• No se han encontrado resultados

Componentes de Integración entre Plataformas Información Detallada

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Componentes de Integración entre Plataformas Información Detallada"

Copied!
7
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 7 página )

Texto completo

(1)

Componentes de Integración entre Plataformas

Información Detallada

Active Directory Integration

Integración con el Directorio Activo

Active Directory es el servicio de directorio para Windows 2000 Server. Almacena información acerca de objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio de directorio Active Directory utiliza un almacén de datos estructurado como base de una organización lógica jerárquica de la información del directorio. La seguridad está integrada en Active Directory mediante la autenticación del inicio de sesión y el control de accesos a los objetos del directorio. Con un único inicio de sesión en la red, los administradores pueden administrar datos del directorio y de la organización en cualquier punto de la red, y los usuarios autorizados de la red pueden tener acceso a recursos en cualquier lugar de la red. La administración basada en directivas facilita la tarea del administrador incluso en las redes más complejas.

Por ejemplo, Active Directory almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información.

Ventajas de Active Directory

Active Directory proporciona: ƒ Seguridad de la información.

La seguridad está totalmente integrada en Active Directory. El control de acceso se puede definir no sólo para cada objeto del directorio, sino también para cada una de las propiedades del objeto.

Active Directory proporciona el almacenamiento y el ámbito de aplicación para las directivas de seguridad. Una directiva de seguridad puede incluir información de cuentas, como las restricciones de contraseña para todo el dominio o los derechos sobre determinados recursos del dominio. Las directivas de seguridad se aplican mediante la configuración de la Directiva de grupo.

ƒ Administración basada en directivas.

El servicio de directorio de Active Directory incluye un almacén de datos y una estructura lógica y jerárquica. Como estructura lógica proporciona una jerarquía de contextos en los que se pueden aplicar las directivas. Como directorio, almacena las directivas (denominadas objetos de Directiva de grupo) que se asignan a un contexto determinado. Un objeto de Directiva de grupo establece un conjunto de normas de empresa que incluyen opciones de configuración que pueden, en el contexto en que se aplican, determinar lo siguiente:

1. El acceso a objetos de directorio y recursos del dominio.

2. Qué recursos del dominio, como aplicaciones, están disponibles para los usuarios.

3. Cómo se configuran esos recursos para su utilización.

Por ejemplo, un objeto de Directiva de grupo puede determinar qué aplicaciones pueden ver los usuarios en sus equipos cuando inician una sesión, cuántos usuarios

(2)

pueden conectarse a Microsoft SQL Server cuando se inicia en un servidor y a qué documentos o servicios tienen acceso los usuarios cuando pasan a otros departamentos o grupos. Los objetos de Directiva de grupo permiten administrar un número reducido de directivas en lugar de un número mucho mayor de usuarios y equipos. Active Directory permite aplicar la configuración de la Directiva de grupo a los contextos adecuados, tanto si se trata de toda la organización como de sólo algunas unidades específicas de la misma.

Una Directiva de Grupo se utiliza para definir la configuración que se aplica a los equipos o usuarios cuando se inicializan.

ƒ Capacidad de ampliación.

Active Directory puede ampliarse ya que los administradores tienen la posibilidad de agregar nuevas clases de objetos al esquema y nuevos atributos a las clases de objetos ya existentes.

Por ejemplo, puede agregar el atributo Capacidad de compra al objeto Usuario y, a continuación, almacenar el límite de la capacidad de compra de cada usuario dentro de su propia cuenta.

Puede agregar objetos y atributos al directorio mediante el esquema de Active Directory o con secuencias de comandos basadas en Interfaces de servicios de Active Directory (ADSI, Active Directory Service Interfaces) o en utilidades de la línea de comandos como LDIFDE o CSDVE.

ƒ Escalabilidad.

Active Directory incluye uno o varios dominios, cada uno con uno o varios controladores de dominio, lo que permite escalar el directorio para satisfacer cualquier requisito de la red. En un árbol de dominios se pueden combinar múltiples dominios y múltiples árboles de dominios se pueden combinar en un bosque. Ver árbol de dominio.

El directorio distribuye la información de su esquema y configuración a todos los controladores de dominio del directorio. Esta información se almacena en el controlador de dominio inicial para un dominio y se replica a cualquier controlador de dominio adicional del dominio. Cuando el directorio se configura como un solo dominio, al agregar controladores de dominio se amplía el directorio sin la sobrecarga administrativa que se produce con los dominios adicionales.

Agregar dominios al directorio permite dividirlo según directivas diferentes y ampliarlo para acomodar un gran número de recursos y objetos.

Árbol de Dominio

En DNS, la estructura jerárquica de árbol invertida que se utiliza para indizar los nombres de dominio. El propósito y el concepto de los árboles de dominio son similares a los de los árboles de directorios utilizados por los sistemas de organización de archivos de los equipos para el almacenamiento en disco. Por ejemplo, cuando varios archivos se almacenan en disco, los directorios se pueden utilizar para organizar los archivos en grupos lógicos. Cuando un árbol de dominio tiene una o varias ramas, cada rama puede organizar los nombres de dominio utilizados en el espacio de nombres en grupos lógicos. En Active Directory, uno o varios dominios de Windows 2000 conectados mediante confianza bidireccional transitiva, que comparten un esquema, configuración y catálogo global comunes. La estructura jerárquica de dominios de un árbol constituye un espacio de nombres contiguo. Es posible conectar múltiples árboles para crear un bosque.

(3)

ƒ Replicación de la información.

La replicación proporciona disponibilidad de la información, tolerancia a errores, equilibrio de carga y mejoras en el rendimiento para el directorio. Active Directory utiliza el sistema de replicación Multimaster, que permite actualizar el directorio en cualquier controlador de dominio, en lugar de en un solo controlador principal de dominio. La principal ventaja del modelo Multimaster es su mayor tolerancia a errores, ya que, con varios controladores de dominio, continúa la replicación aunque deje de funcionar uno de ellos.

Aunque los usuarios puedan no darse cuenta de ello, gracias a la replicación Multimaster sólo hay que actualizar una copia del directorio. Una vez que se ha creado o modificado la información de directorio en un controlador de dominio, la información nueva o modificada se envía a todos los demás controladores del dominio para que esté actualizada en todos ellos.

Los controladores de dominio necesitan la información más reciente del directorio, pero para mantener la máxima eficiencia deben limitar las actualizaciones a aquellos momentos en los que la información del directorio es nueva o ha cambiado. El intercambio indiscriminado de información entre controladores de dominio podría sobrecargar rápidamente cualquier red. Active Directory se ha diseñado para replicar únicamente la información de directorio que ha cambiado.

Con la replicación Multimaster, siempre existe la posibilidad de que el mismo cambio en el directorio se produzca en más de un controlador de dominio. Active Directory también se ha diseñado para trazar y mediar en los conflictos que puedan producir los cambios en el directorio, ya que resuelve los conflictos automáticamente en casi todos los casos. La distribución de varios controladores de dominio en un dominio proporciona tolerancia a errores y equilibrio de carga. Si un controlador del dominio trabaja lentamente, se detiene o causa un error, otros controladores del mismo dominio pueden seguir ofreciendo el acceso necesario al directorio, ya que contienen los mismos datos de directorio.

Controladores de dominio

Un controlador de dominio es un equipo donde se ejecuta Windows 2000 Server que se ha configurado con el Asistente para instalación de Active Directory. El Asistente para instalación de Active Directory instala y configura los componentes que proporciona el servicio de directorio de Active Directory a usuarios y equipos de red. Los controladores de dominio almacenan datos del directorio y administran las interacciones entre el usuario y el dominio, como los procesos de inicio de sesión, la autenticación y las búsquedas de directorio.

Un dominio puede tener uno o varios controladores de dominio. Una organización de pequeño tamaño que utiliza una sola red de área local (LAN) es posible que solamente necesite un dominio con dos controladores de dominio para obtener la mayor disponibilidad y tolerancia a los errores. Una organización grande con muchas ubicaciones de red necesitará uno o varios controladores de dominio en cada ubicación para el mismo fin.

Active Directory admite la replicación con múltiples servidores principales de datos del directorio entre todos los controladores de dominio del dominio. Sin embargo, algunos cambios no se pueden realizar de esta manera, de modo que sólo un controlador de dominio, llamado el servidor principal de operaciones, acepta solicitudes para dichos cambios. En cualquier bosque de Active Directory, hay al menos cinco funciones

(4)

diferentes de servidor principal de operaciones que se asignan a uno o varios controladores de dominio.

Los controladores de dominio de Windows 2000 Server proporcionan una extensión de las capacidades y funciones de los controladores de dominio de Windows NT Server 4.0. La replicación con múltiples servidores principales de Windows 2000 Server sincroniza los datos del directorio de cada controlador de dominio, lo que asegura la coherencia de la información a lo largo del tiempo. Este tipo de replicación es una evolución del modelo que usa un controlador principal de dominio y un controlador de reserva utilizado en Windows NT Server 4.0, en el que sólo un servidor, el controlador principal del dominio, tenía una copia de lectura y escritura del directorio.

ƒ Integración con DNS.

Active Directory utiliza el Sistema de nombres de dominio (DNS, Domain Name System). DNS es un servicio estándar de Internet que traduce nombres legibles de equipos host, como mipc.microsoft.com, a direcciones IP numéricas. Esto permite que los procesos que se ejecutan en equipos de redes TCP/IP puedan realizar la identificación y conexión.

Los nombres de dominio de DNS están basados en una estructura jerárquica de nombres DNS que es una estructura de árbol invertida: un único dominio raíz, bajo el que puede haber dominios primarios y secundarios (ramas y hojas). Por ejemplo, un nombre de dominio de Windows 2000 como secundario.primario.microsoft.com identifica a un dominio "secundario", que depende de un dominio denominado "primario", que a su vez es un dominio secundario del dominio raíz microsoft.com. Cada equipo en un dominio DNS tiene una identificación única que consiste en su nombre completo de dominio DNS. El nombre completo de dominio de un equipo que se encuentre en el dominio secundario.primario.microsoft.com sería:

nombreDeEquipo.secundario.primario.microsoft.com.

Active Directory está integrado con DNS de las siguientes formas: 1. Active Directory y DNS tienen la misma estructura jerárquica.

Aunque son independientes y se implementan de forma distinta para propósitos diferentes, el espacio de nombres de una organización para DNS y Active Directory tienen una estructura idéntica. Por ejemplo, microsoft.com es un dominio DNS y un dominio de Active Directory.

2. Las zonas DNS se pueden almacenar en Active Directory.

Si utiliza el servicio DNS de Windows 2000, los archivos de zona primaria se pueden almacenar en Active Directory para su replicación en otros controladores de dominio de Active Directory.

3. Los clientes de Active Directory utilizan DNS para buscar controladores de dominio.

Para localizar un controlador de dominio determinado, los clientes de Active Directory envían una consulta al servidor DNS que tienen configurado para obtener determinados registros de recursos.

ƒ Interoperabilidad con otros servicios de directorio.

Dado que Active Directory está basado en protocolos estándar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP, Lightweight Directory

(5)

Access Protocol) versión 3 y la Interfaz del proveedor de servicio de nombres (NSPI, Name Service Provider Interface), puede interoperar con otros servicios de directorio que emplean estos protocolos.

LDAP es un protocolo de acceso a directorios que se utiliza para consultar y recuperar información en Active Directory. Como es un protocolo de servicio de directorios estándar del sector, se pueden desarrollar programas que utilicen LDAP para compartir información de Active Directory con otros servicios de directorio compatibles con LDAP. Active Directory admite el protocolo NSPI, utilizado por los clientes de Microsoft Exchange 4.0 y 5.x, para proporcionar compatibilidad con el directorio de Exchange. ƒ Consultas flexibles.

Los usuarios y administradores pueden utilizar el comando Buscar del menú Inicio,

Mis sitios de red o Usuarios y equipos de Active Directory para encontrar rápidamente

un objeto en la red por sus propiedades. Por ejemplo, puede buscar un usuario por su nombre, apellidos, nombre de correo electrónico, ubicación de su oficina u otras propiedades de la cuenta de usuario de esa persona. La búsqueda de información se optimiza al utilizar el catálogo global. Para obtener más información, consulte Catálogo global.

Catálogo global

Controlador de dominio que contiene un duplicado parcial de cada dominio existente en Active Directory. Es decir, un catálogo global contiene un duplicado de cada objeto de Active Directory, pero con un número limitado de atributos de cada uno de los objetos. El catálogo global almacena los atributos utilizados con mayor frecuencia en las operaciones de búsqueda (como el nombre y apellido de un usuario) y aquellos requeridos para encontrar un duplicado exacto del objeto. El sistema de duplicación de Active Directory crea automáticamente el catálogo global. Los atributos duplicados en el catálogo global incluyen un conjunto base definido por Microsoft. Los administradores pueden especificar propiedades adicionales para satisfacer las necesidades de su instalación. Consulte también duplicación.

De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global. Almacena una réplica completa de todos los objetos del directorio de su dominio host y una réplica parcial de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque. La réplica es parcial ya que almacena algunos, pero no todos, de los valores de propiedades de cada objeto del bosque. El catálogo global realiza dos funciones de directorio principales:

ƒ Permite el inicio de sesión en la red al proporcionar información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión.

ƒ Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente los datos.

Cuando un usuario inicia la sesión en la red, el catálogo global proporciona información de pertenencia a grupos universales para la cuenta que envía la solicitud de inicio de sesión al controlador de dominio. Si sólo hay un controlador de dominio en el dominio, el controlador de dominio y el catálogo global serán el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guarda en el controlador de dominio configurado como tal. Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario sólo podrá conectarse al equipo local.

(6)

Importante

1. Si un usuario pertenece al grupo Administradores de dominio, podrá iniciar la sesión en la red aunque no esté disponible un catálogo global.

El catálogo global está diseñado para responder a los usuarios y a consultas de programación acerca de los objetos de cualquier parte del bosque con la máxima velocidad y el mínimo tráfico en la red. Debido a que un solo catálogo global contiene información acerca de los objetos de todos los dominios del bosque, una consulta relativa a un objeto puede resolverla un catálogo global del dominio en el que se inició la consulta. Así, la búsqueda de información en el directorio no produce tráfico de consultas innecesario en todos los límites del dominio.

Puede configurar de manera opcional cualquier controlador de dominio para que guarde un catálogo global, en función de los requisitos de su organización para la atención de las solicitudes de inicio de sesión y de las consultas de búsqueda.

Una vez instalados los controladores de dominio adicionales en el dominio, puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante Sitios y servicios de Active Directory.

Active Directory define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos (como la pertenencia a grupos universales) se almacenan en el catálogo global. Con el Esquema de Active Directory, puede especificar los atributos adicionales que desea que se mantengan en el catálogo global. Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red.

Introducción al esquema de Active Directory

El esquema de Active Directory es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en Active Directory. Las definiciones se almacenan como objetos para que Active Directory pueda administrar los objetos del esquema con las mismas operaciones de administración de objetos utilizadas para administrar el resto de los objetos del directorio.

Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y las clases también se conocen como objetos del esquema o metadatos.

Los atributos se definen independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases. Por ejemplo, el atributo Descripción se utiliza en muchas clases, pero se define una vez en el esquema, lo que asegura la coherencia.

Las clases, también conocidas como clases de objetos, describen los posibles objetos del directorio que se pueden crear. Cada clase es una colección de atributos. Al crear un objeto, los atributos almacenan la información que describe el objeto. La clase Usuario, por ejemplo, está compuesta de muchos atributos, entre ellos Dirección de red, Directorio principal, etc. Cada objeto en Active Directory es una instancia de una clase de objeto.

Con Windows 2000 Server se proporciona un conjunto de clases y atributos básicos. Los programadores y los administradores de la red con experiencia puede extender dinámicamente el esquema mediante la definición de nuevas clases y atributos para las clases existentes. Active Directory no permite la eliminación de objetos del esquema, sin embargo, los objetos se pueden marcar como desactivados, lo que proporciona muchas de las ventajas de la

(7)

eliminación. Extender el esquema es una operación avanzada que puede tener consecuencias adversas.

La estructura y el contenido del esquema son controlados por el controlador de dominio que mantiene la función de servidor principal de operaciones de esquemas. Una copia del esquema se replica en todos los controladores de dominio del bosque. El uso de este esquema común asegura la integridad y coherencia de los datos en todo el bosque.

La forma recomendada de extender el esquema de Active Directory es mediante programación, a través de las Interfaces de servicios de Active Directory (ADSI, Active Directory Service Interfaces) descritas en el Kit del programador de software de Windows 2000 (Windows 2000 Software Developer's Kit). Para obtener información detallada acerca de cómo extender el esquema mediante programación, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft y el sitio Web del Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force).Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí.

Para el desarrollo y las pruebas, también puede ver y modificar el esquema de Active Directory con el complemento Esquema de Active Directory, que se incluye con las Herramientas de administración de Windows 2000 en el disco compacto de Windows 2000 Server.

Referencias

Descargar ahora ( PDF - 7 página - 110.31 KB )

Documento similar

Formato pdf

Debido al riesgo de producir malformaciones congénitas graves, en la Unión Europea se han establecido una serie de requisitos para su prescripción y dispensación con un Plan

ficha técnica

Como medida de precaución, puesto que talidomida se encuentra en el semen, todos los pacientes varones deben usar preservativos durante el tratamiento, durante la interrupción

Memorias de ultratumba de F.-R. de Chateaubriand, en traducción anónima (1849-1850) Marta Giné Janer

Además de aparecer en forma de volumen, las Memorias conocieron una primera difusión, a los tres meses de la muerte del autor, en las páginas de La Presse en forma de folletín,

ENTRE MARTE Y ASTREA

El nuevo Decreto reforzaba el poder militar al asumir el Comandante General del Reino Tserclaes de Tilly todos los poderes –militar, político, económico y gubernativo–; ampliaba

Prólogos de ida y vuelta: Juan de Piña, Alonsode Castillo Solórzano, Francisco de Quintana,Juan Pérez de Montalbán y María de Zayas enel campo literario de Lope de Vega

Abstract: This paper reviews the dialogue and controversies between the paratexts of a corpus of collections of short novels –and romances– publi- shed from 1624 to 1637:

Optimización de Sistemas de Producción: Esquemas de Optimización en dos fases

Después de una descripción muy rápida de la optimización así como los problemas en los sistemas de fabricación, se presenta la integración de dos herramientas existentes

Tecnicas de aproximacion de throughput en redes de Petri estocasticas

por unidad de tiempo (throughput) en estado estacionario de las transiciones.. de una red de Petri

Informe de Posicionamiento Terapéutico de ofatumumab (Kesimpta®) en el tratamiento de pacientes adultos con Esclerosis Múltiple Recurrente

Por lo tanto, en base a su perfil de eficacia y seguridad, ofatumumab debe considerarse una alternativa de tratamiento para pacientes con EMRR o EMSP con enfermedad activa