de dominio:
Ilustrar la función de los
controladores de dominio z Alojar la carpeta SYSVOL
en la estructura física.
z Participar en la replicación de Active Directory
Explicación previa
Un controlador de z Realizar las funciones de las operaciones de maestro
dominio de Windows 2000 único en un dominio
almacena una réplica de
ario1 ario1
Active Directory. Usu rio2
a
Replicación
Replicación Usu rio2
a
Us u Usu

Controlador Controlador
de dominio de dominio
Dominio
Dominio

= Una copia escribible de

de la
la base de
de datos
datos
de Active Directory
Directory

Un controlador de dominio es un equipo donde se ejecuta Windows 2000

Server y que almacena una réplica del directorio. Un controlador de dominio
administra también los cambios realizados en la información del directorio
y replica estos cambios en otros controladores del mismo dominio. Los
controladores de dominio almacenan datos del directorio y administran
procesos de inicio de sesión, autenticación y búsquedas en directorios de
usuarios.
Un dominio puede tener uno o varios controladores de dominio. Una
organización pequeña que utilice una única red de área local (LAN, Local Area
Network) puede necesitar sólo un dominio con dos controladores de dominio
para proporcionar la disponibilidad y la tolerancia a errores adecuadas, mientras
que una organización grande con muchas ubicaciones geográficas necesita uno
o varios controladores de dominio en cada ubicación.

La carpeta SYSVOL
La carpeta SYSVOL es una carpeta compartida de volumen del sistema que
se aloja en todos los controladores de dominio de Windows 2000. Este
volumen del sistema compartido almacena archivos que se replican entre los
controladores de dominio, como las secuencias de comandos de inicio de
sesión, cierre de sesión, arranque y apagado, así como información de la
Directiva de grupo. El volumen del sistema compartido se comparte en
diferentes puntos de la estructura de archivos como SYSVOL, para
Windows 2000 y clientes posteriores, y como NETLOGON para los equipos
que no están basados en Windows 2000. El mecanismo de replicación
usado con SYSVOL es muy diferente del que se usa para la replicación de
Active Directory. SYSVOL usa para la replicación una característica del
sistema de archivos NTFS 5.0 que es nueva para Windows 2000, el Servicio de
replicación de archivos NT, por lo que debe colocarse en una partición NTFS.
Introducción al servicio de directorio Microsoft Active Directory 27

Replicación de Active Directory

La base de datos de Active Directory se divide en tres particiones conocidas
como contextos de nombres:
• El contexto de nombres de dominio, que contiene todos los objetos y
atributos de objeto en un dominio.
• El contexto de nombres de esquema, que define todos los objetos y
propiedades que se pueden crear en la base de datos de Active Directory.
• El contexto de nombres de configuración, que contiene la información
relativa a las confianzas del bosque.

Los controladores de dominio de un dominio replican cualquier cambio del

contexto de nombres de dominio que relaciona sus dominios unos con otros.
Los controladores de dominio de un bosque replican automáticamente cualquier
cambio en el esquema y los contextos de nombres de dominio unos con otros.
La replicación asegura que toda la información de Active Directory está
disponible para todos los controladores de dominio y todos los equipos cliente
de toda la red. La estructura física de Active Directory determina cuándo y
cómo se produce la replicación.
Active Directory utiliza un modelo de replicación con varios maestros. En un
modelo de replicación con varios maestros, cada dominio de Windows 2000
tiene uno o varios controladores de dominio. Cada controlador de dominio
almacena una copia escribible de la base de datos de Active Directory para su
dominio, y administra los cambios y actualizaciones en su copia del directorio.
Cuando un usuario o un administrador realiza una acción que causa una
actualización en el directorio en un controlador de dominio, dicha actualización
se replica en todos los controladores de dominio del dominio. Sin embargo, los
controladores de dominio podrían contener información diferente durante
breves períodos, hasta que todos los controladores de dominio hayan
sincronizado sus cambios con Active Directory.

Operaciones de maestro único

No es práctico realizar algunos cambios en Active Directory utilizando
replicación de varios maestros, por los posibles conflictos en operaciones
esenciales. Por estas razones, sólo se asignan operaciones de maestro único a
controladores de dominio específicos.
Un maestro de operaciones es un controlador de dominio al que se le han
asignado una o varias funciones de operaciones de maestro único en un dominio
o bosque de Active Directory. Los controladores de dominio que se asignan a
estas funciones realizan operaciones, como agregar o quitar un dominio de un
bosque, que no está permitido que se produzcan simultáneamente en diferentes
controladores de dominio de la red. Las funciones de las operaciones de
maestro único son:
• Maestro de operaciones de esquema. El controlador de dominio que se asigna
para controlar todas las actualizaciones al esquema dentro de un bosque.
• Maestro de nombres de dominio. El controlador de dominio al que se le
asigna el control de las operaciones de agregar o quitar dominios del bosque.
Introducción al servicio de directorio Microsoft Active Directory
Sugerencia
Recorrer rápidamente
las funciones de las
Operaciones de maestro
único.
28
Nota En un bosque sólo puede haber un maestro de esquema y un maestro
de nombres de dominio. De forma predeterminada, será el primer
controlador de dominio del bosque.
• Maestro RID. El controlador de dominio que se dedica a asignar secuencias
de los identificadores relativos (RID, relative identifiers) a cada controlador
de dominio de su dominio.
• Emulador del controlador principal de dominio. El controlador de dominio
que se asigna para que funcione como un Controlador de dominio principal
(PDC, Primary Domain Controller) de Windows NT versión 4.0 para
dar servicio a los clientes de red que no ejecutan el software de cliente
de Windows 2000, así como para proporcionar actualizaciones de
sincronización de bases de datos para Controladores de dominio de reserva
(BDC, Backup Domain Controllers) de bajo nivel de Windows NT 4.0.
• Maestro de operaciones de infraestructura. El controlador de dominio que
se asigna para actualizar referencias a grupos de usuarios siempre que se
cambian las pertenencias al grupo, así como de replicar estos cambios en
todos los demás controladores de dominio del dominio.
Nota En cada dominio sólo puede haber un maestro RID, un emulador
PDC y un maestro de infraestructura. De forma predeterminada, será el
primer controlador de dominio del dominio.
Introducción al servicio de directorio Microsoft Active Directory 29

Sitios
Objetivo del tema
Ilustrar el concepto de sitios
Seattle
como objetos físicamente
discretos. New York
Chicago
Explicación previa
Un sitio es un conjunto de Los Angeles
una o varias subredes IP.

Subred IP
Sitio
Subred IP
Sitios:
z Optimizar el tráfico de replicación
z Permitir que los usuarios inicien sesión en un controlador de
dominio con una conexión de red confiable y bien conectada

Un sitio es una combinación de una o varias subredes de Protocolo de Internet

(IP) que están conectadas por un vínculo de alta velocidad. Al definir los sitios,
se configura la topología de replicación y acceso a Active Directory, de forma
que Windows 2000 utilice los vínculos y programas más efectivos para el
tráfico de inicio de sesión y replicación.
Los sitios se crean por dos razones principalmente:
• Para optimizar el tráfico de replicación.
• Para permitir a los usuarios conectarse con un controlador de dominio
utilizando una conexión de red confiable y bien conectada para las
funciones de autenticación e inicio de sesión.
Los sitios se asignan a la estructura física de la red. Los dominios se asignan
a la estructura lógica de la organización. Las estructuras lógicas y físicas de
Active Directory son independientes unas de otras, por tanto:
• No hay, necesariamente, correlación entre la estructura física de la red y su
estructura de dominios.
• Active Directory permite múltiples dominios en un único sitio y múltiples
sitios en un único dominio.
• No hay, necesariamente, correlación entre los espacios de nombres de los
sitios y de los dominios.