1. Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)
Active Directory
Introducción a Active Directory
Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la
red. Un servicio de directorio, como Active Directory®, proporciona métodos para almacenar los datos del
directorio y ponerlos a disposición de los administradores y los usuarios de la red. Por ejemplo, Active
Directory almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de
teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información.
El servicio de directorio de Active Directory® se puede instalar en servidores que ejecuten Microsoft®
Windows Server® 2003, Standard Edition, Windows Server 2003, Enterprise Edition y
Windows Server 2003, Datacenter Edition. Active Directory almacena información sobre los objetos de la
red y facilita la búsqueda y utilización de esta información para los usuarios y administradores. Active
Directory utiliza un almacén de datos estructurado como base para una organización lógica y jerárquica de la
información del directorio.
Active Directory almacena información acerca de los usuarios, equipos y recursos de red y permite el acceso
a los recursos por parte de usuarios y aplicaciones. Asimismo, proporciona una forma coherente de asignar
nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos recursos.
Active Directory proporciona las siguientes funciones:
Centralizar el control de los recursos de red. Al centralizar el control de recursos como servidores,
archivos compartidos e impresoras, sólo los usuarios autorizados pueden obtener acceso a los
recursos de Active Directory.
Centralizar y descentralizar la administración de recursos. Los administradores pueden
administrar equipos cliente distribuidos, servicios de red y aplicaciones desde una ubicación central
mediante una interfaz de administración coherente o pueden distribuir tareas administrativas
mediante la delegación del control de los recursos a otros administradores.
Almacenar objetos de forma segura en una estructura lógica. Active Directory almacena todos
los recursos como objetos en una estructura lógica, jerárquica y segura.
Optimizar el tráfico de red. La estructura física de Active Directory permite utilizar el ancho de
banda de red de forma más efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una sesión
en la red, la autoridad de autenticación más cercana a él lo autentique, reduciendo así la cantidad de
tráfico de red.

2. Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)
Estructura Lógica de Active Directory
Active Directory proporciona un almacenamiento seguro de información acerca de los objetos en su
estructura lógica jerárquica. Los objetos de Active Directory representan a los usuarios y los recursos, como
equipos e impresoras. Algunos objetos son contenedores de otros objetos. Una vez que se ha comprendido el
propósito y la función de estos objetos, se pueden realizar diversas tareas, entre las que se incluyen la
instalación, configuración, administración y solución de problemas de Active Directory.
La estructura lógica de Active Directory comprende los siguientes componentes:
Objetos. Son los componentes más básicos de la estructura lógica. Las clases de objetos son plantillas o
planos técnicos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objetos se
define mediante un grupo de atributos, que definen los posibles valores que se pueden asociar a un objeto.
Cada objeto posee una única combinación de valores de atributos.
Unidades organizativas. Se pueden utilizar estos objetos contenedores para estructurar otros objetos de
modo que admitan los propósitos administrativos. Mediante la estructuración de los objetos por unidades
organizativas, se facilita su localización y administración. También se puede delegar la autoridad para
administrar una unidad organizativa. Las unidades organizativas pueden estar anidadas en otras unidades
organizativas, lo que simplifica la administración de objetos.
Dominios. Se trata de las unidades funcionales centrales en la estructura lógica de Active Directory que son
un conjunto de objetos definidos de forma administrativa y que comparten una base de datos, directivas de
seguridad y relaciones de confianza comunes con otros dominios. Los dominios proporcionan las siguientes
tres funciones:
• Un límite administrativo para objetos
• Un medio de administración de la seguridad para recursos compartidos
• Una unidad de replicación para objetos
Árboles de dominios. Los dominios que están agrupados en estructuras jerárquicas se denominan árboles de
dominios. Al agregar un segundo dominio a un árbol, se convierte en secundario del dominio raíz del árbol.
El dominio al que está adjunto un dominio secundario se denomina dominio primario. Un dominio
secundario puede tener a su vez su propio dominio secundario.
El nombre de un dominio secundario se combina con el nombre de su dominio primario para formar su
propio nombre único de Sistema de nombres de dominio (DNS, Domain Name System), como
corp.nwtraders.msft. De esta forma, el árbol dispone de un a espacio de nombres contiguo.
Bosques. Un bosque es una instancia completa de Active Directory. Consta de uno o varios árboles. En un
árbol de sólo dos niveles, que se recomienda para la mayoría de las organizaciones, todos los dominios
secundarios se convierten en secundarios del dominio raíz de bosque para formar un árbol contiguo.
El primer dominio del bosque se denomina dominio raíz de bosque. El nombre de ese dominio se refiere al
bosque, como por ejemplo nwtraders.msft. De forma predeterminada, la información de Active Directory se
comparte sólo dentro del bosque. De este modo, el bosque es un límite de seguridad para la información
contenida en la instancia de Active Directory.

3. Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)
Estructura Física de Active Directory
A diferencia de la estructura lógica, que se basa en requisitos administrativos, la estructura física de Active
Directory optimiza el tráfico de red mediante la determinación del lugar y el momento en que se produce la
replicación y el tráfico de conexión. Para optimizar el uso del ancho de banda de red de Active Directory, se
debe comprender la estructura física. Los elementos de la estructura física de Active Directory son los
siguientes:
Controladores de dominio. En estos equipos se ejecuta Microsoft Windows® Server™ 2003 o Microsoft
Windows 2000 Server y Active Directory. Cada controlador de dominio realiza funciones de
almacenamiento y replicación. Un controlador de dominio sólo puede admitir un dominio. Para asegurarse
de la disponibilidad continua de Active Directory, cada dominio debe disponer de más de un controlador de
dominio.
Sitios de Active Directory. Estos sitios son grupos de equipos conectados correctamente. Al establecer
sitios, los controladores de dominio de un único sitio se comunican con frecuencia. Esta comunicación
minimiza la latencia dentro del sitio, es decir, el tiempo necesario para que un cambio realizado en un
controlador de dominio pueda replicarse en otros controladores de dominio. Se pueden crear sitios para
optimizar el uso del ancho de banda entre los controladores de dominio que están en ubicaciones diferentes.
Particiones de Active Directory. Cada controlador de dominio contiene las siguientes particiones de Active
Directory:
• La partición del dominio contiene replicados de todos los objetos de ese dominio. La partición del
dominio sólo puede replicarse en otro controlador de dominio del mismo dominio.
• La partición de configuración contiene la topología del bosque. La topología es un registro de todos los
controladores de dominio y las conexiones entre ellos en un bosque.
• La partición del esquema contiene el esquema de todo el bosque. Cada bosque tiene un esquema para
que la definición de las clases de objetos sea coherente. Las particiones de configuración y del esquema
pueden replicarse en los controladores de dominio del bosque.
• Las particiones de aplicaciones opcionales contienen objetos no relacionados con la seguridad y
utilizados por una o varias aplicaciones. Las particiones de aplicaciones pueden replicarse en controladores
de dominio especificados del bosque.
Cómo Funciona Active Directory
Muchos usuarios y aplicaciones comparten los recursos en grandes redes. Para permitir a los usuarios y
aplicaciones obtener acceso a estos recursos y a la información acerca de ellos, necesita una forma coherente
de asignar nombres, describir, localizar, obtener acceso, administrar y proteger la información de estos
recursos. Un servicio de directorio realiza esta función.
Active Directory dispone de las siguientes capacidades:
Permite a usuarios y aplicaciones obtener acceso a información sobre objetos. Esta información se
almacena en forma de valores de atributos. Se pueden buscar objetos basándose en su clase, atributos,
valores de atributos, ubicación dentro de la estructura de Active Directory o cualquier combinación de estos
valores.

4. Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)
Clarifica la topología de red física y los protocolos. De este modo, un usuario de una red puede obtener
acceso a cualquier recurso, como una impresora, sin saber el lugar donde se encuentra o el modo en que está
conectado físicamente a la red.
Permite el almacenamiento de un gran número de objetos. Puesto que se organiza en particiones, Active
Directory se puede ampliar a medida que la organización crece. Por ejemplo, un directorio se puede ampliar
de un solo servidor con varios cientos de objetos a miles de servidores y millones de objetos.
Se puede ejecutar como un servicio del sistema no operativo. Active Directory en modo de aplicación
(AD/AM) es una nueva capacidad de Microsoft Active Directory que trata determinadas situaciones de
implementación relacionadas con aplicaciones habilitadas para directorios. AD/AM se ejecuta como un
servicio del sistema no operativo y, como tal, no requiere implementación en un controlador de dominio. La
ejecución como servicio del sistema no operativo significa que se pueden ejecutar varias instancias de
AD/AM a la vez en un único servidor y cada una de ellas se puede configurar por separado.
Esquema de Active Directory
El esquema de Active Directory define las clases de objetos, los tipos de información sobre dichos objetos y
la configuración de seguridad predeterminada para ellos que se puede almacenar en Active Directory.
El esquema de Active Directory contiene las definiciones de todos los objetos, como usuarios, equipos e
impresoras, almacenadas en Active Directory. En los controladores de dominio con Windows Server 2003,
sólo existe un esquema para un bosque completo. De este modo, todos los objetos creados en Active
Directory ajustan a las mismas reglas.
El esquema tiene dos tipos de definiciones: clases de objetos y atributos. Las clases de objetos, como
usuario, equipo e impresora, describen los objetos de directorio que se pueden crear. Cada clase de objeto es
un conjunto de atributos.
Los atributos se definen independientemente de las clases de objetos. Cada atributo se define sólo una vez y
se puede utilizar en varias clases de objetos. Por ejemplo, el atributo Descripción se utiliza en muchas clases
de objetos, pero se define sólo una vez en el esquema para garantizar la coherencia.
Catalogo Global
Los recursos de Active Directory se pueden compartir en dominios y bosques. La característica de catálogo
global en Active Directory facilita al usuario la búsqueda de recursos en dominios y bosques. Por ejemplo, si
busca todas las impresoras de un bosque, un servidor de catálogo global procesa la consulta en el catálogo
global y, a continuación, devuelve los resultados. Sin un servidor de catálogo global, esta consulta requeriría
una búsqueda en cada dominio del bosque.
El catálogo global es un repositorio de información que contiene un subconjunto de los atributos de todos
los objetos de Active Directory. Los miembros del grupo Administradores de esquema pueden cambiar los
atributos almacenados en el catálogo global, en función de los requisitos de la organización. El catálogo
global contiene los siguientes elementos:
1- Los atributos utilizados con más frecuencia en consultas, como el nombre, apellido y nombre de inicio de
sesión de un usuario.
2- La información necesaria para determinar la ubicación de cualquier objeto en el directorio.
3- Un subconjunto predeterminado de atributos para cada tipo de objeto.
4- Los permisos de acceso para cada objeto y atributo almacenado en el catálogo global. Si busca un objeto
para el que no dispone de los permisos adecuados para verlo, el objeto no aparecerá en los resultados de la

5. Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)
búsqueda. Los permisos de acceso aseguran que los usuarios sólo puedan encontrar los objetos para los
que se les ha asignado acceso.
Un servidor de catálogo global es un controlador de dominio que procesa de forma efectiva consultas
dentro de un mismo bosque del catálogo global. El primer controlador de dominio que se crea en Active
Directory se convierte automáticamente en un servidor de catálogo global. Se pueden configurar servidores
de catálogo global adicionales para equilibrar el tráfico de la autenticación de inicio de sesión y consultas.
El catálogo global permite a los usuarios realizar dos importantes funciones:
„ Buscar la información de Active Directory en cualquier lugar del bosque, independientemente de la
ubicación de los datos.
„ Utilizar la información de pertenencia al grupo universal para iniciar la sesión en la red.
Nombres Completos y Relativos
Los equipos cliente utilizan el Protocolo ligero de acceso a directorios (LDAP, Lightweight Directory
Access Protocol) para buscar y modificar objetos en una base de datos de Active Directory. LDAP es un
subconjunto de X.500, un estándar del sector que define cómo estructurar directorios. LDAP utiliza la
información acerca de la estructura de un directorio para buscar objetos individuales, cada uno de los cuales
tiene un nombre único.
LDAP utiliza un nombre que representa un objeto de Active Directory mediante una serie de componentes
que se relacionan con la estructura lógica. Esta representación, denominada el nombre completo del objeto,
identifica el dominio en el que el objeto está ubicado y la ruta completa para llegar a él. Los nombres
completos deben ser únicos en un bosque de Active Directory. El nombre completo relativo de un objeto
únicamente identifica el objeto en su contenedor. Dos objetos del mismo contenedor no pueden tener el
mismo nombre. El nombre completo relativo es siempre el primer componente del nombre completo, pero
puede que no siempre sea un nombre común.
Para un usuario llamado Cristina Martínez de la unidad organizativa Sales en el dominio Contoso.msft, cada
elemento de la estructura lógica se representa con el nombre completo siguiente:
CN=Cristina Martínez,OU=Sales,DC=contoso,DC=msft
CN es el nombre común del objeto en su contenedor.
OU es la unidad organizativa que contiene el objeto. Puede haber más de un valor de OU si el objeto reside
en una unidad organizativa anidada.
DC es un componente de dominio, como “com” o “msft”. Siempre hay por lo menos dos componentes de
dominio, pero es posible que existan más si el dominio es secundario. Los componentes de dominio del
nombre completo se basan en el Sistema de nombres de dominio (DNS, Domain Name System).
Administración de Active Directory
Mediante Active Directory, se puede administrar un gran número de usuarios, equipos, impresoras y
recursos de red desde una ubicación central, con herramientas y complementos administrativos en Windows
Server 2003. Active Directory también admite la administración descentralizada. Un administrador con la
autoridad adecuada puede delegar un conjunto de privilegios administrativos seleccionado a otros usuarios o
grupos de una organización.

6. Instituto Tecnológico de Sonora
Administración de Sistemas Operativos (LSIA)
Active Directory incluye varias características que admiten la administración centralizada:
„ Contiene información acerca de todos los objetos y sus atributos. Los atributos contienen datos que
describen el recurso que el objeto identifica. Puesto que la información acerca de todos los recursos de red se
almacena en Active Directory, un administrador puede administrar los recursos de forma centralizada.
„ Se puede consultar Active Directory mediante protocolos como LDAP. Se puede localizar fácilmente
la información acerca de objetos mediante la búsqueda de atributos seleccionados del objeto, utilizando
herramientas que admitan el protocolo LDAP.
„ Se pueden organizar en unidades organizativas objetos que posean requisitos administrativos y de
seguridad similares. Las unidades organizativas proporcionan varios niveles de autoridad administrativa, de
modo que se puede aplicar la configuración de directivas de grupo y delegar el control administrativo. Esta
delegación simplifica la tarea de administración de estos objetos y permite estructurar Active Directory para
que se ajuste a los requisitos de la organización.
„ Se puede especificar la configuración de directivas de grupo para un sitio, un dominio o una unidad
organizativa. Active Directory impone esta configuración de directivas de grupo a todos los usuarios y
equipos del contenedor.
Active Directory también admite la administración descentralizada. Se pueden asignar permisos y conceder
derechos de usuario de formas muy específicas. Por ejemplo, se pueden delegar privilegios administrativos
para determinados objetos a los equipos de ventas y mercadotecnia de una organización.
Se puede delegar la asignación de permisos en los siguientes casos:
„ Para unidades organizativas específicas a distintos grupos locales de dominio. Por ejemplo, se puede
delegar el permiso Control total para la unidad organizativa Sales.
„ Para modificar los atributos específicos de un objeto en una unidad organizativa. Por ejemplo, se
puede asignar el permiso para cambiar el nombre, la dirección y el número de teléfono y para restablecer
contraseñas de un objeto de cuenta de usuario.
„ Para realizar la misma tarea, como restablecer contraseñas, en todas las unidades organizativas de
un dominio.
Fuente Original: http://technet.microsoft.com/es-es/library/cc782657%28WS.10%29.aspx
http://technet.microsoft.com/es-es/library/cc780336%28WS.10%29.aspx
Todo el contenido de este documento es propiedad de las fuentes originales bajo su respectivo
licenciamiento, la institución educativa que lo emite no se atribuye ningún derecho sobre la información
contenida en este, solo se hace referencia y mención de la misma con fines totalmente informativos.