Inicio wiki
Aula Virtual
 Administración de Sistemas Operativos
Inicio ASO Aula Virtual

Vistas
  •   Componentes de una infraestructura de Directorio Activo
De ASO

A continuación en la figura 1 se puede ver una visión general de la infraestructura de un Directorio Activo.

Imagen 1: Visión general del Directorio Activo

Más adelante veremos con más detalle una serie de conceptos, que introduciremos ahora, necesarios para comprender la infraestructura del Directorio Activo.


Contenido

Base de Datos del Directorio Activo

Es un fichero llamado Ntds.dit que se ubica por defecto en la carpeta %systemroot%\Ntds de los controladores de dominio que guarda toda la información de los objetos del dominio (usuarios y equipos grupos, etc)


Controladores de dominio o DCs

El controlador de dominio mantiene la base de datos de usuarios del dominio, para lo cual se debe configurar la máquina elegida como Controlador Principal de Dominio (PDC), por ejemplo desde la ventana Tareas de Configuración Inicial que se nos presenta nada más iniciar Windows 2008 Server. Los cambios que se realicen en la herramienta administrativa del manejador de usuarios del dominio quedarán reflejados en la base de datos del PDC. Estos cambios (creación de usuarios o grupos, pertenencia de usuarios a determinados grupos, conexión de permisos a grupos…) se llevan a cabo seleccionando el dominio sobre el que se quiere actuar que, en el caso de tener establecida una relación de confianza entre ambos, bastaría con seleccionar dicho dominio, pero en el supuesto de no existir dicha relación, será necesario identificarse en el nuevo dominio. Fíjese en que se selecciona el dominio y no la maquina que realiza las funciones de PDC, que es la que tiene la base de datos.


Dominio

Se necesitan uno o más controladores de dominio para crear un dominio en el Directorio Activo. Un dominio es una unidad administrativa con unas características determinadas:

  • Todos los DCs replican entre sí la base de datos del directorio (datos sobre usuarios, equipos, grupos…), en consecuencia un usuario puede autenticarse en cualquier DC del dominio.
  • En él se aplican las mismas políticas de seguridad como por ejemplo la longitud mínima de la contraseñas, número máximo de intentos antes de bloquear la cuenta, etc.
  • Los cambios a un objeto se pueden realizar en cualquier DC. Posteriormente se replicarán al resto.


Bosque

Un bosque es una colección de uno o más dominios. Al primer dominio del bosque se le llama dominio raíz. Un bosque es una instancia única del directorio. Ningún dato del directorio ser replica fuera de los límites del bosque.


Árbol

Los árboles son el resultado directo de los nombres DNS elegidos para los dominios del bosque. Si un dominio es subdominio de otro, ambos son considerados el mismo árbol. Por ejemplo, si miempresa.com tiene dos dominios, miempresa.com y almeria.miempresa.com, como ambos comparten un espacio de nombres contiguo, se consideran el mismo árbol. Si, por el contrario, los dos dominios se llamaran miempresa.com y miotraempresa.com, que no tienen un espacio de nombres contiguo, tendríamos dos árboles.


Nivel Funcional

Las operaciones permitidas en un domino o bosque van a depender del nivel funcional. Existen tres niveles funcionales aplicables a un dominio:

  • Windows Server Nativo
  • Windows Server 2003
  • Windows Server 2008

Y dos aplicables a un bosque:

  • Windows Server 2003
  • Windows Server 2008

Respecto al los niveles funcionales hemos de tener en cuenta que son ellos los que van a determinar la versión de Windows permitida en los DCs.


Relaciones de confianza

Para explicar en qué consisten las relaciones de confianza se debe pensar en un dominio como un grupo de servidores que forman un único sistema junto con las posibles máquinas clientes como Windows Vista, Windows XP, Windows 2000 Profesional, Windows NT Workstation, Windows 9x, Windows 3,11… Todos los servidores del dominio comparten el mismo conjunto de cuentas de usuario, por lo que únicamente es necesario guardar la información de una cuenta para que tanto el controlador primario como los secundarios reconozcan dicha cuenta.

Las relaciones de confianza permiten la compartición de las bases de datos de usuarios entre varios dominios de la red; es decir establecen un vínculo o relación por la que una cuenta de un dominio será reconocida por los servidores de los dominios que confíen en él. Mediante estos vínculos, un usuario tendrá una única cuenta en un dominio, pero podrá acceder a cualquier servidor de la red formado por los dominios que constituyen la relación. Gracias a las relaciones de confianza, al crear una cuenta de usuario en un dominio, ésta queda habilitada en todos los servidores de dominio de la red de confianza.

También es necesario aclarar que si un dominio confía en otro, y éste último confía en un tercero, el primero no confía automáticamente en el tercero. Es decir, las relaciones se establecen entre parejas de dominios o lo que es lo mismo, la confianza entre dominios no es una operación transitiva.


Servidores autónomos

Los servidores autónomos son máquinas que están ejecutando Windows 200x (Windows 2000, Windows 2003 o Windows 2008), y que en el proceso de instalación/configuración se decidió, para estos casos, que se comportaran como servidores autónomos. Este tipo de servidores no es necesario para el correcto funcionamiento de un dominio. Si un servidor autónomo pertenece a un dominio, puede disponer de todas las facilidades en cuanto a creación de usuarios o asignación de permisos que la base de datos centralizada de dicho dominio proporciona. Los servidores autónomos que participan en un dominio también disponen de las cuentas de usuario de los dominios en los que pertenece, pero no tienen ni una copia de la base de datos del controlador principal, ni procesan los intentos de inicio de sesión de los usuarios en el dominio. Esta última característica puede ser una buena razón para tener servidores autónomos formando parte de un dominio; al no tener que perder tiempo validando cuentas de usuarios, el servidor puede dedicarse a tareas que necesiten un tiempo de respuesta muy corto.

La otra posibilidad es tener un servidor autónomo que no pertenezca a ningún dominio. En este caso, el servidor mantendrá su propia base de datos de usuarios y debe ocuparse de validar las peticiones de inicio de sesión por parte de los usuarios. Asimismo, no tiene acceso a las posibles cuentas de usuarios creadas en cualquier dominio. Este tipo de servidores es muy útil si necesitamos aislar, por motivos de seguridad, un servidor del dominio (p.e. servidor web).


Sitios

Un sitio es un objeto que representa una parte de la red de la empresa en que la conectividad es buena, por ejemplo una LAN. El sitio será el objeto que imponga restricciones a la hora de efectuar la replicación de la base de datos del directorio. Dos controladores de dominio dentro de un mismo sitio se replicarán en cuestión de segundos. Por el contrario, la replicación entre sitios debe ser planificada teniendo en cuenta que las conexiones van a ser más lentas, y menos fiables, en comparación con las comunicaciones dentro del sitio. Igualmente cuando un usuario trate de iniciar sesión en un dominio tratará de hacerlo en el controlador de dominio de su mismo sitio.


Unidad Organizativa (OU)

El Directorio Activo es una base de datos de información, que se puede organizar según una jerarquía. Los objetos de la base de datos se pueden agrupar en contenedores. Existen una serie de contenedores por defecto: Usuarios, Equipos, Builtin… Una OU es un tipo de contenedor que, además de agrupar objetos, actúa como límite administrativo. Esto es así porque a las OUs se pueden enlazar unos objetos llamados objetos de Políticas de Grupo (GPO). Estos GPO contienen opciones de configuración que se aplicarán automáticamente a los usuarios y equipos de la OU a la que se encuentren vinculados.


ADMINISTRACIÓN DE SISTEMAS OPERATIVOS. CFGS
Ver fichaVer ficha
Comprar libroComprar