Sistemas operativos en red, Active Directory

1. u n i d a d 6
© MACMILLAN Profesional
Administración de dominiosAdministración de dominios
de Active Directoryde Active Directory
u n i d a d
6

2. u n i d a d 6
© MACMILLAN Profesional

3. u n i d a d 6
© MACMILLAN Profesional
Servicios de directorio
Un servicio de directorio es una base de datos con una estructura
jerárquica y distribuida que se utiliza para administrar de forma
centralizada una red. Se caracteriza por:
• Es un almacén de datos.
• Está distribuido de manera jerárquica.
• Permite la administración centralizada de una red.
• Permite el acceso a los recursos de la red.
Los servicios de directorio aportan algunas ventajas significativas,
entre las que destacan:
• Seguridad de la información.
• Replicación de la información.
• Administración basada en directivas (básicas para
administrar la seguridad de una empresa).
• Capacidad de ampliación.
• Escalabilidad.

4. u n i d a d 6
© MACMILLAN Profesional
Active Directory
Active Directory es el servicio de directorio de los servidores
Windows. Almacena la información de los recursos de la red y
permite el acceso a los usuarios y las aplicaciones a dichos recursos.
Soporta los estándares y protocolos más importantes como DNS,
SNTP, Kerberos v5 y Certificados X.509.
Sistema de nombres
Cada objeto necesita un nombre distinto para que todo
elemento de Active Directory pueda identificarse de manera
única.
Nombre completo
Define la ruta del objeto sin mencionar su dominio ni la unidad
organizativa contenedora.
Nombre completo relativo

5. u n i d a d 6
© MACMILLAN Profesional
Active Directory
Sistema de nombres
Se suele tratar del nombre con el que se registra el usuario en
la red.
Nombre principal del usuario
Se utilizan para identificar el objeto de manera única en toda la
estructura del directorio.
GUID y SID
Estructura lógica
La separación de las estructuras física y lógica de Active Directory
es una de sus principales ventajas, ya que permite diseñar las partes
de manera independiente.

6. u n i d a d 6
© MACMILLAN Profesional
Estructura lógica
Dominio
Un dominio es un conjunto de ordenadores que comparten un
nombre, un conjunto de directivas y unas bases de datos. Son
las estructuras principales de Active Directory. Todos los objetos
forman parte de un dominio y la política de seguridad es uniforme en
él.
Cada dominio se identifica unívocamente con un nombre de dominio
DNS, que debe ser el sufijo DNS principal de todos sus miembros.
Árbol
Un árbol es un conjunto de uno o más dominios que comparten
un espacio de nombres contiguo, es decir, que derivan del mismo
nombre de dominio raíz y por tanto tienen un sufijo DNS común.
Bosque
Un bosque es un conjunto de uno o más árboles, conectados
entre los dominios raíz de dichos árboles a través de relaciones
de confianza bidireccionales y transitivas.

7. u n i d a d 6
© MACMILLAN Profesional
Estructura física
Controlador de dominio
Es un servidor donde se almacena una réplica del directorio que se
encarga de ejecutar el servicio responsable de autenticar inicios de
sesión de usuario. Almacena la siguiente información:
• Partición de directorio de dominio.
• Partición del directorio de esquema.
• Partición del directorio de configuración.
• Particiones de directorio de aplicaciones.
Los controladores de dominio RODC (Read Only Domain
Controller) son un tipo de controladores de dominio que contienen
una copia de solo lectura del directorio activo. Por tanto, desde ellos
no se puede administrar el dominio.
Los servidores de catálogo global almacenan una copia de los
objetos del directorio activo de un bosque, una copia completa de los
objetos de su dominio y una copia parcial de los objetos de otros
dominios.

8. u n i d a d 6
© MACMILLAN Profesional
Relaciones de confianza
Son relaciones establecidas entre dos dominios que permiten a
los usuarios de un dominio ser reconocidos por los controladores de
dominio de otro dominio. Además, permite a los dominios
compartir usuarios y grupos y, por tanto, asignar permisos a
usuarios o grupos de otro dominio. Los tipos de relaciones de
confianza en función de su operatividad son:
Son las relaciones de dominios por pertenecer al mismo árbol o
bosque. Cuando se crea un dominio hijo, este confía en el
padre y viceversa.
Bidireccionales y transitivas
Son relaciones de confianza creadas manualmente que
mejoran la eficacia de los inicios de sesión remotos acortando
la ruta de confianza.
De acceso directo o atajo
Los usuarios del dominio A (de confianza) pueden utilizar los
recursos del dominio B (que confía), pero no al revés.
Unidireccionales no transitivas

9. u n i d a d 6
© MACMILLAN Profesional
Relaciones de confianza
Se crean de forma manual entre los dominios raíz de dos
bosques distintos. Permite a los usuarios de cualquier dominio
de uno de los bosques acceder a los recursos de cualquier
dominio del otro bosque.
Confianza de bosque
Permite la interoperabilidad entre Windows y Kerberos. Es
unidireccional y puede ser transitiva o no.
Confianza de territorio

10. u n i d a d 6
© MACMILLAN Profesional
Niveles funcionales
El nivel funcional de un dominio o de un bosque establece las
características y funcionalidades que este puede. Sería como la
versión de Active Directory que utiliza el dominio o bosque.
Elevar el nivel funcional de un dominio o bosque tiene como
ventaja que ampliamos su funcionalidad, pero esto impide tener
controladores de dominio de versiones previas de Windows no
compatibles con dicho nivel funcional.
Configuración de un dominio
Las operaciones que se pueden realizar en Active Directory respecto
a los dominios son las siguientes:
• Crear un controlador de dominio.
• Crear dominios dependientes.
• Crear un nuevo dominio en el bosque.
• Añadir controladores de dominio adicionales.
• Eliminar un controlador de dominio.