ACTIVE DIRECTORY_Conceptosbasicos

Embed Size (px)

Text of ACTIVE DIRECTORY_Conceptosbasicos

Conceptos bsicos Resumen Tcnico de Active Directory Windows 2000 Sistema Operativo de Servidor Documentos Estratgicos Resumen Introduccin Este documento proporciona una introduccin tcnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectnicos y caractersticas. La seccin Conceptos Importantes describe los trminos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran ms en detalle sobre lo que realiza el Active Directory, qu caractersticas trae a Windows y como est implementado. La seccin Migracin cubre modelos de dominio de migracin y estructuras de directorio de Windows NT 4.0 a Windows 2000. La ltima seccin, Preguntas Ms Frecuentes, responde preguntas sobre el Active Directory y cmo funciona. Un directorio es una fuente de informacin usada para almacenar informacin sobre objetos interesantes. Un directorio telefnico almacena informacin sobre los subscriptores. En un sistema de archivo, el directorio almacena informacin sobre los archivos. En un sistema computacional distribuido o una red computacional pblica como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "trminos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes pblicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de informacin del directorio como los servicios que hacen la informacin disponible y utilizable para los usuarios. Un servicio de directorio es uno de los ms importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y

los administradores no saben el nombre exacto de los objetos en los cuales estn interesados. Pueden conocer uno o ms atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede:

Reforzar la seguridad definida por los administradores para mantener la informacin segura ante intrusos. Distribuir un directorio a travs de muchas computadoras en una red. Hacer duplicados del directorio para que est disponible para ms usuarios y sea resistente a las fallas. Separar un directorio en almacenes mltiples para permitir el almacenaje de un gran nmero de objetos.

Un servicio de directorio es tanto una herramienta de manejo como una herramienta de usuario final. Conforme aumenta el nmero de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido. El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Ampla las caractersticas de previos servicios de directorio basados en Windows y agrega caractersticas totalmente nuevas. El Active Directory es seguro, distribuido, separado, y duplicado. Est diseado para funcionar bien en instalaciones de cualquier tamao, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas caractersticas nuevas que hacen fcil navegar y manejar grandes cantidades de informacin, generando ahorros de tiempo tanto para los administradores como para los usuarios finales. Conceptos Importantes Algunos conceptos y trminos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los trminos que han existido por un tiempo son usados para que signifiquen ms que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y trminos en el contexto del Active Directory. El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de rea amplia. Tambin puede incluir varias redes de rea amplia combinadas, as es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas. El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es

cualquier rea limitada en la cual puede ser incluido un nombre dado. La inclusin del nombre es el proceso de adaptar un nombre a algn objeto o informacin que representa. Un directorio telefnico forma un espacio para nombres para el cual los nombres de los subscriptores de telfono pueden ser incluidos en nmeros telefnicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo. El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo. Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicacin. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y direccin de correo electrnico.

Figura 1. Un objeto de usuario y sus atributos Un contenedor es como un objeto en que tiene atributos y es parte del espacio para nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores. Un rbol (tree) se usa en todo este documento para describir una jerarqua de objetos y contenedores. Los puntos finales en el rbol son usualmente objetos. Los nudos en el rbol (los puntos donde salen ramas) son contenedores. Un rbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es tambin un contenedor. Un subrbol colindante es cualquier camino ininterrumpido en el rbol, incluyendo todos los miembros de cualquier contenedor en ese camino.

Figura 2. Un subrbol colindante de un directorio de archivo Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres. Nombre nico Cada objeto en el Active Directory tiene un nombre nico (Distinguished Name, DN). El nombre nico identifica el dominio que conserva el objeto, as como el camino completo a travs de la jerarqua del contenedor por el cual se llega al objeto. Un tpico DN puede ser /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com

Figura 3. Una representacin grfica de un nombre nico Nombre nico Relativo El Nombre nico Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users. El Active Directory est compuesto de uno a ms contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subrbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres.

El esquema La configuracin (topologa de particin y metadatos relacionados) Uno o ms contextos para dar nombres de usuario (subrboles conteniendo los objetos reales en el directorio).

Un dominio es un solo lmite de seguridad de una red computacional de Windows NT o Windows 2000. (Para ms informacin sobre dominios, vea la documentacin de Windows). El Active Directory est compuesto de uno o ms dominios. En una sola

estacin de trabajo, el dominio es la computadora misma. Un dominio puede conectar ms de una ubicacin fsica. Cada dominio tiene sus propias polticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios mltiples son conectados por relaciones de confianza y comparten un esquema comn, configuracin, y catlogo global, tienen un rbol dominio. Arboles de dominio mltiples pueden conectarse juntos en un bosque. Un rbol de dominio comprende varios dominios que comparten un esquema comn y configuracin, formando un colindante espacio para nombres. Los dominios en un rbol estn tambin vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o ms rboles. Los rboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del rbol de dominio. Visualizando las Relaciones de confianza Puede trazar un dibujo de un rbol de dominio basado en los dominios individuales y de cmo confan uno en el otro. Windows 2000 establece las relaciones de confianza entre los dominios basndose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerrquica, si el dominio A confa en el dominio B y dominio B confa en dominio C, dominio A confa tambin en el dominio C.

Figura 4. Un rbol de dominio visto en trminos de sus relaciones de confianza. Visualizando el Espacio para nombres Tambin puede hacer un dibujo de un rbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre nico de un objeto siguiendo el camino hacia el espacio para nombres del rbol de dominio. Esta vista es til para agrupar objetos en