Introducción a las infraestructuras de Active Directory Contenido Introducción 1 Lección: Arquitectura de Active Directory 2 Lección: Cómo funciona Active Directory 11 Lección: Examen de Active Directory 21 Lección: Procesos de diseño, planeamiento e implementación de Active Directory 31
2 Introducción a las infraestructuras de Active Directory Introducción Introducción Objetivos Este módulo sirve de introducción a la estructura lógica y física del servicio de directorio Active Directory y su función como servicio de directorio. Además, presenta los complementos, las herramientas de línea de comandos y Microsoft Windows Script Host que se pueden utilizar para administrar los componentes de Active Directory y los procesos de diseño, planeamiento e implementación de Active Directory. Después de finalizar este módulo, podrá: Describir la arquitectura de Active Directory. Describir cómo funciona Active Directory. Utilizar complementos administrativos para examinar los componentes de Active Directory. Describir los procesos de diseño, planeamiento e implementación de Active Directory.
Lección: Arquitectura de Active Directory Introducción a las infraestructuras de Active Directory 3 Introducción Objetivos de la lección Active Directory consta de componentes que constituyen su estructura lógica y física. Se deben planear las estructuras lógica y física de Active Directory para que cumplan los requisitos de la organización. Para administrar Active Directory, se debe comprender el propósito de estos componentes y cómo utilizarlos. Después de finalizar esta lección, podrá: Describir la función de Active Directory. Describir la estructura lógica de Active Directory. Describir la estructura física de Active Directory. Describir las funciones de maestro de operaciones.
4 Introducción a las infraestructuras de Active Directory Qué funciones desempeña Active Directory Introducción Función de Active Directory Active Directory almacena información acerca de los usuarios, equipos y recursos de red y permite el acceso a los recursos por parte de usuarios y aplicaciones. Asimismo, proporciona una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos. Active Directory proporciona las siguientes funciones: Centralizar el control de los recursos de red. Al centralizar el control de recursos como servidores, archivos compartidos e impresoras, sólo los usuarios autorizados pueden obtener acceso a los recursos de Active Directory. Centralizar y descentralizar la administración de recursos. Los administradores pueden administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicación central mediante una interfaz de administración coherente o pueden distribuir tareas administrativas mediante la delegación del control de los recursos a otros administradores. Almacenar objetos de forma segura en una estructura lógica. Active Directory almacena todos los recursos como objetos en una estructura lógica, jerárquica y segura. Optimizar el tráfico de red. La estructura física de Active Directory permite utilizar el ancho de banda de red de forma más efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesión en la red, la autoridad de autenticación más cercana a él lo autentique, reduciendo así la cantidad de tráfico de red.
Introducción a las infraestructuras de Active Directory 5 Presentación multimedia: Estructura lógica de Active Directory Ubicación de los archivos Objetivos Puntos clave Para iniciar la presentación, abrir el archivo media08_1.html que se puede encontrar dentro del fichero media08.zip. Al final de esta presentación, podrá: Definir los elementos de la estructura lógica de Active Directory. Comentar el propósito de estos elementos. Active Directory proporciona un almacenamiento seguro de información acerca de los objetos en su estructura lógica jerárquica. Los objetos de Active Directory representan a los usuarios y los recursos, como equipos e impresoras. Algunos objetos son contenedores de otros objetos. Una vez que se ha comprendido el propósito y la función de estos objetos, se pueden realizar diversas tareas, entre las que se incluyen la instalación, configuración, administración y solución de problemas de Active Directory. La estructura lógica de Active Directory comprende los siguientes componentes: Objetos. Son los componentes más básicos de la estructura lógica. Las clases de objetos son plantillas o planos técnicos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objetos se define mediante un grupo de atributos, que definen los posibles valores que se pueden asociar a un objeto. Cada objeto posee una única combinación de valores de atributos. Unidades organizativas. Se pueden utilizar estos objetos contenedores para estructurar otros objetos de modo que admitan los propósitos administrativos. Mediante la estructuración de los objetos por unidades organizativas, se facilita su localización y administración. También se puede delegar la autoridad para administrar una unidad organizativa. Las unidades organizativas pueden estar anidadas en otras unidades organizativas, lo que simplifica la administración de objetos.
6 Introducción a las infraestructuras de Active Directory Dominios. Se trata de las unidades funcionales centrales en la estructura lógica de Active Directory que son un conjunto de objetos definidos de forma administrativa y que comparten una base de datos, directivas de seguridad y relaciones de confianza comunes con otros dominios. Los dominios proporcionan las siguientes tres funciones: Un límite administrativo para objetos Un medio de administración de la seguridad para recursos compartidos Una unidad de replicación para objetos Árboles de dominios. Los dominios que están agrupados en estructuras jerárquicas se denominan árboles de dominios. Al agregar un segundo dominio a un árbol, se convierte en secundario del dominio raíz del árbol. El dominio al que está adjunto un dominio secundario se denomina dominio primario. Un dominio secundario puede tener a su vez su propio dominio secundario. El nombre de un dominio secundario se combina con el nombre de su dominio primario para formar su propio nombre único de Sistema de nombres de dominio (DNS, Domain Name System), como corp.nwtraders.msft. De esta forma, el árbol dispone de un a espacio de nombres contiguo. Bosques. Un bosque es una instancia completa de Active Directory. Consta de uno o varios árboles. En un árbol de sólo dos niveles, que se recomienda para la mayoría de las organizaciones, todos los dominios secundarios se convierten en secundarios del dominio raíz de bosque para formar un árbol contiguo. El primer dominio del bosque se denomina dominio raíz de bosque. El nombre de ese dominio se refiere al bosque, como por ejemplo nwtraders.msft. De forma predeterminada, la información de Active Directory se comparte sólo dentro del bosque. De este modo, el bosque es un límite de seguridad para la información contenida en la instancia de Active Directory.
Introducción a las infraestructuras de Active Directory 7 Presentación multimedia: Estructura física de Active Directory Ubicación de los archivos Objetivos Puntos clave Para iniciar la presentación, abrir el archivo media08_2.html que se puede encontrar dentro del fichero media08.zip. Al final de esta presentación, podrá: Definir los elementos de la estructura física de Active Directory. Comentar el propósito de estos elementos. A diferencia de la estructura lógica, que se basa en requisitos administrativos, la estructura física de Active Directory optimiza el tráfico de red mediante la determinación del lugar y el momento en que se produce la replicación y el tráfico de conexión. Para optimizar el uso del ancho de banda de red de Active Directory, se debe comprender la estructura física. Los elementos de la estructura física de Active Directory son los siguientes: Controladores de dominio. En estos equipos se ejecuta Microsoft Windows Server 2003 o Microsoft Windows 2000 Server y Active Directory. Cada controlador de dominio realiza funciones de almacenamiento y replicación. Un controlador de dominio sólo puede admitir un dominio. Para asegurarse de la disponibilidad continua de Active Directory, cada dominio debe disponer de más de un controlador de dominio.
8 Introducción a las infraestructuras de Active Directory Sitios de Active Directory. Estos sitios son grupos de equipos conectados correctamente. Al establecer sitios, los controladores de dominio de un único sitio se comunican con frecuencia. Esta comunicación minimiza la latencia dentro del sitio, es decir, el tiempo necesario para que un cambio realizado en un controlador de dominio pueda replicarse en otros controladores de dominio. Se pueden crear sitios para optimizar el uso del ancho de banda entre los controladores de dominio que están en ubicaciones diferentes. Nota Para obtener más información acerca de los sitios de Active Directory, consulte el módulo 7, Implementación de sitios para administrar la replicación de Active Directory del curso 2196A: Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003. Particiones de Active Directory. Cada controlador de dominio contiene las siguientes particiones de Active Directory: La partición del dominio contiene replicados de todos los objetos de ese dominio. La partición del dominio sólo puede replicarse en otro controlador de dominio del mismo dominio. La partición de configuración contiene la topología del bosque. La topología es un registro de todos los controladores de dominio y las conexiones entre ellos en un bosque. La partición del esquema contiene el esquema de todo el bosque. Cada bosque tiene un esquema para que la definición de las clases de objetos sea coherente. Las particiones de configuración y del esquema pueden replicarse en los controladores de dominio del bosque. Las particiones de aplicaciones opcionales contienen objetos no relacionados con la seguridad y utilizados por una o varias aplicaciones. Las particiones de aplicaciones pueden replicarse en controladores de dominio especificados del bosque. Nota Para obtener más información acerca de las particiones de Active Directory, consulte el módulo 7, Implementación de sitios para administrar la replicación de Active Directory del curso 2196A: Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.
Introducción a las infraestructuras de Active Directory 9 Qué son los maestros de operaciones Introducción Operaciones de maestro único Funciones de maestro de operaciones Cuando se realiza un cambio en un dominio, el cambio puede replicarse a través de todos los controladores del dominio. Algunos cambios, como los que se realizan en el esquema, pueden replicarse en todos los dominios del bosque. Esta replicación se denomina replicación de varios maestros. Durante la replicación de varios maestros, se puede producir un conflicto de replicación si las actualizaciones que la originan se llevan a cabo simultáneamente en el mismo atributo de objeto en dos controladores de dominio. Para evitar conflictos de replicación, se puede utilizar la replicación de maestro único, que designa un controlador de dominio como el único controlador en el que se pueden realizar cambios en determinados directorios. De este modo, los cambios no se pueden producir en distintos lugares de la red al mismo tiempo. Active Directory utiliza la replicación de maestro único para cambios importantes, como la adición de un nuevo dominio o un cambio en el esquema de todo el bosque. Las operaciones que utiliza la replicación de maestro único se organizan conjuntamente en funciones específicas de un bosque o dominio. Estas funciones se denominan funciones de maestro de operaciones. Sólo el controlador de dominio que posee una función de maestro de operaciones determinada puede realizar cambios en el directorio asociado. El controlador de dominio responsable de una función concreta se denomina maestro de operaciones para dicha función. Active Directory almacena la información acerca del controlador de dominio que posee una función específica.
10 Introducción a las infraestructuras de Active Directory Active Directory define cinco funciones de maestro de operaciones, con una ubicación predeterminada para cada una. Las funciones de maestro de operaciones abarcan todo el bosque o todo el dominio. Funciones para todo el bosque. Estas funciones son únicas para un bosque y son las siguientes: Maestro de esquema. Controla todas las actualizaciones del esquema. El esquema contiene una lista general de clases de objetos y atributos utilizados para crear todos los objetos de Active Directory como, por ejemplo, usuarios, equipos e impresoras. Maestro de nombres de dominio. Controla la adición o la eliminación de dominios del bosque. Sólo el controlador de dominio que posee la función de maestro de nombres de dominio puede agregar un nuevo dominio al bosque. Sólo existe un maestro de esquema y un maestro de nombres de dominio en todo el bosque. Funciones para todo el dominio. Estas funciones son únicas para cada dominio de un bosque y son las siguientes: Emulador del controlador de dominio principal (PDC, Primary domain controller). Funciona como un PDC de Microsoft Windows NT que admite controladores de reserva (BDC, Backup domain controller) que se ejecutan en Windows NT dentro de un dominio de modo mixto. Este tipo de dominio dispone de controladores con Windows NT 4.0. El emulador del PDC es el primer controlador de dominio que se crea en un dominio nuevo. Maestro de identificadores relativos. Al crear un objeto nuevo, el controlador de dominio crea una nueva entidad principal de seguridad que representa el objeto y le asigna un único identificador de seguridad (SID, security identifier). Este SID consta de un SID de dominio, que es el mismo para todas las entidades principales de seguridad creadas en el dominio, y un identificador relativo (RID, relative identifier), que es único para cada entidad principal de seguridad creada en el dominio. El maestro de RID asigna bloques de identificadores relativos a cada controlador del dominio. A continuación, el controlador de dominio asigna un RID a los objetos creados a partir de su bloque asignado de identificadores relativos.
Introducción a las infraestructuras de Active Directory 11 Maestro de infraestructuras. Al desplazar objetos de un dominio a otro, el maestro de infraestructuras actualiza las referencias a objetos de su dominio que apuntan al objeto en el otro dominio. La referencia al objeto contiene el identificador único global (GUID, globally unique identifier) del objeto, nombre completo y un SID. Active Directory actualiza periódicamente el nombre completo y el SID en la referencia al objeto para que se reflejen los cambios realizados en el objeto real, como el desplazamiento dentro del dominio o entre ellos y la eliminación del objeto. Cada dominio de un bosque dispone de su propio emulador del PDC, maestro de RID y maestro de infraestructuras. Nota Para obtener más información acerca de las funciones de maestro de operaciones, consulte el módulo 9, Administración de los maestros de operaciones, del curso 2196A: Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.
12 Introducción a las infraestructuras de Active Directory Lección: Cómo funciona Active Directory Introducción Objetivos de la lección En esta lección se presenta la función de Active Directory como servicio de directorio. La comprensión del funcionamiento de Active Directory facilitará la administración de recursos y la solución de problemas con el acceso a los recursos. Después de finalizar esta lección, podrá: Describir la función de Active Directory como servicio de directorio. Definir el propósito del esquema de Active Directory y cómo se utiliza. Definir el propósito del catálogo global. Determinar el nombre completo y el nombre completo relativo de un objeto de Active Directory. Describir cómo Active Directory permite que se pueda iniciar sesión una única vez.
Introducción a las infraestructuras de Active Directory 13 Qué es un servicio de directorio Introducción Qué es un servicio de directorio Capacidades de Active Directory Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y aplicaciones obtener acceso a estos recursos y a la información acerca de ellos, necesita una forma coherente de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos. Un servicio de directorio realiza esta función. Un servicio de directorio es un repositorio de información estructurado sobre personas y recursos de una organización. En una red de Windows Server 2003, el directorio de servicio es Active Directory. Active Directory dispone de las siguientes capacidades: Permite a usuarios y aplicaciones obtener acceso a información sobre objetos. Esta información se almacena en forma de valores de atributos. Se pueden buscar objetos basándose en su clase, atributos, valores de atributos, ubicación dentro de la estructura de Active Directory o cualquier combinación de estos valores. Clarifica la topología de red física y los protocolos. De este modo, un usuario de una red puede obtener acceso a cualquier recurso, como una impresora, sin saber el lugar donde se encuentra o el modo en que está conectado físicamente a la red.
14 Introducción a las infraestructuras de Active Directory Permite el almacenamiento de un gran número de objetos. Puesto que se organiza en particiones, Active Directory se puede ampliar a medida que la organización crece. Por ejemplo, un directorio se puede ampliar de un solo servidor con varios cientos de objetos a miles de servidores y millones de objetos. Se puede ejecutar como un servicio del sistema no operativo. Active Directory en modo de aplicación (AD/AM) es una nueva capacidad de Microsoft Active Directory que trata determinadas situaciones de implementación relacionadas con aplicaciones habilitadas para directorios. AD/AM se ejecuta como un servicio del sistema no operativo y, como tal, no requiere implementación en un controlador de dominio. La ejecución como servicio del sistema no operativo significa que se pueden ejecutar varias instancias de AD/AM a la vez en un único servidor y cada una de ellas se puede configurar por separado. Nota Para obtener más información acerca de AD/AM, consulte Introduction to Active Directory in Application Mode (en inglés) en http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx.
Introducción a las infraestructuras de Active Directory 15 Qué es un esquema Introducción Qué es el esquema de Active Directory Esquema y extensibilidad de Active Directory El esquema de Active Directory define las clases de objetos, los tipos de información sobre dichos objetos y la configuración de seguridad predeterminada para ellos que se puede almacenar en Active Directory. El esquema de Active Directory contiene las definiciones de todos los objetos, como usuarios, equipos e impresoras, almacenadas en Active Directory. En los controladores de dominio con Windows Server 2003, sólo existe un esquema para un bosque completo. De este modo, todos los objetos creados en Active Directory ajustan a las mismas reglas. El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las clases de objetos, como usuario, equipo e impresora, describen los objetos de directorio que se pueden crear. Cada clase de objeto es un conjunto de atributos. Los atributos se definen independientemente de las clases de objetos. Cada atributo se define sólo una vez y se puede utilizar en varias clases de objetos. Por ejemplo, el atributo Descripción se utiliza en muchas clases de objetos, pero se define sólo una vez en el esquema para garantizar la coherencia. Se pueden crear nuevos tipos de objetos en Active Directory mediante la ampliación del esquema. Por ejemplo, para una aplicación de servidor de correo electrónico, se puede extender la clase de usuario en Active Directory con nuevos atributos que almacenan información adicional, como direcciones de correo electrónico de los usuarios. Nota Para obtener más información acerca de la extensión del esquema de Active Directory, consulte Extending the Schema (en inglés) en la referencia en línea de MSDN Library.
16 Introducción a las infraestructuras de Active Directory Cambios en el esquema y desactivación En los controladores de dominio de Windows Server 2003, se pueden deshacer los cambios realizados en el esquema mediante su desactivación, lo que permite que las organizaciones saquen provecho de las características de extensibilidad de Active Directory. También se puede volver a definir una clase o un atributo del esquema. Por ejemplo, se puede cambiar la sintaxis de una cadena Unicode de un atributo denominado Administrador de ventas por Nombre completo.
Introducción a las infraestructuras de Active Directory 17 Qué es el catálogo global Introducción Qué es el catálogo global Qué es un servidor de catálogo global Los recursos de Active Directory se pueden compartir en dominios y bosques. La característica de catálogo global en Active Directory facilita al usuario la búsqueda de recursos en dominios y bosques. Por ejemplo, si busca todas las impresoras de un bosque, un servidor de catálogo global procesa la consulta en el catálogo global y, a continuación, devuelve los resultados. Sin un servidor de catálogo global, esta consulta requeriría una búsqueda en cada dominio del bosque. El catálogo global es un repositorio de información que contiene un subconjunto de los atributos de todos los objetos de Active Directory. Los miembros del grupo Administradores de esquema pueden cambiar los atributos almacenados en el catálogo global, en función de los requisitos de la organización. El catálogo global contiene los siguientes elementos: Los atributos utilizados con más frecuencia en consultas, como el nombre, apellido y nombre de inicio de sesión de un usuario. La información necesaria para determinar la ubicación de cualquier objeto en el directorio. Un subconjunto predeterminado de atributos para cada tipo de objeto. Los permisos de acceso para cada objeto y atributo almacenado en el catálogo global. Si busca un objeto para el que no dispone de los permisos adecuados para verlo, el objeto no aparecerá en los resultados de la búsqueda. Los permisos de acceso aseguran que los usuarios sólo puedan encontrar los objetos para los que se les ha asignado acceso. Un servidor de catálogo global es un controlador de dominio que procesa de forma efectiva consultas dentro de un mismo bosque del catálogo global. El primer controlador de dominio que se crea en Active Directory se convierte automáticamente en un servidor de catálogo global. Se pueden configurar servidores de catálogo global adicionales para equilibrar el tráfico de la autenticación de inicio de sesión y consultas.
18 Introducción a las infraestructuras de Active Directory Funciones del catálogo global El catálogo global permite a los usuarios realizar dos importantes funciones: Buscar la información de Active Directory en cualquier lugar del bosque, independientemente de la ubicación de los datos. Utilizar la información de pertenencia al grupo universal para iniciar la sesión en la red. Nota Para obtener más información acerca del catálogo global, consulte el módulo 8, Implementación de la ubicación de controladores de dominio, en el curso 2196A: Planeamiento, implementación y mantenimiento de infraestructuras de Active Directory en Microsoft Windows Server 2003.
Introducción a las infraestructuras de Active Directory 19 Qué son los nombres completos y los nombres completos relativos Introducción Definición Ejemplo de un nombre completo Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory Access Protocol) para buscar y modificar objetos en una base de datos de Active Directory. LDAP es un subconjunto de X.500, un estándar del sector que define cómo estructurar directorios. LDAP utiliza la información acerca de la estructura de un directorio para buscar objetos individuales, cada uno de los cuales tiene un nombre único. LDAP utiliza un nombre que representa un objeto de Active Directory mediante una serie de componentes que se relacionan con la estructura lógica. Esta representación, denominada el nombre completo del objeto, identifica el dominio en el que el objeto está ubicado y la ruta completa para llegar a él. Los nombres completos deben ser únicos en un bosque de Active Directory. El nombre completo relativo de un objeto únicamente identifica el objeto en su contenedor. Dos objetos del mismo contenedor no pueden tener el mismo nombre. El nombre completo relativo es siempre el primer componente del nombre completo, pero puede que no siempre sea un nombre común. Para un usuario llamado Cristina Martínez de la unidad organizativa Sales en el dominio Contoso.msft, cada elemento de la estructura lógica se representa con el nombre completo siguiente: CN=Cristina Martínez,OU=Sales,DC=contoso,DC=msft CN es el nombre común del objeto en su contenedor. OU es la unidad organizativa que contiene el objeto. Puede haber más de un valor de OU si el objeto reside en una unidad organizativa anidada. DC es un componente de dominio, como com o msft. Siempre hay por lo menos dos componentes de dominio, pero es posible que existan más si el dominio es secundario. Los componentes de dominio del nombre completo se basan en el Sistema de nombres de dominio (DNS, Domain Name System).
20 Introducción a las infraestructuras de Active Directory Ejemplo de un nombre completo relativo En el siguiente ejemplo, Sales es el nombre completo relativo de una unidad organizativa que se representa mediante la siguiente ruta de nombre de LDAP: OU=Sales,DC=contoso,DC=msft
Introducción a las infraestructuras de Active Directory 21 Presentación multimedia: Cómo permite Active Directory que se pueda iniciar sesión una única vez Ubicación de los archivos Objetivos Puntos clave Para iniciar la presentación, abrir el archivo media08_3.html que se puede encontrar dentro del fichero media08.zip. Al final de esta presentación, podrá: Describir el proceso mediante el cual Active Directory permite que se pueda iniciar sesión una única vez. Explicar la importante de iniciar sesión una única vez. Al permitir que se inicie sesión una única vez, Active Directory facilita al usuario los complejos procesos de autenticación y autorización. Los usuarios no necesitan administrar varios conjuntos de credenciales. Un inicio de sesión una única vez consta de los siguientes aspectos: Autenticación, que comprueba las credenciales del intento de conexión. Autorización, que comprueba que el intento de conexión está permitido. Como ingeniero de sistemas, debe comprender cómo funcionan estos procesos para optimizar y solucionar los problemas de la estructura de Active Directory.
22 Introducción a las infraestructuras de Active Directory Lección: Examen de Active Directory Introducción Objetivos de la lección Windows Server 2003 proporciona a los administradores las herramientas de línea de comandos y los complementos para administrar Active Directory. En esta lección se presentan estas herramientas de línea de comandos y estos complementos y se explica cómo utilizarlos para examinar la estructura lógica y física de Active Directory. Después de finalizar esta lección, podrá: Explicar cómo está diseñado Active Directory para permitir la administración centralizada y descentralizada. Describir las herramientas de línea de comandos y los complementos administrativos comunes de Active Directory. Examinar la estructura lógica y física de Active Directory.
Introducción a las infraestructuras de Active Directory 23 Administración de Active Directory Introducción Cómo admite Active Directory la administración centralizada Mediante Active Directory, se puede administrar un gran número de usuarios, equipos, impresoras y recursos de red desde una ubicación central, con herramientas y complementos administrativos en Windows Server 2003. Active Directory también admite la administración descentralizada. Un administrador con la autoridad adecuada puede delegar un conjunto de privilegios administrativos seleccionado a otros usuarios o grupos de una organización. Active Directory incluye varias características que admiten la administración centralizada: Contiene información acerca de todos los objetos y sus atributos. Los atributos contienen datos que describen el recurso que el objeto identifica. Puesto que la información acerca de todos los recursos de red se almacena en Active Directory, un administrador puede administrar los recursos de forma centralizada. Se puede consultar Active Directory mediante protocolos como LDAP. Se puede localizar fácilmente la información acerca de objetos mediante la búsqueda de atributos seleccionados del objeto, utilizando herramientas que admitan el protocolo LDAP. Se pueden organizar en unidades organizativas objetos que posean requisitos administrativos y de seguridad similares. Las unidades organizativas proporcionan varios niveles de autoridad administrativa, de modo que se puede aplicar la configuración de directivas de grupo y delegar el control administrativo. Esta delegación simplifica la tarea de administración de estos objetos y permite estructurar Active Directory para que se ajuste a los requisitos de la organización. Se puede especificar la configuración de directivas de grupo para un sitio, un dominio o una unidad organizativa. Active Directory impone esta configuración de directivas de grupo a todos los usuarios y equipos del contenedor.
24 Introducción a las infraestructuras de Active Directory Cómo admite Active Directory la administración descentralizada Active Directory también admite la administración descentralizada. Se pueden asignar permisos y conceder derechos de usuario de formas muy específicas. Por ejemplo, se pueden delegar privilegios administrativos para determinados objetos a los equipos de ventas y mercadotecnia de una organización. Se puede delegar la asignación de permisos en los siguientes casos: Para unidades organizativas específicas a distintos grupos locales de dominio. Por ejemplo, se puede delegar el permiso Control total para la unidad organizativa Sales. Para modificar los atributos específicos de un objeto en una unidad organizativa. Por ejemplo, se puede asignar el permiso para cambiar el nombre, la dirección y el número de teléfono y para restablecer contraseñas de un objeto de cuenta de usuario. Para realizar la misma tarea, como restablecer contraseñas, en todas las unidades organizativas de un dominio.
Introducción a las infraestructuras de Active Directory 25 Herramientas y complementos administrativos de Active Directory Introducción Complementos administrativos Complemento Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory Esquema de Active Directory Windows Server 2003 proporciona varias herramientas de línea de comandos y complementos para administrar Active Directory. También se puede administrar Active Directory mediante los objetos de Active Directory Service Interface (ADSI) de las secuencias de comandos de Microsoft Windows Script Host. ADSI es una sencilla pero potente interfaz para la creación de secuencias de comandos reutilizables para administrar Active Directory. En la siguiente tabla se describen algunos complementos administrativos comunes para administrar Active Directory. Descripción Complemento Microsoft Management Console (MMC) que se utiliza para administrar y publicar información en Active Directory. Se pueden administrar cuentas de usuario, grupos y cuentas de equipo, agregar equipos a un dominio, administrar directivas de cuenta y derechos de usuario y directivas de auditoría. MMC que se utiliza para administrar confianzas de dominio y de bosque, agregar sufijos de nombre principal de usuario y cambiar los niveles funcionales de dominio y bosque. MMC que se utiliza para administrar la replicación de datos de directorios. MMC que se utiliza para administrar el esquema. No está disponible de forma predeterminada en el menú Herramientas administrativas. Se debe agregar manualmente. Nota También se puede utilizar el Editor ADSI para ver, crear, modificar y eliminar objetos en Active Directory. El Editor ADSI no se instala de forma predeterminada. Para instalar el Editor ADSI, instale las herramientas de soporte de Windows Server 2003 desde la carpeta \Support\Tools del disco compacto del producto.
26 Introducción a las infraestructuras de Active Directory Se pueden personalizar las consolas administrativas para que coincidan con las tareas administrativas que se delegan a otros administradores. También se pueden combinar todas las consolas necesarias para cada función administrativa en una única consola. Herramientas administrativas de línea de comandos Herramienta Dsadd Dsmod Dsquery Dsmove Dsrm Dsget Csvde Ldifde En la siguiente tabla se describen algunas herramientas de línea de comandos comunes que se utilizan para administrar Active Directory. Descripción Permite agregar objetos, como equipos, usuarios, grupos, unidades organizativas y contactos, a Active Directory. Permite modificar objetos, como equipos, servidores, usuarios, grupos, unidades organizativas y contactos, en Active Directory. Permite ejecutar consultas en Active Directory con los criterios especificados. Puede realizar consultas sobre servidores, equipos, grupos, usuarios, sitios, unidades organizativas y particiones. Permite mover un solo objeto, dentro de un dominio, a una nueva ubicación de Active Directory o cambiar el nombre de un solo objeto sin moverlo. Permite eliminar un objeto de Active Directory. Permite mostrar los atributos seleccionados de un equipo, contacto, grupo, unidad organizativa, servidor o usuario de Active Directory. Permite importar y exportar datos de Active Directory en formato de texto separado por comas. Permite crear, modificar y eliminar objetos de Active Directory. También permite ampliar el esquema de Active Directory, exportar información de usuarios y grupos a otras aplicaciones o servicios y rellenar Active Directory con los datos de otros servicios de directorio. Nota Para obtener más información acerca de las herramientas de línea de comandos proporcionadas por Windows Server 2003, consulte Administrar Active Directory desde la línea de comandos en Centro de ayuda y soporte técnico. Microsoft Windows Script Host Aunque Windows Server 2003 proporciona varios complementos y herramientas de línea de comandos para administrar Active Directory, no son adecuados para realizar operaciones por lotes de cambios en Active Directory que impliquen condiciones complejas. En estos casos, puede realizar cambios más rápidamente mediante secuencias de comandos. Por ejemplo, puede cambiar el primer dígito del número de la extensión telefónica de 3 a 5 y de 4 a 5 para todos los empleados que se hayan trasladado al edificio 5. Se pueden crear secuencias de comandos de Windows Script Host que utilicen ADSI para realizar las siguientes tareas: Recuperar información acerca de los objetos de Active Directory. Agregar objetos a Active Directory. Modificar valores de atributos para objetos de Active Directory. Eliminar objetos de Active Directory. Extender el esquema de Active Directory. ADSI utiliza el protocolo LDAP para comunicarse con Active Directory.
Introducción a las infraestructuras de Active Directory 27 Cómo examinar Active Directory Introducción Procedimiento Se puede ver la estructura física y lógica de Active Directory mediante Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Dominios y confianzas de Active Directory. Para ver la estructura lógica y física de Active Directory, siga los siguientes pasos: 1. Abra Usuario y equipos de Active Directory y examine las unidades organizativas en Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. b. En el árbol de consola, expanda Usuarios y equipos de Active Directory. c. En el árbol de consola, expanda el dominio cuyas unidades organizativas desea ver. d. Visualice la página Propiedades de cada contenedor en el árbol de consola. e. Determine el tipo de objeto mediante la información de clase de objeto en la ficha Objeto. La clase de objeto de las unidades organizativas es Unidad organizativa. 2. Abra Dominios y confianzas de Active Directory para ver la estructura lógica de Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory. b. En el panel de la izquierda, expanda el nodo que representa el dominio raíz de bosque para ver los dominios que constituye la estructura lógica de Active Directory.
28 Introducción a las infraestructuras de Active Directory 3. Abra Sitios y servicios de Active Directory para ver la estructura física de Active Directory. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. b. En el árbol de consola, expanda Sites y, a continuación, la carpeta que representa el sitio para el que desea ver una lista de servidores. c. Haga clic en Servers para ver una lista de servidores en el panel de la derecha. Nota Para obtener más información acerca del examen de Active Directory, consulte Cómo examinar Active Directory en el módulo 1 de los apéndices del disco compacto Material del alumno.
Introducción a las infraestructuras de Active Directory 29 Ejercicio: Examen de la estructura de Active Directory Objetivos Situación de ejemplo Ejercicio En este ejercicio, examinará la estructura lógica y física de Active Directory. Hoy es su primer día como ingeniero de sistemas en Northwind Traders. El administrador ha pedido un estudio de la estructura lógica y física de Active Directory en Northwind Traders. Examinar la estructura predeterminada de los objetos de Active Directory mediante Usuarios y equipos de Active Directory 1. Inicie sesión como nwtradersx\nombredeequipouser con la contraseña P@ssw0rd 2. Instale el paquete de herramientas de administración de Windows Server 2003. Para ello, siga los siguientes pasos: a. Haga clic en Inicio, haga clic con el botón secundario del mouse (ratón) en Símbolo del sistema y, a continuación, haga clic en Ejecutar como. b. En el cuadro de diálogo Ejecutar como, haga clic en El siguiente usuario, escriba un nombre de usuario de nwtraders\administrador y una contraseña P@ssw0rd y, a continuación, haga clic en Aceptar. c. Inserte el CD de Windows 2003 Server en la lectora de CD-ROM d. En el símbolo del sistema, escriba CDROM:\i386\Adminpak.msi y, a continuación, presione ENTRAR. (CDROM es el nombre de la unidad lectora de CDs) e. En el cuadro de diálogo Descarga de archivos, haga clic en Abrir y, a continuación, complete la instalación. f. Cierre la ventana de símbolo del sistema. 3. Abra Usuarios y equipos de Active Directory. 4. Habilite Características avanzadas.
30 Introducción a las infraestructuras de Active Directory 5. Expanda nwtraders.msft y busque el objeto Locations. Qué es el tipo de objeto? 6. Expanda Locations. Qué tipos de objetos contiene la carpeta? 7. Los objetos de la carpeta Locations representan las ubicaciones geográficas de una organización. Cada ubicación contiene tres objetos. Cuál es el propósito de estos objetos? 8. Abra cualquiera de los contenedores que representan una ubicación y, a continuación, abra el contenedor Users. Qué observa en los objetos ubicados en este contenedor? Examinar la estructura predeterminada de Active Directory mediante Sitios y servicios de Active Directory 1. Abra Sitios y servicios de Active Directory. 2. Expanda Sites, haga clic con el botón secundario en Nombrepredeterminado-primer-sitio y, a continuación, haga clic en Propiedades.
Introducción a las infraestructuras de Active Directory 31 3. En la ficha Seguridad, examine los permisos para el grupo Admins. del dominio. Cuáles son los permisos? 4. Examine los permisos asignados al grupo Admins. del dominio para el objeto Nombre-predeterminado-primer-sitio\Servers\London. Qué observa? Examinar la estructura predeterminada de Active Directory mediante Dominios y confianzas de Active Directory 1. Abra Dominios y confianzas de Active Directory. 2. Expanda nwtraders.msft y, a continuación, examine las propiedades de nwtraders.msft. Qué observa? 3. Opte por administrar el dominio corp.nwtraders.msft. Qué ocurre?
32 Introducción a las infraestructuras de Active Directory Lección: Procesos de diseño, planeamiento e implementación de Active Directory Introducción Objetivo de la lección En esta lección se proporciona información general de los procesos de diseño, planeamiento e implementación de Active Directory. Después de finalizar esta lección, podrá: Diferenciar entre el diseño, el planeamiento y la implementación de Active Directory. Describir las fases del proceso de diseño de Active Directory. Describir las fases del proceso de planeamiento de Active Directory. Describir las fases del proceso de implementación de Active Directory.
Introducción a las infraestructuras de Active Directory 33 Información general del diseño, planeamiento e implementación de Active Directory Introducción Diseño de Active Directory Plan de implementación de Active Directory Implementación de Active Directory La implementación de Active Directory se inicia con la creación del diseño de Active Directory. Puede utilizar el diseño para planear la implementación de Active Directory y, a continuación, implementar Active Directory. Uno o varios arquitectos de sistemas crean el diseño de Active Directory, de acuerdo con los requisitos empresariales de una organización. Estos requisitos empresariales determinan las especificaciones funcionales del diseño. El plan de implementación de Active Directory determina cómo se implementa el diseño de Active Directory, de acuerdo con la infraestructura de hardware de la organización. Por ejemplo, el diseño de Active Directory puede especificar el número de controladores de dominio para cada dominio basándose en una configuración de servidor específica. Sin embargo, si esta configuración no está disponible, en la fase de planeamiento, se puede alterar el número de servidores para cumplir los requisitos empresariales de la organización. Después de implementar Active Directory, se debe administrar y mantener para garantizar la disponibilidad, la fiabilidad y la seguridad de la red. En este curso se describen las fases de planeamiento e implementación. El diseño detallado de Active Directory no se incluye en este curso. Durante la implementación de Active Directory, los ingenieros de sistemas deben realizar las siguientes acciones: Crear la estructura de dominios y de bosques e implementar los servidores. Crear la estructura de unidad organizativa. Crear las cuentas de usuario y equipo. Crear los grupos de distribución y seguridad. Crear objetos de directiva de grupo (GPO, Group Policy object) y, a continuación, aplicarlos a dominios, sitios y unidades organizativas. Crear directivas de distribución de software.
34 Introducción a las infraestructuras de Active Directory Proceso de diseño de Active Directory Introducción Tareas del proceso de diseño de Active Directory El diseño de Active Directory supone varias tareas, que definen los requisitos funcionales para un componente de una implementación de Active Directory. El proceso de diseño de Active Directory incluye las siguientes tareas: Recopilación de información organizativa. Esta primera tarea define la necesidad del servicio de directorio y los requisitos empresariales del proyecto. Entre los ejemplos de información organizativa se incluye un perfil organizativo avanzado, ubicaciones geográficas de la organización, infraestructura técnica y de red y planes de cambios en la organización. Análisis de información organizativa. Analice la información recopilada para evaluar su relevancia y valor para el proceso de diseño. Determine la información más importante y los componentes del diseño de Active Directory a los que afectará la información. Debe estar preparado para aplicar la información en todo el proceso de diseño. Análisis de las opciones de diseño. Al analizar requisitos empresariales específicos, varias opciones de diseño pueden satisfacer los requisitos empresariales. Por ejemplo, se puede cumplir un requisito administrativo con un diseño de dominios o una estructura de unidad organizativa. Cada opción seleccionada puede afectar a otros componentes del diseño, por lo que debe existir cierta flexibilidad en el enfoque del diseño en todo el proceso.
Introducción a las infraestructuras de Active Directory 35 Selección de un diseño. Desarrolle varios diseños de Active Directory y, a continuación, compare sus puntos fuertes y débiles. Al seleccionar un diseño, examine los requisitos empresariales conflictivos y considere sus efectos en las opciones de diseño. Puede que no haya un claro ganador entre las opciones de diseño. Seleccione el diseño que cumpla la mayoría de los requisitos empresariales y represente la mejor opción en general. Perfeccionamiento del diseño. Probablemente tenga que cambiar la primera versión del plan de diseño antes de la fase experimental de la implementación. El proceso de diseño es iterativo porque se deben considerar demasiadas variables al diseñar una infraestructura de Active Directory. Revise y perfeccione cada concepto de diseño varias veces para adaptarlo a todos los requisitos empresariales. Salida del proceso de diseño de Active Directory La salida de la fase de diseño de Active Directory incluye los siguientes elementos: Diseño de bosques y dominios. El diseño de bosques incluye información como, por ejemplo, el número de bosques necesarios, las directrices para crear confianzas y el nombre de dominio completo (FQDN, fully qualified domain name) para el dominio raíz de bosque para cada bosque. En el diseño también se incluye la directiva de control de cambios de bosque, que identifica los procesos de propiedad y de aprobación para los cambios de configuración que afectan a todo el bosque. Identifique quién es el responsable de determinar la directiva de control de cambios de bosque para cada bosque de la organización. Si hay varios bosques en el plan de diseño, puede evaluar si las confianzas de bosque son necesarias para compartir los recursos de red en los bosques. En el diseño de dominios se indica el número de dominios necesarios en cada bosque, los dominios que estarán en el dominio raíz de bosque para cada bosque y la jerarquía de dominios si existen varios dominios en el diseño. En el diseño de dominios también se incluye el nombre DNS de cada dominio y cualquier relación de confianza entre dominios. Diseño de unidades organizativas. Permite especificar cómo se crearán las unidades organizativas para cada dominio del bosque. Incluya una descripción de la autoridad administrativa que se aplicará a cada unidad organizativa y a la que se delegará dicha autoridad. Finalmente, incluya la estrategia para aplicar directivas de grupo a la estructura de unidades organizativas. Diseño de sitios. Permite especificar el número y la ubicación de los sitios en la organización, los vínculos del sitio necesarios y el costo de los vínculos.
36 Introducción a las infraestructuras de Active Directory Proceso de planeamiento de Active Directory Introducción Componentes de un plan de Active Directory La salida del proceso de planeamiento es el plan de implementación de Active Directory. Este plan consta de varios planes que definen los requisitos funcionales para un componente específico de una implementación de Active Directory. En un plan de Active Directory se incluyen los siguientes componentes: Estrategia de cuentas. Permite incluir información, como directrices para nombres de cuentas y directivas de bloqueo, la directiva de contraseñas y las directrices para la configuración de seguridad de objetos. Estrategia de auditoría. Permite determinar cómo supervisar las modificaciones en objetos de Active Directory. Plan de implementación de unidades organizativas. Permite definir qué unidades organizativas crear y cómo crearlas. Por ejemplo, si el diseño de unidades organizativas especifica que las unidades organizativas se crearán de forma geográfica y se organizarán por unidad empresarial dentro de cada área geográfica, el plan de implementación de unidades organizativas define las unidades organizativas que se van a implementar, como Sales, Human Resources y Production. El plan también proporciona directrices para la delegación de autoridad. Plan de directivas de grupo. Permite determinar quién crea, vincula y administra los objetos de directiva de grupo y cómo se implementará la directiva de grupo. Plan de implementación de sitios. Permite especificar los sitios, vínculos a sitios y la programación de vínculos. También permite especificar la programación y el intervalo de replicación y las directrices para garantizar y configurar la replicación entre sitios.
Introducción a las infraestructuras de Active Directory 37 Plan de implementación del software. Permite especificar cómo utilizar las directivas de grupo para implementar un nuevo software y las actualizaciones del software. Por ejemplo, se puede especificar si las actualizaciones de software son obligatorias u opcionales. Plan de ubicación de servidores. Permite especificar la ubicación de controladores de dominio, servidores de catálogo global, servidores DNS integrados en Active Directory y maestros de operaciones. También permite especificar si se habilitará el almacenamiento en caché de la pertenencia al grupo universal de sitios que no dispongan de un servidor de catálogo global. Una vez completado el plan de cada componente, combínelos para formar el plan de implementación de Active Directory completo.