1.Directorio Activo o "Active Directory".
1.1.Introdución.
Active Directory es el servicio de directorio de una red de Windows 2003. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar la red
Una de las ventajas fundamentales del Directorio Activo es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red).Ello permite una mejor gestión del sistema.
1.2.Éstandares relacionados.
Windows 2003 proporciona compatibilidad con un buen número de protocolos y estándares existentes, ofreciendo interfaces de programación de aplicaciones que facilitan la comunicación con otros servicios de directorio.Entre ellos,destacan:
1.3.Directorio Activo y DNS.
Cada dominio de Windows 2003 se identifica unívocamente mediante un nombre DNS (por ejemplo, miempresa.com) y cada equipo basado en Windows 2003 que forma parte de un dominio tiene un nombre DNS cuyo sufijo es precisamente el nombre DNS de dicho dominio (siguiendo con el ejemplo,pc0100.miempresa.com). De esta forma vemos que dominios y equipos se representan como objetos en Active Directory y como nodos en DNS. La diferencia es que aunque comparten la misma estructura, almacenan información diferente: DNS almacena zonas y registros de recursos y el Directorio Activo guarda dominios y objetos de dominio.Como conclusión diremos que Directorio Activo utiliza DNS, para tres funciones principales:
1. Resolución de nombres.
2. Definición del espacio de nombres.
3. Búsqueda de los componentes físicos de AD.
1.4.Estructura Lógica.
Estructura Lógica
1.4.1.¿Qué es un dominio?
La unidad central de la estructura lógica del Directorio Activo es el dominio. Un dominio
es un conjunto de equipos que comparten una base de datos de directorio común.El uso de dominios permite ejecutar los siguiente objetivos:
- Delimitar la seguridad.
- Replicar información.
- Aplicar Políticas (o Directivas) de Grupo.
- Delegar permisos administrativos.
1.4.2.¿Qué es un árbol?
Un árbol es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
El primer dominio creado es el dominio raíz del primer árbol. Cuando se agrega un dominio a un árbol existente este pasa a ser un dominio secundario (o hijo). Un dominio inmediatamente por arriba de otro dominio en el mismo árbol de dominio es su padre. Todos los dominios que tengan un dominio raíz común se dice que forman un espacio de nombres contiguo.Los dominios secundarios (hijos) pueden representar entidades geográficas, administrativas u otras delimitaciones específicas de una organización, según sus necesidades.
1.4.3.¿Qué es un bosque?
Un bosque es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas.
Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:
• No se pueden mover dominios de Active Directory entre bosques.
• Solamente se podrán eliminar dominios de un bosque si este no tiene dominios hijos.
• Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
• No se puede crear un dominio padre de un dominio existente.
1.4.4.Niveles Funcionales.
Windows 2003 pueden configurarse en diferentes niveles funcionales para que puedan ser compatibles con sistemas anteriores.En concreto, Windows Server 2003 soporta cuatro niveles funcionales de dominio (Window 2000 mixto , Window 2000 nativo,Window Server 2003 provisional, Window Server 2003) y tres niveles funcionales de bosque (Window 2000, Window 2003 Server Provisional, Window Server 2003).
1.4.5.Relaciones de Confianza.
Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio. Estas relaciones permiten a los usuarios acceder a los recursos de otro dominio y a los administradores definir los permisos y derechos de usuario para los usuarios del otro dominio.
1.4.6.Unidades Organizativas.
Las unidades organizativas son objetos del directorio que a su vez, pueden contener otros objetos.El uso fundamental de las OUs es delegar la administración de sus objetos a otros usuarios distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs) específicas a la unidad.
1.5.Estructura Física.
La estructura física se utiliza para configurar y administrar el tráfico de red(como inicio de sesión) mientras que la estructura lógica se utiliza para organizar los recursos de red . En concreto, la estructura física de Active Directory se compone de sitios y controladores de dominio.
Sitios: Se crean por dos razones principalmente:
• Para optimizar el tráfico de replicación.
• Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad.
Controladores de dominio: Un controlador de dominio es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesión de usuario.
La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración.
Su función es la de replicar los cambios que se realizan en usuarios,grupos,etc de la red a otros controladores de dominio.
1.6.Objetos que Administra un Dominio.
1.6.1.Usuarios Globales.
Se trata de las cuentas de usuarios y grupos que se crean en el sistema para administrar y organizar los usuarios y grupos del sistema así como sus permisos y derechos.Cualquier Servidor que actúe como DC puede crear usuarios globales.
1.6.2.Grupos.
Al igual que los usuarios existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio.En dominios Windows 2003 se definen tres clases de grupos ( Grupos Locales del dominio, Grupos Globales y Grupos Universales).
1.7. Equipos.
En el Directorio Activo se recoge también una cuenta de equipo por cada uno de los ordenadores
miembro de un dominio.En cada una de estas cuentas se almacena el nombre del ordenador, así como un identificador único y privado que lo identifica unívocamente. Este identificador es análogo al SID y sólo lo conocen los DCs y el propio ordenador miembro.
1.8.Compartición de Recursos.
Cuando un sistema Windows 2003 participa en una red puede compartir sus recursos con el resto de ordenadores.En este contexto,sólo vamos a considerar como recursos a compartir las carpetas odirectorios.
1.8.1.Permisos y Derechos.
Cualquier sistema Windows 2003 puede compartir carpetas, tanto si es un servidor como si es una estación de trabajo. Para poder compartir una carpeta basta con desplegar su menú contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opción se determina el nombre que tendrá el recurso, así como qué usuarios van a poder acceder al mismo.
1.8.2.Compartición dentro de un dominio.
Cuando compartimos una carpeta en la red el administrador del dominio puede además publicar este recurso en el directorio, para ello debe crear un nuevo objeto, en la unidad organizativa adecuada, de tipo Recurso compartido. A este objeto se le debe asociar un nombre simbólico y el nombre de recurso de red que representa (de la forma \\equipo\recurso). Es importante que el administrador se asegure que exista el recurso cmpartido en la red porque muchas veces no se comprueba.
Y segundo, cuando un sistema Windows 2003 se agrega a un dominio, los siguientes
recursos se comparten de forma automática y por defecto (estas comparticiones no deben modificarse ni prohibirse):
Mandatos para compartir recursos:
- Mandato net share: Crea, elimina o muestra recursos compartidos.
- Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo
1.9.Delegación de la Administración.
Para delegar, total o parcialmente, la administración de una unidad organizativa existe un asistente (wizard) que aparece cuando se selecciona la acción Delegar el control... en el menú contextual de la unidad organizativa. Este asistente pregunta básicamente los dos aspectos propios de la delegación: "a quién se delega" y "qué se delega". La primera pregunta se contesta o bien con un usuario o con un grupo (se recomienda un grupo). Para responder a la segunda pregunta, se puede elegir una tarea predefinida a delegar o bien podemos optar por construir una tarea personalizada. En este último caso, tenemos que especificar la tarea mediante un conjunto de permisos sobre un cierto tipo de objetos del directorio.
No hay comentarios:
Publicar un comentario