DESCRIPCIÓN DEL DIRECTORIO ACTIVO
Un directorio es un repositorio de información para ser consultado por los usuarios, administradores, equipos y servicios de la red. Los servicios proporcionados por un directorio son:
Identificación inequívoca de todos los objetos de la red.
Acceso universal a todos los recursos de la red mediante una contraseña única.
Administración centralizada de toda la red desde cualquier punto.
Windows Server 2003 incluye el Active directory que proporciona una estructura jerárquica para almacenar información de todos los objetos de la red. Un objeto usuario es almacenado con todas sus propiedades: nombres, apellidos, nombre de usuario, contraseña, hora de ingreso, dirección, teléfono, etc.
Por tanto cuando un controlador de dominio autentica a un usuario consulta el Active Directory para contrastar la información proporciona por el usuario.
El directorio de Active Directory puede incluir uno o varios dominios, cada uno de los dominios puede contener uno o varios controladores de dominio, lo que permite escalar el directorio para satisfacer cualquier requisito de la red. En un árbol de dominios se pueden combinar múltiples dominios y múltiples árboles de dominios se puede combinar en un bosque.
El directorio distribuye la información de su empresa y configuración a todos los controladores de dominio del directorio. Esta información se almacena en el controlador de dominio inicial de un dominio y se replica a cualquier controlador de dominio adicional del dominio. Cuando el directorio se configura como un único con los dominios adicionales dominio, al agregar controladores de dominio se amplía el directorio sin la sobrecarga administrativa que se produce con los dominios adicionales.
CONCLUSIONES:
El Directorio Activo permite organizar los recursos de una manera lógica, lo que simplifica la búsqueda de un recurso por su nombre. El usuario no conoce ni necesita conocer la estructura física del Directorio.
Todo lo que se encuentra en el Directorio Activo es, ante todo y finalmente, un objeto. Por lo cual, se puede decir que el Directorio Activo es un directorio de objetos.
ESTRUCTURA LÓGICA
Directorio Activo es una estructura arbolada jerárquica que agrupa, de menor a mayor, los siguientes componentes:
Objetos.
Objetos contenedores.
Unidades Organizativas.
Dominios.
Árboles.
Bosques.
OBJETOS Y CONTENEDORES DE OBJETOS
Un objeto puede ser la representación de un sistema, un usuario, un recurso, un servicio, etc. Cada
tipo tiene sus propios atributos característicos del tipo de objeto. Un objeto Usuario necesita tener
definidos ciertos atributos propios: nombre del usuario, los datos personales, etc.
Por su parte, otro tipo de objeto, por ejemplo, el objeto Sistema, tendrá diferentes atributos: la
dirección IP, el nombre del ordenador, etc. Cada objeto en el Directorio Activo tiene una identidad única. Los objetos se pueden mover y renombrar, pero su identidad nunca cambia.
Los objetos contenedores son objetos especiales que pueden contener otros objetos y que permiten
organizar el Directorio Activo. A diferencia de un elemento de agrupación de objetos que, por su parte,
también puede contener a otros objetos contenedores.
UNIDADES ORGANIZATIVAS
Un tipo de objeto de directorio especialmente útil, contenido en los dominios, es la unidad organizativa.
Las unidades organizativas son contenedores del Directorio Activo en los que puede colocar usuarios,
grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de
otros dominios.
Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar
configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa.
Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las
estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la
configuración y el uso de cuentas y recursos en función de su modelo organizativo.
Como se muestra en la figura anterior, las unidades organizativas pueden contener otras unidades
organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar
la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a
disminuir el número de dominios requeridos para una red.
Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio.
DOMINIOS
Un dominio constituye un límite de seguridad. El directorio incluye uno o más dominios, cada uno de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas:
Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.
Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio, Directorio Activo puede ampliarse y llegar a contener una gran cantidad de objetos.
Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio.
Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios Al utilizar un solo dominio se simplifican mucho las tareas administrativas. Para crear un dominio, debe promover uno o más equipos que ejecuten Windows 2000 Server o Windows Server 2003 a controladores de dominio. Un controlador de dominio proporciona servicios de directorio de Directorio Activo a usuarios y equipos de la red, almacena datos del directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la autenticación y las búsquedas en el directorio. Cada dominio debe tener al menos un controlador de dominio.
ÁRBOLES
Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo llamado árbol. El primer dominio de un árbol de dominio se denomina dominio raíz.
Los dominios adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario. Esto significa que el nombre de un dominio secundario consta del nombre de ese dominio secundario más el nombre del dominio principal.
En la figura siguiente, secundario.microsoft.com es un dominio secundario de microsoft.com y es el dominio principal de terciario.secundario.microsoft.com. El dominio microsoft.com es el dominio principal de secundario.microsoft.com. Además, es el dominio raíz de este árbol.
Los dominios de Windows 2000 y Windows Server 2003 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de
confianza son bidireccionales y transitivas, un dominio de Directorio Activo recién creado en un bosque
o árbol de dominio tiene establecidas inmediatamente relaciones de confianza con todos los demás
dominios en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que un único
proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del
árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y
derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad,
los derechos y permisos deben asignarse para cada dominio.
BOSQUE
Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no
constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio
(microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado "soporte", los nombres DNS de esos dominios secundarios serán soporte.microsoft.com y
soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres contiguo.
Ejemplo de bosque de dominios
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es
el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del
bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque. En la figura 5.3,
microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles de dominio
(microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de confianza transitivas con
microsoft.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque.
Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios
de nombres contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que
tienen divisiones independientes que necesitan conservar sus propios nombres DNS.
ESTRUCTURA FÍSICA
En el Directorio Activo, la estructura lógica está separada de la estructura física. La estructura lógica se
usa para organizar los recursos de la red y se usa la estructura física para configurar y administrar el
tráfico de red. La estructura física del Directorio Activo está compuesta por sitios y controladores de
dominio.
Esta estructura define dónde y cuándo ocurrirá el tráfico de logon y de replicación. Entender los
componentes de la estructura física del Directorio Activo es importante para optimizar el tráfico de red
y el proceso de logon. Esta información ayudará a resolver problemas con los loggins y con la
replicación.
SITIO
Un sitio es la combinación de una o más subredes IP conectadas en enlaces de alta velocidad. Esta definición permite configurar el acceso al Directorio Activo y la topología de replicación para que Windows 2000 y/o Windows Server 2003 utilicen los enlaces más eficientes y sincronice el tráfico de replicación y de logon.
Se crean Sitios por dos razones importantes:
Optimizar el tráfico de replicación.
Posibilitar a los usuarios conectarse con controladores de dominio usando una posible conexión de alta velocidad.
Los Sitios mapean la estructura física de la red al igual que los dominios mapean la estructura lógica de la correlación. La estructura física y lógica del Directorio Activo son independientes una de la otra lo cual tiene las siguientes consecuencias:
No hay correlación entre la estructura física de la red y su estructura de dominio.
El Directorio Activo permite múltiples dominios en un solo sitio al igual que múltiples sitios en un solo dominio.
Sitios y Servicios del Directorio Activo permite especificar la información de los Sitios. El Directorio Activo utiliza esta información para determinar el mejor modo de utilizar los recursos de la red disponibles.
Esto aumenta la eficacia de los siguientes tipos de operaciones:
Ejemplo de Sitio dentro de dominios
Solicitudes de servicio
Cuando un cliente solicita un servicio a un controlador de dominio, éste la dirige a un controlador de dominio del mismo sitio, si hay alguno disponible. La selección de un controlador de dominio que esté conectado correctamente con el cliente que formuló la solicitud facilita su tratamiento.
Replicación
Los sitios optimizan la replicación de información del directorio. La información de configuración y de esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio del dominio. Al reducir la replicación de forma estratégica, igualmente se puede reducir el uso de la red. El Directorio Activo replica información del directorio dentro de un sitio con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio mejor conectados, es decir, aquellos que con más probabilidad necesitarán información especial del directorio, son los que primero reciben las replicaciones. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red.
Si una implementación no se organiza en sitios, el intercambio de información entre controladores de dominio y clientes puede ser caótico. Los sitios mejoran la eficacia del uso de la red.
CONTROLADORES DE DOMINIO
Los controladores del dominio son equipos que ejecutan Windows 2000 Server, Advanced Server o Datacenter Server, o bien, Windows Server 2003 Standard Edition, Enterprise Edition y Datacenter Edition donde se almacena una copia del directorio. También administra los cambios del directorio y los replica a otros controladores de dominio del mismo dominio. Los controladores de dominio almacenan los datos de directorio administra el proceso de logon de los usuarios, autentificación y búsquedas del directorio.
Un dominio puede tener uno o más controladores de dominio. Una organización pequeña que utilice una red de área local (LAN) puede necesitar nada más que un solo dominio con dos controladores de dominio para proporcionar la adecuada disponibilidad y tolerancia a fallos mientras que una compañía grande con muchas localizaciones geográficas necesitará uno o más controladores de dominio en cada localización para proporcionar también una adecuada disponibilidad y tolerancia a fallos requerido.
El Directorio Activo utiliza la replicación multi-master, en la que ningún controlador de dominio es el controlador de dominio maestro. En lugar de eso, todos los controladores de dominio contienen una copia del directorio. Cualquier controlador de dominio puede almacenar una
copia del directorio con información diferente durante cortos periodos de tiempo hasta que todos los controladores de dominio realicen una sincronización de los cambios hechos en el Directorio Activo. Para iniciar una sesión en una red del Directorio Activo, un cliente del Directorio Activo debe encontrar primero un controlador de dominio del Directorio Activo para su dominio. Para encontrar un controlador de dominio para un dominio especificado, un cliente del Directorio Activo envía una consulta de nombre DNS a sus servidores DNS.
La respuesta del servidor DNS contiene los nombres DNS de los controladores de dominio y sus direcciones IP. A partir de la lista de direcciones IP de los controladores de dominio, el cliente intenta entrar en contacto con cada controlador de dominio para asegurarse de que está operativo. El primer controlador de dominio que responde es el que se utiliza para el proceso de inicio de sesión.
LA PRESENTE PRACTICA DE LABORATORIOTIENE COMO FINALIDAD EL RECONOCIMIENTO DE LOS TERMINOS QUE EMPLEA ACTIVE DIRECTORY A LOS USUARIOS EN UN ACCESO UNIVERSAL A TODOS LOS RECURSOS DE LA RED
1. Active Directory usa el termino Trust ¿Qué significa?
2. ¿Qué protocolos utiliza active Directory?
3. ¿Qué significa LDAP?
4. ¿Cómo se representa el componente lógico de Active Directory?
5. ¿Cómo se representa el componente físico de Active Directory?
6. ¿Qué es un Dominio?
7. ¿Qué almacena un Dominio?
8. ¿Qué cinco objetos?
9. ¿Qué es una unidad organizativa?
10. ¿Una unidad organizativa puede contener otras OU?
11. ¿Qué es un Árbol?
12. ¿Qué significa las iníciales DNS?
13. ¿Qué es un bosque?
Instructor en TI: Luis A. Godoy Fuentes – MCDST, MVAP, MTA, DCE 10
14. ¿Qué comparten todos los arboles en un bosque?
15. ¿Qué comparte todos los dominios en un bosque?
16. ¿Para qué se utiliza los componentes físicos?
17. ¿Qué es un sitio?
18. ¿Qué objetos contiene un sitio?
19. ¿Qué es un controlador de dominio?
20. ¿Cuántos controladores de dominio puede tener un dominio?
|
