Funcionalidad del Servicio de Directorio

El Directorio Activo proporciona funcionalidad de servicio de directorio, como un medio de organizar, administrar y controlar centralmente el acceso a los recursos de red.

• Hace que la topología física de red y los protocolos pasen desapercibidos.
• Está organizado en secciones que permiten el almacenamiento de una gran cantidad de objetos.
• Es posible ampliar el Directorio Activo a medida que crece una organización.
• Proporciona un control centralizado del acceso a los recursos de red, al permitir que los usuarios sólo inicien sesión una vez para obtener pleno acceso a los recursos.

Objetos del Servicio de Directorio

Los objetos representan los recursos de red. Un único administrador controla centralmente esos recursos en una base de datos distribuida.

• Cuando se crea un objeto, las propiedades o atributos que lo describen se almacenan en el directorio.
• Los usuarios pueden encontrar objetos mediante la búsqueda de atributos específicos.
• Una función importante de algunos objetos es la de contener otros objetos.

Esquema del Servicio de Directorio

El esquema contiene las definiciones de todos los objetos. En Windows 2000 sólo hay un esquema.

Los dos tipos de definiciones de esquema son los atributos y las clases de objetos.

• Las clases de objetos describen los objetos de directorio que se pueden crear.
• Cada clase es un conjunto de atributos.
• Los atributos se definen de forma independiente de las clases de objeto.
• Cada atributo se define sólo una vez y se puede utilizar en múltiples clases de objetos.

La base de datos del Directorio Activo almacena el esquema.

El almacenamiento en una base de datos significa que el esquema:

• Está dinámicamente a disposición de las aplicaciones de usuario, esto permite a las aplicaciones de usuario leer el esquema para descubrir qué objetos y propiedades están disponibles y se puedan usar.
• Es dinámicamente actualizable, por lo que una aplicación puede extender el esquema con nuevos atributos y clases de objetos.
• Puede usar las listas de permisos -> Listas de control de acceso discrecional (DACL) para proteger todas las clases de objetos y atributos.

Directorio Activo

En el Directorio Activo, la estructura lógica es diferente de la estructura física y está separada de ella.

• La estructura lógica se utiliza para organizar los recursos de red.
• La estructura física se utiliza para configurar y administrar el tráfico de red.

La estructura física define dónde y cuándo se produce el tráfico de replicación y de inicio de sesión.

La estructura lógica es flexible y ofrece un método para diseñar una jerarquía de directorios.

Los componentes lógicos de la estructura incluyen:

• Dominios
• Unidades organizativas
• Árboles
• Bosques

Dominio

Es la unidad central de la estructura lógica del Directorio Activo.

Es un conjunto de equipos, definido por un administrador, que comparten una base de datos de directorios común.

• Un dominio tiene un nombre único y proporciona acceso a las cuentas de usuario centralizadas y a las cuentas de grupo mantenidas por el administrador de dominio.
• En una red, el dominio sirve como límite de seguridad.

El propósito es garantizar que un administrador de un dominio tenga los permisos necesarios para realizar la administración sólo en ese dominio, a menos que se le concedan explícitamente en un dominio adicional.

Todos los dominios tienen sus propias directivas de seguridad y relaciones de seguridad con otros dominios.

Los dominios son también unidades de replicación.

Una unidad de replicación significa que todos los controles de dominio reciben los cambios en la información de su propio dominio, replicando esos cambios en los otros controladores del mismo dominio.

Después de instalar el Directorio Activo y establecer un dominio, este opera en modo mixto como modo de domino predeterminado.

• Un dominio de modo mixto es compatible con todos los controladores del dominio.
• El Directorio Activo se instala en modo mixto para proporcionar compatibilidad con los controladores de domino existentes.
• Cuando todos los controladores estén actualizados a Windows 2000 o superior, entonces podrá convertir el dominio de modo mixto a modo nativo.
• Algunas funciones del Directorio Activo requieren que ese dominio esté en modo nativo.
• El cambio de modo mixto a modo nativo es un proceso unidireccional.

Árboles y Bosques

El primer dominio de Windows recibe el nombre de dominio raíz del bosque.

El domino raíz del bosque es importante por las siguientes razones:

• Siempre se hará referencia al bosque con el nombre de su dominio raíz. Cambiar el nombre significa quitar el Directorio Activo de todos su controladores de domino.
• Se agregan dominios adicionales al dómino raíz para formar la estructura de árboles o de bosques.
• Se crean grupos especiales para administrar el Directorio Activo sólo en el dominio raíz del bosque.
• En el dominio raíz del bosque deben existir las funciones de Maestro de operaciones de esquema y Maestro de nombres de dominio.

Un árbol es una disposición jerárquica de los dominios de Windows, que comparten un espacio de nombres contiguo.

• Cuando se agrega un dominio a un árbol existente, el nuevo domino es un dominio secundario de un dominio principal existente.
• El nombre del dominio combina con el del dominio principal para formar su nombre DNS.
• Todo domino secundario tiene una relación de confianza transitiva y bidireccional con respecto a su dominio principal.

Un bosque es uno o más árboles.

• Los árboles de un bosque no comparten necesariamente un espacio de nombres contiguo.
• Los árboles de un bosque comparten un esquema, un contexto de configuración y un catálogo común.
• Un sólo árbol que no esté relacionado con otro, es un bosque de un solo árbol.
• Todo dominio raíz de árbol tiene una relación de confianza transitiva con el dominio de raíz de bosque.
• El nombre del dominio raíz del bosque se utiliza para hacer referencia a un bosque concreto.
• Cada árbol de un bosque tiene su propio espacio de nombres único.

Relación de Confianza

Una confianza es un vínculo de comunicación unidireccional segura entre dominios.

• Una confianza bidireccional significa que hay dos rutas de confianza que van en direcciones opuestas entre los dos dominios.
• Una confianza transitiva significa que la relación de confianza extendida a un dominio se extiende automáticamente a todos los otros dominios que confían en él.
• Una relación de confianza transitiva bidireccional es la relación de confianza predeterminada entre los dominios del mismo bosque en Windows.
• Una confianza transitiva bidireccional es una combinación de una confianza transitiva y una confianza bidireccional.

Unidades Organizativas

Una unidad organizativa es un objeto que se usa para organizar los objetos del dominio.

• Una unidad organizativa puede contener objetos incluso otras unidades organizativas.
• Puede utilizar las unidades organizativas para agrupar objetos en la jerarquía lógica que mejor se adapte a las necesidades.
• La jerarquía de unidades organizativas de un dominio es independiente.
• Cada dominio puede implementar su propia jerarquía de unidades organizativas.
• Puede delegar el control administrativo sobre los objetos de una unidad organizativa.
• Para delegar el control asigne a uno o más grupos de usuarios los permisos específicos para la unidad organizativa y los objetos que contiene la unidad organizativa.
• Puede asignar el control completo sobre todos los objetos que hay en la unidad, o bien un control limitado.

Catálogo Global

El catálogo global es un depósito de información que contiene un subconjunto de atributos de todos los objetos del Directorio Activo.

• Los atributos que se almacenan en el catálogo global son los que se utilizan con más frecuencia en las consultas.
• El catálogo global contiene la información necesaria para determinar la ubicación de cualquier objeto del directorio.

Habilita a los usuarios para que realicen tres funciones importantes:

• Encontrar información del Directorio Activo en todo el bosque, independientemente de los datos.
• Utilizar la información de pertenencia a un grupo universal para iniciar sesión en la red.
• Iniciar sesión utilizando un nombre principal de usuario en varios bosques de dominio.

Un servidor de catálogo global es un controlador de dominio que procesa consultas contra el catálogo global.

• El primer controlador de dominio que crea en el Directorio Activo, se convierte automáticamente en un servidor de catálogo global.
• Puede configurar otros servidores para equilibrar el tráfico de la autentificación y las consultas.

El catálogo global:

• Hace que la estructura de directorios de un bosque sea transparente para los usuarios que realizan una búsqueda.
• Contiene también los permisos de acceso de cada objeto y atributo almacenados en él.

Estructura Física

La estructura física del Directorio Activo define dónde y cuándo se producen el tráfico de replicación y de inicio de sesión.

Es fundamental entender los componentes físicos para poder optimizar el tráfico de red y el proceso de inicio de sesión.

Los controladores de dominio y los sitios constituyen la estructura física del Directorio Activo.

Controlador de Dominio

Un controlador de dominio es un equipo donde se ejecuta Windows Server y que almacena una réplica del directorio.

• Administra los cambios realizados en la información del directorio y replica estos cambios en otros controladores del mismo dominio.
• Almacenan datos del directorio y administran procesos de inicio de sesión, autentificación y búsquedas en directorios de usuarios.
• Un dominio puede tener uno o varios controladores de dominio.

La base de datos del Directorio Activo se divide en tres particiones conocidas como contextos de nombres:

• El contexto de nombres de dominio
  • Contiene todos los objetos y atributos de objetos en un dominio.
• El contexto de nombres de configuración
  • Contiene la información relativa a las confianzas del bosque.
• El contexto de nombres de esquema
  • Define todos los objetos y propiedades que se pueden crear en la base de datos del Directorio Activo.

Los controladores de dominio replican cualquier cambio del contexto de nombres de dominio que relaciona sus dominios unos con otros.

Los controladores de dominio de un bosque replican automáticamente cualquier cambio en el esquema y los contextos de nombres de dominio unos con otros.

La replicación asegura que toda la información del Directorio Activo está disponible para todos los controladores de dominio y todos los clientes de toda la red.

El Directorio Activo utiliza un modelo de replicación con varios maestros.

• En este modelo de replicación cada dominio tiene uno o varios controladores de dominio.
• Cada controlador almacena una copia escribible de la base de datos del Directorio Activo para su dominio, y administra los cambios y actualizaciones en su copia del directorio.
• Cuando un usuario o un administrador realiza una acción que causa una actualización se replica en todos los controladores de dominio del domino.
• Sin embargo, los controladores podrían contener información diferente durante breves periodos, hasta que todos los controladores hayan sincronizado sus cambios con el Directorio Activo.

No es práctico realizar algunos cambios en el Directorio Activo utilizando la replicación de varios maestros, por eso se asignan operaciones de maestro único a controladores de dominio específicos.

Sitios

Un sitio es una combinación de una o varias subredes de protocolo de Internet, que están conectadas por un vínculo de alta velocidad.

Al definir los sitios se configura la topología de aplicación y acceso al Directorio Activo de forma que Windows utilice los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación.

Los sitios se crean por dos razones:

• Para optimizar el tráfico de replicación.
• Para permitir a los usuarios conectarse con un controlador de dominio utilizando una conexión de red confiable y bien conectada para las funciones de autenticación e inicio de sesión.

Los sitios se asignan a la estructura física de la red.

Los dominios se asignan a la estructura lógica.

Las estructuras lógicas y físicas del Directorio Activo son independientes unas de otras, por tanto:

• No hay, necesariamente, correlación entre la estructura física de la red y su estructura de dominio.
• El Directorio Activo permite múltiples dominios en un único sitio y múltiples sitios en un único dominio.
• No hay, necesariamente, correlación entre los espacios de nombre de los sitios y de los dominios.

Características de un Dominio

Un dominio es un grupo lógico de equipos en red, que comparten un área común para almacenar información de seguridad.

Ofrece una aproximación centralizada de la administración de los recursos de red.

Los usuarios de un equipo pueden acceder a los recursos compartidos de otros equipos del dominio, siempre que se les haya asignado los permisos adecuados.

El concepto de dominio es similar al concepto de grupo de trabajo, pero proporciona una serie de características útiles:

• Inicio de sesión único
  • Los dominios proporcionan un proceso de inicio de sesión único que permite a los usuarios acceder a varios recursos de la red.
  • Todas las cuentas de usuarios se almacenan en una ubicación central.
• Cuenta de usuario única
  • Los equipos de un dominio sólo necesitan una única cuenta para acceder a los recursos de diversos equipos.
• Administración centralizada
  • Los dominios proporcionan administración centralizada.
  • Toda la información de cuentas y recursos puede administrarse desde una sola ubicación dentro del dominio.
• Estabilidad
  • Los dominios pueden escalar a redes de gran tamaño.
  • La forma en que los usuarios acceden a los recursos y el modo de gestionarlos en redes de gran tamaño, es la misma que en redes pequeñas.

Ventajas que ofrece un dominio:

• Organización de objetos
  • Podemos organizar los objetos del dominio en unidades organizativas.
  • Los objetos son representación de los componentes físico reales que existen en la red.
  • Están asociados a uno o más dominios.
• Fácil localización de la información
  • Publicar un recurso significa poner lo disponible en una lista de objetos del dominio, facilitando a los usuarios sin localización y uso.
• Acceso racionalizado
  • La aplicación de una política de grupo al dominio establece el modo en que los usuarios pueden acceder, configurar y utilizar los recursos del dominio, lo que permite consolidar lo administración de los recursos y de la seguridad.
• Autoridad delegada
  • Permitan asignar privilegios a un administrador para gestionar los objetos de un dominio o de una o más unidades organizativas.