DOMINIOS EN DOMINIOS EN WINDOWS 2003 WINDOWS 2003

SERVERSERVER

Los Dominios:Los Dominios: son la principal son la principal estructura lógica de Active Directory estructura lógica de Active Directory porque contienen objetos de Active porque contienen objetos de Active Directory. Red de objetos como usuarios, Directory. Red de objetos como usuarios, impresoras, recursos compartidos, y más, impresoras, recursos compartidos, y más, son almacenados en todos los dominios. son almacenados en todos los dominios. Los dominios son también Los dominios son también los límites de los límites de seguridad.seguridad. El acceso a los objetos en el El acceso a los objetos en el dominio está controlado por listas de dominio está controlado por listas de control de acceso (ACLs).control de acceso (ACLs).

Unidad de organización (OU):Unidad de organización (OU): Una Una OU es un contenedor que le permite OU es un contenedor que le permite organizar los objetos como usuarios, organizar los objetos como usuarios, ordenadores e incluso otros tes en un ordenadores e incluso otros tes en un dominio para formar un grupo de lógica dominio para formar un grupo de lógica administrativa. Una OU es el más administrativa. Una OU es el más pequeño componente de Active Directory pequeño componente de Active Directory en los que puede en los que puede delegar autoridad delegar autoridad administrativa.administrativa. Un dominio puede tener su Un dominio puede tener su propia y singular jerarquía OU. propia y singular jerarquía OU.

Los Árboles de Dominio:Los Árboles de Dominio: Cuando Cuando usted grupo de varios dominios en una usted grupo de varios dominios en una estructura jerárquica mediante la adición de estructura jerárquica mediante la adición de dominios niñodominios niño a un a un padre de dominio,padre de dominio, usted usted es básicamente la formación de un árbol de es básicamente la formación de un árbol de dominio. dominio.

Bosques:Bosques: Un bosque es la agrupación de Un bosque es la agrupación de varios árboles de dominio en una estructura varios árboles de dominio en una estructura jerárquica. Dominio de árboles en un bosque jerárquica. Dominio de árboles en un bosque con un esquema común, configuración y con un esquema común, configuración y catálogo global. Los dominios dentro del catálogo global. Los dominios dentro del bosque están vinculados por dos vías libres bosque están vinculados por dos vías libres confianza. A través de la confianza. A través de la selva nivel selva nivel funcional,funcional, puede activar más amplia del puede activar más amplia del bosque de Active Directory características. bosque de Active Directory características. El bosque niveles funcionales que pueden El bosque niveles funcionales que pueden establecerse son Windows 2000, Windows establecerse son Windows 2000, Windows Server 2003 Provisional, y Windows Server Server 2003 Provisional, y Windows Server 2003. 2003.

Sitios:Sitios: En Active Directory, los sitios se En Active Directory, los sitios se forman a través de la agrupación de forman a través de la agrupación de múltiples subredes. Sitios suelen ser múltiples subredes. Sitios suelen ser definidos como lugares en los que el definidos como lugares en los que el acceso a la red es altamente fiable, rápida acceso a la red es altamente fiable, rápida y no muy caro. y no muy caro.

Controladores de dominio (PD):Controladores de dominio (PD): Un controlador de dominio es un servidor Un controlador de dominio es un servidor que almacena una copia de la escritura de que almacena una copia de la escritura de Active Directory. Ellos mantienen el Active Active Directory. Ellos mantienen el Active Directory almacén de datos. Algunos Directory almacén de datos. Algunos capitán funcionescapitán funciones pueden ser asignados a pueden ser asignados a los controladores de dominio dentro de un los controladores de dominio dentro de un dominio y de bosque. Controladores de dominio y de bosque. Controladores de dominio que se asignan funciones dominio que se asignan funciones especiales capitán se denominan especiales capitán se denominan Operaciones de Maestros.Operaciones de Maestros.

El El Master SchemaMaster Schema es un maestro es un maestro forestwide función se aplica a un forestwide función se aplica a un controlador de dominio que gestiona todos controlador de dominio que gestiona todos los cambios en el esquema de Active los cambios en el esquema de Active Directory. Directory.

La La asignación de nombres de dominio de asignación de nombres de dominio de MasterMaster es un maestro forestwide función es un maestro forestwide función se aplica a un controlador de dominio que se aplica a un controlador de dominio que gestiona los cambios en el bosque, como gestiona los cambios en el bosque, como agregar y quitar un dominio. El controlador agregar y quitar un dominio. El controlador de dominio al servicio de esta función de dominio al servicio de esta función también maneja a los cambios de también maneja a los cambios de nombres de dominio. nombres de dominio.

La La relativa ID (RID) Masterrelativa ID (RID) Master es un maestro es un maestro domainwide función se aplica a un controlador de domainwide función se aplica a un controlador de dominio que crea números de identificación única dominio que crea números de identificación única para los controladores de dominio y gestiona la para los controladores de dominio y gestiona la asignación de estos números. asignación de estos números.

El El emulador PDCemulador PDC es un maestro domainwide es un maestro domainwide función se aplica a un controlador de dominio que función se aplica a un controlador de dominio que opera como un equipo con Windows NT opera como un equipo con Windows NT controlador de dominio principal. Esta función controlador de dominio principal. Esta función suele ser necesario cuando hay computadoras en suele ser necesario cuando hay computadoras en su entorno antes de ejecutar Windows 2000, XP y su entorno antes de ejecutar Windows 2000, XP y sistemas operativos. sistemas operativos.

El El Maestro de InfraestructuraMaestro de Infraestructura es un maestro es un maestro domainwide función se aplica a un controlador de domainwide función se aplica a un controlador de dominio que gestiona los cambios realizados en dominio que gestiona los cambios realizados en grupo en cada uno. grupo en cada uno.

Esquema de Esquema de Active DirectoryActive Directory

Schema clase de objetos,Schema clase de objetos, también conocido también conocido como el esquema de clases: Definir los como el esquema de clases: Definir los objetos que pueden ser creados y objetos que pueden ser creados y almacenados en Active Directory. El almacenados en Active Directory. El esquema de atributos almacenar esquema de atributos almacenar información sobre el esquema de clase información sobre el esquema de clase objeto cuando se crea una nueva clase. Un objeto cuando se crea una nueva clase. Un esquema de clase es, por tanto, se limita a esquema de clase es, por tanto, se limita a un conjunto de objetos de esquema atributo. un conjunto de objetos de esquema atributo.

Schema atributo objetos,Schema atributo objetos, también también conocido como el esquema de atributos: conocido como el esquema de atributos: los atributos Schema proporcionar los atributos Schema proporcionar información sobre clases de objetos. Los información sobre clases de objetos. Los atributos de un objeto se le llama también atributos de un objeto se le llama también las las propiedadespropiedades del del objeto.objeto.

Catálogo GlobalCatálogo Global

El El catálogo globalcatálogo global es un almacén central de es un almacén central de información sobre los objetos en un bosque y de información sobre los objetos en un bosque y de dominio, y se utiliza para mejorar el rendimiento dominio, y se utiliza para mejorar el rendimiento en la búsqueda de objetos en Active Directory. en la búsqueda de objetos en Active Directory. El primer controlador de dominio instalado en un El primer controlador de dominio instalado en un dominio haya sido designado como el servidor dominio haya sido designado como el servidor de catálogo global por defecto. El de catálogo global por defecto. El servidor de servidor de catálogo globalcatálogo global almacena una réplica completa almacena una réplica completa de todos los objetos en su dominio de acogida, y de todos los objetos en su dominio de acogida, y una réplica parcial de objetos para el resto de una réplica parcial de objetos para el resto de los dominios en el bosque.los dominios en el bosque.

Grupo de Políticas y Active Grupo de Políticas y Active DirectoryDirectory

Active Directory le permite realizar la Active Directory le permite realizar la política basada en la administraciónpolítica basada en la administración a a través de la política de grupo. A través de través de la política de grupo. A través de políticas de grupo, puede desplegar políticas de grupo, puede desplegar aplicaciones y configurar scripts para aplicaciones y configurar scripts para ejecutar en el arranque, cierre, logon, o al ejecutar en el arranque, cierre, logon, o al término de sesión. También puede aplicar término de sesión. También puede aplicar una contraseña de seguridad, control de una contraseña de seguridad, control de determinadas configuraciones de determinadas configuraciones de escritorio, y reorientar las carpetas. escritorio, y reorientar las carpetas.

Active Directory Object Naming Active Directory Object Naming RegímenesRegímenes

Nombre distinguido (DN):Nombre distinguido (DN): Cada objeto tiene Cada objeto tiene un DN. El DN identifica de forma exclusiva un un DN. El DN identifica de forma exclusiva un objeto identificar de forma exclusiva y en donde objeto identificar de forma exclusiva y en donde el objeto se almacena. Los componentes que el objeto se almacena. Los componentes que conforman el DN de un objeto son los conforman el DN de un objeto son los siguientes: siguientes:

NC - nombre común NC - nombre común OU - unidad de organización OU - unidad de organización DC - componente de dominioDC - componente de dominio

Un Un nombre canóniconombre canónico no es más que otra no es más que otra forma de descripción del objeto DN en un forma de descripción del objeto DN en un método que es más sencillo de interpretar. método que es más sencillo de interpretar.

Nombre distinguido relativo (RDN):Nombre distinguido relativo (RDN): El El RDN identifica un objeto particular dentro RDN identifica un objeto particular dentro de un contenedor o padre OU. de un contenedor o padre OU.

A nivel mundial identificador único (GUID):A nivel mundial identificador único (GUID): Un GUID es un número hexadecimal único Un GUID es un número hexadecimal único que se asigna a un objeto en el momento que se asigna a un objeto en el momento en que el objeto es creado. El GUID de un en que el objeto es creado. El GUID de un objeto nunca cambia. objeto nunca cambia.

Nombre de usuario principal (UPN):Nombre de usuario principal (UPN): La La UPN está formado por la cuenta de usuario UPN está formado por la cuenta de usuario nombre del usuario, y un nombre de nombre del usuario, y un nombre de dominio que identifica el dominio que dominio que identifica el dominio que contiene la cuenta de usuario. contiene la cuenta de usuario.

La Replicación de Active La Replicación de Active DirectoryDirectory

En Active Directory, la replicación se En Active Directory, la replicación se asegura de que cualquier cambio hecho a asegura de que cualquier cambio hecho a un controlador de dominio dentro de un un controlador de dominio dentro de un dominio se replican a todos los demás dominio se replican a todos los demás controladores de dominio en el dominio. controladores de dominio en el dominio. Active Directory utiliza Active Directory utiliza la replicación la replicación MultimaestroMultimaestro para reproducir los cambios para reproducir los cambios en los datos de Active Directory para en los datos de Active Directory para almacenar los controladores de dominio. almacenar los controladores de dominio.

Active Directory Relaciones de Active Directory Relaciones de ConfianzaConfianza

Padre / Niño confianza:Padre / Niño confianza: Un padre / hijo existe una Un padre / hijo existe una relación de confianza entre dos dominios de Active relación de confianza entre dos dominios de Active Directory que tienen un común contiguas Directory que tienen un común contiguas DNSDNS de de nombres, y que pertenecen al mismo bosque. Esta nombres, y que pertenecen al mismo bosque. Esta relación de confianza se establece cuando un niño esrelación de confianza se establece cuando un niño es

de dominio creado en un árbol de dominio. de dominio creado en un árbol de dominio.

Árbol de raíz la confianza:Árbol de raíz la confianza: Un árbol de raíz relación de Un árbol de raíz relación de confianza puede ser configurado entre los dominios raíz confianza puede ser configurado entre los dominios raíz en el mismo bosque. La raíz dominios no tienen una en el mismo bosque. La raíz dominios no tienen una común de nombres DNS. Esta relación de confianza se común de nombres DNS. Esta relación de confianza se establece cuando un nuevo árbol de raíz de dominio se establece cuando un nuevo árbol de raíz de dominio se agrega a un bosque agrega a un bosque

Atajo Confianza:Atajo Confianza: Esta relación de confianza Esta relación de confianza puede configurarse entre dos dominios en los puede configurarse entre dos dominios en los distintos árboles de dominio, pero dentro del distintos árboles de dominio, pero dentro del mismo bosque. Atajo confianza es normalmente mismo bosque. Atajo confianza es normalmente utilizado para mejorar el código de acceso de utilizado para mejorar el código de acceso de usuario. usuario.

Confianza Externa:Confianza Externa: las relaciones exteriores las relaciones exteriores confianza se crean entre un dominio de Active confianza se crean entre un dominio de Active Directory y un dominio de Windows NT4. Directory y un dominio de Windows NT4.

Realm Confianza:Realm Confianza: Un reino existe una relación Un reino existe una relación de confianza entre un dominio de Active de confianza entre un dominio de Active Directory y un no-Windows reino Kerberos. Directory y un no-Windows reino Kerberos.

Bosque Confianza:Bosque Confianza: confianza Bosque se confianza Bosque se pueden crear entre dos bosques de Active pueden crear entre dos bosques de Active Directory. Directory.

INSTALANDO INSTALANDO ACTIVE ACTIVE

DIRECTORY:DIRECTORY:

Empezamos desde herramientasEmpezamos desde herramientas administrativas y ejecutamos configuraciónadministrativas y ejecutamos configuración del servidor o de una forma mas reducida del servidor o de una forma mas reducida iniciamos iniciamos ejecutar ejecutar e introducimos el e introducimos el comando Dcpromo.execomando Dcpromo.exe y así ejecutamos la y así ejecutamos la función de instalación del controlador.función de instalación del controlador.

Controlador de dominio para un nuevo dominio: : De De esta forma instalamos active directory en el servidor y esta forma instalamos active directory en el servidor y se configura como el primer controlador de dominio.se configura como el primer controlador de dominio.

Controlador de dominio adicional para un dominio:Controlador de dominio adicional para un dominio: Si Si seleccionamos esta opción elimina todas las cuentas seleccionamos esta opción elimina todas las cuentas locales en el servidor y se elimina todas las claves de locales en el servidor y se elimina todas las claves de cifrado.cifrado.

Crear un nuevo dominio secundario en un árbol Crear un nuevo dominio secundario en un árbol de dominios existente:de dominios existente: seleccionamos este para seleccionamos este para denominar y configurar un hijo por así decirlo del denominar y configurar un hijo por así decirlo del dominio ya existente en el árbol.dominio ya existente en el árbol.

Nombre de nuevo Dominio:Nombre de nuevo Dominio: Aquí introduciremos el Aquí introduciremos el nombre de DNS para identificar la red, este es el nombre de DNS para identificar la red, este es el nombre en el cual vamos introducir todos nuestros nombre en el cual vamos introducir todos nuestros equipos a este servidor para que se puedan introducir equipos a este servidor para que se puedan introducir en el dominio creado en el servidor, tampoco tiene que en el dominio creado en el servidor, tampoco tiene que estar registrado en el Centro de información de redes estar registrado en el Centro de información de redes de Internet de Internet

Nombre de dominio NetBIOS:Nombre de dominio NetBIOS: a parte del nombre DNS a parte del nombre DNS introducido en el paso anterior, también nos solicita el introducido en el paso anterior, también nos solicita el nombre NetBIOS, esto se debe a que varios sistemas no nombre NetBIOS, esto se debe a que varios sistemas no soportan active directory, y para acceder a los sistemas soportan active directory, y para acceder a los sistemas compartidos se lo realizamos a traves de NetBIOS, compartidos se lo realizamos a traves de NetBIOS, cuando hablamos de este nombre nos referimos al nombre cuando hablamos de este nombre nos referimos al nombre

del equipo que le va denominar en la red.del equipo que le va denominar en la red.

Una vez introducidos todos los nombres de dominio, a Una vez introducidos todos los nombres de dominio, a continuación debemos especificar la ubicación de la base de continuación debemos especificar la ubicación de la base de datos, esta contendrá los objetos Active Directory y sus datos, esta contendrá los objetos Active Directory y sus propiedades, esta configuración la dejamos por defecto, así propiedades, esta configuración la dejamos por defecto, así mismo la ubicación de esta será en la carpeta %SystemRootmismo la ubicación de esta será en la carpeta %SystemRoot

%\Ntds del volumen del sistema.%\Ntds del volumen del sistema.

A continuación debemos especificar el volumen del sistema A continuación debemos especificar el volumen del sistema compartido, este crea un recurso compartido en la carpeta compartido, este crea un recurso compartido en la carpeta %SystemRoot%\Sysvol, es importante que el volumen %SystemRoot%\Sysvol, es importante que el volumen utilizado en disco sea NTFS 5, si no lo fuera habría que utilizado en disco sea NTFS 5, si no lo fuera habría que transformarlo para su correcto funcionamiento, e leído y se transformarlo para su correcto funcionamiento, e leído y se recomienda ubicarlo en otro disco duro distinto al del recomienda ubicarlo en otro disco duro distinto al del sistema operativo por si este fallára.sistema operativo por si este fallára.

Finalización de la instalación de Active Directory:Finalización de la instalación de Active Directory: La La finalización de la instalación de controladores se active finalización de la instalación de controladores se active directory se realiaza cuando el servicion DNS proporciona directory se realiaza cuando el servicion DNS proporciona

el servicio localizador para el nuevo dominioel servicio localizador para el nuevo dominio