Documente Academic
Documente Profesional
Documente Cultură
Contenido
Descripción general 1
Introducción a Active Directory 2
Estructura lógica de Active Directory 16
Estructura física de Active Directory 25
Introducción al servicio de directorio Microsoft Active Directory i
Descripción general
Objetivo del tema
Proporcionar una
introducción a los temas
y objetivos del módulo. Introducción a Active Directory
Explicación previa Estructura lógica de Active Directory
En este módulo aprenderá
acerca de Active Directory. Estructura física de Active Directory
Administración centralizada
Un servidor que ejecuta Windows 2000 almacena la configuración del sistema,
información de las aplicaciones e información acerca de la ubicación de los
perfiles de usuario en Active Directory. En combinación con las directivas de
grupo, Active Directory permite a los administradores controlar escritorios
distribuidos, servicios de red y aplicaciones desde una ubicación central, al
tiempo que utiliza una interfaz de administración coherente.
Active Directory proporciona también un control centralizado del acceso a los
recursos de red, al permitir que los usuarios sólo inicien sesión una vez para
obtener pleno acceso a los recursos mediante Active Directory.
Introducción al servicio de directorio Microsoft Active Directory 5
Empiece esta presentación Esta presentación multimedia describe conceptos básicos de Active Directory,
desde el equipo del como las unidades organizativas, árboles, bosques, convenciones de
instructor. nomenclatura del Sistema de nombres de dominio (DNS, Domain Name
System) y sitios. El archivo de la presentación esta disponible en el fichero
El tiempo estimado para media03.zip.
realizar esta presentación
es de siete minutos.
Introducción al servicio de directorio Microsoft Active Directory 6
LDIF
LDIF
X.509
X.509
Kerberos
Kerberos
(continuación)
Tecnología Descripción Referencia
caducaCuenta
caducaCuenta 10/02/03
10/02/03
departamento
departamento Ventas
Ventas
nombreCompleto
nombreCompleto CN=Wendy
CN=Wendy Kahn,
Kahn,
Usuarios
Usuarios nombre
nombre OU=Beth
OU=Beth
Impresoras
Impresoras
Nombre completo
Todos los objetos de Active Directory tienen un nombre completo. El nombre
completo identifica el dominio donde se encuentra el objeto y la ruta de acceso
completa a través de la que se llega hasta él. Un ejemplo de nombre completo
es:
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
Nota Las dos primeras entradas de la tabla hacen referencia al mismo objeto,
pero en diferentes contextos de búsqueda. Es posible que, para conservar su
exclusividad, el nombre completo relativo deba ser más largo que el nombre
del objeto final.
Introducción al servicio de directorio Microsoft Active Directory 12
Puede utilizar estos grupos de seguridad para proteger recursos. Los grupos
de seguridad le permiten asignar los mismos permisos a un gran número de
usuarios en una operación, lo que garantiza que los permisos son coherentes
para todos los miembros de un grupo. Una parte importante de un entorno de
red basado en Windows 2000 consiste en decidir cuándo usar cada tipo de
grupo de seguridad.
Introducción al servicio de directorio Microsoft Active Directory 13
Use un grupo de dominio local para asignar permisos de acceso a recursos que
se encuentren en el mismo dominio en el que se creó el grupo de dominio local.
Agregará grupos globales que comparten los mismos recursos al
correspondiente grupo local de dominio.
Grupos globales
A continuación se resumen las reglas de pertenencia a un grupo global:
• Pertenencia. Puede contener cuentas de usuario del dominio en donde existe
el grupo. En un dominio de modo nativo, los grupos globales también
pueden contener otros grupos globales desde el dominio en donde existe.
• Puede ser miembro de. Grupos locales de dominio de cualquier dominio del
bosque. En un dominio de modo nativo, también puede ser miembro de
otro global en su propio dominio.
• Se le puede conceder permiso para. Todos los dominios del bosque.
Use los grupos globales para organizar a los usuarios que comparten las mismas
tareas y deben tener requisitos de acceso a red similares. Un tipo diferente de
grupo resulta más apropiado para controlar el acceso a los recursos; use los
grupos globales sólo para organizar usuarios o grupos de usuarios.
Introducción al servicio de directorio Microsoft Active Directory 14
Grupos universales
A continuación se resumen las reglas de pertenencia a un grupo universal:
• Pertenencia. Puede contener cuentas de usuario, grupos globales y otros
grupos universales de cualquier dominio del bosque.
• Puede ser miembro de. Grupos locales de dominio y otros grupos
universales de cualquier dominio del bosque.
• Se le puede conceder permiso para. Todos los dominios del bosque.
Los dominios de Windows 2000 deben encontrarse en modo nativo para poder
usar los grupos universales. Use grupos universales para anidar los grupos
globales, para que pueda asignar permisos a los recursos relacionados en
múltiples dominios. Evite agregar usuarios individuales a los grupos universales
para mantener en el mínimo la necesidad de cambios de pertenencia.
DNS es un servicio obligatorio para una red de Windows 2000, puesto que es
necesario para la funcionalidad de Active Directory. Active Directory utiliza
DNS para tres funciones básicas:
• Resolución de nombres. DNS realiza la resolución de nombres traduciendo
los nombres de host en direcciones IP.
• Definición de espacios de nombres. Active Directory utiliza las
convenciones de nomenclatura de DNS para dar nombre a los dominios.
Los nombres de dominios de Windows 2000 son nombres de dominios
DNS. Por ejemplo, contoso.com es un nombre de dominio DNS válido y
también podría ser el nombre de un dominio de Windows 2000.
• Localización de los componentes físicos de Active Directory. Para iniciar
sesión en la red y realizar consultas en Active Directory, un equipo en el
que se ejecute Windows 2000 debe buscar primero un controlador de
dominios o un servidor de catálogo global para autenticar el inicio de
sesión o procesar la consulta. La base de datos DNS almacena y
proporciona la información de qué equipos realizan estas funciones para
que se pueda dirigir la petición correctamente.
Introducción al servicio de directorio Microsoft Active Directory 16
Dominio
Dominio
Árbol
Dominio
Dominio Dominio
Dominio
Dominios
Objetivo del tema
Ilustrar el propósito del Un dominio es un límite de seguridad
dominio en Active Directory. z Un administrador de dominio sólo puede administrar dentro
Explicación previa del dominio, a menos que se le concedan explícitamente
El dominio es la unidad derechos de administración en otros dominios
central de la estructura Un dominio es una unidad de replicación
lógica de Active Directory.
z Los controladores de un dominio participan en la replicación
y contienen una copia completa de toda la información
de directorio de su dominio
ario1 Replicación
Replicación ario1
Usu rio2 Usu rio2
a a
Usu Usu
Dominio
Dominiode
de
Windows
Windows2000
2000
Límite de seguridad
En una red de Windows 2000, el dominio sirve como límite de seguridad.
El propósito de un límite de seguridad es garantizar que un administrador
de un dominio tenga los permisos y derechos necesarios para realizar la
administración sólo en ese dominio, a menos que al administrador se le
concedan explícitamente esos permisos y derechos en un dominio adicional.
Todos los dominios tienen sus propias directivas de seguridad y relaciones
de seguridad con otros dominios.
Unidad de replicación
Los dominios son también unidades de replicación. Una unidad de replicación
significa que todos los controladores de dominio de un determinado dominio
reciben los cambios en la información de su propio dominio, replicando esos
cambios en los otros controladores de dominio del mismo dominio.
Introducción al servicio de directorio Microsoft Active Directory 18
y
Controlador de dominio Controladores
Controladoresde
dedominio
dominio
(Windows NT 4.0) (sólo
(sóloen
enWindows
Windows2000)
2000)
Unidades organizativas
Objetivo del tema
Ilustrar el propósito de las
unidades organizativas en Modelo
Modelo administrativo de red
red Estructura
Estructura organizativa
organizativa
Active Directory.
Ventas Vancouver
Explicación previa
Una unidad organizativa es Usuarios Ventas
un contenedor en el que
organiza los objetos de un Equipos Reparaciones
dominio.
Una unidad organizativa es un objeto que usa para organizar los objetos de un
dominio. Una unidad organizativa puede contener objetos, como cuentas de
usuario, grupos, equipos, impresoras y otras unidades organizativas.
Relaciones
Relaciones de
de confianza
confianza
Árbol transitivas
transitivas bidireccionales
bidireccionales
asia.
asia. au.
au.
nwtraders.msft
nwtraders.msft nwtraders.msft
nwtraders.msft
Árboles
Un árbol es una disposición jerárquica de los dominios de Windows 2000 que
comparten un espacio de nombres contiguo.
Cuando se agrega un dominio a un árbol existente, el nuevo dominio es un
dominio secundario de un dominio principal existente. El nombre del dominio
secundario se combina con el del dominio principal para formar su nombre
DNS. Todo dominio secundario tiene una relación de confianza transitiva y
bidireccional con respecto a su dominio principal.
Introducción al servicio de directorio Microsoft Active Directory 23
Bosques
Un bosque es uno o más árboles. Los árboles de un bosque no comparten
necesariamente un espacio de nombres contiguo. Los árboles de un bosque
comparten un esquema, un contexto de configuración de Active Directory y un
catálogo global comunes. Un solo árbol que no esté relacionado con otro es un
bosque de un solo árbol. Así, todo dominio de raíz de árbol tiene una relación
de confianza transitiva con el dominio de raíz de bosque. El nombre del
dominio raíz del bosque se utiliza para hacer referencia a un bosque concreto.
Cada árbol de un bosque tiene su propio espacio de nombres único. Por
ejemplo, Contoso, Ltd. crea una organización independiente llamada
Northwind Traders. Contoso, Ltd. decide crear un nuevo nombre de dominio
de Active Directory para Northwind Traders, llamado nwtraders.msft. Aunque
las dos organizaciones no comparten un espacio de nombres común, al agregar
el nuevo dominio de Active Directory como un nuevo árbol de un bosque
existente las dos organizaciones podrán compartir recursos y funciones
administrativas.
Catálogo global
Objetivo del tema
Ilustrar las funciones Subconjunto
Subconjunto de de
del catálogo global. atributos
atributos de
de todos
todos Dominio
los
los objetos
objetos
Explicación previa Dominio
El catálogo global contiene
Dominio Dominio
un subconjunto de los
atributos de todos los Dominio Dominio
objetos de Active Directory.
Catálogo
Catálogo global
Catálogo global
Consultas
Consultas
Pertenencia
Pertenencia
aa grupos
grupos cuando
cuando elel
usuario
usuario inicia
inicia sesión
sesión
Servidor de
catálogo global
Controladores de dominio
Objetivo del tema Controladores de dominio:
Ilustrar la función de los
controladores de dominio z Alojar la carpeta SYSVOL
en la estructura física.
z Participar en la replicación de Active Directory
Explicación previa
Un controlador de z Realizar las funciones de las operaciones de maestro
dominio de Windows 2000 único en un dominio
almacena una réplica de
ario1 ario1
Active Directory. Usu rio2
a
Replicación
Replicación Usu rio2
a
Us u Usu
Controlador Controlador
de dominio de dominio
Dominio
Dominio
La carpeta SYSVOL
La carpeta SYSVOL es una carpeta compartida de volumen del sistema que
se aloja en todos los controladores de dominio de Windows 2000. Este
volumen del sistema compartido almacena archivos que se replican entre los
controladores de dominio, como las secuencias de comandos de inicio de
sesión, cierre de sesión, arranque y apagado, así como información de la
Directiva de grupo. El volumen del sistema compartido se comparte en
diferentes puntos de la estructura de archivos como SYSVOL, para
Windows 2000 y clientes posteriores, y como NETLOGON para los equipos
que no están basados en Windows 2000. El mecanismo de replicación
usado con SYSVOL es muy diferente del que se usa para la replicación de
Active Directory. SYSVOL usa para la replicación una característica del
sistema de archivos NTFS 5.0 que es nueva para Windows 2000, el Servicio de
replicación de archivos NT, por lo que debe colocarse en una partición NTFS.
Introducción al servicio de directorio Microsoft Active Directory 27
Sitios
Objetivo del tema
Ilustrar el concepto de sitios
Seattle
como objetos físicamente
discretos. New York
Chicago
Explicación previa
Un sitio es un conjunto de Los Angeles
una o varias subredes IP.
Subred IP
Sitio
Subred IP
Sitios:
z Optimizar el tráfico de replicación
z Permitir que los usuarios inicien sesión en un controlador de
dominio con una conexión de red confiable y bien conectada