Estructura del DIRECTORIO ACTIVO Estructura Lógica o Dominios o Trees (Arboles) o Forests (Bosque) Estructura Física o ‘Sites’ El Directorio Activo nos da un método para diseñar una estructura de directorio de acuerdo con las necesidades de nuestra organización. Por tanto debemos ‘revisar’ la organización de nuestro negocio antes de instalar el Directorio Activo. Algunas compañías, tienen una estructura centralizada. Otras organizaciones, especialmente las grandes compañías están muy descentralizadas. Estas compañías tienen múltiples oficinas, cada una de ellas centrada en un tema particular. Con la flexibilidad del Directorio Activo de Windows 2000 podemos crear una estructura que sea fiel reflejo del modelo de nuestra organización. Nota: El Directorio Activo separa completamente la estructura lógica de la jerarquia del dominio en la estructura física. Estructura Lógica Forest Dominio Dominio OU Tree Dominio Dominio Dominio OU OU En un Directorio Activo podemos organizar los recursos en una estructura lógica. Una agrupación lógica de recursos, nos permite encontrar un recurso por su nombre o sus atributos en vez de por su localización física. Objeto Un ‘Objeto’ es una única colección de atributos que representa un recurso de red y que podemos asignarle un nombre. Los ‘atributos’ del Objeto son características de los objetos en el directorio. Por ejemplo, los atributos de un usuario, pueden ser su nombre, apellidos, departamento y dirección de e-mail. En un Directorio Activo, podemos organizar los objetos en ‘clases’, las cuales son agrupaciones lógicas de objetos. Ejemplos de clases son: usuarios, grupos, ordenadores, dominios, o unidades organizativas. Nota: Algunos objetos, conocidos como objetos contenedores, pueden contener otros objetos. Por ejemplo: un dominio es un objeto contenedor. Unidad Organizativa (OU) Una Unidad Organizativa (OU) es un objeto contenedor que podemos utilizar para organizar los objetos en un dominio en grupos lógicos administrativos. Un OU puede contener objetos como: cuentas de usuarios, grupos, ordenadores, impresoras, aplicaciones, ficheros compartidos y otras OUs. La jerarquía OU en un Dominio es independiente de la estructura de otros dominios. Cada Dominio puede implementar su propia jerarquía OU. Nota: Podemos asignar permisos a las OU para delegar la Administración. Dominio La unidad central de la estructura lógica en un Directorio Activo es el Dominio. Agrupando objetos en uno o más dominios, nos permite reflejar la organización de nuestra empresa en nuestra red. Todos los objetos de red existen dentro de un dominio, y cada dominio almacena información únicamente de los objetos que contiene. Teóricamente un directorio de dominio puede contener hasta 10 millones de objetos. Pero 1 millón de objetos por Dominio ha sido el limite comprobado. Un Dominio es una unidad de seguridad. El acceso a los objetos del dominio está controlado por las listas de control de acceso (Access Control Lists – ACL-). Todas las políticas de seguridad y opciones, como derechos Administrativos, políticas de seguridad y ACLs, no se transmiten de un dominio a otro. El Administrador del dominio, tiene derechos absolutos para colocar las políticas ‘solo’ en su dominio. Nota: A un Dominio se le denomina también ‘partición’ de un Directorio Activo. Todos los Dominios en un bosque (forest) forman el Directorio Activo. Tree (Árboles) Un tree (Arbol) es una agrupación jerárquica de uno o más dominios en Windows 2000 que permiten compartir recursos globales. Un tree puede consistir en un único dominio Windows 2000. Los dominios en un tree pueden unirse transparente y bidireccionalmente con relaciones de confianza transitiva Kerberos. Una relación de confianza Kerberos simple es, sí el Dominio A confía en el Dominio B y el Dominio B confía en el Dominio C, entonces el Dominio A confía en el Dominio C. Todos los dominio en un tree simple, comparten un espacio para nombres (namespace) común y una estructura de nombre jerárquica. Siguiendo al DNS estándar en nombre del dominio de un dominio hijo es el nombre relativo de este dominio hijo añadiéndole el nombre del dominio padre. Todos los dominios en un tree simple, comparten un ‘esquema’ común, el cual es la definición formal de todos los tipos de objeto que podemos almacenar en un Directorio Activo. Además todos los dominios con un tree simple comparten un catálogo común global, el cual es el repositorio central o la información acerca de los objetos en un tree o en un forest (en un árbol o en el bosque). Forest (Bosque) Un forest es un grupo jerárquico organizado de uno o más trees. Los forest permiten a las organizaciones agruparse en divisiones (o dos organizaciones pueden combinar sus redes) esto no utiliza el mismo esquema de nombres y puede operar independientemente, pero necesita comunicarse con la organización entera. Los trees en el forest comparten el mismo esquema y reglas de cómo trabajan los objetos. Todos los dominios en un forest tienen el mismo catalogo global y el mismo contenedor de la configuración. Relaciones de confianza. Una vía. Relaciones explicitas Windows NT 4 Bidireccional. Relaciones Transitivas Windows 2000 Una relación de confianza es un enlace entre al menos dos dominios en el cual un dominio de confianza autentifica todas las conexiones para el dominio que confía en él. En Windows NT 4 y versiones anteriores, las relaciones de confianza entre dominios están definidas en una sola vía (no son bidireccionales) de confianza entre Controladores de Dominio. Cada confianza debe establecerse u manejarse individualmente. La administración de estas relaciones explicitas entre dominios en una red amplia es una tarea compleja. Relaciones de confianza transitivas. La confianza transitiva entre dominios simplifica simplifica la administración de confianza entre dominios.. Los dominios son ahora miembros de un tree que tienen definida una relación bidireccional con el padre del dominio en el tree. El administrador de red puede definir cuentas unidireccionales explicitas para dominios específicos cuando la confianza bidireccional no sea la apropiada. Cuando añadimos en Windows 2000 un dominio a un tree, se establece automáticamente una relación de confianza entre el nuevo dominio y el dominio principal o el dominio padre en el tree. El Directorio Activo de Windows 2000 también soporta confianza en una sola vía para clientes de bajo nivel.