Centro de Bachillerato Tecnolgico industrial y de servicios No.

198

Uso de Active Directory y dominios

Active Directory provee una sola referencia, llamada servicio de directorio, de todos los objetos de
una red, incluidos usuarios, grupos, equipos, impresoras, directivas y permisos. Para un usuario o
administrador, AD provee una sola vista jerrquica desde la que se acceden y administran todos
los recursos de la red. AD utiliza protocolos y estndares de Internet, incluida la autentificacin
Kerberos, capa de conectores seguros (SSL, Secure Sockets Layer) y seguridad en la capa de
transporte (TLS, Transport Layer Security); un protocolo de acceso a directorio ligero (LDAP,
Lightwight Directory Access Protocol) y el servicio de nombre de dominio (DNS, Domain Name
Service). AD requiere uno o ms dominios para operar.

Un dominio es una coleccin de equipos que comparten un conjunto comn de directivas,

nombre y base de datos de sus miembros. Un dominio debe tener uno o ms servidores que sirven
como controladores de dominio y almacenan la base de datos, mantienen las directivas y
proporcionan autentificacin para inicios de sesin de dominio. Un dominio, como se utiliza en
Internet, es el segmento ms alto de un nombre de dominio de Internet e identifica el tipo de
organizacin; por ejemplo, .gov para agencias gubernamentales y .net para proveedores de
servicio de Internet (ISP, Internet Service Provider). Un nombre de dominio es la direccin de
Internet completa, usada para alcanzar una entidad registrada en Internet. Por ejemplo,
www.mcgraw-hill.com o www.mit.edu.

EL ENTORNO DE ACTIVE DIRECTORY

AD juega dos funciones bsicas importantes para una red: la de un servicio de directorio, que
contiene una lista jerrquica de todos los objetos de la red, as como la de un servicio de
autentificacin y seguridad que tanto controla como proporciona acceso a recursos de red. Estas
dos funciones tienen una naturaleza y enfoque diferentes, pero se combinan para brindar mayores
capacidades de usuario mientras se disminuye la sobrecarga administrativa. En su ncleo, AD de
Windows Server 2008 es un servicio de directorio integrado con DNS, adems de un servicio de
autentificacin de usuario para el sistema operativo Windows Server 2008. Sin embargo, esta
explicacin introduce pocos trminos e incluye varios conceptos.

Aunque AD es, al mismo tiempo, directorio y servicio de directorio, los trminos no son
intercambiables. En la red de Windows Server 2008, un directorio es una lista de objetos en una
red. Un directorio jerrquico tiene una estructura cuya configuracin integrada permite que se
agrupen objetos de forma lgica; de tal modo, los objetos de nivel inferior se agrupan y contienen
de forma lgica en objetos de nivel superior en todos los niveles deseados. Esta agrupacin puede
basarse en varios criterios diferentes, pero stos deben ser lgicos y consistentes con toda la
estructura de directorio.

1
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

Dos de las estructuras de directorio ms comunes usadas en las redes se basan en funciones de
objeto (como impresoras, servidores y dispositivos de almacenamiento) y responsabilidad
organizacional (como mercadotecnia, contabilidad y manufactura). El modelo organizacional
permite almacenar objetos en grupos o contenedores basados en el lugar que ocupan en una
organizacin, que tal vez cuenten con estructura propia, como departamentos dentro de
divisiones.

Un departamento particular sera el primer punto organizativo en una organizacin. A un

contenedor que almacena todos los objetos en un departamento se le denomina unidad
organizativa (OU, Organizational Unit) y se agrupa en OU de nivel superior, basada en la estructura
lgica.
Tras crear un grupo de OU, ver que la estructura causa que su directorio sea confuso, de
navegacin compleja o ambas. Como resultado, quizs necesite cambiar su red para tener ms OU
de alto o bajo nivel. En la parte superior de todos los directorios est la OU maestra que contiene
todas las dems OU. A este directorio se le conoce como raz y normalmente se le designa con un
solo punto. Esta estructura jerrquica se vera as:

AD es tan bsico como la organizacin recin mostrada. Sin embargo, gran parte de la estructura
central de AD ya ha sido asignada por Microsoft y es consistente en todas las implementaciones de
Windows Server 2008. Por esto, algunos de los contenedores, slo OU, se han asignado a nombres
especficos y funciones en AD. A medida que esta estructura de directorio preconfigurada se
explica en el resto del captulo, no deje que trminos y nombres lo confundan. En realidad, todo
esto es simplemente una coleccin de objetos en varias OU.

El servicio en servicio de directorio se aade a las caractersticas de un servidor que, de otra

manera, no estaran disponibles. Al principio, un servicio de directorio permite acceso a un
directorio de informacin y a servicios brindando informacin acerca de la ubicacin, mtodos de
acceso y derechos de acceso a los objetos dentro del rbol de servicio de directorio. Esto significa

2
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

que los usuarios acceden a un solo directorio y despus se conectan directamente a otros
servidores y servicios que, en apariencia, provienen del directorio original.

1Integracin con DNS

Gran parte de la estructura y servicios de AD, adems del espacio de nombres en uso, se basa en
el sistema de nombre de dominio (DNS, Domain Name System). Espacio de nombres es el
esquema de direccionamiento empleado para ubicar objetos en la red. AD e Internet utilizan
espacios de nombres jerrquicos separados por puntos, como se describi antes en este captulo.
En unos momentos se analizar la manera en que AD utiliza DNS, pero es necesario revisar
primero estructura y funcionamiento de DNS y cmo se utiliza para generar las bases de AD.

Todos los servidores y servicios en Internet tienen asignada una direccin numrica de protocolo
de Internet (IP, Internet Protocol), as como todo el trfico de Internet utiliza este nmero IP para
llegar a su destino. Los nmeros IP cambian y pueden hospedar varios servicios simultneamente.
Adems, la mayora tiene dificultades para recordar nmeros arbitrarios grandes, como las
direcciones IP. stas son descripciones decimales de nmeros binarios, sin patrn visible. Los
servicios DNS se crearon para permitir a servidores y otros objetos en la red asignar un nombre
amigable para el usuario, mismo que DNS traduce en un nmero IP. Por ejemplo, un nombre
amigable para el usuario como correo.mcgraw-hill.com puede traducirse o resolverse en un
servidor DNS a una direccin IP como 168.143.56.43, que la red puede usar para ubicar el recurso
deseado.

Los servidores DNS manejan estructuras de directorio jerrquicas, como en el ejemplo descrito al
inicio de este captulo. En el ncleo de los servidores DNS existen dominios de raz con un
directorio raz, al que se hace referencia con un solo punto. Los primeros grupos de OU bajo la raz
son diversos tipos de dominios que pueden existir, como COM, NET, ORG, GOV, EDU, etc. InterNIC,
una rama del Departamento de Comercio de Estados Unidos, controla ms de 250 de estos
dominios de nivel elevado en Estados Unidos, administrados por una empresa privada sin fines de
lucro llamada Internet Corporation for Assigned Names and Numbers (ICANN), que controla varios
servidores raz que contienen una lista de todas las entradas en cada subdominio.

El siguiente grupo de OU tras .COM lo integran nombres de dominio como coke.com,

microsoft.com y mcgraw-hill.com. Las organizaciones o individuos a los que pertenecen registran y
administran estos dominios. Varias compaas han contratado a InterNIC/ICANN para registrar
nuevos nombres de dominio aadidos a Internet; ver una lista alfabtica de estas compaas en
http://www.internic.com/alpha.html. Un nombre de dominio, como mcgraw-hill.com, puede
obtener OU adicionales, llamadas subdominios y objetos de servidor reales. En el ejemplo
anterior, correo.mcgraw-hill.com, el servidor de correo es un objeto del dominio mcgraw-hill.com.
A un nombre de servidor como correo.mcgraw-hill.com, que contiene todas las OU entre ste y la

3
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

raz, se le denomina nombre de dominio totalmente calificado (FQDN, Fully Qualified Domain
Name). En la figura se muestra el proceso de resolucin de nombres requerido cuando un cliente
como el de la esquina inferior izquierda de la figura pide a un servidor DNS resolver un FQDN en
una direccin IP, subiendo y bajando por la cadena de servidores DNS.

LA ESTRUCTURA Y CONFIGURACIN DE ACTIVE DIRECTORY

Una red AD contiene varios objetos en una estructura muy completa y puede configurarse de
varias formas.

Objetos de Active Directory

4
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

Un objeto dentro de AD es un conjunto de atributos (nombre, direccin e ID) representando algo

concreto, como un usuario, impresora o aplicacin. Como DNS, AD agrupa e incluye estos objetos
en OU, que luego se agrupan en otras OU hasta llegar a la raz. Adems, como DNS, AD
proporciona despus acceso e informacin acerca de cada uno de estos diferentes objetos. Como
un servicio de directorio, AD mantiene una lista de todos los objetos en el dominio y ofrece acceso
a estos objetos, ya sea directamente o mediante redireccionamiento.

Esta seccin se concentra en la estructura y base de los objetos en AD. Al recordar las diferencias
entre AD y DNS, as como los objetos contenidos, apreciar la amplia variedad de objetos que se
permiten en servicios de directorio. En el caso de AD y otros servicios de directorio basados en
X.500, la creacin y uso de esta variedad de objetos se determinan mediante el esquema utilizado
en el directorio.

Esquema

El esquema define la informacin almacenada y posteriormente proporcionada por AD, para cada
uno de sus objetos. Siempre que un objeto se crea en AD, se le asigna un identificador global nico
o GUID (Globally Unique IDentifier), un nmero hexadecimal nico para el objeto. Un GUID
permite que se cambie un nombre de objeto sin afectar la seguridad ni los permisos asignados al
objeto, porque el GUID es todava el mismo. Una vez que el objeto se crea, AD utiliza el esquema
para crear campos definidos para el objeto, como nmero telefnico, propietario, direccin,
descripcin, etc. La informacin para cada uno de estos campos la ofrece el administrador o
aplicacin de terceros que obtiene la informacin de una base de datos o estructura de directorio
preexistente, como Microsoft Exchange.

La estructura de Active Directory

Existen varias OU dentro de AD con varias funciones muy especficas en la red. Estas funciones se
establecen por medio del esquema. Para administrar y configurar una red AD, necesita entender
qu es cada una de estas OU y qu funcin juegan en la red.
Active Directory est integrado por uno o ms dominios. Cuando se instala el primer servidor AD,
se crea el dominio inicial. Todos los dominios AD se asignan a s mismos a dominios DNS, mientras
los servidores DNS juegan una funcin crucial en cada dominio.

Dominios

Los dominios estn en el ncleo de todos los sistemas operativos basados en Windows NT/2000
Windows Server 2003/2008. En esta seccin se revisa la estructura de los dominios en AD, adems
de los diversos factores que participan en la creacin de varios dominios en una red.

Los dominios en AD delinean una particin dentro de la red AD. La principal razn para crear varios
dominios es la necesidad de particionar la informacin de red. Las redes ms pequeas tienen muy
poca necesidad de ms de un dominio, aun con una red dispersa entre varios sitios fsicos, pues los

5
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

dominios pueden cubrir varios sitios de Windows Server 2008. Sin embargo, todava existen
razones para utilizar varios dominios en una red:

Proporcionan estructura de red. A diferencia de los dominios NT heredados, no existe

lmite real para el nmero de objetos que se pueden agregar a un dominio AD ejecutado
en modo nativo. Por esto, casi ninguna red necesita establecer dominios separados para
cada unidad de negocio. Sin embargo, en algunas redes muy grandes, es posible que
varios factores de directivas necesiten varios dominios. Por ejemplo, una compaa puede
tener varias subsidiarias completamente autnomas. Un AD central compartido entre las
compaas ofrece varios beneficios; tal vez un dominio compartido no tenga tanto
sentido. En este caso, puede configurarse un dominio separado para cada compaa
Replicacin. Los servidores AD slo contienen informacin de su propio dominio. Los
servidores de catlogo global se requieren para publicar informacin entre dominios para
el acceso de usuario. Esto significa que todos los objetos en un dominio se replican a todos
los dems controladores de dominio, mientras los recursos externos se replican slo entre
servidores de catlogo global. En las redes grandes esparcidas entre varios vnculos WAN,
cada sitio fsico debe ser su propio dominio, para asegurar que el trfico de replicacin
innecesario no consuma el limitado ancho de banda de los vnculos WAN
Seguridad y administracin. Aunque AD suministra la apariencia de una infraestructura de
red central a los usuarios de la red, las capacidades administrativas y permisos de usuario
no cruzarn particiones de dominio. Esta limitacin se supera mediante el uso de grupos
globales universales y relaciones de confianza, pero los dominios son realmente grupos
administrativos separados que pueden o no estar vinculados
Delegacin de administracin. Aunque la delegacin de autoridad administrativa en la red
hace que varios dominios sean fciles de manejar y Windows Server 2008 provee varias
herramientas administrativas, todava pueden darse beneficios para otras redes,
dividiendo los dominios entre las lneas de autoridad y responsabilidad administrativa.

Bosques

Adems de dominios, AD se compone de bosques, rboles y otras OU personalizadas. Cada una de

estas OU existe en un nivel especfico de la jerarqua de AD, empezando con el bosque contenedor
ms alto. Un bosque es el OU ms alto en la red y puede contener cualquier nmero de rboles y
dominios. Todos los dominios en un bosque comparten el mismo esquema y catlogo global. En
esencia, los bosques son similares al contenedor raz del DNS. Casi todas las organizaciones que
implementan AD tendrn un solo bosque; en realidad, es posible que las organizaciones ms
pequeas con un solo dominio incluso no se percaten de la existencia del bosque, pues todas las
funciones parecen existir slo en el nivel de dominio. En efecto, el bosque se utiliza como el
directorio principal para toda la red. El bosque abarca todos los rboles, dominios y otras OU,
adems de toda la informacin publicada para todos los objetos en el bosque, como se ver a
continuacin.

6
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

La creacin de bosques adicionales en una red debe hacerse con mucho cuidado. Los bosques
adicionales pueden causar gran cantidad de sobrecarga administrativa, sobre todo cuando se
agregan plataformas de mensajera compatibles con AD, como Exchange. Aparte de los problemas
obvios de directiva, existen pocas razones para que una red tenga varios bosques.

rboles

Dentro de AD, los rboles se utilizan principalmente para agrupaciones administrativas y

problemas de espacios de nombres. En esencia, un rbol es una coleccin de dominios que
comparten un espacio de nombres contiguo y forman un entorno jerrquico. Por ejemplo, es
posible que una organizacin como Microsoft divida su estructura DNS para que el nombre de
dominio Microsoft.com no sea el nombre principal, utilizado en correos electrnicos y referencias
de recurso. Por ejemplo, suponga que Microsoft se divide primero geogrficamente, para que
haya una OU de la costa oeste y una OU de la costa este, en el dominio Microsoft, mientras cada
una de estas OU (o dominios secundarios) contiene un rbol para ms divisiones, como Ventas y
Soporte tcnico, que puede dividirse ms en Sistemas operativos y Aplicaciones. En este ejemplo,
hasta ahora, Microsoft tendra dos rboles en su estructura DNS, costa este y costa oeste. Ambos
dominios se dividen ms, creando un posible FQDN para un servidor dentro del departamento de
soporte tcnico, como se muestra a continuacin:

Nombredeservidor.Sistemasoperativos.Soportetcnico.Costaoeste.Microsoft.Com

7
 Centro de Bachillerato Tecnolgico industrial y de servicios No. 198

Bibliografa
1
Marty Matthews, Gua del Administrador, mc. Graw Hill