Inicio wiki
Aula Virtual
 Administración de Sistemas Operativos
Inicio ASO Aula Virtual
Vistas
  •   Componentes de una infraestructura de Directorio Activo
De ASO

A continuaci贸n en la figura 1 se puede ver una visi贸n general de la infraestructura de un Directorio Activo.

Imagen 1: Visi贸n general del Directorio Activo

M谩s adelante veremos con m谩s detalle una serie de conceptos, que introduciremos ahora, necesarios para comprender la infraestructura del Directorio Activo.


Contenido

Base de Datos del Directorio Activo

Es un fichero llamado Ntds.dit que se ubica por defecto en la carpeta %systemroot%\Ntds de los controladores de dominio que guarda toda la informaci贸n de los objetos del dominio (usuarios y equipos grupos, etc)


Controladores de dominio o DCs

El controlador de dominio mantiene la base de datos de usuarios del dominio, para lo cual se debe configurar la m谩quina elegida como Controlador Principal de Dominio (PDC), por ejemplo desde la ventana Tareas de Configuraci贸n Inicial que se nos presenta nada m谩s iniciar Windows 2008 Server. Los cambios que se realicen en la herramienta administrativa del manejador de usuarios del dominio quedar谩n reflejados en la base de datos del PDC. Estos cambios (creaci贸n de usuarios o grupos, pertenencia de usuarios a determinados grupos, conexi贸n de permisos a grupos鈥) se llevan a cabo seleccionando el dominio sobre el que se quiere actuar que, en el caso de tener establecida una relaci贸n de confianza entre ambos, bastar铆a con seleccionar dicho dominio, pero en el supuesto de no existir dicha relaci贸n, ser谩 necesario identificarse en el nuevo dominio. F铆jese en que se selecciona el dominio y no la maquina que realiza las funciones de PDC, que es la que tiene la base de datos.


Dominio

Se necesitan uno o m谩s controladores de dominio para crear un dominio en el Directorio Activo. Un dominio es una unidad administrativa con unas caracter铆sticas determinadas:

  • Todos los DCs replican entre s铆 la base de datos del directorio (datos sobre usuarios, equipos, grupos鈥), en consecuencia un usuario puede autenticarse en cualquier DC del dominio.
  • En 茅l se aplican las mismas pol铆ticas de seguridad como por ejemplo la longitud m铆nima de la contrase帽as, n煤mero m谩ximo de intentos antes de bloquear la cuenta, etc.
  • Los cambios a un objeto se pueden realizar en cualquier DC. Posteriormente se replicar谩n al resto.


Bosque

Un bosque es una colecci贸n de uno o m谩s dominios. Al primer dominio del bosque se le llama dominio ra铆z. Un bosque es una instancia 煤nica del directorio. Ning煤n dato del directorio ser replica fuera de los l铆mites del bosque.


脕rbol

Los 谩rboles son el resultado directo de los nombres DNS elegidos para los dominios del bosque. Si un dominio es subdominio de otro, ambos son considerados el mismo 谩rbol. Por ejemplo, si miempresa.com tiene dos dominios, miempresa.com y almeria.miempresa.com, como ambos comparten un espacio de nombres contiguo, se consideran el mismo 谩rbol. Si, por el contrario, los dos dominios se llamaran miempresa.com y miotraempresa.com, que no tienen un espacio de nombres contiguo, tendr铆amos dos 谩rboles.


Nivel Funcional

Las operaciones permitidas en un domino o bosque van a depender del nivel funcional. Existen tres niveles funcionales aplicables a un dominio:

  • Windows Server Nativo
  • Windows Server 2003
  • Windows Server 2008

Y dos aplicables a un bosque:

  • Windows Server 2003
  • Windows Server 2008

Respecto al los niveles funcionales hemos de tener en cuenta que son ellos los que van a determinar la versi贸n de Windows permitida en los DCs.


Relaciones de confianza

Para explicar en qu茅 consisten las relaciones de confianza se debe pensar en un dominio como un grupo de servidores que forman un 煤nico sistema junto con las posibles m谩quinas clientes como Windows Vista, Windows XP, Windows 2000 Profesional, Windows NT Workstation, Windows 9x, Windows 3,11鈥 Todos los servidores del dominio comparten el mismo conjunto de cuentas de usuario, por lo que 煤nicamente es necesario guardar la informaci贸n de una cuenta para que tanto el controlador primario como los secundarios reconozcan dicha cuenta.

Las relaciones de confianza permiten la compartici贸n de las bases de datos de usuarios entre varios dominios de la red; es decir establecen un v铆nculo o relaci贸n por la que una cuenta de un dominio ser谩 reconocida por los servidores de los dominios que conf铆en en 茅l. Mediante estos v铆nculos, un usuario tendr谩 una 煤nica cuenta en un dominio, pero podr谩 acceder a cualquier servidor de la red formado por los dominios que constituyen la relaci贸n. Gracias a las relaciones de confianza, al crear una cuenta de usuario en un dominio, 茅sta queda habilitada en todos los servidores de dominio de la red de confianza.

Tambi茅n es necesario aclarar que si un dominio conf铆a en otro, y 茅ste 煤ltimo conf铆a en un tercero, el primero no conf铆a autom谩ticamente en el tercero. Es decir, las relaciones se establecen entre parejas de dominios o lo que es lo mismo, la confianza entre dominios no es una operaci贸n transitiva.


Servidores aut贸nomos

Los servidores aut贸nomos son m谩quinas que est谩n ejecutando Windows 200x (Windows 2000, Windows 2003 o Windows 2008), y que en el proceso de instalaci贸n/configuraci贸n se decidi贸, para estos casos, que se comportaran como servidores aut贸nomos. Este tipo de servidores no es necesario para el correcto funcionamiento de un dominio. Si un servidor aut贸nomo pertenece a un dominio, puede disponer de todas las facilidades en cuanto a creaci贸n de usuarios o asignaci贸n de permisos que la base de datos centralizada de dicho dominio proporciona. Los servidores aut贸nomos que participan en un dominio tambi茅n disponen de las cuentas de usuario de los dominios en los que pertenece, pero no tienen ni una copia de la base de datos del controlador principal, ni procesan los intentos de inicio de sesi贸n de los usuarios en el dominio. Esta 煤ltima caracter铆stica puede ser una buena raz贸n para tener servidores aut贸nomos formando parte de un dominio; al no tener que perder tiempo validando cuentas de usuarios, el servidor puede dedicarse a tareas que necesiten un tiempo de respuesta muy corto.

La otra posibilidad es tener un servidor aut贸nomo que no pertenezca a ning煤n dominio. En este caso, el servidor mantendr谩 su propia base de datos de usuarios y debe ocuparse de validar las peticiones de inicio de sesi贸n por parte de los usuarios. Asimismo, no tiene acceso a las posibles cuentas de usuarios creadas en cualquier dominio. Este tipo de servidores es muy 煤til si necesitamos aislar, por motivos de seguridad, un servidor del dominio (p.e. servidor web).


Sitios

Un sitio es un objeto que representa una parte de la red de la empresa en que la conectividad es buena, por ejemplo una LAN. El sitio ser谩 el objeto que imponga restricciones a la hora de efectuar la replicaci贸n de la base de datos del directorio. Dos controladores de dominio dentro de un mismo sitio se replicar谩n en cuesti贸n de segundos. Por el contrario, la replicaci贸n entre sitios debe ser planificada teniendo en cuenta que las conexiones van a ser m谩s lentas, y menos fiables, en comparaci贸n con las comunicaciones dentro del sitio. Igualmente cuando un usuario trate de iniciar sesi贸n en un dominio tratar谩 de hacerlo en el controlador de dominio de su mismo sitio.


Unidad Organizativa (OU)

El Directorio Activo es una base de datos de informaci贸n, que se puede organizar seg煤n una jerarqu铆a. Los objetos de la base de datos se pueden agrupar en contenedores. Existen una serie de contenedores por defecto: Usuarios, Equipos, Builtin鈥 Una OU es un tipo de contenedor que, adem谩s de agrupar objetos, act煤a como l铆mite administrativo. Esto es as铆 porque a las OUs se pueden enlazar unos objetos llamados objetos de Pol铆ticas de Grupo (GPO). Estos GPO contienen opciones de configuraci贸n que se aplicar谩n autom谩ticamente a los usuarios y equipos de la OU a la que se encuentren vinculados.

Obtenido de "http://www.adminso.es/index.php/Componentes_de_una_infraestructura_de_Directorio_Activo"
Menú
















Libro Recomendado

DISE脩O Y CREACION DE PORTALES WEB
Ver fichaVer ficha
Comprar libroComprar