Introducción a las infraestructuras de Active Directory

(1)

Contenido

Introducción 1

Lección: Arquitectura de Active Directory 2

Lección: Cómo funciona Active Directory 11

Lección: Examen de Active Directory 21

Lección: Procesos de diseño, planeamiento e implementación

de Active Directory 31

Introducción a las

infraestructuras de

Active Directory

(2)

Introducción

******el uso por quienes no sean instructores no está autorizado y resulta ilegal******

Este módulo sirve de introducción a la estructura lógica y física del servicio de directorio Active Directory® y su función como servicio de directorio.

Además, presenta los complementos, las herramientas de línea de comandos y Microsoft® Windows Script Host que se pueden utilizar para administrar los

componentes de Active Directory y los procesos de diseño, planeamiento e implementación de Active Directory.

Después de finalizar este módulo, podrá:

Describir la arquitectura de Active Directory.

Describir cómo funciona Active Directory.

Utilizar complementos administrativos para examinar los componentes de Active Directory.

Describir los procesos de diseño, planeamiento e implementación de Active Directory.

Introducción

(3)

Lección: Arquitectura de Active Directory

Active Directory consta de componentes que constituyen su estructura lógica y física. Se deben planear las estructuras lógica y física de Active Directory para que cumplan los requisitos de la organización. Para administrar Active Directory, se debe comprender el propósito de estos componentes y cómo utilizarlos.

Después de finalizar esta lección, podrá:

Describir la función de Active Directory.

Describir la estructura lógica de Active Directory.

Describir la estructura física de Active Directory.

Describir las funciones de maestro de operaciones.

Introducción

(4)

Qué funciones desempeña Active Directory

Active Directory almacena información acerca de los usuarios, equipos y recursos de red y permite el acceso a los recursos por parte de usuarios y aplicaciones. Asimismo, proporciona una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos.

Active Directory proporciona las siguientes funciones:

Centralizar el control de los recursos de red. Al centralizar el control de

recursos como servidores, archivos compartidos e impresoras, sólo los usuarios autorizados pueden obtener acceso a los recursos de Active Directory.

Centralizar y descentralizar la administración de recursos. Los

administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicación central mediante una interfaz de administración coherente o pueden distribuir tareas administrativas mediante la delegación del control de los recursos a otros administradores.

Almacenar objetos de forma segura en una estructura lógica.Active

Directory almacena todos los recursos como objetos en una estructura lógica, jerárquica y segura.

Optimizar el tráfico de red.La estructura física de Active Directory permite

utilizar el ancho de banda de red de forma más efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de autenticación más cercana a él lo autentique, reduciendo así la cantidad de tráfico de red.

Introducción

Función de Active Directory

(5)

Presentación multimedia: Estructura lógica de Active Directory

Para iniciar la presentación, abrir el archivo media08_1.html que se puede encontrar dentro del fichero media08.zip.

Al final de esta presentación, podrá:

Definir los elementos de la estructura lógica de Active Directory.

Comentar el propósito de estos elementos.

Active Directory proporciona un almacenamiento seguro de información acerca de los objetos en su estructura lógica jerárquica. Los objetos de Active Directory representan a los usuarios y los recursos, como equipos e impresoras. Algunos objetos son contenedores de otros objetos. Una vez que se ha

comprendido el propósito y la función de estos objetos, se pueden realizar diversas tareas, entre las que se incluyen la instalación, configuración, administración y solución de problemas de Active Directory.

La estructura lógica de Active Directory comprende los siguientes componentes:

Objetos.Son los componentes más básicos de la estructura lógica.

Las clases de objetos son plantillas o planos técnicos para los tipos de

objetos que se pueden crear en Active Directory. Cada clase de objetos se define mediante un grupo de atributos, que definen los posibles valores que se pueden asociar a un objeto. Cada objeto posee una única

combinación de valores de atributos.

Unidades organizativas.Se pueden utilizar estos objetos contenedores

para estructurar otros objetos de modo que admitan los propósitos administrativos. Mediante la estructuración de los objetos por unidades organizativas, se facilita su localización y administración. También se puede delegar la autoridad para administrar una unidad organizativa. Las unidades organizativas pueden estar anidadas en otras unidades organizativas, lo que simplifica la administración de objetos.

Ubicación de los archivos Objetivos

(6)

Dominios.Se trata de las unidades funcionales centrales en la estructura lógica de Active Directory que son un conjunto de objetos definidos de forma administrativa y que comparten una base de datos, directivas de seguridad y relaciones de confianza comunes con otros dominios. Los dominios proporcionan las siguientes tres funciones:

• Un límite administrativo para objetos

• Un medio de administración de la seguridad para recursos compartidos

• Una unidad de replicación para objetos

Árboles de dominios.Los dominios que están agrupados en estructuras

jerárquicas se denominan árboles de dominios. Al agregar un segundo dominio a un árbol, se convierte en secundario del dominio raíz del árbol. El dominio al que está adjunto un dominio secundario se denomina dominio

primario. Un dominio secundario puede tener a su vez su propio dominio

secundario.

El nombre de un dominio secundario se combina con el nombre de su dominio primario para formar su propio nombre único de Sistema de nombres de dominio (DNS, Domain Name System), como corp.nwtraders.msft. De esta forma, el árbol dispone de un a espacio de nombres contiguo.

Bosques.Un bosque es una instancia completa de Active Directory. Consta de

uno o varios árboles. En un árbol de sólo dos niveles, que se recomienda para la mayoría de las organizaciones, todos los dominios secundarios se convierten en secundarios del dominio raíz de bosque para formar un árbol contiguo. El primer dominio del bosque se denomina dominio raíz de bosque. El nombre de ese dominio se refiere al bosque, como por ejemplo

nwtraders.msft. De forma predeterminada, la información de Active Directory se comparte sólo dentro del bosque. De este modo, el bosque es un límite de seguridad para la información contenida en la instancia de Active Directory.

(7)

Presentación multimedia: Estructura física de Active Directory

Definir los elementos de la estructura física de Active Directory.

Comentar el propósito de estos elementos.

A diferencia de la estructura lógica, que se basa en requisitos administrativos, la estructura física de Active Directory optimiza el tráfico de red mediante la determinación del lugar y el momento en que se produce la replicación y el tráfico de conexión. Para optimizar el uso del ancho de banda de red de Active Directory, se debe comprender la estructura física. Los elementos de la estructura física de Active Directory son los siguientes:

Controladores de dominio.En estos equipos se ejecuta Microsoft Windows®

Server™_{2003 o Microsoft Windows 2000 Server y Active Directory. Cada}

controlador de dominio realiza funciones de almacenamiento y replicación. Un controlador de dominio sólo puede admitir un dominio. Para asegurarse de la disponibilidad continua de Active Directory, cada dominio debe disponer de más de un controlador de dominio.

(8)

Sitios de Active Directory. Estos sitios son grupos de equipos conectados correctamente. Al establecer sitios, los controladores de dominio de un único sitio se comunican con frecuencia. Esta comunicación minimiza la latencia

dentro del sitio, es decir, el tiempo necesario para que un cambio realizado en un controlador de dominio pueda replicarse en otros controladores de dominio. Se pueden crear sitios para optimizar el uso del ancho de banda entre los controladores de dominio que están en ubicaciones diferentes.

Para obtener más información acerca de los sitios de Active

Directory, consulte el módulo 7, “Implementación de sitios para administrar la replicación de Active Directory” del curso 2196A: Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en

Microsoft Windows Server 2003.

Particiones de Active Directory. Cada controlador de dominio contiene las

siguientes particiones de Active Directory:

• La partición del dominio contiene replicados de todos los objetos de

ese dominio. La partición del dominio sólo puede replicarse en otro controlador de dominio del mismo dominio.

• La partición de configuración contiene la topología del bosque.

La topología es un registro de todos los controladores de dominio y

las conexiones entre ellos en un bosque.

• La partición del esquema contiene el esquema de todo el bosque. Cada

bosque tiene un esquema para que la definición de las clases de objetos sea coherente. Las particiones de configuración y del esquema pueden replicarse en los controladores de dominio del bosque.

• Las particiones de aplicaciones opcionales contienen objetos no

relacionados con la seguridad y utilizados por una o varias aplicaciones. Las particiones de aplicaciones pueden replicarse en controladores de dominio especificados del bosque.

Para obtener más información acerca de las particiones de Active Directory, consulte el módulo 7, “Implementación de sitios para administrar la replicación de Active Directory” del curso 2196A: Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en

Microsoft Windows Server 2003.

Nota

(9)

Qué son los maestros de operaciones

Cuando se realiza un cambio en un dominio, el cambio puede replicarse a través de todos los controladores del dominio. Algunos cambios, como los que se realizan en el esquema, pueden replicarse en todos los dominios del bosque. Esta replicación se denomina replicación de varios maestros.

Durante la replicación de varios maestros, se puede producir un conflicto de replicación si las actualizaciones que la originan se llevan a cabo simultáneamente en el mismo atributo de objeto en dos controladores de dominio. Para evitar conflictos de replicación, se puede utilizar la replicación

de maestro único, que designa un controlador de dominio como el único

controlador en el que se pueden realizar cambios en determinados directorios. De este modo, los cambios no se pueden producir en distintos lugares de la red al mismo tiempo. Active Directory utiliza la replicación de maestro único para cambios importantes, como la adición de un nuevo dominio o un cambio en el esquema de todo el bosque.

Las operaciones que utiliza la replicación de maestro único se organizan conjuntamente en funciones específicas de un bosque o dominio. Estas funciones se denominan funciones de maestro de operaciones.Sólo el controlador de dominio que posee una función de maestro de operaciones determinada puede realizar cambios en el directorio asociado. El controlador de dominio responsable de una función concreta se denomina maestro de

operaciones para dicha función. Active Directory almacena la información

acerca del controlador de dominio que posee una función específica.

Introducción

Operaciones de maestro único

Funciones de maestro de operaciones

(10)

Active Directory define cinco funciones de maestro de operaciones, con una ubicación predeterminada para cada una. Las funciones de maestro de operaciones abarcan todo el bosque o todo el dominio.

Funciones para todo el bosque. Estas funciones son únicas para un bosque

y son las siguientes:

• Maestro de esquema.Controla todas las actualizaciones del esquema.

El esquema contiene una lista general de clases de objetos y atributos utilizados para crear todos los objetos de Active Directory como, por ejemplo, usuarios, equipos e impresoras.

• Maestro de nombres de dominio. Controla la adición o la eliminación

de dominios del bosque. Sólo el controlador de dominio que posee la función de maestro de nombres de dominio puede agregar un nuevo dominio al bosque.

• Sólo existe un maestro de esquema y un maestro de nombres de dominio en todo el bosque.

Funciones para todo el dominio.Estas funciones son únicas para cada

dominio de un bosque y son las siguientes:

• Emulador del controlador de dominio principal (PDC, Primary domain

controller). Funciona como un PDC de Microsoft Windows NT que admite controladores de reserva (BDC, Backup domain controller) que se ejecutan en Windows NT dentro de un dominio de modo mixto. Este tipo de dominio dispone de controladores con Windows NT 4.0. El emulador del PDC es el primer controlador de dominio que se crea en un dominio nuevo.

• Maestro de identificadores relativos.Al crear un objeto nuevo, el

controlador de dominio crea una nueva entidad principal de seguridad que representa el objeto y le asigna un único identificador de seguridad (SID, security identifier). Este SID consta de un SID de dominio, que es el mismo para todas las entidades principales de seguridad creadas en el dominio, y un identificador relativo (RID, relative identifier), que es único para cada entidad principal de seguridad creada en el dominio. El maestro de RID asigna bloques de identificadores relativos a cada controlador del dominio. A continuación, el controlador de dominio asigna un RID a los objetos creados a partir de su bloque asignado de identificadores relativos.

(11)

• Maestro de infraestructuras. Al desplazar objetos de un dominio a otro, el maestro de infraestructuras actualiza las referencias a objetos de su dominio que apuntan al objeto en el otro dominio. La referencia al objeto contiene el identificador único global (GUID, globally unique

identifier) del objeto, nombre completo y un SID. Active Directory

actualiza periódicamente el nombre completo y el SID en la referencia al objeto para que se reflejen los cambios realizados en el objeto real, como el desplazamiento dentro del dominio o entre ellos y la

eliminación del objeto.

Cada dominio de un bosque dispone de su propio emulador del PDC, maestro de RID y maestro de infraestructuras.

Para obtener más información acerca de las funciones de maestro de operaciones, consulte el módulo 9, “Administración de los maestros de

operaciones”, del curso 2196A: Planeamiento, implementación y mantenimiento

de infraestructuras de Active Directory en Microsoft Windows Server 2003.

(12)

Lección: Cómo funciona Active Directory

En esta lección se presenta la función de Active Directory como servicio de directorio. La comprensión del funcionamiento de Active Directory facilitará la administración de recursos y la solución de problemas con el acceso a los recursos.

Describir la función de Active Directory como servicio de directorio.

Definir el propósito del esquema de Active Directory y cómo se utiliza.

Definir el propósito del catálogo global.

Determinar el nombre completo y el nombre completo relativo de un objeto de Active Directory.

Describir cómo Active Directory permite que se pueda iniciar sesión una única vez.

Introducción

(13)

Qué es un servicio de directorio

Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y aplicaciones obtener acceso a estos recursos y a la información acerca de ellos, necesita una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos. Un servicio de directorio realiza esta función.

Un servicio de directorio es un repositorio de información estructurado sobre personas y recursos de una organización. En una red de Windows Server 2003, el directorio de servicio es Active Directory.

Active Directory dispone de las siguientes capacidades:

Permite a usuarios y aplicaciones obtener acceso a información sobre

objetos. Esta información se almacena en forma de valores de atributos.

Se pueden buscar objetos basándose en su clase, atributos, valores de atributos, ubicación dentro de la estructura de Active Directory o cualquier combinación de estos valores.

Clarifica la topología de red física y los protocolos. De este modo, un

usuario de una red puede obtener acceso a cualquier recurso, como una impresora, sin saber el lugar donde se encuentra o el modo en que está conectado físicamente a la red.

Introducción

Qué es un servicio de directorio Capacidades de Active Directory

(14)

Permite el almacenamiento de un gran número de objetos. Puesto que se organiza en particiones, Active Directory se puede ampliar a medida que la organización crece. Por ejemplo, un directorio se puede ampliar de un solo servidor con varios cientos de objetos a miles de servidores y millones de objetos.

Se puede ejecutar como un servicio del sistema no operativo. Active

Directory en modo de aplicación (AD/AM) es una nueva capacidad de Microsoft Active Directory que trata determinadas situaciones de

implementación relacionadas con aplicaciones habilitadas para directorios. AD/AM se ejecuta como un servicio del sistema no operativo y, como tal, no requiere implementación en un controlador de dominio. La ejecución como servicio del sistema no operativo significa que se pueden ejecutar varias instancias de AD/AM a la vez en un único servidor y cada una de ellas se puede configurar por separado.

Para obtener más información acerca de AD/AM, consulte “Introduction to Active Directory in Application Mode” (en inglés) en

http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx.

(15)

Qué es un esquema

El esquema de Active Directory define las clases de objetos, los tipos de información sobre dichos objetos y la configuración de seguridad predeterminada para ellos que se puede almacenar en Active Directory.

El esquema de Active Directory contiene las definiciones de todos los objetos,

como usuarios, equipos e impresoras, almacenadas en Active Directory. En los controladores de dominio con Windows Server 2003, sólo existe un esquema para un bosque completo. De este modo, todos los objetos creados en Active Directory ajustan a las mismas reglas.

El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las

clases de objetos, como usuario, equipo e impresora, describen los objetos de

directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos. Los atributos se definen independientemente de las clases de objetos. Cada atributo se define sólo una vez y se puede utilizar en varias clases de objetos. Por ejemplo, el atributo Descripción se utiliza en muchas clases de objetos, pero se define sólo una vez en el esquema para garantizar la coherencia. Se pueden crear nuevos tipos de objetos en Active Directory mediante la ampliación del esquema. Por ejemplo, para una aplicación de servidor de correo electrónico, se puede extender la clase de usuario en Active Directory con nuevos atributos que almacenan información adicional, como direcciones de correo electrónico de los usuarios.

Para obtener más información acerca de la extensión del esquema de Active Directory, consulte Extending the Schema (en inglés) en la referencia en línea de MSDN Library. Introducción Qué es el esquema de Active Directory Esquema y extensibilidad de Active Directory Nota

(16)

En los controladores de dominio de Windows Server 2003, se pueden deshacer los cambios realizados en el esquema mediante su desactivación, lo que permite que las organizaciones saquen provecho de las características de extensibilidad de Active Directory.

También se puede volver a definir una clase o un atributo del esquema. Por ejemplo, se puede cambiar la sintaxis de una cadena Unicode de un atributo denominado Administrador de ventas por Nombre completo.

Cambios en el esquema y desactivación

(17)

Qué es el catálogo global

Los recursos de Active Directory se pueden compartir en dominios y bosques. La característica de catálogo global en Active Directory facilita al usuario la búsqueda de recursos en dominios y bosques. Por ejemplo, si busca todas las impresoras de un bosque, un servidor de catálogo global procesa la consulta en el catálogo global y, a continuación, devuelve los resultados. Sin un servidor de catálogo global, esta consulta requeriría una búsqueda en cada dominio del bosque.

El catálogo global es un repositorio de información que contiene un

subconjunto de los atributos de todos los objetos de Active Directory. Los miembros del grupo Administradores de esquema pueden cambiar los atributos almacenados en el catálogo global, en función de los requisitos de la organización. El catálogo global contiene los siguientes elementos:

Los atributos utilizados con más frecuencia en consultas, como el nombre, apellido y nombre de inicio de sesión de un usuario.

La información necesaria para determinar la ubicación de cualquier objeto en el directorio.

Un subconjunto predeterminado de atributos para cada tipo de objeto.

Los permisos de acceso para cada objeto y atributo almacenado en el catálogo global. Si busca un objeto para el que no dispone de los permisos adecuados para verlo, el objeto no aparecerá en los resultados de la búsqueda. Los permisos de acceso aseguran que los usuarios sólo puedan encontrar los objetos para los que se les ha asignado acceso.

Un servidor de catálogo global es un controlador de dominio que procesa

de forma efectiva consultas dentro de un mismo bosque del catálogo global. El primer controlador de dominio que se crea en Active Directory se convierte automáticamente en un servidor de catálogo global. Se pueden configurar servidores de catálogo global adicionales para equilibrar el tráfico de la autenticación de inicio de sesión y consultas.

Introducción

Qué es el catálogo global

Qué es un servidor de catálogo global

(18)

El catálogo global permite a los usuarios realizar dos importantes funciones:

Buscar la información de Active Directory en cualquier lugar del bosque, independientemente de la ubicación de los datos.

Utilizar la información de pertenencia al grupo universal para iniciar la sesión en la red.

Para obtener más información acerca del catálogo global, consulte el módulo 8, “Implementación de la ubicación de controladores de dominio”, en el curso 2196A: Planeamiento, implementación y mantenimiento de

infraestructuras de Active Directory en Microsoft Windows Server 2003.

Funciones del catálogo global

(19)

Qué son los nombres completos y los nombres completos relativos

Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP,

Lightweight Directory Access Protocol) para buscar y modificar objetos en

una base de datos de Active Directory. LDAP es un subconjunto de X.500, un estándar del sector que define cómo estructurar directorios. LDAP utiliza la información acerca de la estructura de un directorio para buscar objetos individuales, cada uno de los cuales tiene un nombre único.

LDAP utiliza un nombre que representa un objeto de Active Directory mediante una serie de componentes que se relacionan con la estructura lógica. Esta representación, denominada el nombre completo del objeto, identifica el dominio en el que el objeto está ubicado y la ruta completa para llegar a él. Los nombres completos deben ser únicos en un bosque de Active Directory.

El nombre completo relativo de un objeto únicamente identifica el objeto en

su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo nombre. El nombre completo relativo es siempre el primer componente del nombre completo, pero puede que no siempre sea un nombre común.

Para un usuario llamado Cristina Martínez de la unidad organizativa Sales en el dominio Contoso.msft, cada elemento de la estructura lógica se representa con el nombre completo siguiente:

CN=Cristina Martínez,OU=Sales,DC=contoso,DC=msft

CN es el nombre común del objeto en su contenedor.

OU es la unidad organizativa que contiene el objeto. Puede haber más de un valor de OU si el objeto reside en una unidad organizativa anidada.

DC es un componente de dominio, como “com” o “msft”. Siempre hay por lo menos dos componentes de dominio, pero es posible que existan más si el dominio es secundario.

Los componentes de dominio del nombre completo se basan en el Sistema de nombres de dominio (DNS, Domain Name System).

Introducción

Definición

Ejemplo de un nombre completo

(20)

En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad organizativa que se representa mediante la siguiente ruta de nombre de LDAP: OU=Sales,DC=contoso,DC=msft

Ejemplo de un nombre completo relativo

(21)

Presentación multimedia: Cómo permite Active Directory que se

pueda iniciar sesión una única vez

Describir el proceso mediante el cual Active Directory permite que se pueda iniciar sesión una única vez.

Explicar la importante de iniciar sesión una única vez.

Al permitir que se inicie sesión una única vez, Active Directory facilita al usuario los complejos procesos de autenticación y autorización. Los usuarios no necesitan administrar varios conjuntos de credenciales.

Un inicio de sesión una única vez consta de los siguientes aspectos:

Autenticación, que comprueba las credenciales del intento de conexión.

Autorización, que comprueba que el intento de conexión está permitido.

Como ingeniero de sistemas, debe comprender cómo funcionan estos procesos para optimizar y solucionar los problemas de la estructura de Active Directory.

(22)

Lección: Examen de Active Directory

Windows Server 2003 proporciona a los administradores las herramientas de línea de comandos y los complementos para administrar Active Directory. En esta lección se presentan estas herramientas de línea de comandos y estos complementos y se explica cómo utilizarlos para examinar la estructura lógica y física de Active Directory.

Explicar cómo está diseñado Active Directory para permitir la administración centralizada y descentralizada.

Describir las herramientas de línea de comandos y los complementos administrativos comunes de Active Directory.

Examinar la estructura lógica y física de Active Directory.

Introducción

(23)

Administración de Active Directory

Mediante Active Directory, se puede administrar un gran número de usuarios, equipos, impresoras y recursos de red desde una ubicación central, con

herramientas y complementos administrativos en Windows Server 2003. Active Directory también admite la administración descentralizada. Un administrador con la autoridad adecuada puede delegar un conjunto de privilegios

administrativos seleccionado a otros usuarios o grupos de una organización. Active Directory incluye varias características que admiten la administración centralizada:

Contiene información acerca de todos los objetos y sus atributos. Los

atributos contienen datos que describen el recurso que el objeto identifica. Puesto que la información acerca de todos los recursos de red se almacena en Active Directory, un administrador puede administrar los recursos de forma centralizada.

Se puede consultar Active Directory mediante protocolos como LDAP.

Se puede localizar fácilmente la información acerca de objetos mediante la búsqueda de atributos seleccionados del objeto, utilizando herramientas que admitan el protocolo LDAP.

Se pueden organizar en unidades organizativas objetos que posean

requisitos administrativos y de seguridad similares. Las unidades

organizativas proporcionan varios niveles de autoridad administrativa, de modo que se puede aplicar la configuración de directivas de grupo y delegar el control administrativo. Esta delegación simplifica la tarea de administración de estos objetos y permite estructurar Active Directory para que se ajuste a los requisitos de la organización.

Se puede especificar la configuración de directivas de grupo para un sitio,

un dominio o una unidad organizativa. Active Directory impone esta

configuración de directivas de grupo a todos los usuarios y equipos del contenedor. Introducción Cómo admite Active Directory la administración centralizada

(24)

Active Directory también admite la administración descentralizada. Se pueden asignar permisos y conceder derechos de usuario de formas muy específicas. Por ejemplo, se pueden delegar privilegios administrativos para determinados objetos a los equipos de ventas y mercadotecnia de una organización. Se puede delegar la asignación de permisos en los siguientes casos:

Para unidades organizativas específicas a distintos grupos locales de dominio. Por ejemplo, se puede delegar el permiso Control total para la unidad organizativa Sales.

Para modificar los atributos específicos de un objeto en una unidad organizativa. Por ejemplo, se puede asignar el permiso para cambiar el nombre, la dirección y el número de teléfono y para restablecer contraseñas de un objeto de cuenta de usuario.

Para realizar la misma tarea, como restablecer contraseñas, en todas las unidades organizativas de un dominio.

Cómo admite Active Directory la

administración descentralizada

(25)

Herramientas y complementos administrativos de Active Directory

Windows Server 2003 proporciona varias herramientas de línea de comandos y complementos para administrar Active Directory. También se puede

administrar Active Directory mediante los objetos de Active Directory Service Interface (ADSI) de las secuencias de comandos de Microsoft Windows Script Host. ADSI es una sencilla pero potente interfaz para la creación de secuencias de comandos reutilizables para administrar Active Directory.

En la siguiente tabla se describen algunos complementos administrativos comunes para administrar Active Directory.

Complemento Descripción

Usuarios y equipos de Active Directory

Complemento Microsoft Management Console (MMC) que se utiliza para administrar y publicar información en Active Directory. Se pueden administrar cuentas de usuario, grupos y cuentas de equipo, agregar equipos a un dominio, administrar directivas de cuenta y derechos de usuario y directivas de auditoría. Dominios y confianzas

de Active Directory

MMC que se utiliza para administrar confianzas de dominio y de bosque, agregar sufijos de nombre principal de usuario y cambiar los niveles funcionales de dominio y bosque.

Sitios y servicios de Active Directory

MMC que se utiliza para administrar la replicación de datos de directorios.

Esquema de Active Directory

MMC que se utiliza para administrar el esquema. No está disponible de forma predeterminada en el menú Herramientas administrativas. Se debe agregar manualmente.

También se puede utilizar el Editor ADSI para ver, crear, modificar y eliminar objetos en Active Directory. El Editor ADSI no se instala de forma predeterminada. Para instalar el Editor ADSI, instale las herramientas de soporte de Windows Server 2003 desde la carpeta \Support\Tools del disco compacto del producto.

Introducción

Complementos administrativos

(26)

Se pueden personalizar las consolas administrativas para que coincidan con las tareas administrativas que se delegan a otros administradores. También se pueden combinar todas las consolas necesarias para cada función administrativa en una única consola.

En la siguiente tabla se describen algunas herramientas de línea de comandos comunes que se utilizan para administrar Active Directory.

Herramienta Descripción

Dsadd Permite agregar objetos, como equipos, usuarios, grupos, unidades organizativas y contactos, a Active Directory.

Dsmod Permite modificar objetos, como equipos, servidores, usuarios, grupos, unidades organizativas y contactos, en Active Directory.

Dsquery Permite ejecutar consultas en Active Directory con los criterios especificados. Puede realizar consultas sobre servidores, equipos, grupos, usuarios, sitios, unidades organizativas y particiones.

Dsmove Permite mover un solo objeto, dentro de un dominio, a una nueva ubicación de Active Directory o cambiar el nombre de un solo objeto sin moverlo.

Dsrm Permite eliminar un objeto de Active Directory.

Dsget Permite mostrar los atributos seleccionados de un equipo, contacto, grupo, unidad organizativa, servidor o usuario de Active Directory.

Csvde Permite importar y exportar datos de Active Directory en formato de texto separado por comas.

Ldifde Permite crear, modificar y eliminar objetos de Active Directory. También permite ampliar el esquema de Active Directory, exportar información de usuarios y grupos a otras aplicaciones o servicios y rellenar Active Directory con los datos de otros servicios de directorio.

Para obtener más información acerca de las herramientas de línea de comandos proporcionadas por Windows Server 2003, consulte “Administrar Active Directory desde la línea de comandos” en Centro de ayuda y soporte técnico.

Aunque Windows Server 2003 proporciona varios complementos y

herramientas de línea de comandos para administrar Active Directory, no son adecuados para realizar operaciones por lotes de cambios en Active Directory que impliquen condiciones complejas. En estos casos, puede realizar cambios más rápidamente mediante secuencias de comandos. Por ejemplo, puede cambiar el primer dígito del número de la extensión telefónica de 3 a 5 y de 4 a 5 para todos los empleados que se hayan trasladado al edificio 5.

Se pueden crear secuencias de comandos de Windows Script Host que utilicen ADSI para realizar las siguientes tareas:

Recuperar información acerca de los objetos de Active Directory.

Agregar objetos a Active Directory.

Modificar valores de atributos para objetos de Active Directory.

Eliminar objetos de Active Directory.

Extender el esquema de Active Directory.

ADSI utiliza el protocolo LDAP para comunicarse con Active Directory.

Herramientas administrativas de línea de comandos Nota Microsoft Windows Script Host

(27)

Cómo examinar Active Directory

Se puede ver la estructura física y lógica de Active Directory mediante Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Dominios y confianzas de Active Directory.

Para ver la estructura lógica y física de Active Directory, siga los siguientes pasos:

1. Abra Usuario y equipos de Active Directory y examine las unidades organizativas en Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas

administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory.

b. En el árbol de consola, expanda Usuarios y equipos de Active Directory. c. En el árbol de consola, expanda el dominio cuyas unidades organizativas

desea ver.

d. Visualice la página Propiedades de cada contenedor en el árbol de consola.

e. Determine el tipo de objeto mediante la información de clase de objeto en la ficha Objeto. La clase de objeto de las unidades organizativas es

Unidad organizativa.

2. Abra Dominios y confianzas de Active Directory para ver la estructura lógica de Active Directory. Para ello, siga los siguientes pasos:

a. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory.

b. En el panel de la izquierda, expanda el nodo que representa el dominio raíz de bosque para ver los dominios que constituye la estructura lógica de Active Directory.

Introducción

(28)

3. Abra Sitios y servicios de Active Directory para ver la estructura física de Active Directory. Para ello, siga los siguientes pasos:

a. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory.

b. En el árbol de consola, expanda Sites y, a continuación, la carpeta que representa el sitio para el que desea ver una lista de servidores. c. Haga clic en Servers para ver una lista de servidores en el panel de la

derecha.

Para obtener más información acerca del examen de Active Directory, consulte “Cómo examinar Active Directory” en el módulo 1 de los apéndices del disco compacto Material del alumno.

(29)

Ejercicio: Examen de la estructura de Active Directory

En este ejercicio, examinará la estructura lógica y física de Active Directory. Hoy es su primer día como ingeniero de sistemas en Northwind Traders. El administrador ha pedido un estudio de la estructura lógica y física de Active Directory en Northwind Traders.

Examinar la estructura predeterminada de los objetos de Active Directory mediante Usuarios y equipos de Active Directory

1. Inicie sesión como nwtradersx\NombreDeEquipoUser con la contraseña P@ssw0rd

2. Instale el paquete de herramientas de administración de Windows Server 2003. Para ello, siga los siguientes pasos:

a. Haga clic en Inicio, haga clic con el botón secundario del mouse (ratón) en Símbolo del sistema y, a continuación, haga clic en Ejecutar como. b. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente

usuario, escriba un nombre de usuario de nwtraders\administrador y una contraseña P@ssw0rd y, a continuación, haga clic en Aceptar. c. Inserte el CD de Windows 2003 Server en la lectora de CD-ROM d. En el símbolo del sistema, escriba CDROM:\i386\Adminpak.msi y, a

continuación, presione ENTRAR. (CDROM es el nombre de la unidad lectora de CDs)

e. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir y, a continuación, complete la instalación.

f. Cierre la ventana de símbolo del sistema. 3. Abra Usuarios y equipos de Active Directory. 4. Habilite Características avanzadas.

Objetivos

Situación de ejemplo

(30)

5. Expanda nwtraders.msft y busque el objeto Locations. ¿Qué es el tipo de objeto?

_____________________________________________________________ _____________________________________________________________ 6. Expanda Locations. ¿Qué tipos de objetos contiene la carpeta?

_____________________________________________________________ _____________________________________________________________ 7. Los objetos de la carpeta Locations representan las ubicaciones geográficas

de una organización. Cada ubicación contiene tres objetos. ¿Cuál es el propósito de estos objetos?

_____________________________________________________________ _____________________________________________________________ 8. Abra cualquiera de los contenedores que representan una ubicación y, a

continuación, abra el contenedor Users.

¿Qué observa en los objetos ubicados en este contenedor?

_____________________________________________________________

Examinar la estructura predeterminada de Active Directory mediante Sitios y servicios de Active Directory

1. Abra Sitios y servicios de Active Directory.

2. Expanda Sites, haga clic con el botón secundario en

(31)

3. En la ficha Seguridad, examine los permisos para el grupo Admins. del dominio. ¿Cuáles son los permisos?

____________________________________________________________ ____________________________________________________________ 4. Examine los permisos asignados al grupo Admins. del dominio para

el objeto Nombre-predeterminado-primer-sitio\Servers\London. ¿Qué observa?

____________________________________________________________ ____________________________________________________________

Examinar la estructura predeterminada de Active Directory mediante Dominios y confianzas de Active Directory

1. Abra Dominios y confianzas de Active Directory.

2. Expanda nwtraders.msft y, a continuación, examine las propiedades de nwtraders.msft.

¿Qué observa?

____________________________________________________________ 3. Opte por administrar el dominio corp.nwtraders.msft. ¿Qué ocurre?

(32)

Lección: Procesos de diseño, planeamiento e

implementación de Active Directory

En esta lección se proporciona información general de los procesos de diseño, planeamiento e implementación de Active Directory.

Diferenciar entre el diseño, el planeamiento y la implementación de Active Directory.

Describir las fases del proceso de diseño de Active Directory.

Describir las fases del proceso de planeamiento de Active Directory.

Describir las fases del proceso de implementación de Active Directory.

Introducción

(33)

Información general del diseño, planeamiento e implementación

de Active Directory

La implementación de Active Directory se inicia con la creación del diseño de Active Directory. Puede utilizar el diseño para planear la implementación de Active Directory y, a continuación, implementar Active Directory.

Uno o varios arquitectos de sistemas crean el diseño de Active Directory, de acuerdo con los requisitos empresariales de una organización. Estos requisitos empresariales determinan las especificaciones funcionales del diseño.

El plan de implementación de Active Directory determina cómo se implementa el diseño de Active Directory, de acuerdo con la infraestructura de hardware de la organización. Por ejemplo, el diseño de Active Directory puede especificar el número de controladores de dominio para cada dominio basándose en una configuración de servidor específica. Sin embargo, si esta configuración no está disponible, en la fase de planeamiento, se puede alterar el número de servidores para cumplir los requisitos empresariales de la organización.

Después de implementar Active Directory, se debe administrar y mantener para garantizar la disponibilidad, la fiabilidad y la seguridad de la red. En este curso se describen las fases de planeamiento e implementación. El diseño detallado de Active Directory no se incluye en este curso.

Durante la implementación de Active Directory, los ingenieros de sistemas deben realizar las siguientes acciones:

Crear la estructura de dominios y de bosques e implementar los servidores.

Crear la estructura de unidad organizativa.

Crear las cuentas de usuario y equipo.

Crear los grupos de distribución y seguridad.

Crear objetos de directiva de grupo (GPO, Group Policy object) y, a continuación, aplicarlos a dominios, sitios y unidades organizativas.

Crear directivas de distribución de software.

Introducción Diseño de Active Directory Plan de implementación de Active Directory Implementación de Active Directory

(34)

Proceso de diseño de Active Directory

El diseño de Active Directory supone varias tareas, que definen los requisitos funcionales para un componente de una implementación de Active Directory. El proceso de diseño de Active Directory incluye las siguientes tareas:

Recopilación de información organizativa.Esta primera tarea define la

necesidad del servicio de directorio y los requisitos empresariales del proyecto. Entre los ejemplos de información organizativa se incluye un perfil organizativo avanzado, ubicaciones geográficas de la organización, infraestructura técnica y de red y planes de cambios en la organización.

Análisis de información organizativa. Analice la información recopilada

para evaluar su relevancia y valor para el proceso de diseño. Determine la información más importante y los componentes del diseño de Active Directory a los que afectará la información. Debe estar preparado para aplicar la información en todo el proceso de diseño.

Análisis de las opciones de diseño. Al analizar requisitos empresariales

específicos, varias opciones de diseño pueden satisfacer los requisitos empresariales. Por ejemplo, se puede cumplir un requisito administrativo con un diseño de dominios o una estructura de unidad organizativa. Cada opción seleccionada puede afectar a otros componentes del diseño, por lo que debe existir cierta flexibilidad en el enfoque del diseño en todo el proceso.

Introducción Tareas del proceso de diseño de Active Directory

(35)

Selección de un diseño. Desarrolle varios diseños de Active Directory y, a continuación, compare sus puntos fuertes y débiles. Al seleccionar un diseño, examine los requisitos empresariales conflictivos y considere sus efectos en las opciones de diseño. Puede que no haya un claro ganador entre las opciones de diseño. Seleccione el diseño que cumpla la mayoría de los requisitos empresariales y represente la mejor opción en general.

Perfeccionamiento del diseño. Probablemente tenga que cambiar la

primera versión del plan de diseño antes de la fase experimental de la implementación. El proceso de diseño es iterativo porque se deben considerar demasiadas variables al diseñar una infraestructura de Active Directory. Revise y perfeccione cada concepto de diseño varias veces para adaptarlo a todos los requisitos empresariales.

La salida de la fase de diseño de Active Directory incluye los siguientes elementos:

Diseño de bosques y dominios. El diseño de bosques incluye información

como, por ejemplo, el número de bosques necesarios, las directrices para crear confianzas y el nombre de dominio completo (FQDN, fully qualified

domain name) para el dominio raíz de bosque para cada bosque. En el

diseño también se incluye la directiva de control de cambios de bosque, que identifica los procesos de propiedad y de aprobación para los cambios de configuración que afectan a todo el bosque. Identifique quién es el responsable de determinar la directiva de control de cambios de bosque para cada bosque de la organización. Si hay varios bosques en el plan de diseño, puede evaluar si las confianzas de bosque son necesarias para compartir los recursos de red en los bosques.

En el diseño de dominios se indica el número de dominios necesarios en cada bosque, los dominios que estarán en el dominio raíz de bosque para cada bosque y la jerarquía de dominios si existen varios dominios en el diseño. En el diseño de dominios también se incluye el nombre DNS de cada dominio y cualquier relación de confianza entre dominios.

Diseño de unidades organizativas. Permite especificar cómo se crearán las

unidades organizativas para cada dominio del bosque. Incluya una descripción de la autoridad administrativa que se aplicará a cada unidad organizativa y a la que se delegará dicha autoridad. Finalmente, incluya la estrategia para aplicar directivas de grupo a la estructura de unidades organizativas.

Diseño de sitios. Permite especificar el número y la ubicación de los sitios en

la organización, los vínculos del sitio necesarios y el costo de los vínculos.

Salida del proceso de diseño de Active Directory

(36)

Proceso de planeamiento de Active Directory

La salida del proceso de planeamiento es el plan de implementación de Active Directory. Este plan consta de varios planes que definen los requisitos funcionales para un componente específico de una implementación de Active Directory. En un plan de Active Directory se incluyen los siguientes componentes:

Estrategia de cuentas. Permite incluir información, como directrices para

nombres de cuentas y directivas de bloqueo, la directiva de contraseñas y las directrices para la configuración de seguridad de objetos.

Estrategia de auditoría. Permite determinar cómo supervisar las

modificaciones en objetos de Active Directory.

Plan de implementación de unidades organizativas. Permite definir qué

unidades organizativas crear y cómo crearlas. Por ejemplo, si el diseño de unidades organizativas especifica que las unidades organizativas se crearán de forma geográfica y se organizarán por unidad empresarial dentro de cada área geográfica, el plan de implementación de unidades organizativas define las unidades organizativas que se van a implementar, como Sales, Human Resources y Production. El plan también proporciona directrices para la delegación de autoridad.

Plan de directivas de grupo. Permite determinar quién crea, vincula y

administra los objetos de directiva de grupo y cómo se implementará la directiva de grupo.

Plan de implementación de sitios. Permite especificar los sitios, vínculos

a sitios y la programación de vínculos. También permite especificar la programación y el intervalo de replicación y las directrices para garantizar y configurar la replicación entre sitios.

Introducción

Componentes de un plan de Active Directory

(37)

Plan de implementación del software. Permite especificar cómo utilizar las directivas de grupo para implementar un nuevo software y las actualizaciones del software. Por ejemplo, se puede especificar si las actualizaciones de software son obligatorias u opcionales.

Plan de ubicación de servidores. Permite especificar la ubicación de

controladores de dominio, servidores de catálogo global, servidores DNS integrados en Active Directory y maestros de operaciones. También permite especificar si se habilitará el almacenamiento en caché de la pertenencia al grupo universal de sitios que no dispongan de un servidor de catálogo global. Una vez completado el plan de cada componente, combínelos para formar el plan de implementación de Active Directory completo.

(38)

Proceso de implementación de Active Directory

Una vez que el plan de implementación de Active Directory está disponible, se puede iniciar la implementación de Active Directory de acuerdo con el plan de diseño.

Realice las siguientes tareas al implementar Active Directory:

Implementar la estructura de bosques, dominios y DNS. Cree el dominio

raíz de bosque, árboles de dominios y dominios secundarios que constituyan la jerarquía de bosques y dominios.

Crear unidades organizativas y grupos de seguridad. Cree la estructura de

unidades organizativas para cada dominio en cada bosque, cree grupos de seguridad y delegue autoridad administrativa a grupos administrativos de cada unidad organizativa.

Crear cuentas de usuario y equipo. Importe cuentas de usuario a Active

Directory.

Crear objetos de directiva de grupo. Cree GPO basados en la estrategia

de directivas de grupo y, a continuación, vincúlelos a sitios, dominios y unidades organizativas.

Implementar sitios. Cree sitios según el plan de sitios, cree vínculos a

sitios, configure la programación de los vínculos a sitios e implemente controladores de dominio, servidores de catálogo global, servidores DNS y maestros de operaciones en los sitios.

Introducción

Proceso de implementación

(39)

(40)