WINDOWS 2000 SERVER: DIRECTORIO ACTIVO
Anuncio
WINDOWS 2000 SERVER: DIRECTORIO ACTIVO Listas de comprobación ............................................................................................................................. 5 Lista de comprobación: instalar un controlador de dominio ...................................................................... 5 Lista de comprobación: agregar un miembro a un grupo .......................................................................... 6 Lista de comprobación: crear un grupo ..................................................................................................... 6 Lista de comprobación: actualizar un grupo .............................................................................................. 7 Lista de comprobación: configurar un sitio ................................................................................................ 7 Lista de comprobación: optimizar la replicación entre sitios ..................................................................... 8 Lista de comprobación: antes de extender el esquema ............................................................................ 8 Formas nuevas de realizar tareas familiares ..........................................................................................10 Prácticas recomendadas .........................................................................................................................11 Cómo... .......................................................................................................................................................12 Administrar controladores de dominio .....................................................................................................12 Administrar operaciones de un solo servidor principal ............................................................................15 Administrar cuentas de usuario ...............................................................................................................21 Administrar cuentas de equipos ..............................................................................................................28 Administrar grupos ...................................................................................................................................33 Administrar unidades organizativas .........................................................................................................37 Administrar recursos publicados ..............................................................................................................40 Administrar dominios y confianzas ..........................................................................................................42 Establecer la configuración del servidor ..................................................................................................44 Establecer la configuración del sitio ........................................................................................................50 Configurar la replicación ..........................................................................................................................54 Administrar el esquema ...........................................................................................................................61 Conceptos ..................................................................................................................................................65 Introducción a Active Directory ................................................................................................................65 Ventajas de Active Directory ....................................................................................................................65 Introducción a Active Directory ................................................................................................................68 Introducción a los bosques y árboles de dominio ....................................................................................70 Introducción a Sitios y servicios de Active Directory ...............................................................................73 Introducción al esquema de Active Directory ..........................................................................................75 Descripción de Active Directory ..............................................................................................................79 Descripción de los dominios ....................................................................................................................79 Descripción de los bosques y árboles de dominio ..................................................................................80 Descripción de las confianzas entre dominios ........................................................................................83 Relaciones de confianza explícitas entre dominios .................................................................................86 Sitios ........................................................................................................................................................88 Cuentas de usuario y de equipo de Active Directory...............................................................................91 Descripción de la Directiva de grupo .......................................................................................................93 Descripción de la integración con DNS ...................................................................................................94 Descripción de los grupos .......................................................................................................................96 Error! Use the Home tab to apply Título to the text that you want to appear here. 1 Tipos de grupos .......................................................................................................................................96 Ámbito de un grupo..................................................................................................................................96 Grupos integrados y predefinidos ............................................................................................................98 Cómo afectan los grupos al rendimiento de la red ................................................................................103 Servicio de directorio de Active Directory ............................................................................................105 Nombres de objeto de Active Directory .................................................................................................105 Clientes de Active Directory ...................................................................................................................107 Almacén de datos del directorio ............................................................................................................107 Catálogo global ......................................................................................................................................108 Protocolo de acceso al directorio ...........................................................................................................109 Operaciones de un solo maestro ...........................................................................................................110 Replicación ..............................................................................................................................................112 Metas y estrategias de la replicación.....................................................................................................112 Cómo afectan las particiones del directorio a la replicación .................................................................116 Funcionamiento de la replicación ..........................................................................................................120 Opciones de replicación ........................................................................................................................121 Descripción del esquema de Active Directory .....................................................................................124 Cambios del esquema ...........................................................................................................................124 Objetos de esquema ..............................................................................................................................124 Nombres de los objetos del esquema ...................................................................................................125 Definiciones de atributo .........................................................................................................................126 Tipos de clase ........................................................................................................................................127 Definiciones de clase .............................................................................................................................127 Identificadores de objeto ........................................................................................................................128 Caché del esquema ...............................................................................................................................130 Diseñar Active Directory .........................................................................................................................131 Planear la actualización de modelos de dominio anteriores .................................................................131 Planear la estructura de DNS ................................................................................................................134 Planear la estructura del dominio ..........................................................................................................134 Cuándo crear un controlador de dominio ..............................................................................................135 Planear el modelo de delegación ..........................................................................................................136 Planear la estructura de las unidades organizativas .............................................................................136 Planear las ubicaciones del servidor principal de operaciones .............................................................138 Planear estructuras de sitios .................................................................................................................140 Ancho de banda .....................................................................................................................................140 Cuándo se debe establecer un único sitio .............................................................................................141 Cuándo se deben establecer sitios independientes ..............................................................................142 Controlador de dominio y posición del catálogo global .........................................................................143 Catálogo global y maestro de infraestructuras ......................................................................................144 Estrategias para utilizar grupos .............................................................................................................144 Dónde se pueden crear grupos .............................................................................................................145 Cuándo se deben utilizar grupos de ámbito local de dominio ...............................................................145 Cuándo se deben utilizar grupos de ámbito global ...............................................................................146 Error! Use the Home tab to apply Título to the text that you want to appear here. 2 Cuándo se deben utilizar grupos de ámbito universal...........................................................................146 Planear la extensión del esquema .........................................................................................................147 Cuestiones relativas a la extensión del esquema .................................................................................147 Cuándo se debe extender el esquema ..................................................................................................148 Antes de extender el esquema ..............................................................................................................149 Obtener identificadores válidos de objeto .............................................................................................149 Extender el esquema .............................................................................................................................150 Desactivar una clase o un atributo ........................................................................................................151 Actualizar la caché del esquema ...........................................................................................................151 Usar Active Directory ..............................................................................................................................153 Implementar Active Directory .................................................................................................................153 Instalar Windows 2000 Server ...............................................................................................................153 Promover controladores de dominio ......................................................................................................153 Usar la Directiva de grupo .....................................................................................................................154 Definir sitios .............................................................................................................................................156 Proporcionar información de la subred ..................................................................................................156 Usar los servidores cabeza de puente preferidos .................................................................................156 Actualizar con Active Directory ..............................................................................................................157 Actualizar un dominio de Windows NT .................................................................................................158 Combinar dominios de recursos en dominios principales .....................................................................161 Convertir grupos a Windows 2000 .........................................................................................................163 Interoperar con otros servicios de directorio .........................................................................................164 Importar y exportar información del directorio .......................................................................................164 Utilizar Active Directory con Exchange ..................................................................................................168 Usar Active Directory Connector ...........................................................................................................168 Usar extensiones de Exchange para usuarios y equipos de Active Directory ......................................169 Administrar Active Directory..................................................................................................................170 Administrar otros dominios ....................................................................................................................170 Delegar la administración ......................................................................................................................171 Transferir funciones de servidor principal de operaciones ....................................................................173 Responder a errores en el servidor principal de operaciones ...............................................................173 Publicación de servicios ........................................................................................................................176 Administrar la seguridad ........................................................................................................................177 Publicar recursos ...................................................................................................................................177 Buscar información del directorio ..........................................................................................................178 Programar interfaces .............................................................................................................................178 Herramientas administrativas de Active Directory .................................................................................178 Herramientas de soporte de Active Directory ........................................................................................179 Recursos ..................................................................................................................................................181 Solución de problemas ...........................................................................................................................182 Error! Use the Home tab to apply Título to the text that you want to appear here. 3 ACTIVE DIRECTORY Active Directory es el servicio de directorio utilizado en Windows 2000 Server y constituye el fundamento de las redes distribuidas de Windows 2000. Listas de comprobación Formas nuevas de realizar tareas familiares Prácticas recomendadas Cómo Conceptos Solucionar problemas Error! Use the Home tab to apply Título to the text that you want to appear here. 4 Listas de comprobación Lista de comprobación: instalar un controlador de dominio Lista de comprobación: agregar un miembro a un grupo Lista de comprobación: crear un grupo Lista de comprobación: actualizar un grupo Lista de comprobación: configurar un sitio Lista de comprobación: optimizar la replicación entre sitios Lista de comprobación: antes de extender el esquema Lista de comprobación: instalar un controlador de dominio Paso Referencia Revisar los conceptos principales acerca de Active Directory. Introducción a Active Directory Revisar las funciones de un controlador de dominio. Controladores de dominio Revisar los conceptos acerca de la instalación de controladores de dominio cuando se requieren múltiples dominios. Descripción de los bosques y árboles de dominio Revisar el modo en que los datos del directorio se replican entre controladores de dominio. Funcionamiento de la replicación Revise la información acerca de cómo usar los Promover controladores de dominio niveles de seguridad compatibles con versiones anteriores a Windows 2000. Revisar los conceptos del Sistema de nombres ¿Qué es DNS? de dominio (DNS). Revisar los conceptos acerca del modo en que Active Directory se integra con DNS. Integración con DNS Identificar el espacio de nombres DNS. Si la red Diseño del espacio de nombres para DNS requiere estar presente en Internet, compruebe que tiene un nombre de dominio Internet registrado. Comprobar que el equipo tiene una partición Lista de comprobación: agregar un disco nuevo Error! Use the Home tab to apply Título to the text that you want to appear here. 5 NTFS en Windows 2000. Comprobar que el protocolo TCP/IP está instalado correctamente en el equipo. Lista de comprobación: instalar y configurar TCP/IP Comprobar que haya un servidor DNS en la red. Descripción de la integración con DNS; Lista de Si no es así, puede instalar el servicio DNS de comprobación: implementar DNS para Active Windows 2000 en un equipo independiente o Directory utilizar el Asistente para instalación de Active Directory que instalará y configurará el servicio DNS en el equipo controlador de dominio. Instalar el controlador de dominio Instalar un controlador de dominio Lista de comprobación: agregar un miembro a un grupo Paso Referencia Antes de agregar miembros a un grupo, revise los conceptos más importantes relativos a la pertenencia a grupos, cómo se ve afectado el proceso de inicio de sesión del usuario por la seguridad y los grupos de distribución, y cómo utilizar los grupos integrados. Grupos Tipos de grupos Grupos integrados y predefinido s Utilice la herramienta administrativa adecuada para agregar el miembro al grupo. Para agregar un miembro a un grupo de la estación de trabajo local o de un servidor miembro, utilice Usuarios y grupos locales en el complemento Administración de equipos. Para agregar un miembro a un grupo de dominio, global o universal en un dominio de Windows 2000, utilice Usuarios y equipos de Active Directory. Lista de comprobación: crear un grupo Paso Referencia Antes de crear un grupo, revise los conceptos más importantes relativos Grupos a los tipos de grupos y el trabajo con grupos. Tipos de grupos Descripción de los grupos Error! Use the Home tab to apply Título to the text that you want to appear here. 6 Identifique qué tipo de grupo (de seguridad o de distribución) desea crear. Descripción de los grupos Identifique qué ámbito (local de dominio, global o universal) desea crear Descripción de los grupos para el grupo. Utilice la herramienta administrativa adecuada para crear el grupo. Para crear un grupo en una estación de trabajo o en un servidor miembro, utilice Usuarios y grupos locales en el complemento Administración de equipos. Para crear un grupo en un dominio de Windows 2000, utilice Usuarios y equipos de Active Directory. Lista de comprobación: actualizar un grupo Paso Referencia Antes de actualizar un controlador de dominio de Windows NT Grupos 4.0, un servidor independiente o una estación de trabajo, revise los conceptos más importantes relativos a los grupos. Revise la información acerca de los ámbitos local de dominio, global y universal. Convertir grupos a Windows 2000 Ámbito de un grupo Revise la información acerca de los grupos en servidores independientes y estaciones de trabajo. Grupos y modos de dominio Grupos en servidores Windows 2000 Professional y servidores independientes Revise la información acerca de los grupos integrados y predefinidos. Grupos integrados y predefinidos Lista de comprobación: configurar un sitio Paso Referencia Crear un sitio nuevo. Para crear un sitio Asociar una subred a un sitio. Para asociar una subred a un sitio Conectar con el sitio. Para crear un vínculo a sitios; Error! Use the Home tab to apply Título to the text that you want to appear here. 7 Para agregar un sitio a un vínculo a sitios Seleccionar otro equipo de licencias. Para seleccionar otro equipo de licencias Personalizar la replicación. Lista de comprobación: optimizar la replicación entre sitios Lista de comprobación: optimizar la replicación entre sitios Paso Referencia Crear vínculos a sitios. Para crear un vínculo a sitios Configurar el costo de los vínculos a sitios. Para configurar el costo de los vínculos a sitios; Para configurar la disponibilidad de la replicación de vínculos a sitios Establecer un puente entre todos los vínculos a sitios o crear puentes de vínculos a sitios. Para enlazar todos los vínculos a sitios, Para crear un puente de vínculos a sitios Instalar SMTP en todos los controladores de dominio que se replicarán con SMTP. Introducción a Agregar o quitar programas Instalar una entidad emisora de certificados de empresa si alguno de los vínculos a sitios va a utilizar SMTP. Instalar y configurar una entidad emisora de certificados Lista de comprobación: antes de extender el esquema Paso Referencia Planee cuidadosamente los cambios que desea realizar. El Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/) Error! Use the Home tab to apply Título to the text that you want to appear here. 8 Compruebe que estos cambios son realmente necesarios. Cuándo se debe extender el esquema Comprenda totalmente las cuestiones que implica Cuestiones relativas a la extensión del esquema la extensión del esquema. Comprenda totalmente cómo se administrarán estos nuevos objetos y atributos. Cuestiones relativas a la extensión del esquema Determine los nombres adecuados para los nuevos objetos del esquema. Nombres de los objetos del esquema Obtenga un identificador de objeto válido para cada nuevo objeto del esquema. Obtener identificadores válidos de objeto Comprenda las operaciones de un solo servidor principal. Operaciones de un solo servidor principal Únase al grupo Administradores de esquema. Agregar un miembro al grupo Administradores de esquema Instale el complemento Esquema de Active Directory. Instalar el complemento Esquema de Active Directory Identifique el servidor principal de esquemas. Identificar el servidor principal de esquemas Permita realizar modificaciones del esquema en ese equipo. Habilitar este equipo para extender el esquema Compruebe que cualquier cambio anterior en el Herramientas de soporte de Active Directory esquema se ha replicado completamente en todos los controladores de dominio. Si es posible, al probar cambios del esquema que no se han comprobado, hágalo en un bosque de prueba aparte. Revise la información acerca de cómo extender el Extender el esquema; esquema. el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/) Error! Use the Home tab to apply Título to the text that you want to appear here. 9 Formas nuevas de realizar tareas familiares La siguiente tabla presenta tareas comunes realizadas con las herramientas administrativas de Active Directory y muestra cómo utilizarlas en Windows 2000. Para los usuarios de versiones anteriores de Windows NT Server, la tabla muestra también dónde se realizan estas tareas cuando se utilizan las herramientas de administración que se proporcionan con Windows NT Server 4.0. Si desea: En Windows NT 4.0 utilice En Windows 2000 utilice Instalar un controlador de dominio Instalación de Windows Asistente para instalación de Active Directory Para obtener más información, consulte Para instalar un controlador de dominio. Administrar cuentas de usuario Administrador de usuarios Usuarios y equipos de Active Directory Para obtener más información, consulte Administrar cuentas de usuario. Administrar grupos Administrador de usuarios Usuarios y equipos de Active Directory Para obtener más información, consulte Administrar grupos. Administrar cuentas de equipo Administrador de servidores Usuarios y equipos de Active Directory Para obtener más información, consulte Administrar cuentas de equipo. Agregar un equipo a un dominio Administrador de servidores Usuarios y equipos de Active Directory Para obtener más información, consulte Administrar cuentas de equipo. Crear o administrar relaciones de confianza Administrador de usuarios Dominios y confianzas de Active Directory Para obtener más información, consulte Dominios y confianzas de Active Directory. Administrar directivas de cuentas Administrador de usuarios Usuarios y equipos de Active Directory Para obtener más información, consulte Directivas de cuentas. Administrar derechos de usuario Administrador de usuarios Usuarios y equipos de Active Directory Modifique el objeto de Directiva de grupo del dominio o de la unidad organizativa que contiene los equipos a los que se aplican los derechos del usuario. Para obtener más información, consulte Trabajar con objetos de Directiva de grupo. Administrar directivas de auditoría Administrador de usuarios Usuarios y equipos de Active Directory Modifique el objeto de Directiva de grupo asignado a la unidad organizativa Controladores de dominio. Para obtener más información, consulte Trabajar con objetos de Directiva de grupo. Error! Use the Home tab to apply Título to the text that you want to appear here. 10 Prácticas recomendadas No inicie una sesión con derechos administrativos. Inicie la sesión como un usuario normal y utilice el comando Ejecutar como cuando tenga que llevar a cabo tareas administrativas. Mediante el comando Ejecutar como, puede ejecutar tareas administrativas con permisos y derechos de administración al iniciar una sesión como un usuario normal. También puede crear accesos directos para ejecutar herramientas con derechos administrativos. Para obtener más información, consulte: Por qué no debe trabajar en el equipo como administrador Usar Ejecutar como para iniciar un programa como administrador Crear un acceso directo mediante los parámetros de comandos de Ejecutar como Para obtener más información acerca del comando Ejecutar como, consulte Ejecutar como. Cada zona geográfica que requiera tener acceso rápido a la información de directorio más reciente debe establecerse como un sitio. Al establecer como sitios independientes las zonas que requieren tener acceso inmediato a información actualizada de Active Directory, les está dotando de los recursos necesarios. Para obtener más información, consulte Para crear un sitio. Coloque al menos un controlador de dominio en cada sitio y haga que uno de los controladores de dominio del sitio, como mínimo, sea un catálogo global. Los sitios que no disponen de sus propios controladores de dominio y de, al menos, un catálogo global dependen de otros sitios para obtener la información de directorio y son, por tanto, menos eficientes. Para obtener más información, consulte Para habilitar o deshabilitar un catálogo global. Haga que todos los vínculos a sitios sean transitivos y omita los programas de replicación. Los vínculos a sitios transitivos aprovechan al máximo las conexiones disponibles entre sitios y los períodos en que pueden usarse esas conexiones. Para obtener más información, consulte Para omitir los programas. Establezca un servidor cabeza de puente preferido si usa un servidor de seguridad o si desea dedicar un equipo a la replicación entre sitios. Un servidor cabeza de puente sirve como proxy en las comunicaciones con otros sitios situados fuera del servidor de seguridad. Todos los sitios deben estar asociados, al menos, con una subred y formar parte, como mínimo, de un vínculo a sitios; de no ser así no podrán utilizarse. Para obtener más información, consulte: Para asociar una subred a un sitio Para agregar un sitio a un vínculo a sitios Error! Use the Home tab to apply Título to the text that you want to appear here. 11 Cómo... Administrar controladores de dominio Administrar cuentas de usuarios Administrar cuentas de equipos Administrar grupos Administrar unidades organizativas Administrar recursos publicados Administrar dominios y confianzas Establecer la configuración del servidor Establecer la configuración del sitio Configurar la duplicación Administrar el esquema Administrar controladores de dominio Instalar un controlador de dominio Degradar un controlador de dominio Buscar un controlador de dominio Administrar un dominio distinto Administrar el dominio con un controlador de dominio distinto Delegar el control Modificar las propiedades del controlador de dominio Administrar operaciones de un solo servidor principal Para instalar un controlador de dominio 1. Haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Configurar el servidor. 2. Haga clic en Active Directory y en Inicio para iniciar el Asistente para instalación de Active Directory. 3. Siga las instrucciones del Asistente para instalación de Active Directory. Notas Para abrir el Asistente para instalación de Active Directory, haga clic en Inicio, haga clic en Ejecutar y, después, escriba dcpromo. Error! Use the Home tab to apply Título to the text that you want to appear here. 12 Este procedimiento no se puede realizar en Windows Professional, ya que un equipo con esta versión no puede ser un controlador de dominio. La opción de menú Configurar el servidor y el comando dcpromo no están disponibles en un equipo con Windows Professional. Cuando instale un controlador de dominio, debe decidir si va a implementar o no la seguridad compatible anterior a Windows 2000. Para obtener más información, consulte Promover controladores de dominio. Antes de utilizar el Asistente para instalación de Active Directory: Revise Lista de comprobación: instalar un controlador de dominio. Obtenga las credenciales de red necesarias para crear un dominio. Estas credenciales son el nombre de inicio de sesión de una cuenta de usuario, la contraseña de la cuenta y el nombre del dominio. La cuenta de usuario debe tener suficientes privilegios administrativos para crear un controlador de dominio. Decida qué tipo de controlador de dominio desea crear: un Controlador de dominio adicional para un dominio existente o un Controlador de dominio para un nuevo dominio. Si está creando un controlador de dominio para un dominio nuevo, decida si el dominio será el primero de un bosque nuevo, el primero de un árbol de dominios nuevo de un bosque existente o un dominio secundario de un árbol de dominios existente. Identifique el nombre DNS del dominio Para degradar un controlador de dominio 1. En un controlador de dominio, haga clic en Inicio y, a continuación, haga clic en Ejecutar. 2. En Abrir, escriba dcpromo. Siga las instrucciones del Asistente Para instalación de Active Directory. Notas Si este controlador de domino es un catálogo global, antes de degradarlo debe comprobar que existe otro catálogo global disponible para los usuarios. Si este controlador de dominio realiza una o varias funciones de servidor principal de operaciones, debe transferir esas funciones a otro controlador de dominio antes de degradarlo. Este dominio no puede eliminarse si tiene dominios secundarios. Si este controlador de dominio es el último existente en el dominio, al degradarlo se quita el dominio del bosque. Si se trata del último dominio del bosque, al degradar el controlador de dominio también se elimina el bosque. Para buscar un controlador de dominio 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en cualquier nodo o carpeta, y después, haga clic en Buscar. 3. En Buscar, haga clic en Equipos y en Función, haga clic en Controlador de dominio. 4. Si sabe qué carpeta contiene el controlador de dominio, haga clic en ella en En. 1. bien, para buscar en todo el directorio, haga clic en Todo el directorio en En. 5. Haga clic en Buscar ahora. Notas Error! Use the Home tab to apply Título to the text that you want to appear here. 13 Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Utilice la ficha Avanzadas para tener acceso a opciones de búsqueda más eficaces. Para buscar un equipo, también puede hacer clic en de la barra de herramientas. Para administrar un dominio distinto 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de Usuarios y equipos de Active Directory y, a continuación, haga clic en Conectar con el dominio. 3. Escriba el nombre del dominio. O bien, haga clic en Examinar y, a continuación, seleccione el dominio en la lista. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para administrar el dominio que seleccione debe disponer de los permisos necesarios. Use Ejecutar como para utilizar las herramientas administrativas de Active Directory con los permisos adecuados. Para administrar el dominio con un controlador de dominio distinto 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de Usuarios y equipos de Active Directory y, a continuación, haga clic en Conectar con el controlador de dominio. 3. Haga clic en uno de los controladores de dominio de la lista. O bien, en Cambiar a escriba el nombre del controlador de dominio. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. De forma predeterminada, los controladores de dominio se instalan en la carpeta Controladores de dominio cuando se configuran por primera vez. Para delegar el control 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la carpeta que desee que controle otro usuario o grupo. 4. Haga clic en Delegar el control para iniciar el Asistente para delegación de control. Error! Use the Home tab to apply Título to the text that you want to appear here. 14 5. Siga las instrucciones del Asistente para delegación de control. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Puede delegar el control administrativo de un dominio o unidad organizativa determinados a administradores individuales que sólo serán responsables de ese dominio o unidad organizativa. Para modificar las propiedades del controlador de dominio 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el árbol de la consola, haga clic en la carpeta que contiene el controlador de dominio. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el controlador de dominio que desee modificar y, a continuación, haga clic en Propiedades. Aparecen las siguientes fichas de propiedades: General Sistema operativo Miembro de Ubicación Administrado por 5. Haga clic en la ficha de propiedades que contenga la que desee modificar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. De forma predeterminada, los controladores de dominio se instalan en la carpeta Controladores de dominio. Algunas propiedades se asignan automáticamente cuando el equipo se une al dominio o cuando se inicia. El administrador no puede modificar esas propiedades (por ejemplo, Nombre, Función y Sistema operativo). Si ve las características avanzadas, aparecerán otras fichas adicionales de propiedades. Administrar operaciones de un solo servidor principal Determinar cuál es el servidor principal de identificadores relativos Determinar cuál es el emulador PDC Determinar cuál es el servidor principal de infraestructuras Identificar el maestro de nombres de dominio Identificar el servidor principal de esquemas Transferir la función de servidor principal de identificadores relativos Error! Use the Home tab to apply Título to the text that you want to appear here. 15 Transferir la función de emulador PDC Transferir la función de servidor principal de infraestructuras Transferir la función de servidor principal de nombres de dominio Transferir la función de servidor principal de esquemas Asumir la función de servidor principal de identificadores relativos Asumir la función de emulador PDC Asumir la función de servidor principal de infraestructuras Asumir la función de maestro de nombres de dominio Asumir la función de servidor principal de esquemas Para identificar el maestro de Id. relativos 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en el nodo Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones. 3. En en el cuadro Maestro de operaciones de la ficha RID, aparecerá el nombre del maestro de Id. relativos. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Cada dominio tiene un maestro de Id. relativos. Para identificar el maestro de Id. relativos de otro dominio, seleccione ese dominio antes de hacer clic en Maestros de operaciones. Para identificar el emulador PDC 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones. 3. En el cuadro Maestro de operaciones de la ficha PDC, aparecerá el nombre del emulador PDC actual. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Cada dominio tiene un emulador PDC. Para identificar el emulador PDC de otro dominio, seleccione ese dominio antes de hacer clic en Maestros de operaciones. Para identificar el maestro de infraestructuras 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones. Error! Use the Home tab to apply Título to the text that you want to appear here. 16 3. En el cuadro Maestro de operaciones de la ficha Infraestructura, aparecerá el nombre del maestro de infraestructuras actual. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Cada dominio tiene un maestro de infraestructuras. Para identificar el maestro de infraestructuras de otro dominio, seleccione ese dominio antes de hacer clic en Maestros de operaciones. Para identificar el maestro de nombres de dominio 1. Abra Dominios y confianzas de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en Dominios y confianzas de Active Directory y, a continuación, haga clic en Maestros de operaciones. 3. El nombre del maestro de nombres de dominio actual aparecerá en Maestro de operaciones de nombres de dominio. Notas Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. Cada bosque sólo puede tener un maestro de nombres de dominio. Para identificar el maestro de nombres de dominio en otro bosque, seleccione el bosque correspondiente antes de hacer clic en Maestros de operaciones. Para identificar el maestro de esquema 1. Abra Esquema de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Maestro de operaciones. 3. El nombre del maestro de esquema actual aparecerá en Maestro de operaciones actual. Notas Si el Esquema de Active Directory no está disponible, deberá instalar las Herramientas administrativas de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlas a una consola MMC. Cada bosque sólo puede tener un maestro de esquema. Para identificar el maestro de esquema de otro bosque, seleccione el bosque correspondiente antes de hacer clic en Maestros de operaciones. Para transferir la función de servidor principal de identificadores relativos 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de identificadores relativos y, a continuación, haga clic en Conectar con el dominio. 3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista. Error! Use the Home tab to apply Título to the text that you want to appear here. 17 4. En el árbol de la consola, haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones. 5. Haga clic en la ficha RID y, a continuación, en Cambiar. Nota Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para transferir la función de emulador PDC 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal emulador PDC y, a continuación, haga clic en Conectar con el dominio. 3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista. 4. En el árbol de la consola, haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones. 5. En la ficha PDC haga clic en Cambiar. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para transferir la función de servidor principal de infraestructuras 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de infraestructuras y, a continuación, haga clic en Conectar con el dominio. 3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista. 4. En el árbol de la consola, haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory y, a continuación, haga clic en Maestros de operaciones. 5. En la ficha Infraestructura haga clic en Cambiar. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para transferir la función de servidor principal de nombres de dominio 1. Abra Dominios y confianzas de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del controlador de dominio que se convertirá en el nuevo servidor principal de nombres de dominio y, a continuación, haga clic en Conectar con el dominio. 3. Escriba el nombre del dominio o haga clic en Examinar y seleccione el dominio de la lista. 4. En el árbol de la consola, haga clic con el botón secundario del mouse en Dominios y confianzas de Active Directory y, a continuación, haga clic en Maestro de operaciones. 5. Haga clic en Cambiar. Error! Use the Home tab to apply Título to the text that you want to appear here. 18 Nota: Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. Para transferir la función de servidor principal de esquemas 1. Abra Esquema de Active Directory. 2. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Cambiar el controlador de dominio. 3. Haga clic en Cualquier controlador de dominio para permitir que Active Directory seleccione el nuevo servidor principal de operaciones de esquemas. O bien, haga clic en Especificar nombre y escriba el nombre del nuevo equipo servidor principal de esquemas. 4. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Maestro de operaciones. 5. Haga clic en Cambiar. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para asumir la función de servidor principal de identificadores relativos 1. Haga clic en Inicio y Ejecutar, y después escriba cmd. 2. En el símbolo del sistema, escriba ntdsutil. 3. En el símbolo del sistema de ntdsutil, escriba roles. 4. En el símbolo del sistema fsmo maintenance, escriba connections. 5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo. 6. En el símbolo del sistema server connections, escriba quit. 7. En el símbolo del sistema fsmo maintenance, escriba seize RID master. 8. En el símbolo del sistema de fsmo maintenance, escriba quit. 9. En el símbolo del sistema de ntdsutil, escriba quit. Precaución: Asumir la función de servidor principal de identificadores relativos es un paso drástico que únicamente se debe considerar si el servidor de operaciones actual no va a volver a estar disponible. Nota: Antes de asumir esta función, utilice Repadmin, en las herramientas de soporte de Active Directory, para comprobar si el nuevo servidor principal de operaciones ha recibido alguna de las actualizaciones que ha realizado el tenedor anterior de la función y, seguidamente, quite de la red el servidor principal de operaciones actual. Para asumir la función de emulador PDC 1. Haga clic en Inicio y Ejecutar, y después escriba cmd. 2. En el símbolo del sistema, escriba ntdsutil. 3. En el símbolo del sistema de ntdsutil, escriba roles. 4. En el símbolo del sistema fsmo maintenance, escriba connections. Error! Use the Home tab to apply Título to the text that you want to appear here. 19 5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo. 6. En el símbolo del sistema server connections, escriba quit. 7. En el símbolo del sistema fsmo maintenance, escriba seize PDC. 8. En el símbolo del sistema de fsmo maintenance, escriba quit. 9. En el símbolo del sistema de ntdsutil, escriba quit. Notas Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y compruebe que el nuevo servidor principal de operaciones esté actualizado. Cuando el emulador PDC original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original. Para asumir la función de servidor principal de infraestructuras 1. Haga clic en Inicio y Ejecutar, y después escriba cmd. 2. En el símbolo del sistema, escriba ntdsutil. 3. En el símbolo del sistema de ntdsutil, escriba roles. 4. En el símbolo del sistema fsmo maintenance, escriba connections. 5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo. 6. En el símbolo del sistema server connections , escriba quit. 7. En el símbolo del sistema fsmo maintenance, escriba seize infraestructure master. 8. En el símbolo del sistema fsmo maintenance , escriba quit. 9. En el símbolo del sistema de ntdsutil, escriba quit. Notas Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y compruebe que el nuevo servidor principal de operaciones esté actualizado. Cuando el servidor principal de infraestructuras original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original. Para asumir la función de maestro de nombres de dominio 1. Haga clic en Inicio y Ejecutar, y después escriba cmd. 2. En el símbolo del sistema, escriba ntdsutil. 3. En el símbolo del sistema de ntdsutil, escriba roles. 4. En el símbolo del sistema fsmo maintenance, escriba connections. 5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo. 6. En el símbolo del sistema server connections , escriba quit. 7. En el símbolo del sistema fsmo maintenance, escriba seize domain naming master. 8. En el símbolo del sistema fsmo maintenance , escriba quit. Error! Use the Home tab to apply Título to the text that you want to appear here. 20 9. En el símbolo del sistema de ntdsutil, escriba quit. Precaución: Asumir la función de maestro de nombres de dominio es un paso drástico que únicamente se debe considerar si el servidor de operaciones actual nunca va a volver a estar disponible. Nota: Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y compruebe que el nuevo servidor principal de operaciones esté actualizado. Para asumir la función de servidor principal de esquemas 1. Haga clic en Inicio y Ejecutar, y después escriba cmd. 2. En el símbolo del sistema, escriba ntdsutil. 3. En el símbolo del sistema de ntdsutil, escriba roles. 4. En el símbolo del sistema fsmo maintenance, escriba connections. 5. En el símbolo del sistema server connections, escriba connect to server, seguido del nombre de dominio completo. 6. En el símbolo del sistema server connections, escriba quit. 7. En el símbolo del sistema fsmo maintenance, escriba seize schema master. 8. En el símbolo del sistema fsmo maintenance, escriba quit. 9. En el símbolo del sistema de ntdsutil, escriba quit. Precaución: Asumir la función de servidor principal de esquemas es un paso drástico que únicamente se debe considerar si el servidor de operaciones actual no va a volver a estar disponible. Nota: Antes de asumir esta función, quite el servidor principal de operaciones actual de la red y compruebe que la copia del esquema del nuevo servidor principal de operaciones está actualizada con el resto de los controladores de dominio del bosque. Administrar cuentas de usuario Agregar una cuenta de usuario Copiar una cuenta de usuario Deshabilitar una cuenta de usuario Habilitar una cuenta de usuario deshabilitada Eliminar una cuenta de usuario Buscar una cuenta de usuario Buscar un contacto Modificar las propiedades de una cuenta de usuario Mover una cuenta de usuario Cambiar el nombre de una cuenta de usuario Restablecer una contraseña de usuario Cambiar el grupo principal de un usuario Para agregar una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 21 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa a la que desee agregar el usuario, seleccione Nuevo y, a continuación, haga clic en Usuario. 4. Escriba el nombre del usuario en Nombre. 5. En Iniciales, escriba las iniciales del usuario. 6. En Apellidos, escriba los apellidos. 7. Modifique el Nombre completo si lo desea. 8. En Nombre de inicio de sesión de usuario, escriba el nombre con que el usuario inicia las sesiones y seleccione, en la lista desplegable, el sufijo UPN que debe agregarse al nombre (a continuación del símbolo @). Si el usuario va a utilizar un nombre diferente para iniciar una sesión en equipos donde se ejecuta Windows NT, Windows 98 o Windows 95, cambie el nombre de inicio de sesión de usuario que aparece en Nombre de inicio de sesión de usuario (anterior a Windows 2000) por el otro nombre. 9. En Contraseña y Confirmar contraseña, escriba la contraseña del usuario. 10. Seleccione las opciones de contraseña que desee. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para agregar un usuario, también puede hacer clic en , en la barra de herramientas. Tras crear la cuenta de usuario, modifique las propiedades de la cuenta de usuario para introducir información adicional. También puede agregar un usuario si copia una cuenta de usuario creada anteriormente. Una nueva cuenta de usuario que tenga el mismo nombre que otra eliminada anteriormente no adquiere automáticamente los permisos y miembros que tenía la cuenta eliminada, ya que el descriptor de seguridad de cada cuenta es único. Para duplicar una cuenta de usuario eliminada, deben volverse a crear manualmente todos los permisos y miembros. Para copiar una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario deseada. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la cuenta que desea copiar y, a continuación, haga clic en Copiar. 4. Escriba el nombre del usuario en Nombre. 5. En Apellidos, escriba los apellidos. Error! Use the Home tab to apply Título to the text that you want to appear here. 22 6. Modifique Nombre para agregar iniciales o invertir el orden del nombre y los apellidos. 7. En Nombre de inicio de sesión de usuario, escriba el nombre con el que el usuario iniciará una sesión y, en la lista, haga clic en el sufijo UPN que se debe anexar al nombre de inicio de sesión de usuario, seguido del símbolo arroba (@). Si el usuario va a utilizar un nombre diferente para iniciar una sesión en equipos donde se ejecuta Windows NT, Windows 98 o Windows 95, cambie el nombre de inicio de sesión de usuario que aparece en Nombre de inicio de sesión de usuario (anterior a Windows 2000) por el otro nombre. 8. En Contraseña y Confirmar contraseña, escriba la contraseña del usuario. 9. Selecciones las opciones de contraseña que desee. 10. Si se ha deshabilitado la cuenta de usuario desde la que se copió la nueva cuenta de usuario, haga clic en Cuenta deshabilitada para habilitar la cuenta nueva. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Tras crear la cuenta de usuario, modifique las propiedades de la cuenta de usuario para introducir información adicional. Para deshabilitar una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario deseada. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el usuario. 4. Haga clic en Deshabilitar cuenta. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Las cuentas de usuario se pueden deshabilitar como medida de seguridad para impedir que un usuario determinado inicie una sesión, en lugar de eliminar la cuenta de usuario correspondiente. Si crea cuentas deshabilitadas de usuario que pertenezcan a grupos comunes, puede utilizarlas como plantillas para simplificar la creación de cuentas de usuario. Para habilitar una cuenta de usuario deshabilitada 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Error! Use the Home tab to apply Título to the text that you want to appear here. 23 Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario deseada. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el usuario y, a continuación, haga clic en Habilitar cuenta. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para eliminar una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario. 3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario y, a continuación, haga clic en Eliminar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Al eliminar una cuenta de usuario se eliminan todos los permisos y miembros asociados a esa cuenta de usuario. Como el descriptor de seguridad de cada cuenta es único, una nueva cuenta de usuario que tenga el mismo nombre que la eliminada no adquiere automáticamente los permisos y pertenencias que tenía anteriormente la cuenta eliminada. Para duplicar una cuenta de usuario eliminada, deben volverse a crear manualmente todos los permisos y miembros. Para buscar una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. Si desea buscar en todo el dominio, en el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del dominio y, después, haga clic en Buscar. O bien, si sabe en qué unidad organizativa se encuentra el usuario, en el árbol de la consola, haga clic con el botón secundario del mouse en la unidad organizativa y, después, haga clic en Buscar. 3. En Nombre, escriba el nombre del usuario que desee buscar. 4. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Use la ficha Avanzadas para utilizar opciones de búsqueda más eficaces. Error! Use the Home tab to apply Título to the text that you want to appear here. 24 Para buscar un usuario, también puede hacer clic en , en la barra de herramientas. Para buscar un contacto 5. Abra Usuarios y equipos de Active Directory. 6. Si desea buscar en todo el dominio, en el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del dominio y, después, haga clic en Buscar. O bien, si sabe en qué unidad organizativa se encuentra el contacto, en el árbol de la consola, haga clic con el botón secundario del mouse en la unidad organizativa y, después, haga clic en Buscar. 7. En la ficha Usuarios, contactos y grupos, escriba en Nombre el correspondiente al contacto que desee buscar. 8. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Use la ficha Avanzadas para utilizar opciones de búsqueda más eficaces. Para buscar un contacto, también puede hacer clic en , en la barra de herramientas. Para modificar las propiedades de una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario deseada. 3. Haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario y, a continuación, haga clic en Propiedades. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para mover una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario deseada. Error! Use the Home tab to apply Título to the text that you want to appear here. 25 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el usuario que desea mover y, a continuación, haga clic en Mover. 4. En el cuadro de diálogo Mover, haga clic en la carpeta a la que desea mover la cuenta de usuario. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Usuarios y equipos de Active Directory no puede mover cuentas de usuario de un dominio a otro. Para mover cuentas de usuario entre dominios se usa Movetree, una de las herramientas de soporte de Active Directory. Para cambiar el nombre de una cuenta de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en el contenedor que contiene la cuenta de usuario deseada. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario y, a continuación, haga clic en Cambiar nombre. 4. Escriba el nombre nuevo. O bien, presione SUPR y, a continuación, ENTRAR para mostrar el cuadro de diálogo Cambiar el nombre a un usuario. 5. En Cambiar el nombre a un usuario, escriba el nombre del usuario en Nombre. 6. Escriba el nombre de pila en Nombre. 7. En Apellidos, escriba los apellidos. 8. En Nombre Para mostrar, escriba el nombre usado para identificar al usuario. 9. En Nombre de inicio de sesión de usuario, escriba el nombre con que el usuario inicia las sesiones y seleccione, en la lista desplegable, el sufijo UPN que debe agregarse al nombre (a continuación del símbolo @). Si el usuario usa un nombre distinto para iniciar sesiones desde equipos con Windows NT, Windows 98 o Windows 95, escriba ese otro nombre en Nombre de inicio de sesión anterior a Windows 2000. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para restablecer una contraseña de usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Error! Use the Home tab to apply Título to the text that you want to appear here. 26 Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario deseada. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el usuario cuya contraseña desee restablecer y, a continuación, haga clic en Restablecer contraseña. 4. Escriba y confirme la contraseña. 5. Si desea que el usuario cambie esta contraseña en el siguiente proceso de inicio de sesión, active la casilla de verificación El usuario debe cambiar la contraseña en el siguiente inicio de sesión. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Si se cambia la contraseña de la cuenta de usuario de un servicio, deben restablecerse todos los servicios cuya autenticación se realice con esa cuenta de usuario. Para cambiar el grupo principal de un usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio y, a continuación, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el usuario que desea cambiar y, a continuación, haga clic en Propiedades. 4. En la ficha Miembro de, haga clic en el grupo que desee establecer como principal del usuario y, a continuación, haga clic en Establecer grupo principal. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. El grupo principal de usuario sólo tiene efecto en usuarios que inician una sesión en la red a través de Servicios para Macintosh o en usuarios que ejecutan aplicaciones compatibles con POSIX. A menos que utilice estos servicios, no es necesario cambiar el grupo principal de Usuarios de dominio, que es el valor predeterminado. Si se establece la pertenencia al grupo principal de usuario en un valor distinto de Usuarios de dominio, el rendimiento se puede ver perjudicado ya que todos los usuarios del dominio son miembros de Usuarios de dominio. Si el grupo principal de usuario se establece en otro grupo, puede causar que la pertenencia al grupo supere el número máximo de miembros permitido. Error! Use the Home tab to apply Título to the text that you want to appear here. 27 Administrar cuentas de equipos Agregar una cuenta de equipo Agregar una cuenta de equipo a un grupo Eliminar una cuenta de equipo Buscar una cuenta de equipo Administrar un equipo Modificar propiedades de una cuenta de equipo Mover una cuenta de equipo Restablecer una cuenta de equipo Deshabilitar una cuenta de equipo Habilitar una cuenta de equipo Permitir que un equipo utilice un nombre DNS distinto Para agregar una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipos. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en el contenedor al que desea agregar el equipo. 3. Haga clic con el botón secundario del mouse (ratón) en Equipos o, en el contenedor al que desea agregar el equipo, seleccione Nuevo y, después, haga clic en Equipo. 4. Escriba el nombre del equipo. Importante: La configuración de Directiva de dominio predeterminada sólo permite agregar una cuenta de equipo a un dominio a los miembros del grupo Administradores de dominio. Haga clic en Cambiar para especificar un usuario o grupo diferente que pueda agregar este equipo al dominio. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para ver o cambiar el nombre completo de un equipo y el dominio al que un equipo pertenece, en el escritorio, haga clic con el botón secundario del mouse en Mi PC, haga clic en Propiedades y, después, en la ficha Identificación de red. Hay dos formas más de conceder permiso a un usuario o un grupo para agregar un equipo al dominio: usar un objeto de Directiva de grupo para asignar el derecho Agregar usuario de equipo, o bien, para la unidad organizativa en la que desea permitirles crear objetos de equipo, asignar al usuario o grupo el permiso Crear objetos de equipo. Error! Use the Home tab to apply Título to the text that you want to appear here. 28 Para agregar una cuenta de equipo a un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipos. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en la carpeta donde se encuentra el equipo. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo y, a continuación, haga clic en Propiedades. 4. En la ficha Miembro de, haga clic en Agregar. 5. Haga clic en el grupo al que desea agregar el equipo y, después, haga clic en Agregar. O bien, para agregar el equipo a varios grupos, presione CTRL y haga clic en los grupos a los que desea agregar el equipo y, después, haga clic en Agregar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para agregar un equipo a un grupo, también puede hacer clic en el equipo que desea agregar, hacer clic en en la barra de tareas y, a continuación, hacer clic en el grupo al que desea agregar el equipo. Agregar un equipo a un grupo permite asignar permisos a todas las cuentas del equipo de ese grupo y filtrar la configuración de Directiva de grupo en todas las cuentas del grupo. Para eliminar una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipos. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en la carpeta donde se encuentra el equipo. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo y, a continuación, haga clic en Eliminar. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para buscar una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 29 2. Si desea buscar en todo el dominio, en el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del dominio y, a continuación, haga clic en Buscar. O bien, si sabe en qué unidad organizativa se encuentra el equipo, en el árbol de la consola, haga clic con el botón secundario del mouse en la unidad organizativa y, a continuación, haga clic en Buscar. 3. En Buscar, haga clic en Equipos. 4. En Nombre, escriba el nombre del equipo que desea buscar. 5. Para buscar sólo controladores de dominio, en Función, haga clic en Controlador de dominio. O bien, para buscar sólo estaciones de trabajo y servidores, y no controladores de dominio, en Función, haga clic en Estaciones de trabajo y servidores. 6. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Use la ficha Avanzadas para tener acceso a opciones de búsqueda más eficaces. Para buscar un equipo, también puede hacer clic en en la barra de herramientas. Para administrar un equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipo. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en el contenedor del equipo que desea administrar. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo y, a continuación, haga clic en Administrar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. De esta forma se iniciará el complemento Administración de equipos, desde donde podrá administrar equipos locales y remotos. Para ver o modificar propiedades de equipo mediante esta consola debe disponer de derechos y permisos administrativos. Para modificar propiedades de una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipos. ¿Dónde? Error! Use the Home tab to apply Título to the text that you want to appear here. 30 Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en el contenedor del equipo cuyas propiedades desea modificar. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo y, a continuación, haga clic en Propiedades. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para mover una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipo. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en la carpeta que contiene el equipo que desea mover. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo y, a continuación, haga clic en Mover. 4. En el cuadro de diálogo Mover, haga clic en el nodo del dominio. 5. Haga clic en la carpeta a la que desea mover el equipo y, después, haga clic en Aceptar. Nota Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Usuarios y equipos de Active Directory no puede mover cuentas de equipo entre dominios. Para ello, utilice Movetree, una de las herramientas de Active Directory. Para restablecer una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipo. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en el contenedor del equipo que desea restablecer. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo y, a continuación, haga clic en Restablecer la cuenta. Notas Error! Use the Home tab to apply Título to the text that you want to appear here. 31 Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Al restablecer una cuenta de equipo se rompe la conexión del equipo con el dominio y se requiere volver a unirlo al dominio. Para deshabilitar una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipo. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en la carpeta que contiene el equipo que desea deshabilitar. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo deseado y, a continuación, haga clic en Deshabilitar cuenta. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Al deshabilitar una cuenta de equipo se interrumpirá la conexión de ese equipo con el dominio y no podrá autenticarlo. Para habilitar una cuenta de equipo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Equipo. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Equipos O bien, haga clic en la carpeta que contiene el equipo que desea habilitar. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el equipo deseado y, a continuación, haga clic en Habilitar cuenta. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para permitir que un equipo utilice un nombre DNS diferente 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en Usuarios y equipos de Active Directory y, a continuación, haga clic en Conectar con el dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 32 3. En Dominio, escriba el nombre del dominio o haga clic en Examinar para buscar el dominio en el que desea permitir que los equipos utilicen nombres DNS diferentes y, después, haga clic en Aceptar. 4. Haga clic con el botón secundario del mouse en Usuarios y equipos de Active Directory, elija Ver y haga clic en Características avanzadas. 5. Haga clic con el botón secundario del mouse en el nombre del dominio y, a continuación, haga clic en Propiedades. 6. En la ficha Seguridad, haga clic en Agregar, haga clic en el grupo Mismo, de nuevo, en Agregar y, finalmente, haga clic en Aceptar. 7. Haga clic en Avanzada, haga clic en Mismo y, a continuación, en Ver o modificar. 8. En la ficha Propiedades, en Aplicar en, haga clic en Equipo Objectos. 9. En Permisos, haga clic en escribir dNSHostName y, a continuación, active la casilla de verificación Permitir. Precaución Al modificar la seguridad predeterminada de esta manera, existe la posibilidad de que usuarios con malas intenciones puedan utilizar equipos unidos al dominio seleccionado y que se anuncien con un nombre diferente mediante el atributo de nombre de principal de servicio. Nota: Este procedimiento también permite que los equipos tengan nombres de host DNS con más de 15 bytes de longitud. Administrar grupos Agregar un grupo Agregar un miembro a un grupo Convertir un grupo de un tipo a otro Cambiar el ámbito de un grupo Eliminar un grupo Buscar un grupo Buscar grupos de los que sea miembro un usuario Modificar las propiedades del grupo Quitar un miembro de un grupo Cambiar el nombre de un grupo Para agregar un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic con el botón secundario del mouse (ratón) en la carpeta a la que desee agregar el grupo, seleccione Nuevo y, a continuación, haga clic en Grupo. 4. Escriba el nombre del grupo nuevo. Error! Use the Home tab to apply Título to the text that you want to appear here. 33 De forma predeterminada, el nombre que escriba se usará también para el grupo nuevo en versiones anteriores a Windows 2000. 5. Haga clic en el Ámbito de grupo que desee. 6. Haga clic en el Tipo de grupo que desee. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para agregar un grupo, también puede hacer clic en la carpeta a la que desee agregar el grupo y, a continuación, hacer clic en el en la barra de herramientas. Si el dominio donde desea crear el grupo está en modo mixto, sólo se pueden seleccionar grupos de seguridad del ámbito de Dominio local o Global. Para agregar un miembro a un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic en la carpeta que contenga el grupo al que desea agregar un miembro. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Propiedades. 5. Haga clic en la ficha Miembros y, a continuación, haga clic en Agregar. 6. Haga clic en Buscar en para mostrar una lista de los dominios desde donde pueden agregarse usuarios y equipos al grupo y, a continuación, haga clic en el dominio que contenga los usuarios y equipos que desea agregar. 7. Haga clic en los usuarios y equipos que desea agregar y, a continuación, haga clic en Agregar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Además de usuarios y equipos, los miembros de un grupo determinado pueden incluir contactos y otros grupos. Para agregar miembros a un grupo, también puede seleccionar los miembros que desea agregar, hacer clic en el de la barra de herramientas y, a continuación, hacer clic en el grupo al que desea agregarlos. Para convertir un grupo de un tipo a otro 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic en la carpeta que contenga el grupo. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Propiedades. 5. En la ficha General, en Tipo de grupo, haga clic en el que corresponda. Error! Use the Home tab to apply Título to the text that you want to appear here. 34 Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para cambiar el ámbito de un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic en la carpeta que contenga el grupo. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Propiedades. 5. En la ficha General, en Ámbito de grupo, haga clic en el ámbito que corresponda. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para eliminar un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic en la carpeta que contenga el grupo. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Eliminar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Los grupos locales que incluye automáticamente Windows 2000, por ejemplo, Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin de forma predeterminada. Los grupos globales comunes, como Administradores de dominio y Usuarios de dominio, se encuentran en la carpeta Usuarios de forma predeterminada. Se pueden agregar o mover grupos nuevos a cualquier carpeta. Es aconsejable que se coloquen en una carpeta de unidad organizativa. Para buscar un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio y, a continuación, haga clic en Buscar. 3. En la ficha Usuarios, contactos y grupos, en Nombre, escriba el correspondiente al grupo que desee buscar. 4. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 35 Los grupos locales que incluye automáticamente Windows 2000, por ejemplo, Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin de forma predeterminada. Los grupos globales comunes, como Administradores de dominio y Usuarios de dominio, se encuentran en la carpeta Usuarios de forma predeterminada. Se pueden agregar o mover grupos nuevos a cualquier carpeta, aunque es aconsejable que se coloquen en una carpeta de unidad organizativa. Use la ficha Avanzadas para utilizar opciones de búsqueda más eficaces. Para buscar grupos, también puede hacer clic en , en la barra de herramientas. Para buscar grupos de los que sea miembro un usuario 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios. ¿Dónde? Usuarios y equipos de Active Directory nodo del dominio Usuarios O bien, haga clic en la carpeta que contenga la cuenta de usuario. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en una cuenta de usuario y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Miembro de. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Los grupos locales que incluye automáticamente Windows 2000, por ejemplo, Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin de forma predeterminada. Los grupos globales comunes, como Administradores de dominio y Usuarios de dominio, se encuentran en la carpeta Usuarios de forma predeterminada. Se pueden agregar o mover grupos nuevos a cualquier carpeta. Es aconsejable que se coloquen en una carpeta de unidad organizativa. Para modificar las propiedades del grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic en la carpeta que contenga el grupo. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Propiedades. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para quitar un miembro de un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 36 3. Haga clic en la carpeta que contenga el grupo. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Propiedades. 5. Haga clic en la ficha Miembros. 6. Haga clic en los miembros que desee eliminar y, a continuación, haga clic en Quitar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Los grupos locales que incluye automáticamente Windows 2000, por ejemplo, Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin de forma predeterminada. Los grupos globales comunes, como Administradores de dominio y Usuarios de dominio, se encuentran en la carpeta Usuarios de forma predeterminada. Se pueden agregar o mover grupos nuevos a cualquier carpeta, aunque es aconsejable que se coloquen en una carpeta de unidad organizativa. Para cambiar el nombre de un grupo 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic en la carpeta donde se encuentra el grupo. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo y, a continuación, haga clic en Cambiar nombre. 5. Escriba el nombre nuevo del grupo. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Los grupos locales que incluye automáticamente Windows 2000, por ejemplo, Administradores y Operadores de cuentas, se encuentran en la carpeta Builtin de forma predeterminada. Los grupos globales comunes, como Administradores de dominio y Usuarios de dominio, se encuentran en la carpeta Usuarios de forma predeterminada. Se pueden agregar o mover grupos nuevos a cualquier carpeta. Es aconsejable que se coloquen en una carpeta de unidad organizativa. Administrar unidades organizativas Agregar una unidad organizativa Delegar el control de una unidad organizativa Eliminar una unidad organizativa Buscar una unidad organizativa Modificar las propiedades de una unidad organizativa Error! Use the Home tab to apply Título to the text that you want to appear here. 37 Mover una unidad organizativa Cambiar el nombre de una unidad organizativa Para agregar una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic con el botón secundario del mouse (ratón) en el nodo del dominio o la carpeta a la que desea agregar la unidad organizativa. 4. Seleccione Nuevo y, a continuación, haga clic en Unidad organizativa. 5. Escriba el nombre de la unidad organizativa. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para agregar una unidad organizativa, también puede hacer clic en el nodo del dominio o la carpeta a la que desee agregarla y, a continuación, hacer clic en el en la barra de herramientas. Para delegar el control de una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa y, a continuación, haga clic en Delegar el control para iniciar el Asistente para delegación de control. 4. Siga las instrucciones del Asistente para delegación de control. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para eliminar una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa y, a continuación, haga clic en Eliminar. Importante Si elimina una unidad organizativa que contiene objetos, el sistema pregunta si deben eliminarse la unidad organizativa y los objetos que contiene. Si responde afirmativamente, se eliminan la unidad organizativa y todos los objetos que contiene. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 38 Para buscar una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio y, a continuación, haga clic en Buscar. 3. En la lista Buscar, haga clic en Unidades organizativas. 4. Escriba el nombre de la unidad organizativa que desee buscar y, a continuación, haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Use la ficha Avanzadas para utilizar opciones de búsqueda más eficaces. Para buscar unidades organizativas, también puede hacer clic en herramientas. , en la barra de Para modificar las propiedades de una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la carpeta de la unidad organizativa y, a continuación, haga clic en Propiedades. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para mover una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa y, a continuación, haga clic en Mover. 4. En el cuadro de diálogo Mover, haga clic en la carpeta a la que desea mover la unidad organizativa. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Usuarios y equipos de Active Directory sólo puede mover unidades organizativas dentro del mismo dominio. Para mover unidades organizativas de un dominio a otro, use Movetree. Para cambiar el nombre de una unidad organizativa 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 39 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa cuyo nombre desea cambiar. 4. Haga clic en Cambiar nombre y, a continuación, escriba el nombre nuevo. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Administrar recursos publicados Realizar una búsqueda personalizada Buscar una carpeta compartida Buscar una impresora Publicar una carpeta compartida Publicar una impresora de Windows NT Para realizar una búsqueda personalizada 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio y, a continuación, haga clic en Buscar. 3. En Buscar, haga clic en Búsqueda personalizada. 4. Haga clic en Campo, seleccione la clase de objeto que desea buscar y, a continuación, haga clic en el atributo de ese objeto cuyo valor de búsqueda desea especificar. 5. En Condición, haga clic en la condición que desee. 6. En Valor, escriba el valor del atributo al que la búsqueda aplicará la condición. 7. Haga clic en Agregar para agregar esta condición de búsqueda a la búsqueda personalizada. 8. Repita los pasos del 4 al 7 hasta que haya agregado todas las condiciones de búsqueda deseadas. 9. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Utilice la ficha Avanzadas para introducir una consulta con la sintaxis LDAP. Para iniciar una búsqueda, también puede hacer clic en de la barra de herramientas. Para buscar una carpeta compartida 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio y, a continuación, haga clic en Buscar. 3. En la lista Buscar, haga clic en Carpetas compartidas. Error! Use the Home tab to apply Título to the text that you want to appear here. 40 4. En la ficha Carpetas compartidas, en Nombre, escriba el nombre correspondiente a la carpeta que desea buscar. 5. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Use la ficha Avanzadas para utilizar opciones de búsqueda más eficaces. Para buscar carpetas compartidas, también puede hacer clic en , en la barra de herramientas. Para buscar una impresora 1. 2. Abra Usuarios y equipos de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo de dominio y a continuación, haga clic en Buscar. 3. En la lista Buscar, haga clic en Impresoras. 4. En la ficha Impresoras, en Nombre, escriba el nombre correspondiente a la impresora que desea buscar. 5. Haga clic en Buscar ahora. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. También puede hacer clic en la ficha Características para buscar una impresora que tenga determinadas características, o bien, hacer clic en la ficha Avanzadas para utilizar opciones de búsqueda más eficaces. Para buscar impresoras, también puede hacer clic en , en la barra de herramientas. Para publicar una carpeta compartida 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. 3. Haga clic con el botón secundario del mouse (ratón) en la carpeta a la que desea agregar la carpeta compartida, seleccione Nuevo y haga clic en Carpeta compartida. 4. Escriba el nombre de la carpeta. 5. Escriba el nombre UNC que desea publicar en el directorio. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para publicar una impresora de Windows NT 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga doble clic en el nodo del dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 41 3. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la carpeta donde desea publicar la impresora, seleccione Nuevo y, a continuación, haga clic en Impresora. 4. Escriba el nombre UNC que desea publicar en el directorio. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. La impresora de Windows NT debe estar instalada antes de que se publique en Active Directory. Para instalar una impresora de Windows NT, haga clic en Inicio, seleccione Configuración y, a continuación, haga clic en Impresoras. La impresoras de Windows 2000 se publican automáticamente en Active Directory. Para instalar y publicar servidores de impresión de Windows 2000, consulte Imprimir. Administrar dominios y confianzas Agregar sufijos de nombre principal de usuario Cambiar el modo de dominio Crear una confianza de dominio explícita Comprobar una confianza Revocar una confianza Para agregar sufijos de nombre principal de usuario 1. Abra Dominios y confianzas de Active Directory. 2. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Dominios y confianzas de Active Directory y, a continuación, haga clic en Propiedades. 3. En la ficha Sufijos UPN, escriba un sufijo UPN alternativo para el dominio y, después, haga clic en Agregar. 4. Repita el paso 3 para agregar otros sufijos alternativos de nombre principal de usuario. Notas Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. Use Ejecutar como para utilizar Dominios y confianzas de Active Directory con los permisos correspondientes. Para cambiar el modo de dominio 1. Abra Dominios y confianzas de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en el nodo del dominio que desea administrar y, a continuación, haga clic en Propiedades. 3. En la ficha General, haga clic en Cambiar el modo y, a continuación, haga clic en Sí. Precaución Error! Use the Home tab to apply Título to the text that you want to appear here. 42 No cambie el modo del dominio si tiene o va a tener controladores de dominio de Windows NT 4.0. Sólo puede cambiar de modo mixto a modo nativo. Cuando un dominio se está ejecutando en modo nativo, no puede cambiarse de nuevo al modo mixto. Notas: Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. Para crear una confianza de dominio explícita 1. Abra Dominios y confianzas de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el nodo del dominio que desea administrar y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Confianzas. 4. Según sus requisitos, haga clic en Dominios de confianza Para este dominio o Dominios que confían en este dominio y, a continuación, en Agregar. 5. Si el dominio que se va a agregar es de Windows 2000, escriba su nombre DNS completo. O bien, si el dominio ejecuta una versión anterior de Windows, escriba el nombre de dominio. 6. Escriba la contraseña para esta confianza y confírmela. 7. Repita este procedimiento en el dominio que forme la otra parte de la relación de confianza explícita. Notas Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. La contraseña se debe aceptar tanto en el dominio de confianza como en el que confía. Use Ejecutar como para administrar un dominio en el que no haya iniciado una sesión. Para comprobar una confianza 1. Abra Dominios y confianzas de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en uno de los dominios implicados en la confianza que desea comprobar y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Confianzas. 4. En Dominios de confianza Para este dominio o en Dominios que confían en este dominio, haga clic en la confianza que desea comprobar y, a continuación, haga clic en Modificar. 5. Haga clic en Comprobar o restablecer. Notas Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. Use Ejecutar como para administrar un dominio en el que no haya iniciado una sesión. Error! Use the Home tab to apply Título to the text that you want to appear here. 43 Para revocar una confianza 1. Abra Dominios y confianzas de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en uno de los nodos de dominio implicados en la confianza que desea comprobar y, a continuación, haga clic en Propiedades. 3. Haga clic en la ficha Confianzas. 4. En Dominios de confianza Para este dominio o en Dominios que confían en este dominio, haga clic en la confianza que desea revocar y, a continuación, haga clic en Quitar. 5. Repita este procedimiento con los demás dominios implicados en la confianza. Notas Para abrir Dominios y confianzas de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic Dominios y confianzas de Active Directory. Use Ejecutar como para administrar un dominio en el que no haya iniciado una sesión. No es posible revocar las confianzas transitivas bidireccionales predeterminadas entre dominios de un bosque. Las confianzas de acceso directo creadas explícitamente se pueden eliminar. Establecer la configuración del servidor Crear un objeto de servidor Seleccionar una directiva para consultas Habilitar o deshabilitar un catálogo global Designar el servidor de cabeza de puente preferido Mover un controlador de dominio de un sitio a otro Quitar un servidor inoperativo de un sitio Conectar con un bosque Conectar con un controlador de dominio Comprobar la topología de la replicación Mostrar el nodo de servicios Para crear un objeto de servidor 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga doble clic en el sitio que desee que contenga el nuevo objeto de servidor del controlador de dominio. ¿Dónde? Sitios y servicios de Active Directory Sites sitio que desea que contenga el nuevo objeto de servidor Error! Use the Home tab to apply Título to the text that you want to appear here. 44 3. Haga clic con el botón secundario del mouse (ratón) en Servers, seleccione Nuevo y, después, haga clic en Servidor. 4. En Nombre, escriba un nombre para el objeto de servidor. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Estos objetos de servidor pueden representar servidores controladores o miembros de un dominio. Crear un objeto de servidor no es lo mismo que instalar un controlador de dominio. Para seleccionar una directiva de consulta 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga clic en el controlador de dominio cuya directiva de consulta desee cambiar. ¿Dónde? Sitios y servicios de Active Directory Sites sitio que contiene el controlador de dominio cuya directiva de consulta desea cambiar Servers controlador de dominio cuya directiva de consulta desea cambiar 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en NTDS Settings y, a continuación, haga clic en Propiedades. 4. En Directiva de consulta, haga clic en una directiva de consulta. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para habilitar o deshabilitar un catálogo global 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga doble clic en el controlador de dominio que contenga el catálogo global. ¿Dónde? Error! Use the Home tab to apply Título to the text that you want to appear here. 45 Sitios y servicios de Active Directory Sites sitio que contiene el controlador de dominio con el catálogo global Servers controlador de dominio que contiene el catálogo global 3. Haga clic con el botón secundario del mouse (ratón) en NTDS Settings y, a continuación, haga clic en Propiedades. 4. Active la casilla de verificación Catálogo global. Precaución No habilite esta opción a menos que esté seguro de que es beneficiosa en su caso. Para que lo sea, debe haber múltiples dominios y, aún en ese caso, normalmente sólo es aconsejable tener un catálogo global en cada sitio. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Los clientes deben tener acceso al catálogo global para poder iniciar una sesión, por eso es necesario tener al menos un catálogo global en cada sitio para aprovechar las ventajas que supone el uso de los sitios para reducir el tráfico en la red. Para designar un servidor cabeza de puente preferido 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el controlador de dominio que desee convertir en el servidor cabeza de puente preferido y, a continuación, haga clic en Propiedades. ¿Dónde? Sitios y servicios de Active Directory Sites sitio que contiene el controlador de dominio que desea convertir en el servidor cabeza de puente preferido Servers el controlador de dominio que desea convertir en el servidor cabeza de puente preferido 3. Haga clic en el transporte o transportes entre sitios en los que este equipo será el servidor cabeza de puente preferido y, a continuación, haga clic en Agregar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio Error! Use the Home tab to apply Título to the text that you want to appear here. 46 de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Puede establecer un servidor cabeza de puente preferido para uno o varios protocolos (como IP o SMTP). Para mover un controlador de dominio de un sitio a otro 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el controlador de dominio que desee mover a otro sitio y, a continuación, haga clic en Mover. ¿Dónde? Sitios y servicios de Active Directory Sitios sitio que contiene el controlador de dominio que desea mover Servidores controlador de dominio que desea mover 3. En el cuadro de diálogo Mover servidor, haga clic en el sitio al que desea mover el controlador de dominio. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Este procedimiento puede usarse para mover de un sitio a otro servidores, además de controladores de dominio. Para quitar un servidor inservible de un sitio 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el servidor que desea quitar y, a continuación, haga clic en Eliminar. ¿Dónde? Sitios y servicios de Active Directory Sites sitio que contiene el servidor que desea quitar Servers servidor que desea quitar Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 47 Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Sólo debe usar este procedimiento si desea quitar el servidor del sitio de forma permanente. Si piensa activarlo de nuevo, debe eliminar el objeto NTDS Settings del servidor, en lugar de eliminar el propio objeto Servidor. Cuando vuelva a poner en servicio el servidor, Active Directory creará automáticamente un nuevo objeto NTDS Settings e incluirá el servidor en la topología de la replicación de la forma más adecuada. Para conectar con un bosque 1. 2. Abra Sitios y servicios de Active Directory. Haga clic con el botón secundario del mouse (ratón) en Sitios y servicios de Active Directory y, a continuación, haga clic en Conectar con el bosque. 3. En Dominio raíz, escriba el nombre del dominio raíz del bosque. Se trata del dominio raíz del primer árbol de dominio creado en el bosque. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Sitios y servicios de Active Directory sólo permite ver un bosque. Cambie de bosque para ver y modificar la configuración de Sitios y servicios de Active Directory en el bosque que desee. Para conectar con un controlador de dominio 1. Abra Sitios y servicios de Active Directory. 2. Haga clic con el botón secundario del mouse (ratón) en Sitios y servicios de Active Directory y, a continuación, haga clic en Conectar con el controlador de dominio. 3. En Dominio, escriba el nombre del dominio o haga clic en Examinar para seleccionarlo en la lista de dominios disponibles. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 48 Sitios y servicios de Active Directory permite ver y configurar una sola copia de los datos del directorio. Cambie el controlador de dominio para seleccionar otro de forma que Sitios y servicios de Active Directory pueda leer y modificar los datos de su directorio. Para comprobar la topología de réplica 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga doble clic en el servidor que desea usar para comprobar la topología de réplica. ¿Dónde? Sitios y servicios de Active Directory Sitios sitio que contiene el controlador de dominio cuya topología de réplica desea comprobar Servidores servidor que desea usar para comprobar la topología de la réplica 3. Haga clic con el botón secundario del mouse (ratón) en Configuración de NTDS, seleccione Todas las tareas y, a continuación, haga clic en Comprobar topología de réplica. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Active Directory ejecuta un proceso que tiene en cuenta el costo de las conexiones entre sitios, comprueba si alguno de los controladores de dominio disponibles anteriormente ha dejado de estarlo, comprueba si se han agregado nuevos controladores de dominio y, finalmente, usa todos esos datos para agregar o quitar objetos Conexión con la finalidad de crear una topología eficaz para la replicación. Este proceso no afecta en forma alguna a los objetos Conexión creados de forma manual. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para descubrir el nodo de servicios 1. Abra Sitios y servicios de Active Directory. 2. Haga clic en el nodo de Sitios y servicios de Active Directory, seleccione Ver y, a continuación, haga clic en Mostrar el nodo de servicios. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 49 La opción Mostrar el nodo de servicios es un valor de configuración que permanece. Establecer la configuración del sitio Crear un sitio Cambiar el nombre de un sitio Crear una subred Asociar una subred a un sitio Eliminar un sitio Eliminar una subred Seleccionar otro equipo de licencias Delegar el control Para crear un sitio 1. 2. Abra Sitios y servicios de Active Directory. Haga clic con el botón secundario del mouse (ratón) en la carpeta Sitios y, después, haga clic en Nuevo sitio. 3. En Nombre, escriba el nombre del nuevo sitio. 4. Haga clic en un objeto de vínculo a sitios y, después, en Aceptar. 5. Asocie una subred con un sitio para este sitio que acaba de crear. 6. Mueva un controlador de dominio de un sitio ya existente a este nuevo sitio, o instale un controlador de dominio nuevo. 7. Si desea elegir un equipo de licencias determinado, distinto al que se ha seleccionado automáticamente, seleccione otro equipo de licencias. 8. Delegue el control del sitio. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para cambiar el nombre de un sitio 1. Abra Sitios y servicios de Active Directory. 2. Haga doble clic en la carpeta Sitios. 3. Haga clic con el botón secundario del mouse (ratón) en el sitio cuyo nombre desea cambiar, haga clic en Cambiar nombre y, finalmente, escriba el nombre nuevo. Notas Error! Use the Home tab to apply Título to the text that you want to appear here. 50 Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para crear una subred 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga doble clic en Sitios. 3. Haga clic con el botón secundario del mouse (ratón) en Subredes y, después, haga clic en Nueva subred. 4. En Dirección, escriba la dirección de la subred. 5. En Máscara, escriba la máscara de la subred que describe el intervalo de direcciones incluidas en esta subred de sitios. 6. Elija el sitio al que desee asociar esta subred y, a continuación, haga clic en Aceptar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Se considera válida cualquier dirección IP que esté incluida en el intervalo de la subred. Para asociar una subred a un sitio 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la subred a la que desee asociar el sitio y, a continuación, haga clic en Propiedades. ¿Dónde? Sitios y servicios de Active Directory Sites Subnets subred 3. En Sitio, haga clic en el sitio al que desee asociar esta subred. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 51 Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para eliminar un sitio 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga doble clic en Sitios. 3. Haga clic con el botón secundario del mouse (ratón) en el contenedor del sitio y, a continuación, haga clic en Eliminar. Precaución Un sitio es un objeto contenedor, por lo que al eliminarse el sitio se eliminan también todos los objetos de directorio que éste contiene. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. El sitio denominado Primer sitio predeterminado (Default-First-Site) no se puede eliminar Para eliminar una subred 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la subred que desea eliminar y, a continuación, haga clic en Eliminar. ¿Dónde? Sitios y servicios de Active Directory Sites Subnets subred que desea eliminar Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 52 Para seleccionar otro equipo de licencias 1. Abra Sitios y servicios de Active Directory. 2. En el árbol de la consola, haga clic en el sitio que desea configurar. ¿Dónde? Sitios y servicios de Active Directory Sites nombreDelSitio 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en Licensing Site Settings y, a continuación, haga clic en Propiedades. 4. Para seleccionar otro equipo de licencias distinto, haga clic en Cambiar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para obtener un rendimiento óptimo, el equipo de licencias del sitio debe estar en el mismo sitio. Active Directory configura de forma automática un equipo de licencias en cada sitio. Este equipo no tiene que ser obligatoriamente un controlador de dominio. Para delegar el control 1. 2. Abra Sitios y servicios de Active Directory. Haga clic con el botón secundario del mouse (ratón) en el contenedor cuyo control desea delegar y, a continuación, haga clic en Delegar control para iniciar el Asistente para delegación de control. 3. Siga las instrucciones del Asistente para delegación de control. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. En Sitios y servicios de Active Directory puede delegar el control sobre contenedores de subredes, transportes entre sitios, sitios y servidores. Al delegar el control de un objeto, se puede especificar quién dispone de los permisos necesarios para tener acceso o modificar ese objeto o sus objetos secundarios. Error! Use the Home tab to apply Título to the text that you want to appear here. 53 Configurar la replicación Crear un vínculo a sitios Eliminar un vínculo a sitios Crear un puente de vínculos a sitios Eliminar un puente de vínculos a sitios Configurar la disponibilidad de la replicación de vínculos a sitios Configurar el costo de los vínculos a sitios Configurar la frecuencia de la replicación de vínculos a sitios Omitir programas Enlazar todos los vínculos a sitios Agregar un sitio a un vínculo a sitios Agregar o configurar manualmente conexiones Forzar la replicación a través de una conexión Para crear un vínculo a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el protocolo de transporte entre sitios que desea usar y, a continuación, haga clic en Nuevo Vínculo de sitio. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports protocolo de transporte entre sitios que desea usar en el vínculo a sitio 3. En Nombre, escriba el nombre asignado al vínculo. 4. Haga clic en dos o más sitios para conectarlos y, a continuación, haga clic en Agregar. 5. Configure el costo, programación y frecuencia de la replicación del vínculo a sitios. Precaución Si crea un vínculo a sitios que use SMTP, debe tener disponible una entidad emisora de certificados de empresa (Enterprise CA) y SMTP debe estar instalado en todos los controladores de dominio que vayan a usar el vínculo a sitios. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 54 La creación de un vínculo a sitios entre dos o más sitios es una de las formas de cambiar la topología de la replicación. Al crear un vínculo a sitios, proporciona a Active Directory información acerca de las conexiones disponibles, cuáles son las preferidas y cuál es el ancho de banda disponible. Active Directory usa esa información para elegir los períodos y conexiones que permiten obtener el máximo rendimiento en la replicación. Para eliminar un vínculo a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en la carpeta de transporte entre sitios que contiene el vínculo a sitios que desea eliminar. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports carpeta de transporte entre sitios que contiene el vínculo a sitios que desea eliminar 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el vínculo a sitios que desea eliminar y, a continuación, haga clic en Eliminar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para crear un puente de vínculos a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la carpeta Inter_Site Transports donde desee crear un nuevo puente de vínculos a sitios y, a continuación, haga clic en Nuevo Puente de vínculo a sitio. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports transporte entre sitios donde desea crear un nuevo puente de vínculo a sitio 3. En Nombre, escriba un nombre para el puente de vínculo a sitio. 4. Haga clic en dos o más vínculos a sitios para enlazarlos y, a continuación, haga clic en Agregar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 55 Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Si ha activado la casilla de verificación Enlazar todos los vínculos de sitios, este procedimiento es redundante y no tendrá ningún efecto. La creación de un vínculo a sitio entre dos o más sitios es una de las formas de cambiar la topología de la replicación. Al crear un vínculo a sitios, proporciona a Active Directory información acerca de las conexiones disponibles, cuáles son las preferidas y cuál es el ancho de banda disponible. Active Directory usa esa información para elegir los períodos y conexiones que permiten obtener el máximo rendimiento en la replicación. Para eliminar un puente de vínculos a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en la carpeta de transporte entre sitios que contiene el puente de vínculos a sitios que desea eliminar. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports carpeta de transporte entre sitios que contiene el puente de vínculos a sitios que desea eliminar. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el puente de vínculos a sitios que desea eliminar y, a continuación, haga clic en Eliminar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para configurar la disponibilidad de la replicación de vínculos a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en la carpeta de transporte entre sitios que contiene el vínculo del sitio cuya programación desea ajustar. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports carpeta de transporte entre sitios que contiene el vínculo del sitio cuya programación desea ajustar. Error! Use the Home tab to apply Título to the text that you want to appear here. 56 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el vínculo a sitios cuya programación desea ajustar y, a continuación, haga clic en Propiedades. 4. Haga clic en Cambiar programación. 5. Seleccione el período que desea programar, haga clic en Aceptar y, a continuación, escriba la frecuencia de replicación en el campo Replicar cada x minutos. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Dado que el protocolo SMTP es asincrónico, normalmente no tiene en cuenta la programación. Por eso, en el caso de vínculos a sitios SMTP, no debe configurar su disponibilidad para replicación a menos que los vínculos usen conexiones programadas o la cola SMTP no esté en ninguna programación y el intercambio de información se realice directamente de un servidor a otro, en lugar de a través de intermediarios como sucede, por ejemplo, en una red troncal Ethernet. Para configurar el costo de los vínculos a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en la carpeta de transporte entre sitios que contiene el tipo de vínculo que desee configurar. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports carpeta de transporte entre sitios que contiene el tipo de vínculo que desea configurar 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el vínculo a sitios cuyo costo desee establecer y, a continuación, haga clic en Propiedades. 4. En Costo, escriba la cifra que corresponda al costo de la replicación. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Dado que el costo se determina mediante la suma de los costos de los vínculos que componen el puente de vínculos a sitios, no es posible asignar costos a esos puentes. Sólo es posible asignar costos a los vínculos. Error! Use the Home tab to apply Título to the text that you want to appear here. 57 Para configurar la frecuencia de la replicación de un vínculo a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en el transporte entre sitios que contiene el vínculo a sitios que desea configurar. ¿Dónde? Sitios y servicios de Active Directory Sitios Transportes entre sitios transporte entre sitios del vínculo a sitios que desea configurar 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el vínculo a sitios en el que desee establecer la frecuencia de replicación y, a continuación, haga clic en Propiedades. 4. En Replicar cada, escriba el número de minutos entre replicaciones. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. El valor de Replicar cada se transforma en el múltiplo de 15 más próximo entre un mínimo de 15 y un máximo de 10.080 minutos (equivalentes a una semana). Para omitir programas 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en el protocolo de transporte entre sitios que contiene los programas de vínculos a sitios que desea omitir y, a continuación, haga clic en Propiedades. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports protocolo de transporte entre sitios que contiene los programas del vínculo a sitios que desea omitir. 3. Active la casilla de verificación Omitir programas. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno Error! Use the Home tab to apply Título to the text that you want to appear here. 58 donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para enlazar todos los vínculos de sitios 1. 2. Abra Sitios y servicios de Active Directory. Haga doble clic en la carpeta Sitios y, a continuación, haga doble clic en la carpeta Transportes entre sitios. 3. Haga clic con el botón secundario del mouse (ratón) en la carpeta de transporte entre sitios que desee (por ejemplo, IP o SMTP) y, a continuación, haga clic en Propiedades. 4. Active la casilla de verificación Enlazar todos los vínculos de sitios. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Cuando al enlazar todos los vínculos de sitios se crean conexiones que pasan a través de servidores de seguridad, se pueden producir errores de replicación si el servidor de seguridad sólo permite la transferencia de paquetes entre determinados controladores de dominio. Para agregar un sitio a un vínculo a sitios 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en la carpeta de transporte entre sitios que contiene el vínculo a sitios al que desee agregar el sitio. ¿Dónde? Sitios y servicios de Active Directory Sites Inter-Site Transports carpeta de transporte entre sitios que contiene el vínculo a sitios al que desee agregar el sitio. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el vínculo a sitios al que desee agregar el sitio y, a continuación, haga clic en Propiedades. 4. Haga clic en el sitio que desee agregar a este vínculo y, después, haga clic en Agregar. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno Error! Use the Home tab to apply Título to the text that you want to appear here. 59 donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Para agregar o configurar manualmente conexiones 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga clic en el controlador de dominio en el que desea agregar o configurar de forma manual una conexión. ¿Dónde? Sitios y servicios de Active Directory Sites sitio que contiene el controlador de dominio en el que desea agregar o configurar de forma manual una conexión Servers controlador de dominio en el que desea agregar o configurar de forma manual una conexión 3. Haga clic con el botón secundario del mouse (ratón) en NTDS Settings y, a continuación, haga clic en Nueva conexión de Active Directory. 4. En el cuadro de diálogo Buscar Controladores de dominio, haga clic en el controlador de dominio que desee incluir en el objeto de conexión. 5. En el cuadro de diálogo Nuevo objeto - Conexión, escriba un nombre para el nuevo objeto de conexión. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. En condiciones normales, Active Directory crea y elimina las conexiones de forma automática. Sólo debe crear una conexión manualmente cuando sepa que es necesaria y desee que permanezca hasta que se quite de forma manual. Para forzar la replicación a través de una conexión 1. 2. Abra Sitios y servicios de Active Directory. En el árbol de la consola, haga doble clic en el controlador de dominio del sitio que contiene la conexión a través de la que desea realizar la replicación de la información de directorio. ¿Dónde? Sitios y servicios de Active Directory Sites sitio que contiene la conexión a través de la que desea realizar la replicación de la información de directorio Servers Error! Use the Home tab to apply Título to the text that you want to appear here. 60 controlador de dominio del sitio que contiene la conexión a través de la que desea realizar la replicación de la información de directorio 3. En el árbol de la consola, haga clic en NTDS Settings. 4. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la conexión a través de la que desea realizar la replicación de la información de directorio y, a continuación, haga clic en Replicar ahora. Notas Para abrir Sitios y servicios de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Sitios y servicios de Active Directory. Sitios y servicios de Active Directory sólo se puede utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Esta utilidad está instalada en todos los controladores de dominio de Windows 2000. Para utilizarla en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, instale las Herramientas de administración de Windows 2000. Administrar el esquema Instalar el complemento Esquema de Active Directory Agregar un miembro al grupo Administradores de esquema Quitar un miembro del grupo Administradores de esquema Modificar permisos del esquema Ver la definición de una clase Ver la definición de un atributo Agregar un atributo al catálogo global Indizar un atributo en Active Directory Habilitar este equipo para extender el esquema Desactivar una clase o un atributo Volver a cargar el esquema Para instalar el complemento Esquema de Active Directory 1. 2. Inicie la sesión como administrador. Inserte el disco compacto de Windows 2000 Server en la unidad de CD-ROM y, a continuación, haga clic en Explorar este CD. 3. Haga doble clic en la carpeta I386, haga doble clic en Adminpak y, a continuación, siga las instrucciones que aparecen en el Asistente para instalación de herramientas de administración de Windows 2000. 4. Haga clic en Inicio y en Ejecutar, escriba mmc /a y, a continuación, haga clic en Aceptar. 5. En el menú Consola, haga clic en Agregar o quitar complemento y después en Agregar. 6. En Complemento, haga clic en Esquema de Active Directory y, a continuación, haga clic en Cerrar. Error! Use the Home tab to apply Título to the text that you want to appear here. 61 7. Si no tiene más complementos que agregar a la consola, haga clic en Aceptar. 8. Para guardar esta consola, en el menú Consola, haga clic en Guardar. Precaución La modificación del esquema de Active Directory es una operación avanzada que es mejor que la lleven a cabo mediante programación programadores y administradores del sistema experimentados. Para obtener información detallada acerca de cómo modificar el esquema de Active Directory, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://msdn.microsoft.com/developer/windows2000/adsi/actdirguide.asp). Para agregar un miembro al grupo Administradores de esquema 1. 2. Abra Usuarios y equipos de Active Directory. En el árbol de la consola, haga doble clic en el nodo del dominio correspondiente y, a continuación, haga clic en Usuarios. O bien, haga clic en la carpeta que contiene el usuario deseado. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en la cuenta de usuario que desee agregar y, a continuación, haga clic en Propiedades. 4. Haga clic en la ficha Miembro de y, a continuación, en Agregar. 5. En el cuadro de diálogo Seleccionar grupos , haga clic en Administradores de esquema y, a continuación, en Agregar. Notas Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para agregar usuarios y equipos a un grupo, también puede seleccionar los usuarios y equipos que se van a agregar, hacer clic en el de la barra de herramientas y, a continuación, hacer clic en el grupo al que se agregarán. Para quitar un miembro del grupo Administradores de esquema 1. 2. Abra Usuarios y equipos de Active Directory. En el árbol de la consola, haga doble clic en el nodo del dominio correspondiente y, a continuación, haga clic en Usuarios. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el grupo Administradores de esquema y, a continuación, haga clic en Propiedades. 4. En la ficha Miembros, haga clic en los miembros que desea eliminar y, después, haga clic en Quitar. Nota: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Para modificar permisos del esquema 1. 2. Abra Esquema de Active Directory. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Permisos. Error! Use the Home tab to apply Título to the text that you want to appear here. 62 3. En la ficha Seguridad, haga clic en el grupo cuyos permisos desee cambiar. 4. En Permisos, seleccione Permitir o Denegar para los permisos que desea cambiar. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para ver la definición de una clase 1. Abra Esquema de Active Directory. 2. En el árbol de la consola, haga doble clic en Clases. 3. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la clase cuya definición desea ver y, a continuación, haga clic en Propiedades. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para ver la definición de un atributo 1. Abra el Esquema de Active Directory. 2. En el árbol de la consola, haga clic en Atributos. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el atributo cuya definición desea ver y, a continuación, haga clic en Propiedades. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para agregar un atributo al catálogo global 1. Abra el Esquema de Active Directory. 2. En el árbol de la consola, haga clic en Atributos. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el atributo que desea replicar en el catálogo global y, a continuación, haga clic en Propiedades. 4. Haga clic en Replicar este atributo en el catálogo global. Notas Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los datos de dominio de todos los dominios del bosque. En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red. Para indizar un atributo en Active Directory 1. Abra el Esquema de Active Directory. 2. En el árbol de la consola, haga clic en Atributos. 3. En el panel de detalles, haga clic con el botón secundario del mouse (ratón) en el atributo que desea indizar en el catálogo global y, a continuación, haga clic en Propiedades. Error! Use the Home tab to apply Título to the text that you want to appear here. 63 4. Haga clic en Indizar este atributo en Active Directory. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para habilitar este equipo para extender el esquema 1. 2. Abra el Esquema de Active Directory. En el árbol de consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Maestro de operaciones. 3. Haga clic en Se puede modificar el esquema en este controlador de dominio. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para desactivar una clase o un atributo 1. 2. Abra Esquema de Active Directory. Realice una de las siguientes acciones, en función de si desea desactivar una clase o un atributo: Para desactivar una clase, en el árbol de la consola, haga doble clic en Clases, haga clic con el botón secundario del mouse (ratón) en la clase que desea desactivar y, a continuación, haga clic en Propiedades. Para desactivar un atributo, en el árbol de la consola, haga clic en Atributos, en el panel de detalles, haga clic con el botón secundario del mouse en el atributo que desea desactivar y, a continuación, haga clic en Propiedades. 3. En la ficha General, haga clic en Desactivar esta clase o en Desactivar este atributo según corresponda. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Para volver a cargar el esquema 1. 2. Abra el Esquema de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en Esquema de Active Directory y, a continuación, haga clic en Volver a cargar el esquema. Nota: Si el esquema de Active Directory no está disponible, debe instalar las Herramientas de administración de Windows 2000 desde el disco compacto de Windows 2000 Server y agregarlo a una consola MMC. Error! Use the Home tab to apply Título to the text that you want to appear here. 64 Conceptos Esta sección trata: Introducción a Active Directory Descripción de Active Directory Diseñar Active Directory Usar Active Directory Recursos Introducción a Active Directory Active Directory es el servicio de directorio para Windows 2000 Server. Almacena información acerca de objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores. El servicio de directorio Active Directory utiliza un almacén de datos estructurado como base de una organización lógica jerárquica de la información del directorio. La seguridad está integrada en Active Directory mediante la autenticación del inicio de sesión y el control de accesos a los objetos del directorio. Con un único inicio de sesión en la red, los administradores pueden administrar datos del directorio y de la organización en cualquier punto de la red, y los usuarios autorizados de la red pueden tener acceso a recursos en cualquier lugar de la red. La administración basada en directivas facilita la tarea del administrador incluso en las redes más complejas. Ventajas de Active Directory Introducción a Active Directory Ventajas de Active Directory Active Directory proporciona: Seguridad de la información Administración basada en directivas Capacidad de ampliación Escalabilidad Replicación de la información Integración con DNS Interoperabilidad con otros servicios de directorio Consultas flexibles Seguridad de la información La seguridad está totalmente integrada en Active Directory. El control de acceso se puede definir no sólo para cada objeto del directorio, sino también para cada una de las propiedades del objeto. Para obtener más información, consulte Seguridad. Error! Use the Home tab to apply Título to the text that you want to appear here. 65 Active Directory proporciona el almacenamiento y el ámbito de aplicación para las directivas de seguridad. Una directiva de seguridad puede incluir información de cuentas, como las restricciones de contraseña para todo el dominio o los derechos sobre determinados recursos del dominio. Las directivas de seguridad se aplican mediante la configuración de la Directiva de grupo. Para obtener más información, consulte Directiva de grupo. Administración basada en directivas El servicio de directorio de Active Directory incluye un almacén de datos y una estructura lógica y jerárquica. Como estructura lógica proporciona una jerarquía de contextos en los que se pueden aplicar las directivas. Como directorio, almacena las directivas (denominadas objetos de Directiva de grupo) que se asignan a un contexto determinado. Un objeto de Directiva de grupo establece un conjunto de normas de empresa que incluyen opciones de configuración que pueden, en el contexto en que se aplican, determinar lo siguiente: El acceso a objetos de directorio y recursos del dominio Qué recursos del dominio, como aplicaciones, están disponibles para los usuarios Cómo se configuran esos recursos para su utilización. Por ejemplo, un objeto de Directiva de grupo puede determinar qué aplicaciones pueden ver los usuarios en sus equipos cuando inician una sesión, cuántos usuarios pueden conectarse a Microsoft SQL Server cuando se inicia en un servidor y a qué documentos o servicios tienen acceso los usuarios cuando pasan a otros departamentos o grupos. Los objetos de Directiva de grupo permiten administrar un número reducido de directivas en lugar de un número mucho mayor de usuarios y equipos. Active Directory permite aplicar la configuración de la Directiva de grupo a los contextos adecuados, tanto si se trata de toda la organización como de sólo algunas unidades específicas de la misma. Para obtener más información acerca de las directivas, consulte Directiva de grupo. Para obtener más información acerca de los contextos de Active Directory a los que se puede aplicar la configuración de la Directiva de grupo, consulte Descripción de la Directiva de grupo. Capacidad de ampliación Active Directory puede ampliarse ya que los administradores tienen la posibilidad de agregar nuevas clases de objetos al esquema y nuevos atributos a las clases de objetos ya existentes. Por ejemplo, puede agregar el atributo Capacidad de compra al objeto Usuario y, a continuación, almacenar el límite de la capacidad de compra de cada usuario dentro de su propia cuenta. Puede agregar objetos y atributos al directorio mediante el esquema de Active Directory o con secuencias de comandos basadas en Interfaces de servicios de Active Directory (ADSI, Active Directory Service Interfaces) o en utilidades de la línea de comandos como LDIFDE o CSDVE. Para obtener más información, consulte Introducción al esquema de Active Directory, Importar y exportar información de directorio y Programar interfaces. Escalabilidad Active Directory incluye uno o varios dominios, cada uno con uno o varios controladores de dominio, lo que permite escalar el directorio para satisfacer cualquier requisito de la red. En un árbol de dominios se pueden combinar múltiples dominios y múltiples árboles de dominios se pueden combinar en un bosque. El directorio distribuye la información de su esquema y configuración a todos los controladores de dominio del directorio. Esta información se almacena en el controlador de dominio inicial para un dominio y se replica a cualquier controlador de dominio adicional del dominio. Cuando el directorio se configura como un solo dominio, al agregar controladores de dominio se amplía el directorio sin la sobrecarga administrativa que se produce con los dominios adicionales. Error! Use the Home tab to apply Título to the text that you want to appear here. 66 Agregar dominios al directorio permite dividirlo según directivas diferentes y ampliarlo para acomodar un gran número de recursos y objetos. Si desea obtener más información, consulte Descripción de los dominios. Replicación de la información La replicación proporciona disponibilidad de la información, tolerancia a errores, equilibrio de carga y mejoras en el rendimiento para el directorio. Active Directory utiliza el sistema de replicación Multimaster, que permite actualizar el directorio en cualquier controlador de dominio, en lugar de en un solo controlador principal de dominio. La principal ventaja del modelo Multimaster es su mayor tolerancia a errores, ya que, con varios controladores de dominio, continúa la replicación aunque deje de funcionar uno de ellos. Aunque los usuarios puedan no darse cuenta de ello, gracias a la replicación Multimaster sólo hay que actualizar una copia del directorio. Una vez que se ha creado o modificado la información de directorio en un controlador de dominio, la información nueva o modificada se envía a todos los demás controladores del dominio para que esté actualizada en todos ellos. Los controladores de dominio necesitan la información más reciente del directorio, pero para mantener la máxima eficiencia deben limitar las actualizaciones a aquellos momentos en los que la información del directorio es nueva o ha cambiado. El intercambio indiscriminado de información entre controladores de dominio podría sobrecargar rápidamente cualquier red. Active Directory se ha diseñado para replicar únicamente la información de directorio que ha cambiado. Con la replicación Multimaster, siempre existe la posibilidad de que el mismo cambio en el directorio se produzca en más de un controlador de dominio. Active Directory también se ha diseñado para trazar y mediar en los conflictos que puedan producir los cambios en el directorio, ya que resuelve los conflictos automáticamente en casi todos los casos. La distribución de varios controladores de dominio en un dominio proporciona tolerancia a errores y equilibrio de carga. Si un controlador del dominio trabaja lentamente, se detiene o causa un error, otros controladores del mismo dominio pueden seguir ofreciendo el acceso necesario al directorio, ya que contienen los mismos datos de directorio. Para obtener más información acerca de los controladores de dominio, consulte Controladores de dominio. Para obtener más información acerca de la replicación, consulte Cómo funciona la replicación. Integración con DNS Active Directory utiliza el Sistema de nombres de dominio (DNS, Domain Name System). DNS es un servicio estándar de Internet que traduce nombres legibles de equipos host, como mipc.microsoft.com, a direcciones IP numéricas. Esto permite que los procesos que se ejecutan en equipos de redes TCP/IP puedan realizar la identificación y conexión. Los nombres de dominio de DNS están basados en una estructura jerárquica de nombres DNS que es una estructura de árbol invertida: un único dominio raíz, bajo el que puede haber dominios primarios y secundarios (ramas y hojas). Por ejemplo, un nombre de dominio de Windows 2000 como secundario.primario.microsoft.com identifica a un dominio "secundario", que depende de un dominio denominado "primario", que a su vez es un dominio secundario del dominio raíz microsoft.com. Cada equipo en un dominio DNS tiene una identificación única que consiste en su nombre completo de dominio DNS. El nombre completo de dominio de un equipo que se encuentre en el dominio secundario.primario.microsoft.com sería nombreDeEquipo.secundario.primario.microsoft.com. Para obtener más información acerca de DNS, consulte Descripción de DNS. Active Directory está integrado con DNS de las siguientes formas: 1. Active Directory y DNS tienen la misma estructura jerárquica. Error! Use the Home tab to apply Título to the text that you want to appear here. 67 Aunque son independientes y se implementan de forma distinta para propósitos diferentes, el espacio de nombres de una organización para DNS y Active Directory tienen una estructura idéntica. Por ejemplo, microsoft.com es un dominio DNS y un dominio de Active Directory. 2. Las zonas DNS se pueden almacenar en Active Directory. Si utiliza el servicio DNS de Windows 2000, los archivos de zona primaria se pueden almacenar en Active Directory para su replicación en otros controladores de dominio de Active Directory. Para obtener más información, consulte Integración de Active Directory. 3. Los clientes de Active Directory utilizan DNS para buscar controladores de dominio. Para localizar un controlador de dominio determinado, los clientes de Active Directory envían una consulta al servidor DNS que tienen configurado para obtener determinados registros de recursos. Para obtener más información, consulte Clientes de Active Directory. Para obtener más información acerca de la integración de Active Directory y DNS, consulte Descripción de la integración de DNS. Si no ha establecido aún una infraestructura DNS, consulte Cuestiones de diseño. Interoperabilidad con otros servicios de directorio Dado que Active Directory está basado en protocolos estándar de acceso a directorios, como el Protocolo compacto de acceso a directorios (LDAP, Lightweight Directory Access Protocol) versión 3 y la Interfaz del proveedor de servicio de nombres (NSPI, Name Service Provider Interface), puede interoperar con otros servicios de directorio que emplean estos protocolos. LDAP es un protocolo de acceso a directorios que se utiliza para consultar y recuperar información en Active Directory. Como es un protocolo de servicio de directorios estándar del sector, se pueden desarrollar programas que utilicen LDAP para compartir información de Active Directory con otros servicios de directorio compatibles con LDAP. Active Directory admite el protocolo NSPI, utilizado por los clientes de Microsoft Exchange 4.0 y 5.x, para proporcionar compatibilidad con el directorio de Exchange. Consultas flexibles Los usuarios y administradores pueden utilizar el comando Buscar del menú Inicio, Mis sitios de red o Usuarios y equipos de Active Directory para encontrar rápidamente un objeto en la red por sus propiedades. Por ejemplo, puede buscar un usuario por su nombre, apellidos, nombre de correo electrónico, ubicación de su oficina u otras propiedades de la cuenta de usuario de esa persona. La búsqueda de información se optimiza al utilizar el catálogo global. Para obtener más información, consulte Catálogo global. Para conocer más detalles acerca de cómo buscar determinados tipos de información, consulte Buscar información de directorio. Introducción a Active Directory Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red. Un servicio de directorio, como Active Directory, proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y usuarios de la red. Por ejemplo, Active Directory almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información. Antes de examinar detalladamente Active Directory, debe familiarizarse con la siguiente información: Servicio de directorio Error! Use the Home tab to apply Título to the text that you want to appear here. 68 Información general acerca de los dominios Introducción a los bosques y árboles de dominio Relaciones de confianza entre dominios Unidades organizativas Introducción a los sitios y servicios de Active Directory Grupos Introducción al esquema de Active Directory Funciones de servidor Servicio de directorio El servicio de directorio de Active Directory tiene las siguientes características: Un almacén de datos, también conocido como directorio, que almacena información acerca de los objetos de Active Directory. Estos objetos incluyen normalmente recursos compartidos como servidores, archivos, impresoras y las cuentas de usuario y de equipo de red. Para obtener más información acerca del almacén de datos de Active Directory, consulte Almacén de datos del directorio. Un conjunto de reglas, el esquema, que define las clases de objetos y los atributos contenidos en el directorio, las restricciones y los límites en las instancias de estos objetos así como el formato de sus nombres. Para obtener más información acerca del esquema, consulte Introducción al esquema de Active Directory. Un catálogo global que contiene información acerca de cada uno de los objetos del directorio. Esto permite a los usuarios y administradores encontrar información del directorio con independencia de cuál sea el dominio del directorio que realmente contiene los datos. Para obtener más información acerca del catálogo global, consulte Catálogo global. Un sistema de índices y consultas, para que los usuarios o las aplicaciones de red puedan publicar y encontrar los objetos y sus propiedades. Para obtener más información acerca de cómo consultar el directorio, consulte Buscar información del directorio. Un servicio de replicación que distribuye los datos del directorio por toda la red. Todos los controladores de dominio de un dominio participan en la replicación y contienen una copia completa de toda la información del directorio de sus dominios. Cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio. Para obtener más información acerca de la replicación de Active Directory, consulte Metas y estrategias de la replicación. Integración con el subsistema de seguridad para asegurar el proceso de inicio de sesión en la red así como control de acceso tanto de las consultas de datos del directorio como de las modificaciones de los datos. Para obtener más información acerca de la seguridad de Active Directory, consulte Modelo de seguridad. Para sacarle el mayor provecho a Active Directory, el equipo que tiene acceso a Active Directory a través de la red debe ejecutar el software de cliente correcto. En equipos que no ejecutan el software de cliente de Active Directory, el directorio aparecerá igual que un directorio de Windows NT. Para obtener más información acerca del software de cliente, consulte Clientes de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 69 Información general acerca de los dominios Un dominio constituye un límite de seguridad. El directorio incluye uno o más dominios, cada uno de los cuales tiene sus propias directivas de seguridad y relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas: Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro. Al delegar la autoridad administrativa en dominios o unidades organizativas desaparece la necesidad de tener varios administradores con autoridad administrativa global. Los dominios ayudan a estructurar la red de forma que refleje mejor la organización. Cada dominio almacena solamente la información acerca de los objetos que se encuentran ubicados en ese dominio. Al crear particiones en el directorio de esa manera, Active Directory puede ampliarse y llegar a contener una gran cantidad de objetos. Los dominios son las unidades de replicación. Todos los controladores de dominio de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio. Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios. Al utilizar un solo dominio se simplifican mucho las tareas administrativas. Para obtener más información acerca de los dominios, consulte Descripción de los dominios, Denominación de cuentas y dominios y Planear la estructura de dominios. Introducción a los bosques y árboles de dominio Varios dominios forman un bosque. Los dominios también pueden combinarse en estructuras jerárquicas denominadas árboles de dominio. Árboles de dominio El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario. Todos los dominios que comparten el mismo dominio raíz forman un espacio de nombres contiguo. Esto significa que el nombre de un dominio secundario consta del nombre de ese dominio secundario más el nombre del dominio principal. En esta ilustración, secundario.microsoft.com es un dominio secundario de microsoft.com y es el dominio principal de secundario2.secundario.microsoft.com. El dominio microsoft.com es el dominio principal de secundario.microsoft.com. Además, es el dominio raíz de este árbol de dominio. Los dominios de Windows 2000 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio de Windows 2000 recién creado en un bosque o árbol de dominio tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios de Windows 2000 Error! Use the Home tab to apply Título to the text that you want to appear here. 70 en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominio. Sin embargo, esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio. Bosques Un bosque está formado por varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio (microsoft.com y microsoftasia.com) pueden tener ambos un dominio secundario denominado "soporte", los nombres DNS de esos dominios secundarios serán soporte.microsoft.com y soporte.microsoftasia.com. Es evidente que en este caso no existe un espacio de nombres contiguo. Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque. En la ilustración, microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas relaciones de confianza transitivas con microsoft.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque. Para obtener más información, consulte Relaciones de confianza entre dominios. Todos los dominios de Windows 2000 de todos los árboles de dominio de un bosque comparten las siguientes características: Relaciones de confianza transitivas entre los dominios Relaciones de confianza transitivas entre los árboles de dominio Un esquema común Información de configuración común Un catálogo global común Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por ejemplo, en el caso de compañías que tienen divisiones independientes que necesitan conservar sus propios nombres DNS. Para obtener más información acerca de los bosques y árboles de dominio, consulte Descripción de los bosques y árboles de dominio. Relaciones de confianza entre dominios Una confianza de dominio es una relación establecida entre dos dominios que permite a un controlador de dominio autenticar a los usuarios de otro dominio. Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía. Error! Use the Home tab to apply Título to the text that you want to appear here. 71 En la primera ilustración, las confianzas se indican mediante una fecha, que señala al dominio en el que se confía. En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios implicados en la confianza y la relación de confianza era de un solo sentido. En Windows 2000, todas las confianzas son transitivas y de dos sentidos. Los dominios de una relación de confianza confían el uno en el otro de forma automática. Como se muestra en la ilustración, esto supone que si el dominio A confía en el dominio B y éste confía en el dominio C, los usuarios del dominio C, cuando se les concedan los permisos correspondientes, podrán tener acceso a los recursos del dominio A. Para obtener más información acerca de las confianzas de dominio, consulte Descripción de las confianzas de dominio y Confianzas de dominio explícitas. Nota: Cuando un controlador de dominio autentica a un usuario, no implica el acceso a ningún recurso de ese dominio. Esto sólo viene determinado por los derechos y permisos que el administrador del dominio concede a la cuenta de usuario para el dominio que confía. Para obtener más información, consulte Autenticación. Unidades organizativas Un tipo de objeto de directorio especialmente útil contenido en los dominios es la unidad organizativa. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios. Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden asignar configuraciones de Directiva de grupo o en la que se puede delegar la autoridad administrativa. Con las unidades organizativas, puede crear contenedores dentro de un dominio que representan las estructuras lógicas y jerárquicas existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo. Para obtener más información acerca de la configuración de la Directiva de grupo, consulte Directiva de grupo. Error! Use the Home tab to apply Título to the text that you want to appear here. 72 Como se muestra en la ilustración, las unidades organizativas pueden contener otras unidades organizativas. La jerarquía de contenedores se puede extender tanto como sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio. Para obtener más información acerca de cómo delegar la autoridad administrativa, consulte Delegar la administración. Para obtener más información acerca de las unidades organizativas, consulte Planear la estructura de unidades organizativas y Delegar la administración. Introducción a Sitios y servicios de Active Directory Active Directory utiliza la replicación con múltiples servidores principales, lo que permite a cualquier controlador de dominio de Windows 2000 del bosque responder a las solicitudes, incluso a aquellas que suponen modificaciones realizadas por los usuarios en el directorio. Si cuenta con un pequeño grupo de equipos bien conectados, la selección arbitraria de un controlador de dominio puede no causar ningún problema. Sin embargo, en una estructura que incluya una red de área extensa (WAN) puede ser extremadamente ineficaz que un usuario de Toledo, por ejemplo, intente autenticarse en controladores de dominio de Nueva York mediante una conexión telefónica. Sitios y servicios de Active Directory puede mejorar la eficiencia de los servicios de directorio en la mayor parte de los casos gracias al uso de sitios. La información acerca de la estructura física de la red se proporciona mediante la publicación de sitios en Active Directory con Sitios y servicios de Active Directory. Active Directory utiliza esta información para determinar de qué forma debe replicarse la información de directorio y deben tratarse las solicitudes de servicio. Los equipos se asignan a sitios en función de su ubicación en una subred o en un conjunto de subredes conectadas entre sí. Las subredes constituyen una forma sencilla y eficaz para representar agrupamientos en la red, de la misma forma que los códigos postales agrupan direcciones de forma conveniente. Las subredes tienen un formato que facilita el envío al directorio de información física relacionada con la conectividad de red. Al tener todos los equipos en una o varias subredes conectadas Error! Use the Home tab to apply Título to the text that you want to appear here. 73 entre sí también se refuerza la norma de que todos los equipos de un sitio tienen que estar interconectados, ya que los equipos de la misma subred tienden a tener mejores conexiones que una selección cualquiera de equipos de la red. Los sitios facilitan: Autenticación. Cuando los clientes inician una sesión con una cuenta de dominio, el sistema de inicio de sesión realiza primero la búsqueda de controladores de dominio que se encuentren en el mismo sitio que el cliente. Al intentar usar primero los controladores de dominio del sitio del cliente, el tráfico de red es sólo local, por lo que se aumenta la eficiencia del proceso de autenticación. Replicación. La información de directorio se replica tanto dentro de los sitios como entre ellos. Active Directory replica esa información con mayor frecuencia dentro de un sitio que entre sitios distintos. Este sistema permite ofrecer información de directorio actualizada teniendo en cuenta las limitaciones que impone el ancho de banda disponible en la red. Puede personalizar la forma en que Active Directory replica la información con vínculos a sitios para especificar de qué forma están conectados los distintos sitios. Active Directory usa la información acerca de la manera en que se conectan los sitios para generar objetos de conexión que proporcionan un sistema de replicación muy eficiente y tolerante a errores. Debe proporcionar información acerca del costo de un vínculo a sitios, los períodos en que el vínculo está disponible y la forma en que debe usarse. Active Directory utiliza esta información para determinar qué vínculo a sitios debe usarse para replicar la información. Al personalizar los programas de replicación de forma que ésta tenga lugar en los períodos más adecuados, como en las horas de baja utilización de la red, se aumenta su eficiencia. Normalmente, se usan todos los controladores de dominio para intercambiar información entre los sitios, sin embargo puede tener un mayor control sobre la replicación si especifica un servidor cabeza de puente para la información que debe replicarse entre sitios. Establezca un servidor cabeza de puente cuando disponga de un servidor que desee dedicar a la replicación entre sitios, en lugar de utilizar cualquier servidor que esté disponible. También puede establecer un servidor cabeza de puente cuando su implementación use servidores proxy, por ejemplo, para enviar y recibir información a través de un servidor de seguridad. Otros servicios que proporciona Active Directory. Hay otra información, como enlaces y configuraciones de servicios, que puede estar disponible a través del directorio, lo que facilita la administración y el uso de los recursos de la red y aumenta su eficiencia. Los sitios ayudan a estructurar y optimizar la distribución de información de los servicios, con lo que hay disponible información actualizada para los clientes y se distribuye de forma eficiente a través de la red. Grupos Los grupos son objetos de Active Directory o de equipos locales que pueden contener usuarios, contactos, equipos y otros grupos. Los grupos se utilizan para: Administrar el acceso de equipos y usuarios a recursos compartidos como los objetos de Active Directory y sus propiedades, recursos compartidos de red, archivos, directorios, colas de impresión, etc. Filtrar las configuraciones de Directiva de grupo Crear listas de distribución de correo electrónico Existen dos clases de grupos: Grupos de seguridad Grupos de distribución Error! Use the Home tab to apply Título to the text that you want to appear here. 74 Los grupos de seguridad se utilizan para recopilar usuarios, equipos y otros grupos en unidades más fáciles de administrar. Los administradores deben asignar los permisos para recursos (archivos compartidos, impresoras, etc.) a un grupo de seguridad, no a usuarios individuales. Así los permisos se asignan una vez al grupo en lugar de varias veces a cada usuario individual. Cada cuenta que se agrega al grupo recibe automáticamente los permisos y derechos definidos para ese grupo. Al trabajar con grupos en lugar de usuarios individuales se simplifica el mantenimiento y la administración de la red. Los grupos de distribución sólo se pueden utilizar como listas de distribución de correo electrónico. No pueden utilizarse para filtrar configuraciones de Directiva de grupo. Los grupos de distribución no tienen ninguna función relacionada con la seguridad. A diferencia de los grupos, las unidades organizativas se utilizan para crear colecciones de objetos en un solo dominio, no para asignar la pertenencia a grupos. La administración de una unidad organizativa y de los objetos que contiene puede delegarse en un administrador individual o en un grupo. Para obtener más información acerca de las unidades organizativas, consulte Unidades organizativas y Planear la estructura de las unidades organizativas. Los objetos Directiva de grupo se pueden aplicar a sitios, dominios y unidades organizativas, pero nunca a los grupos. Un objeto Directiva de grupo es una colección de valores de configuración que afectan a usuarios y equipos. La pertenencia a un grupo se utiliza para filtrar los objetos Directiva de grupo que afectarán a los usuarios y equipos del sitio, dominio o unidad organizativa. Para obtener más información acerca de la Directiva de grupo, consulte Descripción de la Directiva de grupo. Para conocer más detalles acerca de los grupos y cómo utilizarlos, consulte Descripción de los grupos. Introducción al esquema de Active Directory El esquema de Active Directory es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en Active Directory. Las definiciones se almacenan como objetos para que Active Directory pueda administrar los objetos del esquema con las mismas operaciones de administración de objetos utilizadas para administrar el resto de los objetos del directorio. Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y las clases también se conocen como objetos del esquema o metadatos. Los atributos se definen independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases. Por ejemplo, el atributo Descripción se utiliza en muchas clases, pero se define una vez en el esquema, lo que asegura la coherencia. Las clases, también conocidas como clases de objetos, describen los posibles objetos del directorio que se pueden crear. Cada clase es una colección de atributos. Al crear un objeto, los atributos almacenan la información que describe el objeto. La clase Usuario, por ejemplo, está compuesta de muchos atributos, entre ellos Dirección de red, Directorio principal, etc. Cada objeto en Active Directory es una instancia de una clase de objeto. Con Windows 2000 Server se proporciona un conjunto de clases y atributos básicos. Los programadores y los administradores de la red con experiencia puede extender dinámicamente el esquema mediante la definición de nuevas clases y atributos para las clases existentes. Active Directory no permite la eliminación de objetos del esquema, sin embargo, los objetos se pueden marcar como desactivados, lo que proporciona muchas de las ventajas de la eliminación. Extender el esquema es una operación avanzada que puede tener consecuencias adversas. Antes de extender el esquema, consulte la Lista de comprobación: antes de extender el esquema. La estructura y el contenido del esquema son controlados por el controlador de dominio que mantiene la función de servidor principal de operaciones de esquemas. Una copia del esquema se replica en todos los controladores de dominio del bosque. El uso de este esquema común asegura la integridad y Error! Use the Home tab to apply Título to the text that you want to appear here. 75 coherencia de los datos en todo el bosque. Para obtener más información acerca del servidor principal de esquemas, consulte Operaciones de un solo servidor principal. La forma recomendada de extender el esquema de Active Directory es mediante programación, a través de las Interfaces de servicios de Active Directory (ADSI, Active Directory Service Interfaces) descritas en el Kit del programador de software de Windows 2000 (Windows 2000 Software Developer's Kit). Para obtener información detallada acerca de cómo extender el esquema mediante programación, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/) y el sitio Web del Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) (http://www.ietf.org/).Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí. Para el desarrollo y las pruebas, también puede ver y modificar el esquema de Active Directory con el complemento Esquema de Active Directory, que se incluye con las Herramientas de administración de Windows 2000 en el disco compacto de Windows 2000 Server. Para obtener más información, consulte Administrar servidores remotamente. Funciones de servidor Windows 2000 Server puede desempeñar varias funciones. Puede cambiar fácilmente entre las diversas funciones de Windows 2000 Server para adaptarlo a las necesidades de su organización. Para obtener más información acerca de las funciones de Windows 2000 Server y de cómo cambiarlas, consulte: Controladores de dominio Servidores miembro Servidores independientes Cambiar las funciones de servidor Controladores de dominio Un controlador de dominio es un equipo donde se ejecuta Windows 2000 Server que se ha configurado con el Asistente para instalación de Active Directory. El Asistente para instalación de Active Directory instala y configura los componentes que proporciona el servicio de directorio de Active Directory a usuarios y equipos de red. Los controladores de dominio almacenan datos del directorio y administran las interacciones entre el usuario y el dominio, como los procesos de inicio de sesión, la autenticación y las búsquedas de directorio. Un dominio puede tener uno o varios controladores de dominio. Una organización de pequeño tamaño que utiliza una sola red de área local (LAN) es posible que solamente necesite un dominio con dos controladores de dominio para obtener la mayor disponibilidad y tolerancia a los errores. Una organización grande con muchas ubicaciones de red necesitará uno o varios controladores de dominio en cada ubicación para el mismo fin. Active Directory admite la replicación con múltiples servidores principales de datos del directorio entre todos los controladores de dominio del dominio. Sin embargo, algunos cambios no se pueden realizar de esta manera, de modo que sólo un controlador de dominio, llamado el servidor principal de operaciones, acepta solicitudes para dichos cambios. En cualquier bosque de Active Directory, hay al menos cinco funciones diferentes de servidor principal de operaciones que se asignan a uno o varios controladores de dominio. Para obtener más información acerca de los servidores principales de operaciones, consulte Operaciones de un solo servidor principal. Los controladores de dominio de Windows 2000 Server proporcionan una extensión de las capacidades y funciones de los controladores de dominio de Windows NT Server 4.0. La replicación con múltiples servidores principales de Windows 2000 Server sincroniza los datos del directorio de cada controlador de Error! Use the Home tab to apply Título to the text that you want to appear here. 76 dominio, lo que asegura la coherencia de la información a lo largo del tiempo. Este tipo de replicación es una evolución del modelo que usa un controlador principal de dominio y un controlador de reserva utilizado en Windows NT Server 4.0, en el que sólo un servidor, el controlador principal del dominio, tenía una copia de lectura y escritura del directorio. Servidores miembro Los equipos que funcionan como servidores en un dominio tienen una de las dos funciones siguientes: controlador de dominio o servidor miembro. Un servidor miembro es un equipo que: Ejecuta Windows 2000 Server Es miembro de un dominio No es un controlador de dominio. Dado que no es un controlador de dominio, un servidor miembro no se ocupa de los procesos de inicio de sesión de cuentas, no participa en la replicación de Active Directory ni almacena información de las directivas de seguridad del dominio. Los servidores miembro operan normalmente como uno de los siguientes tipos de servidores: Servidores de archivos Servidores de aplicaciones Servidores de bases de datos Servidores Web Servidores de certificados Servidores de seguridad Servidores de acceso remoto Estos servidores miembro comparten un conjunto de características relacionadas con la seguridad: Los servidores miembro adoptan la configuración de Directiva de grupo definida para el sitio, dominio o unidad organizativa. Los recursos disponibles en un servidor miembro se configuran para el control de acceso. Los usuarios de los servidores miembro disponen de los derechos de usuario que se les hayan asignado. Los servidores miembro contienen una base de datos local de cuentas de seguridad, el Administrador de cuentas de seguridad (SAM, Security Account Manager). Para obtener más información acerca de los controladores de dominio, consulte Controladores de dominio. Servidores independientes Un servidor independiente es un equipo que ejecuta Windows 2000 Server y que no es miembro de ningún dominio de Windows 2000. Si se instala Windows 2000 Server como miembro de un grupo de trabajo, ese servidor es un servidor independiente. Los servidores independientes pueden compartir recursos con otros equipos de la red, pero no disfrutan de ninguna de las ventajas que proporciona Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 77 Cambiar las funciones de un servidor Los servidores de un dominio pueden tener una de las dos funciones siguientes: controlador de dominio o servidor miembro. Si cambian las necesidades del entorno informático, puede ser aconsejable cambiar la función de algún servidor. Mediante el Asistente para instalación de Active Directory puede promover un servidor miembro y convertirlo en un controlador de dominio, o degradar un controlador de dominio a servidor miembro. Error! Use the Home tab to apply Título to the text that you want to appear here. 78 Descripción de Active Directory Active Directory es una implementación de los protocolos de nombres y directorio estándar de Internet. Utiliza un motor de bases de datos para procesar las transacciones y es compatible con diversos estándares de interfaces de programación de aplicaciones. Esta sección trata: Descripción de los dominios Descripción de los bosques y árboles de dominio Denominación de cuentas y dominios Descripción de las relaciones de confianza entre dominios Relaciones de confianza explícitas entre dominios Sitios Cuentas de usuarios y equipos de Active Directory Descripción de la Directiva de grupo Descripción de la integración con DNS Descripción de los grupos Servicio de directorio de Active Directory Descripción de los dominios Un dominio ofrece las siguientes ventajas: Organizar objetos. Al utilizar unidades organizativas en un dominio es más fácil administrar las cuentas y recursos del dominio. Publicar recursos e información acerca de los objetos del dominio. Al utilizar varios dominios, puede cambiar el tamaño del servicio de directorio Active Directory para ajustarlo a sus necesidades de publicación y administración del directorio. Un dominio sólo almacena información acerca de los objetos ubicados en ese dominio; por lo tanto, al crear varios dominios se divide o segmenta el directorio para atender mejor a un conjunto dispar de usuarios. Aplicar un objeto Directiva de grupo al dominio consolida la administración de los recursos y de la seguridad. Un dominio define un ámbito o una unidad de directiva. Un objeto Directiva de grupo establece cómo se tiene acceso, se configuran y utilizan los recursos del dominio. Estas directivas se aplican sólo en el dominio, no en varios dominios. Para obtener más información acerca de cómo aplicar objetos Directiva de grupo, consulte Descripción de la Directiva de grupo. Delegar la autoridad de administrador elimina la necesidad de tener varios administradores con autoridad administrativa global. Al usar la autoridad delegada junto con los objetos Directiva de grupo y la pertenencia a grupos se pueden asignar a un administrador derechos y permisos para administrar objetos en todo un dominio, o en una o varias unidades organizativas del dominio. Para obtener más información acerca de cómo delegar el control administrativo, consulte Delegar la administración. Error! Use the Home tab to apply Título to the text that you want to appear here. 79 Para obtener más información acerca de los grupos, consulte Descripción de los grupos. Como un dominio es un límite de seguridad, los permisos administrativos sobre un dominio están limitados a ese dominio de forma predeterminada. Por ejemplo, un administrador que tiene permisos para establecer directivas de seguridad en un dominio no tiene automáticamente la autoridad para establecer directivas de seguridad en otro dominio del directorio. Para crear un dominio, debe promover uno o más equipos que ejecuten Windows 2000 Server a controladores de dominio. Un controlador de dominio proporciona servicios de directorio de Active Directory a usuarios y equipos de la red, almacena datos del directorio y administra las operaciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la autenticación y las búsquedas en el directorio. Cada dominio debe tener al menos un controlador de dominio. Para obtener más información acerca de los controladores de dominio, consulte Controladores de dominio. Para promover un equipo Windows 2000 Server a controlador de dominio, consulte Instalar un controlador de dominio. Descripción de los bosques y árboles de dominio Cada dominio del directorio se identifica mediante un nombre DNS de dominio y necesita uno o más controladores de dominio. Si la red necesita más de un dominio, se pueden crear varios fácilmente. Uno o más dominios que comparten un esquema y un catálogo global comunes se conocen como bosque. Si varios dominios del bosque tienen nombres DNS de dominio contiguos, como muestra la primera ilustración, esa estructura se denomina árbol de dominio. Si, como muestra la segunda ilustración, los diversos dominios no tienen nombres DNS de dominio contiguos, se dice que forman árboles de dominio independientes dentro del bosque. Un bosque puede contener uno o más árboles de dominio. El primer dominio de un bosque se conoce como dominio raíz del bosque. Un dominio se crea al instalar el primer controlador de dominio. Durante la instalación del primer controlador de dominio, el Asistente para la instalación de Active Directory utiliza la información que usted proporciona para instalar el controlador de dominio y crear el dominio en el contexto de relaciones (si existen) con otros dominios y controladores de dominio. Ese contexto puede ser el del primer dominio en un nuevo bosque, el primer dominio en un nuevo árbol de dominio o un dominio secundario en un árbol de dominio ya existente. Error! Use the Home tab to apply Título to the text that you want to appear here. 80 Después de instalar el primer controlador de dominio de un dominio, puede instalar controladores de dominio adicionales para aumentar la tolerancia a errores y la disponibilidad del directorio. Nombres de dominio Los dominios que forman un único árbol de dominio comparten un espacio de nombres contiguo (jerarquía de nombres). Aplicando los estándares de DNS, el nombre completo de un dominio que forma parte de un espacio de nombres contiguo es el nombre de ese dominio seguido de los nombres de los dominios principal y raíz, en el formato de caracteres con puntos (.). Por ejemplo, un dominio cuyo nombre NetBIOS es "secundario2" que tiene un dominio principal denominado principal.microsoft.com, tendrá el nombre DNS completo secundario2.principal.microsoft.com. Los árboles de dominio asociados en un bosque comparten el mismo esquema de Active Directory y la información de duplicación y configuración del directorio, pero no comparten un espacio de nombres de dominio DNS contiguo. La combinación de bosques y árboles de dominio ofrece opciones flexibles para asignar nombres a los dominios. En el directorio se pueden incluir espacios de nombres DNS contiguos y no contiguos. Para obtener más información acerca de Active Directory y DNS, consulte Sistema de nombres de dominio (DNS, Domain Name System). Relaciones de confianza En los equipos que ejecutan Windows 2000, la autenticación de cuentas entre dominios es posible gracias a relaciones de confianza bidireccionales y transitivas basadas en el protocolo de seguridad Kerberos V5. Las relaciones de confianza se crean automáticamente entre dominios adyacentes (dominio principal y secundario) cuando se crea un dominio en un árbol de dominios. En un bosque, se crea automáticamente una relación de confianza entre el dominio raíz del bosque y el dominio raíz de cada árbol de dominio que se agrega al bosque. Dado que esas relaciones de confianza son transitivas, los usuarios y equipos pueden autenticarse en cualquier dominio del bosque o del árbol de dominios. Al actualizar a Windows 2000 un dominio Windows que ejecuta una versión anterior a Windows 2000, se conservan las relaciones de confianza unidireccionales existentes entre ese dominio y otros dominios. Entre ellas se incluyen todas las relaciones de confianza establecidas con dominios que ejecutan versiones anteriores a Windows 2000. Si instala un nuevo dominio Windows 2000 y desea establecer relaciones de confianza con dominios que ejecutan versiones anteriores a Windows 2000, deberá crear relaciones de confianza externas con esos dominios. Para obtener más información acerca de las relaciones de confianza, consulte Relaciones de confianza entre dominios. Para obtener más información acerca de las relaciones de confianza externas, consulte Relaciones de confianza externas. Denominación de cuentas y dominios Los nombres de dominio de Active Directory suelen coincidir con el nombre DNS completo del dominio. Sin embargo, para asegurar la compatibilidad con versiones anteriores, cada dominio tiene también un nombre previo a Windows 2000 que se utilizará cuando se ejecuten sistemas operativos anteriores a Windows 2000. El nombre de dominio anterior a Windows 2000 se puede utilizar para iniciar sesión en un dominio de Windows 2000 desde equipos en los que se ejecutan sistemas operativos anteriores a Windows 2000 mediante el formato nombreDeDominio\nombreDeUsuario. También se puede utilizar este formato para iniciar sesión en un dominio de Windows 2000 desde equipos en los que se ejecuta Windows 2000. Asimismo, los usuarios pueden iniciar sesión en equipos en los que se ejecute Windows 2000 mediante el nombre principal del usuario asociado a sus cuentas de usuario. Error! Use the Home tab to apply Título to the text that you want to appear here. 81 Cuentas de usuario En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesión de usuario, un nombre de inicio de sesión de usuario de sistema anterior a Windows 2000 (nombre de cuenta de administrador de cuentas de seguridad) y un sufijo de nombre principal de usuario. El administrador escribe el nombre de inicio de sesión de usuario y selecciona el sufijo de nombre principal de usuario cuando crea la cuenta de usuario. Active Directory sugiere un nombre de inicio de sesión de usuario de sistema anterior a Windows 2000 a partir de los primeros 20 bytes del nombre de inicio de sesión de usuario. Los administradores pueden cambiar el nombre de inicio de sesión de sistema anterior a Windows 2000 siempre que lo deseen. En Active Directory, cada cuenta de usuario tiene un nombre principal de usuario que se basa en la RFC 822 de IETF, Estándar para el formato de los mensajes de texto de Internet ARPA (Standard for the Format of ARPA Internet Text Messages). El nombre principal de usuario está compuesto por el nombre de inicio de sesión de usuario y el sufijo del nombre principal de usuario, que se unen mediante el signo @. Nota: No agregue el signo @ al nombre de inicio de sesión de usuario ni el sufijo del nombre principal de usuario. Active Directory lo agrega automáticamente cuando crea el nombre principal de usuario. No será válido ningún nombre principal de usuario que contenga más de un signo @. La segunda parte del nombre principal de usuario, al que se hace referencia como el sufijo del nombre principal de usuario, identifica el dominio en el que se encuentra la cuenta de usuario. El sufijo del nombre principal de usuario puede ser el nombre de dominio DNS, el nombre DNS de cualquier dominio del bosque, o puede tratarse de un nombre alternativo creado por un administrador y usado sólo para iniciar sesiones. No es necesario que este sufijo del nombre principal sea un nombre DNS válido. En Active Directory, el sufijo predeterminado del nombre principal de usuario es el nombre DNS del dominio raíz del árbol de dominios. En la mayoría de los casos, se trata del nombre de dominio registrado como dominio de empresa en Internet. Al usar nombres alternativos de dominio como sufijo del nombre principal de usuario, es posible proporcionar una seguridad adicional al iniciar una sesión y simplificar los nombres usados para iniciar sesiones en otro dominio del bosque. Por ejemplo, si su organización usa un árbol de dominios profundo, organizado por departamento y región, los nombres de dominio pueden llegar a ser muy largos. El sufijo del nombre principal de usuario predeterminado para un usuario de ese dominio podría ser ventas.costaoeste.microsoft.com. El nombre de inicio de sesión de un usuario en ese dominio sería [email protected]. La creación del sufijo de nombre principal de usuario "microsoft" permitiría que el mismo usuario iniciara una sesión mediante el nombre de inicio de sesión [email protected], que es mucho más sencillo. Para obtener más información acerca de las cuentas de usuario, consulte Cuentas de equipos y usuarios de Active Directory y Nombres de objetos de Active Directory. Mediante Dominios y confianzas de Active Directory, puede agregar o quitar sufijos de nombre principal de usuario. Para obtener instrucciones, consulte Agregar sufijos de nombre principal de usuario. Cuentas de equipo Cada cuenta de equipo creada en Active Directory tiene un nombre completo relativo, un nombre de equipo de Windows 2000 (nombre de cuenta de administración de seguridad), un sufijo DNS principal, un nombre de host y un nombre principal de servicio. El administrador escribe el nombre del equipo cuando crea la cuenta del equipo. Este nombre de equipo se utiliza como nombre completo relativo LDAP. Active Directory sugiere un nombre de inicio de sesión de usuario de sistema anterior a Windows 2000 a partir de los primeros 15 bytes del nombre completo relativo. El administrador puede cambiar el nombre de inicio de sesión de sistema anterior a Windows 2000 siempre que lo desee. De forma predeterminada, el sufijo DNS adopta el nombre DNS completo del dominio al que se une el equipo. El nombre de host DNS se crea a partir de los 15 primeros caracteres del nombre completo Error! Use the Home tab to apply Título to the text that you want to appear here. 82 relativo y el sufijo DNS principal. Por ejemplo, el nombre de host DNS del equipo que se une al dominio miDominio.microsoft.com y que tiene el nombre completo relativo CN=MiPC1234567890, sería miPC12345.miDominio.microsoft.com. Para obtener más información, consulte Nombres de objetos de Active Directory y Cuentas de equipos y usuarios de Active Directory. El nombre principal de servicio se crea a partir del nombre de host DNS. El nombre principal de servicio se utiliza durante la autenticación mutua entre el cliente y el servidor de un servicio determinado. El cliente buscará un nombre de equipo a partir del nombre principal del servicio al que intenta conectarse. Los administradores pueden cambiar la forma en que se crea el nombre principal del servicio. Esta modificación de seguridad permite que un equipo utilice sufijos DNS primarios distintos de los del dominio al que se une este equipo. Esta misma modificación permite que Active Directory utilice más de los 15 primeros bytes del nombre completo relativo cuando se crea el nombre principal del servicio. Los equipos con estos nombres modificados registrarán correctamente los nombres en el DNS, pero se precisa un procedimiento adicional para habilitar un registro correcto de los atributos de nombre de host DNS (nombreHostDns) y nombre principal del servicio (NombrePrincipalDeServicio) del objeto del equipo en Active Directory. Precaución Si se modifica así la seguridad predeterminada, existe la posibilidad de que un equipo unido al dominio seleccionado pueda ser controlado por un usuario malintencionado y que pueda anunciarse con un nombre distinto mediante el atributo de nombre principal de servicio. Para obtener más información, consulte Permitir que un equipo utilice un nombre DNS distinto. Descripción de las confianzas entre dominios Una confianza entre dominios es una relación que se establece entre dominios y que permite a los usuarios de un dominio ser autenticados por un controlador de dominio de otro dominio. Las solicitudes de autenticación siguen una ruta de confianza. Ruta de confianza Una ruta de confianza es la serie de relaciones de confianza que deben seguir las solicitudes de autenticación entre dominios. Para que un usuario pueda tener acceso a un recurso de otro dominio, la seguridad de Windows 2000 debe determinar si el dominio que confía (el dominio que contiene el recurso al que el usuario intenta obtener el acceso) tiene una relación de confianza con el dominio en el que se confía (el dominio donde inicia la sesión el usuario). Para determinarlo, el sistema de seguridad de Windows 2000 calcula la ruta de confianza entre un controlador de dominio del dominio de confianza y un controlador de dominio del dominio en el que se confía. En la ilustración, las rutas de confianza aparecen indicadas mediante flechas que muestran la dirección de la confianza. Error! Use the Home tab to apply Título to the text that you want to appear here. 83 Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía. Una relación de confianza entre dominios se caracteriza porque puede ser: Bidireccional Unidireccional Transitiva Intransitiva Confianza unidireccional Una confianza unidireccional es una sola relación de confianza, en la que el dominio A confía en el dominio B. Todas las relaciones unidireccionales son intransitivas y todas las intransitivas son unidireccionales. Las solicitudes de autenticación sólo se pueden transmitir desde el dominio que confía al dominio en el que se confía. Esto significa que si el dominio A tiene una confianza unidireccional con el dominio B y éste la tiene con el dominio C, el dominio A no tiene una relación de confianza con el dominio C. Un dominio de Windows 2000 puede establecer una confianza unidireccional con: Los dominios de Windows 2000 de un bosque diferente Los dominios de Windows NT 4.0 Los territorios de MIT Kerberos V5. Consulte Autenticación de Kerberos V5. Debido a que todos los dominios de Windows 2000 de un bosque están vinculados mediante una confianza transitiva, no es posible crear confianzas unidireccionales entre dominios de Windows 2000 pertenecientes al mismo bosque. Para obtener más información, consulte Confianzas de dominio explícitas. Confianza bidireccional Todas las confianzas entre dominios de un bosque de Windows 2000 son confianzas transitivas bidireccionales. Cuando se crea un nuevo dominio secundario, automáticamente se crea una confianza transitiva bidireccional entre el nuevo dominio secundario y el dominio principal. En una confianza bidireccional, el dominio A confía en el dominio B y el dominio B confía en el A. Esto significa que las solicitudes de autenticación se pueden transmitir entre dos dominios en ambas direcciones. Para crear una confianza bidireccional intransitiva, debe crear dos confianzas unidireccionales entre los dominios implicados. Para obtener más información, consulte Confianzas de dominio explícitas. Error! Use the Home tab to apply Título to the text that you want to appear here. 84 Confianza transitiva Todas las confianzas entre dominios de un bosque de Windows 2000 son transitivas. Las relaciones de confianza transitiva son siempre bidireccionales. Ambos dominios de la relación confían el uno en el otro. Una relación de confianza transitiva no está limitada por los dos dominios de la relación. Siempre que se crea un nuevo dominio secundario, implícitamente (es decir, automáticamente) se crea una relación de confianza transitiva bidireccional entre el dominio principal y el nuevo dominio secundario. De esta forma, las relaciones de confianza transitivas fluyen hacia arriba a través del árbol de dominios a medida que éste se forma, con lo que se crean relaciones de confianza transitivas entre todos los dominios del árbol de dominios. Cada vez que se crea un árbol de dominios en un bosque, se forma una relación de confianza transitiva bidireccional entre el dominio raíz del bosque y el nuevo dominio (la raíz del nuevo árbol de dominios). Si no se agrega ningún dominio secundario al dominio nuevo, la ruta de confianza está entre este nuevo dominio raíz y el dominio raíz del bosque. Si se agregan dominios secundarios al dominio nuevo, con lo que se crea un árbol de dominios, la confianza fluye hacia arriba a través del árbol de dominios hasta el dominio raíz del árbol de dominios y, de este modo, se extiende la ruta de confianza inicial creada entre la raíz del dominio y el dominio raíz del bosque. Si el nuevo dominio agregado al bosque es un solo dominio raíz, es decir, no tiene dominios secundarios, o un árbol de dominios, la ruta de confianza se extiende desde el dominio raíz del bosque hasta cualquier otro dominio raíz del bosque. De esta forma, las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque. Las solicitudes de autenticación siguen estas rutas de confianza y de este modo las cuentas de cualquier dominio del bosque se pueden autenticar en cualquier otro. Con un solo proceso de inicio de sesión, las cuentas que poseen los permisos adecuados pueden tener acceso a los recursos en cualquier dominio del bosque. Esta ilustración muestra cómo las relaciones de confianza transitivas fluyen a través de todos los dominios del bosque. Puesto que el dominio 1 tiene una relación de confianza transitiva con el dominio 2 y éste la tiene con el dominio 3, los usuarios del dominio 3 (una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio 1. Y, puesto que el dominio 1 tiene una relación de confianza transitiva con el dominio A y los otros dominios del árbol de dominios del dominio A la tienen con el dominio A, los usuarios del dominio B (una vez obtenidos los permisos necesarios) pueden tener acceso a los recursos del dominio 3. Igualmente, puede crear de forma explícita (manualmente) confianzas transitivas entre los dominios de Windows 2000 del mismo árbol o bosque de dominios. Estas relaciones de confianza de acceso directo se pueden utilizar para acortar la ruta de confianza en árboles o bosques de dominios grandes y complejos. Para obtener más información, consulte Confianzas de dominio explícitas. Error! Use the Home tab to apply Título to the text that you want to appear here. 85 Nota: Las confianzas transitivas sólo pueden existir entre dominios de Windows 2000 del mismo bosque. Debido a la necesidad de este flujo de confianzas, no es posible tener relaciones intransitivas entre dominios del mismo bosque de Windows 2000. Confianza intransitiva Una confianza intransitiva está limitada por los dos dominios de la relación y no fluye a cualquier otro dominio del bosque. En la mayor parte de los casos, debe crear las confianzas intransitivas explícitamente. Consulte Confianzas de dominio explícitas. Nota: Todas las relaciones de confianza entre los dominios de Windows 2000 y los de Windows NT son intransitivas. Al actualizar Windows NT con Windows 2000, todas las confianzas existentes en Windows NT permanecen intactas. En un entorno en modo mixto, todas las confianzas de Windows NT son intransitivas. De forma predeterminada, las confianzas intransitivas son unidireccionales, aunque también se puede crear una relación bidireccional si se crean dos unidireccionales. Todas las relaciones de confianza establecidas entre dominios de Windows 2000 que no pertenecen al mismo bosque son intransitivas. En resumen, las confianzas intransitivas son la única forma de relación de confianza posible entre: Un dominio de Windows 2000 y un dominio de Windows NT Un dominio de Windows 2000 de un bosque y un dominio de Windows 2000 de otro Un dominio de Windows 2000 y un territorio de MIT Kerberos V5. Consulte Autenticación de Kerberos V5 Protocolos de confianza Windows 2000 autentica usuarios y aplicaciones mediante el uso de dos protocolos: Kerberos V5 o NTLM. El protocolo Kerberos V5 es el predeterminado para equipos donde se ejecuta Windows 2000 y para aquellos que tienen instalado el software de cliente de Windows 2000. Si alguno de los equipos implicados en una transacción no admite Kerberos V5, se utilizará el protocolo NTLM. Con este protocolo, el cliente solicita un vale a un controlador de dominio de su dominio de cuenta para el servidor del dominio que confía. Este vale es emitido por un intermediario en el que confían el cliente y el servidor. El cliente presenta este vale de confianza al servidor del dominio que confía para proceder a su autenticación. Para obtener más información, consulte Autenticación de Kerberos V5. Cuando un cliente intenta obtener acceso a recursos de un servidor de otro dominio con la autenticación NTML, el servidor que contiene el recurso debe ponerse en contacto con un controlador de dominio del dominio de cuenta del cliente para comprobar las credenciales de la cuenta. Relaciones de confianza explícitas entre dominios Las confianzas explícitas son relaciones de confianza que crean los propios usuarios, en lugar de crearse automáticamente durante la instalación de un controlador de dominio. Para crear y administrar confianzas explícitas utilice Dominios y confianzas de Active Directory. Hay dos clases de confianzas explícitas: las externas y las de acceso directo. Las confianzas externas permiten la autenticación de usuarios en un dominio fuera de un bosque. Las confianzas de acceso directo acortan la ruta de una confianza en un bosque complejo. Error! Use the Home tab to apply Título to the text that you want to appear here. 86 Confianzas externas Las confianzas externas crean relaciones de confianza con dominios que se encuentran fuera del bosque. La ventaja de crear confianzas externas radica en permitir la autenticación de usuarios en un dominio que no abarcan las rutas de confianza de un bosque. Todas las confianzas externas son intransitivas y de un solo sentido, como se muestra en la ilustración. Puede combinar dos confianzas de un sentido para crear una relación de confianza de dos sentidos. Importante En dominios de modo mixto, las confianzas externas se deben eliminar siempre desde un controlador de dominio de Windows 2000. Las confianzas externas en dominios de Windows NT 4.0 ó 3.51 pueden eliminarlas administradores autorizados en los controladores de dominio de Windows NT 4.0 ó 3.51. No obstante, sólo se puede eliminar el lado de confianza de la relación en controladores de dominio de Windows NT 4.0 ó 3.51. El lado que confía de la relación (creado en el dominio de Windows 2000) no se elimina y, aunque no estará operativo, la confianza seguirá mostrándose en Dominios y confianzas de Active Directory. Para quitar completamente la confianza, deberá eliminarla de un controlador de dominio de Windows 2000 en el dominio que confía. Si se elimina por equivocación una confianza externa de un controlador de dominio de Windows NT 4.0 ó 3.51, deberá volver a crearla desde cualquier controlador de dominio de Windows 2000 en el dominio que confía. Confianzas de acceso directo Para que un controlador de dominio de otro dominio pueda conceder a una cuenta acceso a determinados recursos, Windows 2000 debe determinar si el dominio que contiene los recursos deseados, el dominio de destino, tiene una relación de confianza con el dominio en el que se encuentra la cuenta, el dominio de origen. Para averiguarlo, en el caso de dos dominios de un bosque, Windows 2000 calcula una ruta de confianza entre los controladores de los dominios de origen y de destino. Una ruta de confianza es la serie de relaciones de confianza de dominio que debe atravesar la seguridad de Windows 2000 para pasar las solicitudes de autenticación entre dos dominios cualesquiera. Calcular y atravesar una ruta de confianza entre árboles de dominio de un bosque complejo puede llevar tiempo, que se puede reducir con las confianzas de acceso directo. Las confianzas de acceso directo son confianzas transitivas de dos sentidos que permiten acortar la ruta en un árbol complejo. Se crean de forma explícita entre dominios de Windows 2000 del mismo bosque. Una confianza de acceso directo es una optimización del rendimiento que acorta la ruta de confianza que la seguridad de Windows 2000 utiliza en la autenticación. El uso más efectivo de las confianzas de acceso directo se produce entre dos árboles de dominio de un bosque. Error! Use the Home tab to apply Título to the text that you want to appear here. 87 Como se muestra en la ilustración, puede crear una confianza de acceso directo entre dominios del nivel medio de dos árboles de dominio para acortar la ruta de confianza entre dos dominios de Windows 2000 de un bosque y optimizar el proceso de autenticación de Windows 2000. Nota: Si es necesario, puede crear varias confianzas de acceso directo entre dominios de un bosque. Crear confianzas explícitas Para crear una confianza exxplícita, debe conocer los nombres de dominio y una cuenta de usuario con permiso para crear confianzas en cada dominio. A cada confianza se le asigna una contraseña que debe conocer el administrador de ambos dominios de la relación. Para obtener instrucciones acerca de cómo establecer una confianza explícita, consulte Para crear una confianza de dominio explícita. Para obtener más información acerca de las confianzas de dominio, consulte Descripción de las confianzas de dominio. Para obtener más información acerca del proceso de autenticación, consulte Autenticación. Sitios Por comodidad, piense en los sitios como si estuvieran definidos por un conjunto de equipos en una o varias subredes IP. Este planteamiento es correcto porque, para el intercambio eficaz de la información del directorio los equipos de un sitio tienen que estar conectados correctamente, una característica típica de los equipos dentro de una subred. Si un sitio comprende varias subredes, éstas deben estar también conectadas correctamente por el mismo motivo. Las redes de área extensa (WAN) deben emplear Error! Use the Home tab to apply Título to the text that you want to appear here. 88 múltiples sitios. Si no lo hacen, la atención de las solicitudes o la replicación de información del directorio a través de las WAN puede ser muy poco eficiente. Para obtener más información acerca de lo que significa que los equipos estén conectados correctamente, consulte Ancho de banda. ¿Cómo se relacionan los sitios con los dominios? Los sitios asignan la estructura física de la red mientras que los dominios, normalmente, asignan la estructura lógica de la organización. La estructura lógica y la estructura física son independientes la una de la otra, lo que tiene las siguientes consecuencias: No es necesaria ninguna correlación entre la estructura física de la red y su estructura de dominios. Active Directory permite que haya múltiples dominios en un solo sitio así como múltiples sitios en un solo dominio. No es necesaria ninguna conexión entre espacios de nombres de sitios y de dominios. ¿Cómo se utilizan los sitios? Sitios y servicios de Active Directory permite especificar la información de los sitios. Active Directory utiliza esta información para determinar el mejor modo de utilizar los recursos de las red disponibles. Esto aumenta la eficacia de los siguientes tipos de operaciones: Solicitudes de servicio Cuando un cliente solicita un servicio a un controlador de dominio, éste la dirige a un controlador de dominio del mismo sitio, si hay alguno disponible. La selección de un controlador de dominio que esté conectado correctamente con el cliente que formuló la solicitud facilita su tratamiento. Replicación Error! Use the Home tab to apply Título to the text that you want to appear here. 89 Los sitios optimizan la replicación de información del directorio. La información de configuración y de esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio del dominio. Al reducir la replicación de forma estratégica, igualmente se puede reducir el uso de la red. Active Directory replica información del directorio dentro de un sitio con mayor frecuencia que entre sitios. De esta forma, los controladores de dominio mejor conectados, es decir, aquellos que con más probabilidad necesitarán información especial del directorio, son los que primero reciben las replicaciones. Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red. Si una implementación no se organiza en sitios, el intercambio de información entre controladores de dominio y clientes puede ser caótico. Los sitios mejoran la eficacia del uso de la red. La pertenencia a un sitio se determina de manera diferente para controladores de dominio que para clientes. Un cliente determina en qué sitio está cuando se activa, de modo que la ubicación de su sitio con frecuencia se actualizará dinámicamente. La ubicación del sitio de un controlador de dominio se establece por el sitio al que pertenece su objeto servidor en el directorio, de modo que ésta será coherente a no ser que el objeto servidor del controlador de dominio se mueva intencionadamente a un sitio distinto. Si un controlador de dominio o un cliente tiene una dirección que no está incluida en ningún sitio, el cliente o el controlador de dominio está contenido dentro del sitio inicial creado (Primer sitio predeterminado). Toda la actividad se controla entonces como si la actividad del cliente o del controlador de dominio fuera un miembro del Primer sitio predeterminado, sin tener en cuenta la dirección IP o la ubicación de subred reales. Por lo tanto, todos los sitios siempre tendrán un controlador de dominio asociado, ya que el controlador de dominio más próximo se asocia a sí mismo a un sitio que no tiene ningún controlador de dominio (a menos que se elimine el Primer sitio predeterminado). Error! Use the Home tab to apply Título to the text that you want to appear here. 90 Cuentas de usuario y de equipo de Active Directory Las cuentas de usuario y de equipo de Active Directory representan una entidad física como una persona o un equipo. Las cuentas de usuario y de equipo (así como los grupos) se denominan principales de seguridad. Los principales de seguridad son objetos de directorio a los que se asignan automáticamente identificadores de seguridad. Los objetos con identificadores de seguridad pueden iniciar sesiones en la red y tener acceso a los recursos del dominio. Una cuenta de usuario o de equipo se utiliza para: Autenticar la identidad del usuario o equipo. Autorizar o denegar el acceso a los recursos del dominio. Administrar otros principales de seguridad. Auditar las acciones realizadas con la cuenta de usuario o de equipo. Por ejemplo, a las cuentas de usuario y de equipo que son miembros del grupo Administradores de empresa se les concede automáticamente permiso para iniciar sesiones en todos los controladores de dominio del bosque. Las cuentas de usuario y de equipo se agregan, deshabilitan, restablecen y eliminan con Usuarios y equipos de Active Directory. Cuando se establece una confianza entre un dominio de Windows 2000 de un bosque específico y un dominio de Windows 2000 que se encuentra fuera de ese bosque, se puede conceder a los principales de seguridad del dominio externo el acceso a los recursos del bosque. Active Directory crea un objeto de "principal de seguridad externo" para representar cada principal de seguridad del dominio de confianza externo. Estos principales de seguridad externos pueden convertirse en miembros de grupos locales del dominio, que pueden tener miembros de dominios que se encuentran fuera del bosque. Para obtener más información acerca de confianzas, consulte Confianzas de dominios. Active Directory crea los objetos de directorio para los principales de seguridad externos y no se deben modificar manualmente. Para ver los objetos de principales de seguridad externos, habilite Características avanzadas en Usuarios y equipos de Active Directory. Para obtener información acerca de cómo habilitar Características avanzadas, consulte Ver características avanzadas. Cuando se establece una confianza entre un dominio de Windows 2000 de un bosque específico y un dominio de Windows 2000 que se encuentra fuera de ese bosque, se puede conceder a los principales de seguridad del dominio externo el acceso a los recursos del dominio interno. Active Directory crea un objeto de "principal de seguridad externo" en el dominio interno para representar cada principal de seguridad del dominio de confianza externo. Estos principales de seguridad externos pueden convertirse en miembros de grupos locales en el dominio interno. (Los grupos locales de dominios pueden tener miembros de otros dominios que se encuentran fuera del bosque). Para obtener más información acerca de confianzas, consulte Confianzas de dominios. Cuentas de usuario de Active Directory Una cuenta de usuario de Active Directory permite que un usuario inicie sesiones en equipos y dominios con una identidad que se puede autenticar y autorizar para tener acceso a los recursos del dominio. Cada usuario que se conecta a la red debe tener su propia cuenta de usuario y su propia contraseña única. Las cuentas de usuario también se pueden usar como cuentas de servicio para algunas aplicaciones. Windows 2000 proporciona cuentas de usuario predefinidas que se pueden usar para iniciar una sesión en un equipo donde se ejecuta Windows 2000. Estas cuentas predefinidas son: Cuenta Administrador Error! Use the Home tab to apply Título to the text that you want to appear here. 91 Cuenta Invitado Las cuentas predefinidas son cuentas de usuario predeterminadas, diseñadas para permitir que los usuarios inicien una sesión en un equipo local y tengan acceso a sus recursos. Su objetivo principal es iniciar una sesión y configurar inicialmente un equipo local. Cada cuenta predefinida tiene una combinación diferente de derechos y permisos. La cuenta de administrador tiene los derechos y permisos más amplios mientras que la cuenta de invitado los tiene limitados. Si un administrador de red no modifica ni deshabilita los derechos y permisos predeterminados de la cuenta, cualquier usuario o servicio podría usarlos para iniciar una sesión en una red mediante la identidad Administrador o Invitado. Para obtener la seguridad que proporciona la autenticación y autorización de usuarios, cree una cuenta de usuario individual para cada usuario que participe en la red, mediante Usuarios y equipos de Active Directory. Cada cuenta de usuario, incluidas las cuentas de administrador y de invitado, se puede agregar a los grupos de Windows 2000 para controlar los derechos y permisos asignados a la cuenta. Al usar las cuentas y grupos apropiados para la red se garantiza que los usuarios que se conectan a una red se puedan identificar y sólo puedan tener acceso a los recursos permitidos. Opciones de las cuentas de usuario de Active Directory Cada cuenta de usuario de Active Directory tiene varias opciones relativas a la seguridad que determinan cómo alguien que ha iniciado una sesión con esa cuenta de usuario en particular se autentica en la red. Algunas de estas opciones son específicas de las contraseñas: El usuario debe cambiar la contraseña en el siguiente inicio de sesión El usuario no puede cambiar la contraseña La contraseña nunca caduca Almacenar contraseña utilizando cifrado reversible Estas opciones se explican por sí mismas, excepto Almacenar contraseña utilizando cifrado reversible. Si hay usuarios de equipos Apple que inician sesiones en la red de Windows 2000, seleccione esta opción para sus cuentas de usuario. Seleccione la opción Cuenta deshabilitada para evitar que los usuarios inicien una sesión con la cuenta seleccionada. Algunos administradores usan cuentas deshabilitadas como plantillas para cuentas de usuario comunes. Puede usar las opciones restantes para configurar información específica de la seguridad para cuentas de usuario de Active Directory: La tarjeta inteligente es necesaria para un inicio de sesión interactivo. Se confía en la cuenta para su delegación. La cuenta es importante y no se puede delegar. Usar tipos de cifrado DES para esta cuenta. No requerir autenticación previa Kerberos. Seleccione la opción La tarjeta inteligente es necesaria Para un inicio de sesión interactivo para almacenar de forma segura claves públicas y privadas, contraseñas e información personal de otro tipo para esta cuenta de usuario. Debe haber un lector de tarjetas inteligentes conectado al equipo de usuario y deben tener un número de identificación personal (PIN) para poder conectarse a la red. Seleccione la opción Se confía en la cuenta Para su delegación para dar a un usuario la capacidad de asignar responsabilidades para la administración de una parte del espacio de nombres del dominio a otro usuario, grupo u organización. Error! Use the Home tab to apply Título to the text that you want to appear here. 92 Seleccione la opción La cuenta es importante y no se puede delegar si esta cuenta no se puede asignar para su delegación por parte de otra cuenta. Seleccione la opción No requerir autenticación previa Kerberos si la cuenta usa otra implementación del protocolo Kerberos. No todas las implementaciones o distribuciones del protocolo Kerberos utilizan esta característica. El Centro de distribución de claves Kerberos utiliza vales de concesión de vales para obtener la autenticación de red en un dominio. La hora a la que dicho centro emite un vale de este tipo es importante para el protocolo Kerberos. Windows 2000 utiliza otros mecanismos para sincronizar la hora, de forma que la opción de autenticación previa de Kerberos funcione correctamente. Seleccione la opción Usar tipos de cifrado DES Para esta cuenta si tiene que usar el Estándar de cifrado de datos (DES, Data Encryption Standard). DES admite varios niveles de cifrado, entre los que se incluyen MPPE estándar (40 bits), MPPE estándar (56 bits), MPPE de alto nivel (128 bits), DES IPSec (40 bits), DES IPSec de 56 bits y Triple DES IPSec (3DES). Para obtener más información acerca de cualquiera de estos tipos de cifrado, consulte la Ayuda de Windows 2000. Cuentas de equipo Todos los equipos donde se ejecuta Windows 2000 o Windows NT que se unen a un dominio tienen una cuenta de equipo. Las cuentas de equipo son similares a las cuentas de usuario y ofrecen un medio para autenticar y auditar el acceso a la red de los equipos y el acceso a los recursos del dominio. Cada equipo conectado a la red debería tener su propia cuenta de equipo única. Las cuentas de equipo también se crean mediante Usuarios y equipos de Active Directory. Nota: Los equipos donde se ejecuta Windows 98 o Windows 95 no tienen las características de seguridad avanzadas de aquellos equipos donde se ejecuta Windows 2000 o Windows NT, y no se les puede asignar cuentas de equipo en dominios de Windows 2000. Sin embargo, en dominios de Active Directory es posible conectarse a una red y usar equipos con Windows 98 y Windows 95. Para obtener más información, consulte Clientes de Active Directory. Descripción de la Directiva de grupo La configuración de la Directiva de grupo influye en las cuentas de usuario y de equipo y se puede aplicar a sitios, dominios o unidades organizativas. Se puede utilizar para configurar opciones de seguridad, administrar aplicaciones, administrar la apariencia del escritorio, asignar secuencias de comandos y redirigir carpetas desde equipos locales a ubicaciones de red. A continuación se muestran algunos ejemplos de cómo se puede utilizar la configuración de la Directiva de grupo: Establecer la longitud mínima de la contraseña y la cantidad máxima de tiempo que una contraseña tendrá validez. Esto se puede configurar para un dominio entero. Los administradores pueden instalar automáticamente una aplicación en cada equipo de un dominio en particular o en todos los equipos asignados a un grupo determinado de un sitio específico. Por ejemplo, podría instalar automáticamente Microsoft Outlook en cada equipo del dominio y Microsoft Excel sólo en aquellos equipos que pertenecieran al grupo Contabilidad de un sitio en particular. Las secuencias de comandos de inicio y cierre de sesión exclusivas se pueden asignar a las cuentas de usuario de cada unidad organizativa. Si los miembros de un grupo determinado utilizan con frecuencia equipos diferentes, los administradores pueden instalar las aplicaciones necesarias en cada uno de estos equipos. La carpeta Mis documentos de cualquier usuario se puede redirigir a una ubicación de red. Los usuarios pueden entonces obtener acceso a sus documentos desde cualquier equipo de la red. Error! Use the Home tab to apply Título to the text that you want to appear here. 93 Para obtener más información acerca de la Directiva de grupo, consulte Directiva de grupo. Descripción de la integración con DNS Dado que Active Directory está integrado con DNS y comparte la misma estructura de espacio de nombres, es importante advertir la diferencia entre ellos: DNS es un servicio de resolución de nombres. Los clientes DNS envían consultas de nombres DNS a su servidor DNS configurado. El servidor DNS recibe la consulta del nombre y, o bien la resuelve mediante los archivos almacenados localmente o consulta otro servidor DNS. DNS no requiere Active Directory para funcionar. Active Directory es un servicio de directorio Proporciona un depósito de información y servicios para poner la información a disposición de usuarios y aplicaciones. Los clientes de Active Directory envían consultas a los servidores de Active Directory por medio del Protocolo Lightweight de acceso a directorios (LDAP, Lightweight Directory Access Protocol). Un cliente de Active Directory consulta DNS con el fin de encontrar un servidor de Active Directory. Active Directory necesita DNS para funcionar. Active Directory utiliza DNS como un servicio localizador, que resuelve nombres de dominios, sitios y servicios de Active Directory en una dirección IP. Para iniciar una sesión en un dominio de Active Directory, un cliente de Active Directory consulta a sus servidores DNS configurados la dirección IP del servicio LDAP que se ejecuta en un controlador de dominio para un dominio específico. Para obtener más información de cómo los clientes de Active Directory necesitan DNS, consulte Clientes de Active Directory. Requisitos de los servidores DNS para Active Directory Para que Active Directory funcione adecuadamente, los servidores DNS deben proporcionar compatibilidad con los registros de recursos de Ubicación de servicios (SRV) descritos en el documento RFC 2052, Un registro de recursos de DNS para especificar la ubicación de servicios (SRV DNS) (A DNS RR for specifying the location of services (DNS SRV)). Los registros de recursos SRV asignan el nombre de un servicio al nombre de un servidor que ofrece ese servicio. Los clientes y los controladores de dominio de Active Directory utilizan registros SRV para determinar las direcciones IP de los controladores de dominio. Aunque no es un requisito técnico de Active Directory, se recomienda encarecidamente que los servidores DNS proporcionen compatibilidad con las actualizaciones dinámicas de DNS descritas en el documento RFC 2136, Observaciones acerca del uso de componentes del espacio de direcciones de clase A dentro de Internet (Observations on the use of Components of the Class A Address Space within the Internet). El servicio DNS de Windows 2000 permite el uso tanto de registros SRV como de actualizaciones dinámicas. Si se está utilizando un servidor DNS que no es de Windows 2000, compruebe que al menos admita el registro de recursos SRV. Si no es así, debe actualizarse con una versión que admita el uso de registros de recursos SRV. Por ejemplo, los servidores DNS de Windows NT Server 4.0 deben actualizarse con el Service Pack 4 o posterior para admitir registros de recursos SRV. Un servidor DNS que admite registros SRV pero que no permite las actualizaciones dinámicas debe actualizarse con el contenido del archivo Netlogon.dns creado por el Asistente para instalación de Active Directory cuando se promueve un servidor de Windows 2000 Server a controlador de dominio. El archivo Netlogon.dns se describe en la sección siguiente. Servidores DNS y el Asistente para instalación de Active Directory De forma predeterminada, el Asistente para instalación de Active Directory intenta encontrar un servidor DNS con autoridad para el dominio que se está configurando de su lista de servidores DNS configurados que acepte una actualización dinámica de un registro de recursos SRV. Si lo encuentra, todos los Error! Use the Home tab to apply Título to the text that you want to appear here. 94 registros adecuados para el controlador de dominio se registran automáticamente con el servidor DNS una vez reiniciado el controlador de dominio. Si no se encuentra un servidor DNS que pueda aceptar actualizaciones dinámicas, bien debido a que el servidor DNS no es compatible con ellas o a que no están habilitadas para el dominio, se llevan a cabo los siguientes pasos para asegurar que el proceso de instalación se complete con el registro necesario de los registros de recursos SRV: 1. El servicio DNS se instala en el controlador de dominio y se configura automáticamente con una zona basada en el dominio de Active Directory. Por ejemplo, si el dominio de Active Directory que eligió para el primer dominio del bosque era ejemplo.microsoft.com, se agrega una zona cuya raíz está en el nombre de dominio DNS de ejemplo.microsoft.com y se configura para utilizar el servicio DNS en el nuevo controlador de dominio. 2. Se crea un archivo de texto que contiene los registros de recursos DNS adecuados para el controlador de dominio. El archivo llamado Netlogon.dns se crea en la carpeta %systemroot%\System32\config y contiene todos los registros necesarios para guardar los registros de recursos del controlador de dominio. El servicio Netlogon de Windows 2000 utiliza Netlogon.dns para admitir Active Directory en servidores DNS que no son de Windows 2000. Si está utilizando un servidor DNS que admite el registro de recursos SRV pero que no admite actualizaciones dinámicas (como un servidor DNS de UNIX o un servidor DNS de Windows NT Server 4.0), puede importar los registros de Netlogon.dns en el archivo de la zona principal adecuada con el fin de configurar manualmente la zona principal en ese servidor para que admita Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 95 Descripción de los grupos Esta sección trata: Tipos de grupo Ámbito del grupo Grupos integrados y predefinidos Identidades especiales Grupos en Windows 2000 Professional y servidores independientes Grupos anidados Modos y grupos de dominio Cómo influyen los grupos en el rendimiento de la red Tipos de grupos Hay dos tipos de grupos en Windows 2000: Grupos de seguridad Grupos de distribución Los grupos de seguridad se muestran en las listas de control de acceso discrecional (DACL, Discretionary Access Control List) en las que están definidos los permisos sobre recursos y objetos. Los grupos de seguridad se pueden utilizar también como entidades de correo electrónico. Al enviar un mensaje de correo electrónico al grupo, el mensaje se envía a todos los miembros del grupo. En los grupos de distribución no es posible habilitar la seguridad. No pueden aparecer en las listas DACL. Los grupos de distribución sólo se pueden utilizar con aplicaciones de correo electrónico (como Exchange) para enviar correo electrónico a grupos de usuarios. Si no necesita un grupo para propósitos de seguridad, cree un grupo de distribución en lugar de un grupo de seguridad. Para obtener los procedimientos específicos de administración de grupos, consulte Administrar grupos. Nota: Aunque se puede agregar un contacto a un grupo de seguridad o a un grupo de distribución, no se pueden asignar derechos y permisos a los contactos. Se puede enviar correo electrónico a los contactos de un grupo. Convertir grupos de seguridad en grupos de distribución y viceversa Un grupo de seguridad puede convertirse en un grupo de distribución, y viceversa, en cualquier momento, sólo si el dominio está en modo nativo. No se pueden convertir grupos si el dominio está en modo mixto. Para obtener información detallada acerca de estos procedimientos, consulte Convertir un grupo a otro tipo de grupo. Ámbito de un grupo Cada grupo de seguridad o de distribución tiene un ámbito que identifica el alcance de aplicación del grupo al árbol o al bosque de dominios. Existen tres ámbitos distintos: universal, global y dominio local. Error! Use the Home tab to apply Título to the text that you want to appear here. 96 Los grupos de ámbito universal pueden tener como miembros grupos y cuentas de cualquier dominio de Windows 2000 en el árbol o el bosque de dominios y se les pueden conceder permisos en cualquier dominio del árbol o el bosque de dominios. Los grupos de ámbito universal se denominan grupos universales. Los grupos de ámbito global pueden tener como miembros grupos y cuentas sólo del dominio en el que se ha definido el grupo y se les pueden conceder permisos en cualquier dominio del bosque. Los grupos de ámbito global se denominan grupos globales. Los grupos con ámbito local de dominio pueden tener como miembros los grupos y cuentas de un dominio de Windows 2000 o Windows NT, y sólo se pueden utilizar para conceder permisos en un dominio. Los grupos con ámbito local de dominio se denominan grupos locales de dominio. Si hay varios bosques, los usuarios definidos sólo en uno de ellos no se pueden incluir en los grupos definidos en otro bosque, al igual que no se pueden asignar permisos en un bosque a grupos definidos solamente en otro bosque. La siguiente tabla resume el comportamiento de los diversos ámbitos de grupo. Ámbito universal Ámbito global Ámbito local de dominio En los dominios de modo nativo, puede tener como miembros cuentas de cualquier dominio, grupos globales de cualquier dominio y grupos universales de cualquier dominio. En los dominios de modo nativo, puede tener como miembros cuentas del mismo dominio y grupos globales del mismo dominio. En los dominios de modo nativo, puede tener como miembros cuentas, grupos globales y grupos universales de cualquier dominio, así como grupos locales del mismo dominio. En los dominios de modo nativo, no En los dominios de modo se pueden crear grupos de nativo, puede tener como seguridad de ámbito universal. miembros cuentas del mismo dominio. En los dominios de modo nativo, puede tener como miembros cuentas y grupos globales de cualquier dominio. Los grupos se pueden incluir en otros grupos (cuando el dominio es de modo nativo) y se les pueden asignar permisos en cualquier dominio. Los grupos se pueden incluir en otros grupos y se les pueden asignar permisos en cualquier dominio. Los grupos se pueden incluir en otros grupos locales de dominio y se les pueden asignar permisos sólo en el mismo dominio. No se puede convertir en un grupo de otro ámbito. Se puede convertir en un grupo de ámbito universal, siempre y cuando no sea miembro de otro grupo que tenga ámbito global. Se puede convertir en un grupo de ámbito universal, siempre y cuando no tenga como miembro otro grupo de ámbito local de dominio. Cambiar el ámbito de un grupo Al crear un nuevo grupo éste se configura de forma predeterminada como grupo de seguridad de ámbito global, independientemente del modo del dominio actual. Aunque el cambio de ámbito de un dominio no está permitido en los dominios de modo mixto, se pueden realizar las siguientes conversiones en los dominios de modo nativo: Global a universal. Sin embargo, esta conversión sólo se permite si el grupo no es miembro de otro grupo de ámbito global. Error! Use the Home tab to apply Título to the text that you want to appear here. 97 Dominio local a universal. Sin embargo, el grupo que se convierte no puede tener como miembro otro grupo de ámbito local de dominio. Para obtener información detallada acerca de estos procedimientos, consulte Para cambiar el ámbito de un grupo. Grupos integrados y predefinidos Al instalar un controlador de dominio se instalan también varios grupos predefinidos en las carpetas Usuarios e Integrados de la consola de Usuarios y equipos de Active Directory. Estos grupos son grupos de seguridad que representan conjuntos comunes de derechos y permisos que puede utilizar para conceder determinadas funciones, derechos y permisos a las cuentas y grupos que coloca en los grupos predeterminados. Los grupos predeterminados de ámbito local de dominio se encuentran en la carpeta Integrados. Los grupos predeterminados de ámbito global se encuentran en la carpeta Usuarios. Puede mover los grupos integrados y predefinidos a otros grupos o carpetas de unidades organizativas del dominio, pero no puede moverlos a otros dominios. Grupos integrados Los grupos predeterminados existentes en la carpeta Integrados de Usuarios y equipos de Active Directory son los siguientes: Operadores de cuentas Administradores Operadores de copia de seguridad Invitados Operadores de impresión Replicador Operadores de servidores Usuarios Estos grupos integrados tienen un ámbito local de dominio y se utilizan principalmente para asignar conjuntos predeterminados de permisos a usuarios que van a tener control administrativo en el dominio. Por ejemplo, el grupo Administradores de un dominio tiene un conjunto amplio de capacidades de administración sobre los recursos y cuentas del dominio. La siguiente tabla muestra los derechos predeterminados que tienen asignados estos grupos: Derecho de usuario Permite Grupos a los que está asignado este derecho de forma predeterminada Tener acceso a este equipo desde la red Conectar con el equipo a través de la red. Administradores, Todos, Usuarios avanzados Hacer copias de seguridad de archivos y carpetas Hacer copias de seguridad de archivos y carpetas. Este derecho prevalece sobre los permisos de los archivos y carpetas. Administradores, Operadores de copia de seguridad Error! Use the Home tab to apply Título to the text that you want to appear here. 98 Saltarse la comprobación de recorrido Pasar de una carpeta a otra para tener Todos acceso a los archivos, aún en el caso de que el usuario no tenga premiso de acceso a las carpetas de archivos principales. Cambiar la hora del sistema Establecer la fecha y hora del reloj interno del equipo. Administradores, Usuarios avanzados Crear un archivo de paginación Este derecho no tiene ningún efecto. Administradores Depurar programas Depurar diversos objetos de nivel inferior, por ejemplo, subprocesos. Administradores Forzar el apagado desde un sistema remoto Cerrar un equipo remoto. Administradores Aumentar la prioridad de una programación Aumentar la prioridad de ejecución de un proceso. Administradores, Usuarios avanzados Cargar y descargar controladores de dispositivo Instalar y quitar controladores de dispositivo. Administradores Inicio de sesión local Iniciar una sesión en el equipo a través Administradores, Operadores de copia de su teclado. de seguridad, Todos, Invitados, Usuarios avanzados y Usuarios Administrar los Especificar los tipos de acceso a Administradores registros de auditoría y recursos (por ejemplo, acceso a seguridad archivos) que deben incluirse en la auditoría, y ver y borrar el registro de seguridad. Este derecho no permite a un usuario establecer la directiva de auditoría del sistema. Los miembros del grupo Administradores siempre pueden ver y borrar el registro de seguridad. Modificar las variables Modificar las variables de entorno del Administradores de entorno del firmware sistema que se almacenan en la memoria RAM no volátil de los equipos que admiten este tipo de configuración. Perfilar el rendimiento de un proceso individual Realizar un análisis de rendimiento (muestreo de rendimiento) en un proceso. Administradores, Usuarios avanzados Perfilar el rendimiento del sistema Realizar un análisis de rendimiento Administradores (muestreo de rendimiento) en el equipo. Restaurar archivos y carpetas Restaurar copias de seguridad de archivos y carpetas. Este derecho prevalece sobre los permisos de los Administradores, Operadores de copia de seguridad Error! Use the Home tab to apply Título to the text that you want to appear here. 99 archivos y directorios. Apagar el sistema Cerrar el sistema Windows 2000. Administradores, Operadores de copia de seguridad, Todos, Usuarios avanzados y Usuarios. Tomar posesión de Tomar posesión de archivos, carpetas, Administradores archivos y otros objetos impresoras y otros objetos del equipo (o conectados a él). Este derecho prevalece sobre los permisos que protegen esos objetos. Para obtener más información acerca de los permisos de archivos y carpetas, consulte Permisos de carpetas compartidas. Grupos predefinidos Los grupos predefinidos incluidos en la carpeta Usuarios de Usuarios y equipos de Active Directory son los siguientes: Nombre de grupo Publicadores de certificados Administradores del dominio Equipos de dominio Controladores de dominio Invitados de dominio Usuarios de dominio Administradores de empresa Administradores de Directiva de grupo Administradores de esquema Puede utilizar estos grupos de ámbito global para recopilar en varios grupos los diversos tipos de cuentas de usuario existentes en ese dominio (usuarios normales, administradores e invitados). Esos grupos pueden a su vez incluirse en grupos de ámbito local de dominio en ese dominio y en otros. De forma predeterminada, cualquier cuenta de usuario que cree en un dominio se agrega automáticamente al grupo Usuarios de dominio y cualquier cuenta de equipo que cree se agrega automáticamente al grupo Equipos de dominio. Puede utilizar los grupos Usuarios de dominio y Equipos de dominio para representar todas las cuentas que se han creado en el dominio. Por ejemplo, si desea que todos los usuarios del dominio tengan acceso a una impresora, puede asignar permisos para la impresora al grupo Usuarios de dominio (o puede colocar el grupo Usuarios de dominio en un grupo local de dominio con permisos para la impresora). Para obtener más información acerca de las estrategias para utilizar grupos, consulte Estrategias para utilizar grupos. De forma predeterminada, el grupo Usuarios de dominio de un dominio es miembro del grupo Usuarios de ese mismo dominio. El grupo Administradores de dominio puede representar a los usuarios que tienen múltiples derechos administrativos en un dominio. Windows 2000 Server no incluye automáticamente en ese grupo ninguna cuenta, pero si desea que una cuenta tenga todos los derechos de administrador en un dominio (y posiblemente en otros dominios), puede incluirla en el grupo Administradores de dominio. Como Error! Use the Home tab to apply Título to the text that you want to appear here. 100 Windows 2000 Server permite delegar la autoridad, no se deben conceder estos múltiples derechos administrativos a muchos usuarios. De forma predeterminada, el grupo Administradores de dominio en un dominio es miembro del grupo Administradores en el mismo dominio. De forma predeterminada, el grupo Invitados de dominio es miembro del grupo Invitados en el mismo dominio y contiene automáticamente la cuenta de usuario Invitado predeterminada del dominio. Identidades especiales Además de los grupos de las carpetas Integrados y Usuarios, Windows 2000 Server incluye varias identidades especiales. Por comodidad, esas identidades se denominan normalmente grupos. Estos grupos especiales no tienen ninguna pertenencia específica que se pueda modificar, pero pueden representar a distintos usuarios en distintos momentos, dependiendo de las circunstancias. Los tres grupos especiales son: Todos Representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cada vez que un usuario inicia una sesión en la red, se agrega automáticamente al grupo Todos. Red Representa a los usuarios que tienen acceso en ese momento a un recurso dado a través de la red (a diferencia de los usuarios que tienen acceso a ese mismo recurso tras haber iniciado una sesión localmente en el equipo en el que está ubicado el recurso). Cada vez que un usuario tiene acceso a un recurso a través de la red, se agrega automáticamente al grupo Red. Interactivo Representa a todos los usuarios que tienen iniciada actualmente una sesión en un equipo determinado y tienen acceso a un recurso ubicado en ese equipo (a diferencia de los usuarios que tienen acceso al recurso a través de la red). Cada vez que un usuario tiene acceso a un recurso dado del equipo en el que ha iniciado una sesión, se agrega automáticamente al grupo Interactivo. Aunque se pueden asignar derechos y permisos sobre recursos a las identidades especiales, no es posible modificar o ver la pertenencia a dichas identidades especiales. Las identidades especiales no se ven cuando se administran grupos y no pueden colocarse en ningún grupo. Los ámbitos de grupo no se aplican a las identidades especiales. Estas identidades especiales se asignan automáticamente a los usuarios cuando inician una sesión o tienen acceso a un recurso determinado. Grupos en servidores Windows 2000 Professional e independientes Algunas características de los grupos, como los grupos universales, el anudamiento de grupos y la distinción entre grupos de seguridad y grupos de distribución, sólo existen en los controladores de dominio y servidores miembros de Active Directory. Las cuentas de grupo de los servidores Windows 2000 Professional y Windows 2000 Server independientes funcionan de igual forma que en Windows NT 4.0. Localmente sólo se pueden crear grupos locales en el equipo. En un equipo, sólo se pueden asignar permisos a un grupo local creado en ese mismo equipo. Un equipo Windows 2000 Professional que se une a un dominio de Windows 2000 obtiene ventajas adicionales del dominio. Se pueden mostrar los grupos globales y universales del dominio, así como los grupos globales y universales de todos los dominios del bosque. Puede asignar permisos en el equipo local a esos grupos, o incluirlos en grupos del equipo local. Error! Use the Home tab to apply Título to the text that you want to appear here. 101 Anidar grupos Mediante el anidamiento, puede agregar un grupo como miembro de otro grupo. Puede anidar grupos para consolidar la administración de grupos al aumentar el número de cuentas de miembro afectadas y para reducir el tráfico de replicación que causan los cambios de pertenencia de los grupos. Las opciones de anidamiento dependen de que el dominio esté en modo nativo o en modo mixto. En los grupos de los dominios de modo nativo o en los grupos de distribución de dominios de modo mixto, la pertenencia se determina de la siguiente forma: Los grupos de ámbito universal pueden tener como miembros: cuentas, cuentas de equipo, otros grupos de ámbito universal y grupos de ámbito global de cualquier dominio. Los grupos de ámbito global pueden tener como miembros: cuentas del mismo dominio y otros grupos de ámbito global del mismo dominio. Los grupos de ámbito local de dominio pueden tener como miembros: cuentas, grupos de ámbito universal y grupos de ámbito global, todos ellos de cualquier dominio. También pueden tener como miembros otros grupos de ámbito local de dominio pertenecientes al mismo dominio. En los dominios de modo mixto, los grupos de seguridad sólo pueden tener los siguientes tipos de miembros: Los grupos de ámbito global sólo pueden tener cuentas como miembros. Los grupos de ámbito local de dominio pueden tener como miembros cuentas y otros grupos de ámbito global. Los grupos de seguridad de ámbito universal no se pueden crear en dominios de modo mixto ya que el ámbito universal sólo se puede utilizar en los dominios de Windows 2000 de modo nativo. Grupos y modos de dominio La siguiente tabla resume el efecto que tienen los modos de dominio en los grupos. Para obtener más detalles, consulte Tipos de grupos, Ámbito de un grupo y Anidar grupos. Dominios de modo nativo Dominios de modo mixto Los grupos de seguridad y los grupos de distribución pueden tener un ámbito universal. Sólo los grupos de distribución pueden tener un ámbito universal. Está permitido el anidamiento de grupos completos. En los grupos de seguridad, el anidamiento de grupos está limitado a los grupos con ámbito local de dominio cuyos grupos miembros sean de ámbito global (norma de Windows NT 4.0). En los grupos de distribución está permitido el anidamiento de grupos completos. Los grupos se pueden convertir a voluntad de No se permite la conversión de grupos. grupos seguridad a grupos de distribución y viceversa. Los grupos que son de ámbito global o local de dominio se pueden convertir en grupos de ámbito universal. En los dominios de modo nativo y de modo mixto, los contactos y cuentas pueden ser miembros de cualquier grupo. Error! Use the Home tab to apply Título to the text that you want to appear here. 102 Cómo afectan los grupos al rendimiento de la red Cuando un usuario inicia una sesión en una red de Windows 2000, el controlador de dominio de Windows 2000 determina a qué grupo pertenece el usuario. Windows 2000 crea un testigo de seguridad y lo asigna al usuario. El testigo de seguridad incluye el Id. de la cuenta de usuario y el Id. de seguridad de todos los grupos de seguridad a los que pertenece el usuario. La pertenencia a grupos puede afectar al rendimiento de la red a través de: Los efectos en el inicio de sesión La replicación de grupos de ámbito universal El ancho de banda de la red Efectos en el inicio de sesión La generación del testigo de seguridad es un proceso prolongado; por ello, cuanto mayor sea el número de grupos de seguridad a los que pertenece el usuario, más tiempo se necesita para generar el testigo de seguridad de ese usuario y más tiempo tardará ese usuario en iniciar una sesión en la red. La importancia de este efecto depende del ancho de banda de la red y de la configuración del controlador de dominio que se ocupa del proceso de inicio de sesión. A veces, puede que desee crear un grupo sólo para propósitos de correo electrónico, sin tener la intención de utilizarlo para asignar derechos y permisos a sus miembros. Para mejorar el rendimiento en los inicios de sesión, esos grupos se deben crear como grupos de distribución, no como grupos de seguridad. Así se reduce el tamaño del testigo y el tiempo que se tarda en generarlo, ya que los grupos de distribución se pasan por alto cuando Windows 2000 genera el testigo de seguridad del usuario durante el proceso de inicio de sesión. Replicación de un grupo universal Los cambios a los datos almacenados en el catálogo global se replican en todos los catálogos globales del bosque. Los grupos que tienen un ámbito universal y sus miembros están incluidos en el catálogo global. Siempre que cambia un miembro de un grupo de ámbito universal, toda la pertenencia al grupo debe replicarse en todos los catálogos globales del bosque o el árbol de dominios. Los grupos de ámbito global o local de dominio también se incluyen en el catálogo global, pero no se incluyen sus miembros. Esto reduce el tamaño del catálogo global y reduce enormemente el tráfico de duplicación necesario para mantener actualizado el catálogo global. Puede mejorar el rendimiento de la red si utiliza grupos de ámbito global o local de dominio para los objetos del directorio que cambian con frecuencia. Ancho de banda de la red El testigo de seguridad de cada usuario se envía a todos los equipos a los que tiene acceso el usuario para que el equipo de destino pueda determinar si el usuario tiene los permisos o derechos necesarios en ese equipo al comparar todos los Id. de seguridad contenidos en el testigo con los permisos enumerados para los recursos de ese equipo. El equipo de destino también comprueba si cualquiera de los Id. de seguridad del testigo pertenecen a uno de los grupos locales del equipo de destino. Cuanto mayor sea el número de grupos a los que pertenece el usuario, mayor será el tamaño de su testigo de seguridad. Si la red tiene un gran número de usuarios, los efectos que tienen esos testigos de seguridad de gran tamaño en el ancho de banda de la red y en la capacidad de proceso del controlador del dominio pueden ser significativos. Por ejemplo, supongamos que un dominio determinado contiene 500 recursos de archivos compartidos, cada uno con su asignación correspondiente a un grupo de ámbito local de dominio al que se ha concedido acceso de lectura. Si la mayor parte de los usuarios tienen acceso de lectura a muchos de los Error! Use the Home tab to apply Título to the text that you want to appear here. 103 recursos compartidos, se agregarán aproximadamente 500 Id. de seguridad a los testigos de la mayor parte de los empleados. Esto puede llevar mucho tiempo y agregar una cantidad considerable de tráfico de datos a la red. Error! Use the Home tab to apply Título to the text that you want to appear here. 104 Servicio de directorio de Active Directory Esta sección trata: Nombres de objeto de Active Directory Clientes de Active Directory Almacén de datos del directorio Catálogo global Protocolo de acceso al directorio Operaciones de un solo maestro Replicación Descripción del esquema de Active Directory Nombres de objeto de Active Directory Cada objeto en Active Directory es una instancia de una clase definida en el esquema de Active Directory. Cada clase tiene atributos que aseguran lo siguiente: La identificación única de cada objeto (instancia de una clase) en un almacén de datos del directorio La compatibilidad con los Id. de seguridad utilizados en Windows NT 4.0 y versiones anteriores La compatibilidad con los estándares de LDAP para nombres de objetos del directorio Para obtener más información acerca del esquema, clases y atributos, consulte Introducción al esquema de Active Directory. Se puede hacer referencia a cada objeto en Active Directory con varios nombres diferentes. Active Directory crea un nombre diferenciado relativo y un nombre canónico para cada objeto según la información proporcionada cuando se creó o se modificó el objeto. También se puede hacer referencia a los objetos con el nombre diferenciado, que se obtiene del nombre diferenciado relativo del objeto y todos sus objetos contenedor primarios. El nombre diferenciado relativo de LDAP identifica de forma única el objeto en el contenedor primario. Por ejemplo, el nombre diferenciado relativo de LDAP correspondiente a un equipo llamado miPC sería CN=miPC. El nombre diferenciado de LDAP es globalmente único. Por ejemplo, el nombre diferenciado de un equipo llamado miPC en la unidad organizativa MiUnidadOrganizativa del dominio microsoft.com sería CN=miPC, OU=MiUnidadOrganizativa, DC=microsoft, DC=com. El nombre canónico se crea de la misma manera que el nombre diferenciado, pero se representa con una notación diferente. El nombre canónico del equipo del ejemplo anterior sería Microsoft.com/MiUnidadOrganizativa/miPC. Los objetos de principales de seguridad son objetos de Active Directory a los que se asignan identificadores de seguridad, que se pueden utilizar para iniciar sesiones en la red y a los que se puede conceder el acceso a los recursos del dominio. Un administrador debe proporcionar los nombres de los Error! Use the Home tab to apply Título to the text that you want to appear here. 105 objetos de principales de seguridad (cuentas de usuario, cuentas de equipo y grupos) que son únicos en un dominio. Observe lo que ocurre al agregar una nueva cuenta de usuario al directorio. Debe proporcionar el nombre que el usuario utilizará para iniciar una sesión en la red, el nombre del dominio que contiene la cuenta de usuario y otros datos que lo describen, como su nombre y apellidos, número de teléfono, etc. (llamados atributos). Toda esta información se registra en el directorio. Los nombres de los objetos de principales de seguridad pueden contener todos los caracteres Unicode excepto los caracteres LDAP especiales definidos en el documento RFC 2253. Esta lista de caracteres especiales incluye: espacios a la izquierda; espacios al final; y los siguientes caracteres: # , + " \ < > ; Los nombres de principales de seguridad deben cumplir las siguientes reglas: Tipo de nombre de cuenta Tamaño máximo Limitaciones especiales Cuenta de usuario 20 caracteres o 20 bytes, según el juego de caracteres; los caracteres individuales pueden necesitar más de un byte. Una cuenta de usuario no puede estar formada sólo por puntos (.), espacios o el signo arroba (@). Los puntos o espacios a la izquierda se recortan. Cuenta de equipo 15 caracteres o 15 bytes, según el juego de caracteres; los caracteres individuales pueden necesitar más de un byte. Una cuenta de equipo no puede estar formada sólo por números, puntos (.) o espacios. Los puntos o espacios a la izquierda se recortan. Cuenta de grupo 63 caracteres o 63 bytes, según el juego de caracteres; los caracteres individuales pueden necesitar más de un byte. Una cuenta de grupo no puede estar formada sólo por números, puntos (.) o espacios. Los puntos o espacios a la izquierda se recortan. Nota: Si el administrador cambia la configuración de seguridad predeterminada, es posible utilizar nombres de equipo con más de 15 caracteres. Para obtener más información, consulte Denominación de cuentas y dominios. A partir de la información proporcionada por la persona que ha creado el objeto de principal de seguridad, Active Directory genera un Id. de seguridad y un Id. único global para identificar el principal de seguridad. Active Directory también crea un nombre diferenciado relativo de LDAP, basado en el nombre del principal de seguridad. El nombre diferenciado de LDAP y el nombre canónico se obtienen del nombre diferenciado relativo y los nombres del dominio y de los contextos de contenedor en los que se ha creado el objeto de principal de seguridad. Si la organización tiene varios dominios, es posible utilizar el mismo nombre de usuario o de equipo en dominios distintos. El Id. de seguridad, el Id. único global, el nombre diferenciado de LDAP y el nombre canónico que genera Active Directory identificarán de forma única a cada usuario, equipo o grupo del bosque. Si el objeto del principal de seguridad cambia de nombre o se mueve a un dominio distinto, el Id. de seguridad, el nombre diferenciado relativo de LDAP, el nombre diferenciado de LDAP y el nombre canónico cambiarán también, pero el Id. único global que genera Active Directory seguirá siendo el mismo. Los objetos de principales de seguridad, como las cuentas de usuario, pueden cambiarse de nombre, moverse o incluirse en una jerarquía de dominios anidados. Para reducir los efectos de cambiar el nombre, mover o asignar nombres de cuenta de usuario en una jerarquía de dominios anidados, Active Directory proporciona un método que simplifica los nombres de inicio de sesión de los usuarios. Para Error! Use the Home tab to apply Título to the text that you want to appear here. 106 obtener información acerca de los nombres de inicio de sesión de los usuarios, consulte Denominación de cuentas y dominios, Agregar sufijos de nombre principal de usuario y Cuentas de usuario y equipo de Active Directory. Clientes de Active Directory El cliente de Active Directory es el software de cliente de red para equipos que se conectan con las redes de Active Directory. Un equipo configurado con el cliente de Active Directory puede iniciar la sesión en la red si encuentra un controlador de dominio. El cliente puede aprovechar completamente las características de Active Directory. Los equipos con clientes de Active Directory son: Equipos donde se ejecuta Windows 2000 Server o Windows 2000 Professional. Equipos donde se ejecuta Windows 98 o Windows 95 que tienen instalado el software de cliente de Active Directory complementario. El cliente de Active Directory se suministra en un solo paquete de actualización en la carpeta Clients que se encuentra en el disco compacto de Windows 2000 Server. Buscar un controlador de dominio Para iniciar una sesión en una red de Active Directory, un cliente de Active Directory debe encontrar primero un controlador de dominio de Active Directory para su dominio. Para encontrar un controlador de dominio para un dominio especificado, un cliente de Active Directory envía una consulta de nombre DNS a sus servidores DNS configurados con las siguientes características: Tipo de consulta: SRV (Registro de recursos del localizador de servicios) Nombre de la consulta: _ldap._tcp.nombreDeDominio Por ejemplo, para iniciar una sesión en el dominio microsoft.com, un cliente de Active Directory envía una consulta de nombre DNS del tipo SRV para el nombre _ldap._tcp.microsoft.com. La respuesta del servidor DNS contiene los nombres DNS de los controladores de dominio y sus direcciones IP. A partir de la lista de direcciones IP de los controladores de dominio, el cliente intenta entrar en contacto con cada controlador de dominio para asegurarse de que está operativo. El primer controlador de dominio que responde es el que se utiliza para el proceso de inicio de sesión. Para obtener información detallada acerca de este proceso así como de los otros tipos de consultas que realizan los clientes de Active Directory para encontrar otros tipos de servidores de Active Directory, consulte el Kit de recursos de Windows 2000. Almacén de datos del directorio El servicio de directorio de Active Directory utiliza un almacén de datos replicados. Este almacén de datos con frecuencia se conoce simplemente como directorio. El directorio contiene información acerca de objetos como usuarios, grupos, equipos, dominios, unidades organizativas y directivas de seguridad. Esta información se puede publicar para que otros usuarios y administradores hagan uso de ella. El directorio se almacena en controladores de dominio y a él pueden tener acceso las aplicaciones o los servicios de red. Un dominio puede tener uno o varios controladores de dominio. Cada controlador de dominio tiene una copia del directorio del dominio en el que se encuentra. Los cambios efectuados en el directorio se replican del controlador de dominio de origen a otros controladores de dominio del dominio, árbol de dominios o bosque. Puesto que el directorio se replica, y ya que cada controlador de dominio Error! Use the Home tab to apply Título to the text that you want to appear here. 107 tiene una copia del directorio, éste está a completa disposición de los usuarios y administradores en todo el dominio. Los datos del directorio se almacenan en el archivo Ntds.dit en una partición NTFS en el controlador de dominio. Los datos privados se almacenan de forma segura y los datos públicos del directorio lo hacen en un volumen del sistema compartido a partir del que se pueden replicar en otros controladores de dominio del dominio. Hay tres categorías de datos del directorio replicados entre controladores de dominio: Datos del dominio Los datos del dominio contienen información acerca de los objetos de un dominio. Se trata de la información del directorio, por ejemplo, contactos de correo electrónico, atributos de las cuentas de usuarios y equipos, y recursos publicados que resultan de interés para administradores y usuarios. Por ejemplo, cuando una cuenta de usuario se agrega a la red, un objeto de la cuenta de usuario y sus atributos se almacenan en los datos del dominio. Cuando se producen cambios en los objetos de directorio de la organización, como puede ser la creación de un objeto, su eliminación o la modificación de los atributos, estos datos se almacenan en los datos del dominio. Datos de configuración Los datos de configuración describen la topología del directorio. Estos datos de configuración incluyen una lista de todos los dominios, árboles y bosques así como las ubicaciones de los controladores de dominio y los catálogos globales. Datos de esquema El esquema es la definición formal de todos los datos de objetos y atributos que se pueden almacenar en el directorio. Windows 2000 Server incluye un esquema predeterminado que define muchos tipos de objetos, como cuentas de usuarios y equipos, grupos, dominios, unidades organizativas y directivas de seguridad. Los administradores y los programadores pueden ampliar este esquema mediante la definición de nuevos tipos de objetos y atributos, o la adición de atributos nuevos para los objetos existentes. Los objetos del esquema están protegidos por listas de control de acceso, lo que asegura que sólo los usuarios autorizados puedan modificar el esquema. Para obtener más información acerca del esquema, consulte Esquema de Active Directory. Nota: Si el controlador de dominio es también un catálogo global, almacena un subconjunto de datos del directorio para todos los demás dominios del bosque. Para obtener más información acerca de los controladores de dominio, consulte Controladores de dominio. Para obtener más información acerca del catálogo global, consulte Catálogo global. Catálogo global De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global. Almacena una réplica completa de todos los objetos del directorio de su dominio host y una réplica parcial de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque. La réplica es parcial ya que almacena algunos, pero no todos, de los valores de propiedades de cada objeto del bosque. El catálogo global realiza dos funciones de directorio principales: Permite el inicio de sesión en la red al proporcionar información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión. Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente los datos. Cuando un usuario inicia la sesión en la red, el catálogo global proporciona información de pertenencia a grupos universales para la cuenta que envía la solicitud de inicio de sesión al controlador de dominio. Si Error! Use the Home tab to apply Título to the text that you want to appear here. 108 sólo hay un controlador de dominio en el dominio, el controlador de dominio y el catálogo global serán el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guarda en el controlador de dominio configurado como tal. Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario sólo podrá conectarse al equipo local. Importante Si un usuario pertenece al grupo Administradores de dominio, podrá iniciar la sesión en la red aunque no esté disponible un catálogo global. El catálogo global está diseñado para responder a los usuarios y a consultas de programación acerca de los objetos de cualquier parte del bosque con la máxima velocidad y el mínimo tráfico en la red. Debido a que un solo catálogo global contiene información acerca de los objetos de todos los dominios del bosque, una consulta relativa a un objeto puede resolverla un catálogo global del dominio en el que se inició la consulta. Así, la búsqueda de información en el directorio no produce tráfico de consultas innecesario en todos los límites del dominio. Puede configurar de manera opcional cualquier controlador de dominio para que guarde un catálogo global, en función de los requisitos de su organización para la atención de las solicitudes de inicio de sesión y de las consultas de búsqueda. Una vez instalados los controladores de dominio adicionales en el dominio, puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante Sitios y servicios de Active Directory. Active Directory define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos (como la pertenencia a grupos universales) se almacenan en el catálogo global. Con el Esquema de Active Directory, puede especificar los atributos adicionales que desea que se mantengan en el catálogo global. Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red. Protocolo de acceso al directorio Los clientes de Active Directory deben comunicarse con los equipos que ejecutan Active Directory durante el inicio de sesión en la red y cuando buscan recursos compartidos. El acceso a los controladores de dominio y al catálogo global se realiza mediante el Protocolo compacto de acceso a directorios (LDAP, Lightweight Directory Access Protocol). Protocolo compacto de acceso a directorios LDAP es un protocolo de comunicaciones diseñado para su uso en redes TCP/IP. LDAP define cómo puede tener acceso un cliente de directorio a un servidor de directorios y cómo el cliente puede realizar operaciones de directorio y compartir datos del directorio. Los grupos de trabajo correspondientes del Grupo de trabajo de ingeniería de Internet (IETF, Internet Engineering Task Force) establecen los estándares de LDAP. Active Directory aplica las especificaciones del borrador de atributos de LDAP y los estándares de IETF para las versiones 2 y 3 de LDAP. Como implica su nombre, LDAP es un método eficiente que permite tener acceso a los servicios de directorio sin las complejidades asociadas a otros protocolos de servicios de directorio. Dado que LDAP define qué operaciones pueden realizarse para consultar y modificar información en un directorio y cómo se puede tener acceso seguro a esa información, es posible utilizarlo para buscar o enumerar objetos de directorio, y para consultar o administrar Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 109 LDAP e interoperabilidad LDAP es un estándar abierto de Internet. Mediante LDAP, Active Directory permite interoperar con los servicios de directorio de otros fabricantes. La compatibilidad de Active Directory con LDAP incluye un objeto proveedor de LDAP que forma parte de las Interfaces de servicio de Active Directory (ADSI, Active Directory Service Interfaces). ADSI permite utilizar las interfaces de programación de aplicaciones enlazadas con C para LDAP especificadas en el estándar de Internet RFC 1823. Otras aplicaciones de servicios de directorio pueden modificarse fácilmente, mediante ADSI y LDAP, para tener acceso a la información de Active Directory. Para obtener más información acerca de LDAP, visite el sitio Web del Grupo de trabajo de ingeniería de Internet, The Internet Engineering Task Force (http://www.ietf.org/). Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí. Operaciones de un solo maestro Active Directory permite realizar la replicación Multimaster del almacén de datos de directorio entre todos los controladores del dominio. Algunos cambios no se pueden realizar por el método Multimaster, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes de este tipo de cambios. Dado que las funciones de maestro de operaciones pueden moverse a otros controladores de dominio del mismo domino o del bosque, esas funciones se denominan a veces operaciones flexibles de un solo maestro. En cualquier bosque de Active Directory hay cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todos los bosques. Otras funciones deben estar presentes en todos los dominios del bosque. Funciones de maestro de operaciones en todo el bosque Cada bosque de Active Directory debe tener las siguientes funciones: Maestro de esquema Maestro de nombres de dominio Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio. Maestro de esquema El controlador maestro de esquema del dominio controla todas las actualizaciones y modificaciones al esquema. Para poder actualizar el esquema de un bosque, debe tener acceso al maestro de esquema. En un momento dado, sólo puede haber un maestro de esquema en todo el bosque. Maestro de nombres de dominio El controlador de dominio al que se asigna la función de maestro de nombres de dominio controla la adición o eliminación de dominios en el bosque. En un momento dado, sólo puede haber un maestro de nombres de dominio en todo el bosque. Funciones de maestro de operaciones en todo el dominio Cada dominio del bosque debe tener las siguientes funciones: Maestro de identificadores relativos Emulador del controlador principal de dominio (PDC, Primary Domain Controller) Maestro de infraestructuras Error! Use the Home tab to apply Título to the text that you want to appear here. 110 Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de identificadores relativos, un emulador del PDC y un maestro de infraestructuras. Maestro de identificadores relativos El maestro de identificadores relativos asocia secuencias de identificadores relativos a cada uno de los distintos controladores de su dominio. En un momento dado, sólo puede haber un controlador de dominio que actúe como maestro de identificadores relativos en cada dominio del bosque. Cada vez que un controlador de dominio crea un objeto de usuario, grupo o equipo, asigna al objeto un Id. de seguridad único. El Id. de seguridad consta de un Id. de seguridad de dominio (que es el mismo para todos los Id. de seguridad creados en un dominio específico) y de un Id. relativo que es único para cada Id. de seguridad creado en el dominio. Para mover un objeto de un dominio a otro (mediante Movetree.exe), debe iniciar la operación en el controlador de dominio que actúa como maestro de identificadores relativos del dominio que contiene el objeto en ese momento. Emulador del PDC Si el dominio contiene equipos que operan sin el software de cliente de Windows 2000 o si contiene controladores de reserva (BDC, Backup Domain Controller) de Windows NT, el emulador del PDC actúa como un controlador principal de dominio de Windows NT. Se ocupa de procesar los cambios de contraseña de los clientes y replica las actualizaciones en los BDC. En un momento dado, sólo puede haber un controlador de dominio que actúe como emulador del PDC en cada dominio del bosque. En un dominio de Windows 2000 que funciona en modo nativo, el emulador del PDC recibe la replicación preferencial de los cambios a las contraseñas realizados por otros controladores del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una autenticación de inicio de sesión produce un error en otro controlador de dominio debido a una contraseña incorrecta, ese controlador de dominio reenviará la solicitud de autenticación al emulador del PDC antes de rechazar el intento de inicio de sesión. Maestro de infraestructuras El maestro de infraestructuras es responsable de actualizar las referencias de grupos a usuarios cada vez que hay alguna variación o cambio de nombre en los miembros de un grupo. En un momento dado, sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside en un dominio distinto del grupo), puede que durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grupo de forma que sepa en todo momento el nuevo nombre o ubicación del miembro. El maestro de infraestructuras distribuye la actualización mediante la replicación Multimaster. La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a ese grupo en particular podría darse cuenta de la falta momentánea de coherencia. Para obtener información acerca de dónde se instalan de forma predeterminada las operaciones de un solo maestro y para conocer cómo puede optimizar su ubicación en la red, consulte Planear las ubicaciones de los maestros de operaciones. Para obtener información acerca de cómo transferir las funciones de maestro de operaciones, consulte Transferir las funciones de maestro de operaciones. Para obtener información acerca de qué se debe hacer cuando se produce un error en un maestro de operaciones, consulte Responder a errores en los maestros de operaciones. Error! Use the Home tab to apply Título to the text that you want to appear here. 111 Replicación Para saber más acerca de la replicación, consulte: Metas y estrategias de la replicación Cómo afectan las particiones de directorio a la replicación Cómo funciona la replicación Opciones de replicación Metas y estrategias de la replicación Los usuarios y los servicios deben de poder tener acceso a la información del directorio en cualquier momento y desde cualquier equipo del bosque. Para que esto sea posible, las adiciones, modificaciones y eliminaciones de datos del directorio se deben transmitir a otros controladores de dominio. Para obtener más información acerca de qué tipos de datos del directorio se replican en los controladores de dominio en comparación con los catálogos globales, consulte Cómo funciona la replicación. Por ejemplo, si cambia la contraseña de su cuenta en la oficina de Toledo de su organización, la nueva contraseña debe ser válida cuando inicie la sesión con la misma cuenta en la oficina de Sidney. Esto es posible si se replican los cambios del directorio efectuados en otros controladores de dominio, incluido el de la oficina de Sydney. Para obtener más información acerca de dónde se distribuyen los diferentes tipos de información del directorio, consulte Cómo funciona la replicación. La información del directorio se debe distribuir de forma extensa, pero teniendo siempre en cuenta la necesidad de optimizar el rendimiento de la red. Si las actualizaciones del directorio se distribuyen continuamente a otros controladores de dominio del dominio, agotarán los recursos de red. Aunque puede agregar o configurar manualmente conexiones, o forzar la replicación a través de una conexión en particular, por lo general debe permitir que el comprobador de coherencia de réplica de Active Directory optimice automáticamente la replicación en función de la información proporcionada a Sitios y servicios de Active Directory acerca de la distribución. Para obtener más información, consulte Para agregar o configurar manualmente conexiones y Para forzar la replicación a través de una conexión. Windows 2000 utiliza el control de los cambios de la replicación y los sitios para optimizar la replicación: Al volver a evaluar de vez en cuando las conexiones que se utilizan, Active Directory emplea las conexiones de red más efectivas. Active Directory utiliza múltiples rutas para replicar los cambios, lo que proporciona tolerancia a los errores. Los costos de la replicación se reducen al mínimo ya que sólo se replica la información cambiada. Replicación entre sitios Las conexiones de red se representan mediante vínculos a sitios. Al crear vínculos a sitios y configurar la disponibilidad de replicación, el costo y la frecuencia de replicación, proporciona al comprobador de coherencia de réplica de Active Directory información acerca de los objetos conexión que se pueden crear para replicar datos del directorio. Active Directory utiliza vínculos a sitios para indicar dónde se deben crear objetos conexión y éstos utilizan las conexiones de red reales para intercambiar información del directorio. Sin vínculos a sitios, no se podrán crear los objetos conexión que utilizan conexiones de red para conectarse con los sitios y los controladores de dominio quedarán aislados dentro de sus sitios: no podrán enviar actualizaciones del directorio a otros controladores de dominio que se encuentren fuera de su propio sitio, ni recibirlas. Para evitarlo, cree vínculos a sitios para conectar múltiples sitios. Error! Use the Home tab to apply Título to the text that you want to appear here. 112 Al crear un sitio, puede ser aconsejable crear más vínculos para permitir conexiones específicas entre sitios y personalizar los vínculos a sitios existentes que conectan los sitios. Mediante su superposición, los vínculos a sitios se pueden vincular juntos en los puentes de vínculos a sitios o puede establecer un puente entre todos los vínculos a sitios y aumentar de esta forma la conectividad disponible entre vínculos a sitios. Dicha configuración de vínculos a sitios optimiza la replicación de información del directorio. La creación de puentes de vínculos a sitios o el establecimiento de un puente entre todos los sitios optimiza la replicación, pero pueden producirse errores si existen controladores de dominio en un solo vínculo a sitios o en vínculos a sitios enlazados con un puente que abarcan un servidor de seguridad. Debido a que todos los controladores de dominio de un vínculo a sitios o de un puente de vínculos a sitios intentan enviar actualizaciones del directorio a otros controladores de dominio de su sitio o de su vínculo a sitios, pueden enviar actualizaciones a controladores de dominio que están en el lado opuesto de un servidor de seguridad. Si esto ocurre, dichos intentos fracasarán a menos que el que realice el envío sea también el servidor proxy de seguridad. Por lo tanto, si tiene controladores de dominio en diferentes lados de un servidor de seguridad y éste está configurado de forma que únicamente permite la transmisión de paquetes entre equipos específicos, no los coloque todos en un lado, aunque estén conectados correctamente. En su lugar, agregue todos los controladores de dominio que están en el mismo lado de un servidor de seguridad a un vínculo a sitios y establezca el servidor proxy de seguridad como el servidor cabeza de puente preferido del vínculo. Si hace esto, el servidor de seguridad no bloqueará la replicación. Los vínculos a sitios no se generan automáticamente. Para obtener más información, consulte Para enlazar con un puente todos los vínculos a sitios. Una vez instalado el primer controlador de dominio, todos los demás controladores de dominio se agregan automáticamente al mismo sitio que el controlador original, a menos que se cumpla alguna de las tres condiciones siguientes: Se proporciona un sitio predeterminado alternativo mediante Sitios y servicios de Active Directory. En el momento de instalar el controlador de dominio, su dirección IP cae dentro de la subred especificada anteriormente en un sitio alternativo. El controlador de dominio se agrega entonces a este sitio alternativo. Ya ha movido un controlador de dominio desde otro sitio al sitio al que está agregando el nuevo controlador de dominio. En este caso, el controlador de dominio nuevo se agrega al sitio que contiene el controlador de dominio movido anteriormente. Nota: En general, puede instalar un controlador de dominio en un sitio que tenga controladores de dominio. La excepción a esta regla es el primer controlador de dominio instalado, que crea automáticamente el sitio Primer sitio predeterminado. No puede crear un primer controlador de dominio en cualquier sitio, solamente en el Primer sitio predeterminado, pero puede crearlo en un sitio que tenga un controlador de dominio ya existente y moverlo después a otro sitio. Por lo tanto, después de instalar el primer controlador de dominio, si crea el Primer sitio predeterminado, puede crear otros en este sitio y moverlos después a sitios alternativos. Active Directory crea automáticamente conexiones (objetos conexión) dentro de un sitio, pero las conexiones entre sitios no se generan automáticamente a menos que el sitio sea un vínculo a sitios y contenga un controlador de dominio. Los objetos conexión son necesarios para la replicación. Notas Es posible cambiar información (por ejemplo, la descripción) acerca de objetos conexión que el comprobador de coherencia de réplica ha creado automáticamente; no obstante, la próxima vez que se cree automáticamente el objeto conexión, se perderán los cambios realizados en ese objeto. Error! Use the Home tab to apply Título to the text that you want to appear here. 113 Si hay conexiones de red disponibles, debe utilizar Sitios y servicios de Active Directory para agregar vínculos a sitios que se correspondan con las conexiones de red. Para obtener más información acerca de cómo agregar vínculos a sitios, consulte Para crear un vínculo a sitios. Ejemplo 1 Considere el ejemplo siguiente de una implementación que incluye sitios en Seattle, Atlanta, Ciudad de México y Sydney. En dicha implementación, tiene sentido crear sitios de acuerdo con los límites geográficos, ya que es probable que los equipos de una sola área geográfica estén mejor conectados que los equipos de áreas diferentes. En este ejemplo, los sitios están conectados con puentes de vínculos a sitios. Seattle y Ciudad de México están conectados directamente y a través del sitio de Atlanta. Si cualquiera de las conexiones de Seattle a Ciudad de México deja de estar disponible, las otras conexiones se pueden utilizar para mantener el intercambio de información del directorio. Este tipo de redundancia permitirá una mayor confiabilidad en el intercambio de información del directorio. En este caso, con múltiples rutas entre sitios, establezca costos diferentes para los vínculos a sitios con el objeto de tener una ruta que se utilice de manera preferente. Por ejemplo, aumente el costo del vínculo a sitios de Seattle a Ciudad de México si el ancho de banda es más limitado que las conexiones de Seattle a Atlanta y de Atlanta a Ciudad de México. Puesto que Sydney no está conectado directamente ni con Seattle ni con Atlanta, estos sitios sólo pueden intercambiar información del directorio con el sitio de Sydney mediante la replicación Error! Use the Home tab to apply Título to the text that you want to appear here. 114 a través del sitio de Ciudad de México. Dicha configuración sólo tiene sentido si no hay conexiones directas confiables desde Seattle o Atlanta a Sydney. Ejemplo 2 Considere el ejemplo siguiente de dos sitios conectados mediante un vínculo a sitios. Este ejemplo presenta un total de seis controladores de dominio, dos de los cuales son servidores cabeza de puente. Los dos sitios están conectados mediante un puente de vínculos a sitios. En este puente de vínculos a sitios podrían estar contenidos más sitios. Dentro del puente de vínculos a sitios hay una línea que representa la conexión de los servidores cabeza de puente de cada sitio. Los servidores cabeza de puente son los preferidos para la replicación, pero los otros controladores de dominio del sitio se podrían configurar para replicar los cambios del directorio. Una vez replicadas las actualizaciones en los servidores cabeza de puente del otro sitio, éstas se replican a su vez en otros controladores de dominio del sitio a través de la replicación intrasitios (dentro del sitio). Aunque un solo controlador de dominio recibe la actualización del directorio entre sitios inicial, todos los controladores de dominio atienden las solicitudes de cliente. Replicación dentro de un sitio La información del directorio dentro de un sitio se replica regular y automáticamente. La configuración constituida por las conexiones utilizadas para replicar información del directorio entre controladores de dominio, llamada topología de replicación, es generada automáticamente por Active Directory. Active Directory intenta establecer una topología que permita al menos dos conexiones con cada controlador de dominio, de modo que si uno de ellos deja de estar disponible, la información del directorio pueda llegar todavía a todos los controladores de dominio conectados a través de la otra conexión. Active Directory evalúa y ajusta automáticamente la topología de replicación para adaptarse al estado cambiante de la red. Por ejemplo, cuando un controlador de dominio se agrega a un sitio, la topología de replicación se ajusta para incorporar de forma efectiva esta nueva adición. Error! Use the Home tab to apply Título to the text that you want to appear here. 115 Cómo afectan las particiones del directorio a la replicación La información almacenada en el directorio se divide en tres categorías. Cada una de ellas se denomina partición de directorio. Estas particiones de directorio son las unidades de replicación. La información que contiene cada una de las particiones se describe de la forma siguiente: Información de esquema. Define los objetos que se pueden crear en el directorio y los atributos que éstos pueden tener. Esta información es común a todos los dominios del bosque. Información de configuración. Describe la estructura lógica de su implementación y contiene información como la estructura del dominio o la topología de la replicación. Esta información es común a todos los dominios del bosque. Datos del dominio. Describe todos los objetos de un dominio. Estos datos son específicos del dominio y no se distribuyen a ningún otro dominio. Con el propósito de encontrar información por todo el árbol o bosque de dominios, en el catálogo global se almacena un subconjunto de las propiedades de todos los objetos de todos los dominios. La información del esquema y configuración se replica en todos los controladores de dominio del bosque. Todos los datos de un dominio en particular se replican en cada uno de los controladores de dominio de ese dominio. Todos los objetos de cada dominio y un subconjunto de las propiedades de todos los objetos del bosque se replican en el catálogo global. Un controlador de dominio almacena y replica: La información del esquema del bosque La información de la configuración para todos los dominios del bosque Todos los objetos de directorio y las propiedades para su dominio. Estos datos se replican en cualquier controlador de dominio adicional existente en el dominio. Para obtener más información acerca de los controladores de dominio, consulte Controladores de dominio. En un controlador de dominio se aloja un catálogo global. Cada bosque tiene al menos un catálogo global. El catálogo global inicial se crea automáticamente durante la instalación del primer controlador de dominio del bosque. Debe habilitar al menos un controlador de dominio como catálogo global en cada sitio, ya que es necesario para completar el proceso de autenticación de inicio de sesión (el catálogo global se utiliza para determinar la pertenencia a grupos de una cuenta). Un catálogo global almacena y replica: La información del esquema del bosque La información de la configuración para todos los dominios del bosque Un subconjunto de las propiedades de todos los objetos de directorio del bosque (replicados sólo entre catálogos globales) Todos los objetos de directorio y todas sus propiedades para el dominio en el que se encuentra el catálogo global. Puede agregar atributos nuevos al catálogo global. Al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los datos de dominio de todos los dominios del bosque. En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red. Para obtener más información, consulte Para agregar un atributo al catálogo global y Introducción al esquema de Active Directory. La ilustración siguiente representa el modo en que se intercambia la información entre catálogos globales de diferentes dominios: Error! Use the Home tab to apply Título to the text that you want to appear here. 116 Para obtener más información acerca de los catálogos globales, consulte Catálogo global. Para decidir dónde colocar catálogos globales, consulte Catálogo global y servidor principal de infraestructuras. Replicación y tamaño de la red A medida que amplía su implementación desde el primer controlador de dominio a múltiples controladores de dominio en varios dominios, cambia la información del directorio que se replica. El aumento de la complejidad se desarrolla en la forma siguiente: El primer controlador de dominio se implementa en un solo dominio. Debido a que éste es el primer controlador de dominio, también es el catálogo global. En este punto no se produce ninguna replicación entre controladores de dominio ya que no hay otros controladores de dominio en los que replicar. Error! Use the Home tab to apply Título to the text that you want to appear here. 117 Un segundo controlador de dominio, que no aloja ningún catálogo global, se agrega a la implementación. Comienza la replicación de los datos del directorio directamente entre los dos controladores de dominio. Puesto que los dos controladores de dominio están en el mismo dominio, todos los objetos de directorio y las propiedades para el dominio, así como la información del esquema y configuración del bosque se replican entre los dos equipos. Un tercer controlador de dominio, que no aloja ningún catálogo global, se agrega a la implementación. Puesto que los tres controladores de dominio están en el mismo dominio, todos los objetos de directorio y las propiedades para el dominio, así como la información del esquema y configuración del bosque se replican entre los tres equipos. Error! Use the Home tab to apply Título to the text that you want to appear here. 118 Se agrega un segundo dominio. El dominio nuevo contiene tres controladores de dominio, uno de los cuales aloja un catálogo global. Dentro de cada uno de los dos dominios, los tres controladores de dominio se replican entre ellos todos los objetos de directorio y las propiedades para el dominio, así como la información del esquema y configuración del bosque. El único catálogo global del bosque está en el dominio A, de modo que un subconjunto de los objetos de directorio y sus propiedades del dominio B se replican en el catálogo global del dominio A. Un controlador de dominio en el dominio B se configura para alojar un catálogo global. Ambos dominios contienen tres controladores de dominio y, en ambos dominios, uno de los controladores de dominio aloja un catálogo global. Dentro de cada uno de los dos dominios, los tres controladores de dominio se replican entre ellos todos los objetos de directorio y las propiedades para el dominio, así como la Error! Use the Home tab to apply Título to the text that you want to appear here. 119 información del esquema y configuración del bosque. Entre los dos dominios, se replican en el catálogo global correspondiente (otro dominio) la información del esquema y configuración del bosque, y un subconjunto de los objetos de directorio y sus propiedades para cada dominio. Funcionamiento de la replicación Para ilustrar la replicación en Active Directory, imagine una organización hipotética con un dominio que abarca una red de área extensa (WAN, Wide Area Network) con varios sitios. Esta red WAN incluye un sitio en Londres y uno en Nueva York, cada uno de ellos con un controlador de dominio. Los controladores de dominio hacen un seguimiento de cuántos cambios han realizado en su copia del directorio y de cuántos cambios han recibido de los otros controladores de dominio que son sus servidores asociados de replicación. Si el controlador de dominio de Londres descubre que no tiene todos los cambios que ha realizado el controlador de dominio de Nueva York, puede solicitar los nuevos cambios, y sólo los nuevos cambios. Así se facilita la actualización de un controlador de dominio que ha estado desconectado de la red, ya que es evidente qué información de directorio ha cambiado y, por tanto, debe replicarse. Dado que el seguimiento de los cambios se efectúa mediante una secuencia numérica, no por el momento en que tienen lugar, no es necesario utilizar relojes sincronizados a no ser en casos poco frecuentes, como la resolución de conflictos entre cambios. Evitar la replicación innecesaria Active Directory replica los datos a través de conexiones de red creadas automática o manualmente y especificadas en el directorio. Esto proporciona tolerancia a errores, pero requiere que Active Directory se asegure además de que un cambio no se replica varias veces en el mismo controlador de dominio a través de conjuntos distintos de conexiones. Por ejemplo, una vez que el controlador de dominio de Londres ha aplicado un cambio recibido del controlador de dominio de Nueva York, el controlador de dominio de Londres necesita indicar que esta nueva información no debe replicarse en el controlador que originó el cambio, el controlador de dominio de Nueva York. Si no se impide, este ciclo de replicación continuaría de forma indefinida y podría colapsar la red. Active Directory evita ese problema al hacer un seguimiento de qué atributo ha cambiado en el objeto actualizado y cuántas veces se ha incrementado el valor de la propiedad Originating Write del objeto. Un cambio que aumenta el valor de una propiedad Originating Write indica que se trata de un cambio del objeto que ha sido realizado por el cliente, a diferencia de un cambio realizado por Active Directory al replicar información de directorio actualizada. Cuando el controlador de dominio de Nueva York recibe la notificación de que un objeto del directorio de Londres ha cambiado, comprueba si el cambio ha afectado a la propiedad Originating Write. Si no está activada esa propiedad, no es necesario replicar el cambio en el directorio de Nueva York. Resolver conflictos entre cambios Es posible que dos usuarios distintos realicen un cambio en la misma propiedad de un objeto y que esos cambios se apliquen en dos controladores de dominio distintos que se encuentran en el mismo dominio, antes de que se haya completado la replicación de cualquiera de los cambios. En ese caso, ambos cambios se replican como nuevos a otros controladores de dominio y ambos tienen incrementada su propiedad Originating Write. Para resolver esta situación, el controlador de dominio que recibe los cambios conflictivos examina la marca de fecha y hora de cada uno de los cambios, acepta el que tiene la marca de fecha y hora más reciente y descarta el que tiene la más antigua. Si también existe un conflicto entre las marcas de fecha y hora, el controlador aceptará el cambio que tenga el identificador único global (GUID, Globally Unique Identifier) mayor. Para obtener más información acerca de los detalles de la resolución de conflictos y la replicación, consulte el Kit de recursos de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 120 Formatos para el intercambio de datos dentro de un sitio y entre distintos sitios Las actualizaciones de directorio entre sitios utilizan compresión de datos para reducir las necesidades de recursos de la red. Los datos comprimidos pueden transmitirse más rápidamente, pero se requiere mayor capacidad de proceso para comprimir los datos antes del envío y descomprimirlos después de la recepción. Las actualizaciones de directorio dentro del mismo sitio se optimizan para reducir las necesidades de capacidad de proceso en los controladores de dominio, por lo que esos datos no se comprimen. El intercambio de datos no comprimidos consume más recursos de la red, pero menos capacidad de proceso. Para obtener más información acerca de la replicación, consulte Metas y estrategias de la replicación. Opciones de replicación Las características de la replicación vienen determinadas en gran medida por los protocolos admitidos y por la configuración de los vínculos a sitios. Protocolos de replicación La información del directorio se puede intercambiar por medio de diferentes protocolos de red como IP o SMTP. Replicación SMTP. La replicación SMTP sólo se utiliza en la replicación a través de vínculos a sitios (entre sitios) y no en la que tiene lugar dentro de un sitio. Dado que el protocolo SMTP es asincrónico, normalmente no tiene en cuenta la programación. Por lo tanto, no configure la disponibilidad de la replicación de vínculos a sitios en vínculos a sitios SMTP a menos que se cumpla lo siguiente: Los vínculos a sitios utilicen conexiones programadas. La cola SMTP no esté en una programación. La información se intercambie directamente de un servidor a otro y no a través de intermediarios como es el caso, por ejemplo, en una red Ethernet troncal. Si las conexiones SMTP de la red cumplen estas condiciones, sincronice su programación de replicación de vínculos a sitios SMTP con las horas a las que están disponibles dichas conexiones. Si decide utilizar SMTP a través de vínculos a sitios, debe instalar y configurar una entidad emisora de certificados de empresa. La entidad emisora de certificados (CA) firma los mensajes SMTP que se intercambian los controladores de dominio y, de esta forma, se asegura la autenticidad de las actualizaciones del directorio. La replicación SMTP utiliza cifrado de 56 bits. Para obtener más información, consulte Instalar y configurar una entidad emisora de certificados. Replicación IP. La replicación IP utiliza llamadas a procedimientos remotos (RPC) para la replicación a través de vínculos a sitios (entre sitios) y dentro de un sitio. De forma predeterminada, la replicación IP entre sitios se ajusta a las programaciones de replicación, aunque puede configurar la replicación de Active Directory para que omita las programaciones. La replicación IP no requiere una entidad emisora de certificados. Para obtener más información, consulte Para omitir los programas. Error! Use the Home tab to apply Título to the text that you want to appear here. 121 Atributos de vínculos a sitios Debe proporcionar información de la disponibilidad, el costo y la frecuencia para todos los vínculos a sitios como parte del suministro a Active Directory de la información acerca de las conexiones entre sitios disponibles. Disponibilidad de la replicación. Configure la disponibilidad de la replicación de vínculos a sitios para designar cuándo un vínculo a sitios estará disponible para la replicación. Para obtener más información, consulte Para configurar la disponibilidad de la replicación de vínculos a sitios. Costo. Configure el costo del vínculo a sitios con el fin de asignar el valor del costo de cada conexión disponible utilizada para la replicación entre sitios. Si tiene múltiples conexiones de red repetidas, establezca vínculos a sitios para cada una de ellas y, a continuación, asigne costos a estos vínculos a sitios que reflejen sus anchos de banda relativos. Por ejemplo, si tiene una línea T-1 de alta velocidad y una conexión de acceso telefónico a redes, en caso de que la línea T-1 no esté disponible, configure un costo inferior para la línea T-1 y un costo superior para la conexión de acceso telefónico a redes. Active Directory siempre elige la conexión según su costo, de modo que la conexión más barata se utilizará siempre que esté disponible. El costo no corresponde a una unidad de medida específica como son los minutos, pero se evalúa mediante su comparación con otros costos. El costo de un vínculo a sitios sólo tiene significado cuando está relacionado con otros vínculos a sitios. Un cliente siempre debería encontrar un controlador de dominio en su sitio. Si un sitio no contiene un controlador de dominio, los costos del vínculo a sitios de ese dominio los evalúan todos los procesos de replicación. Los controladores de dominio del sitio más cercano se utilizan entonces para atender al sitio que contiene ese dominio. Para obtener más información, consulte Ancho de banda y Para configurar el costo de los vínculos a sitios. El costo de un puente de vínculos a sitios es la suma de los costos de todos los vínculos incluidos en el puente. Por ejemplo, si un puente de vínculos a sitios contiene dos vínculos a sitios, uno con un costo de tres y otro con un costo de cuatro, el costo del puente de vínculos a sitios es siete. Frecuencia de la replicación. Configure la frecuencia de replicación de los vínculos a sitios con un valor entero que informe a Active Directory de la cantidad de minutos que debe esperar antes de utilizar una conexión para comprobar las actualizaciones de replicación. El intervalo de replicación debe ser de 15 minutos, como mínimo, y de 10.080 minutos, como máximo, (equivalente a una semana). Para que tenga lugar la replicación debe estar disponible un vínculo a sitios, de modo que, si un vínculo a sitios está programado como no disponible cuando ha transcurrido el número de minutos entre actualizaciones de replicación, no se producirá ninguna replicación. Para obtener más información, consulte Para configurar la frecuencia de la replicación de un vínculo a sitios. Replicación a través de una red privada virtual Para permitir el flujo continuo de información actualizada del directorio, los controladores de dominio deben tener una conexión disponible constantemente. Es posible que dicha conexión no esté disponible (como puede ocurrir en sucursales pequeñas) en cuyo caso las actualizaciones de directorio se pueden intercambiar a través de una red privada virtual (VPN) establecida por medio de un Proveedor de servicios Internet (ISP). Si se utiliza dicha red privada virtual para conectar con otro sitio, todas las replicaciones deberían tener lugar a la vez entre los controladores de dominio de los dos sitios, de modo que la conexión pueda cerrarse cuando ya no sea necesaria. Esto se llama replicación recíproca. Error! Use the Home tab to apply Título to the text that you want to appear here. 122 Al utilizar la replicación recíproca entre el controlador de dominio del sitio de una sucursal y el de la oficina principal, y una vez establecida una red privada virtual mediante un proveedor de servicios Internet, el controlador de dominio del sitio de la sucursal que inició la conexión solicita todas las actualizaciones de directorio al controlador de dominio del sitio principal. Una vez que el controlador de dominio del sitio de la sucursal recibe todas las actualizaciones, envía una notificación de cambio al controlador principal de dominio, lo que hace que éste solicite todas las actualizaciones, que el controlador de dominio del sitio de sucursal envía entonces. Puesto que toda la información del directorio es actual, se cierra la conexión con el proveedor de servicios Internet. La replicación no tiene lugar cuando la conexión no está disponible. Esto aumenta al máximo la eficacia del intercambio de información del directorio, al tiempo que reduce el tiempo de conexión y elimina los errores de tiempo de espera que se producirían si el controlador de dominio del sitio principal intentara solicitar cambios al controlador de dominio del sitio de la sucursal cuando la conexión no estuviera disponible. Error! Use the Home tab to apply Título to the text that you want to appear here. 123 Descripción del esquema de Active Directory Esta sección trata: Cambios del esquema Objetos del esquema Nombres de los objetos del esquema Definiciones de atributo Tipos de clase Definiciones de clase Identificadores de objeto Caché del esquema Cambios del esquema Al considerar la realización de cambios en el esquema, es muy importante que recuerde las dos cuestiones siguientes: Los cambios del esquema son globales. Las extensiones del esquema no son reversibles (sin embargo, algunos atributos se pueden modificar una vez creados). Todo el bosque comparte un esquema común. En cada controlador de dominio del bosque hay una copia del esquema. Al extender el esquema, lo extiende para el bosque entero ya que cualquier cambio efectuado en el esquema se replica en cada controlador de dominio de cada dominio del bosque. Un controlador de dominio, el servidor principal de operaciones de esquemas, controla la modificación y la extensión del esquema. Para obtener más información acerca del servidor principal de esquemas, consulte Operaciones de un solo servidor principal. Una vez que se ha agregado al esquema una nueva clase o atributo, se puede desactivar, pero no se puede eliminar. Desactivar una clase o atributo impide la creación de nuevas instancias. No puede desactivar un atributo si está incluido en cualquier clase que no está desactivada. Para desactivar una clase o un atributo, consulte Desactivar una clase o un atributo. Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Objetos de esquema Hay dos tipos de objetos de esquema, los objetos Esquema de clases (Class Schema) que definen una clase y los objetos Esquema de atributos (Attribute Schema) que definen un atributo. Por lo tanto, para cada clase del esquema, hay un objeto Esquema de clases que especifica la clase y, para cada atributo del esquema, hay un objeto Esquema de atributos que especifica el atributo y aplica restricciones en los objetos que son instancias de una clase con este atributo. Algunas de las restricciones del objeto Esquema de clases son: Una lista de atributos obligatorios (Debe contener o Must Contain) que se deben definir para cualquier objeto que sea una instancia de esta clase. Una lista de atributos que se pueden definir (Puede contener o May Contain) para cualquier objeto que sea una instancia de la clase en particular. Error! Use the Home tab to apply Título to the text that you want to appear here. 124 Reglas de jerarquía que determinan los objetos principales de Active Directory posibles (Superiores Posibles o Poss Superiors) de un objeto que es una instancia de esta clase. Un objeto que es una instancia de una clase de objetos en particular puede tener atributos que pertenecen a la lista Debe contener o Puede contener definida para la clase de la que el objeto es una instancia. La lista de atributos se puede especificar explícitamente para cada clase o heredarse de los objetos principales de esa clase. Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Para obtener más información acerca de la herencia y del objeto Esquema de clases, consulte Definiciones de clase. Nombres de los objetos del esquema Las clases y los atributos son objetos del esquema. A cada objeto del esquema se puede hacer referencia de varias maneras: Nombre completo LDAP Nombre común Identificador de objeto Nombre completo LDAP El Esquema de Active Directory y otras herramientas administrativas de Windows 2000 muestran el nombre completo LDAP de los objetos. Los programadores y los administradores del sistema utilizan este nombre para hacer referencia al objeto en los programas. Se garantiza que este nombre es único para cada objeto. El nombre completo LDAP se compone habitualmente de dos o más palabras combinadas. Cuando el nombre se compone de múltiples palabras, las palabras subsiguientes del nombre se identifican mediante mayúsculas. Por ejemplo, los nombres completos LDAP de dos atributos son direcciónCorreoElectrónico e intervaloCambioContraseña. Para obtener más información acerca de LDAP, consulte el sitio Web del Grupo de trabajo de ingeniería de Internet (Internet Engineering Task Force) (http://www.ietf.org/). Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí. Nombre común El nombre común es una versión ligeramente más "descriptiva" del nombre común LDAP. También se garantiza que es único. Los nombres comunes de los dos atributos utilizados en el ejemplo anterior son Dirección-de-correo- electrónico-SMTP e Intervalo-de-cambio-de-contraseña-del-equipo. Identificador de objeto El identificador de objeto es un número emitido por una entidad emisora como ISO (International Organization for Standardization) y ANSI (American National Standards Institute). Por ejemplo, el identificador de objeto del atributo Dirección-de-correo-electrónico-SMTP es 1.2.840.113556.1.4.786. Se garantiza que cada identificador de objeto es único. Reglas de denominación de los objetos del esquema Con el fin de ayudar a normalizar las convenciones de denominación del esquema, Microsoft requiere que cualquiera que extienda el esquema cumpla las reglas de denominación tanto en lo que respecta al nombre completo LDAP como al nombre común. Las reglas de denominación son un requisito de la certificación de Windows 2000 para las aplicaciones que extienden el esquema. Para obtener Error! Use the Home tab to apply Título to the text that you want to appear here. 125 información detallada respecto a estas reglas de denominación, consulte el capítulo Active Directory del documento Windows 2000 Logo. Para obtener información acerca de las reglas de denominación de los objetos del esquema, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Definiciones de atributo Los atributos describen objetos. Cada atributo tiene su propia definición que describe el tipo de información que se puede especificar para el mismo. Cada atributo del esquema se especifica en la clase Atributo-Esquema (Attribute-Schema ), que determina la información que debe contener la definición de cada atributo. La lista de atributos que se pueden aplicar a un objeto en particular viene determinada por la clase de la que el objeto es una instancia y por cualquier superclase de la clase de ese objeto. Los atributos se definen una sola vez y se pueden usar muchas veces. De esta forma se asegura la coherencia en todas las clases que comparten un atributo determinado. Esto no significa que el valor del atributo sea el mismo en todas las instancias de una clase particular, pero sí significa que la definición del atributo será la misma. Por ejemplo, el atributo Descripción se define como una cadena de caracteres con una longitud de 0 (cero) a 1024 caracteres, como máximo. Esto significa que cada instancia de cada clase que incluye ese atributo puede tener una descripción que es una cadena de este tamaño. El contenido real de esa cadena puede ser único para cada instancia de cada clase. Los atributos pueden tener un solo valor o múltiples valores. Un ejemplo de un atributo con valores múltiples es Objeto-Clase (Object-Class). Este atributo tiene múltiples valores ya que enumera múltiples clases: la clase específica del objeto y las clases de las que se derivó la clase específica. Todos los atributos tienen una sintaxis que determina el tipo de datos que puede almacenar el atributo. Hay un número fijo de sintaxis que se permiten en el esquema. No puede agregar sintaxis adicionales. Algunos ejemplos de sintaxis de atributos son: Booleano: verdadero o falso Entero: un número entre 0 (cero) y 4.294.967.295 Cadena numérica: una cadena de caracteres que sólo contiene números Los atributos pueden tener restricciones de longitud o de intervalo. Para los atributos con sintaxis numérica, el intervalo especifica el valor mínimo y máximo. Para los atributos con sintaxis de cadena, el intervalo especifica la longitud mínima y máxima. Para obtener más información acerca de la sintaxis de atributos, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Atributos indizados Los atributos pueden estar indizados. Indizar un atributo puede ayudar a las consultas a encontrar de manera más rápida los objetos que tengan ese atributo. Al marcar un atributo como indizado, todas las instancias del atributo se agregan al índice y no sólo aquellas miembros de una clase en particular. Para marcar un atributo como indizado en Active Directory, consulte Indizar un atributo en Active Directory. Atributos incluidos en el catálogo global Los atributos también se pueden incluir en el catálogo global El catálogo global contiene un subconjunto de atributos de todos los objetos existentes en el bosque entero. Las aplicaciones y los usuarios utilizan Error! Use the Home tab to apply Título to the text that you want to appear here. 126 el catálogo global para buscar objetos. Los atributos que resultan adecuados para incluir en el catálogo global son: Globalmente útil: el atributo es necesario para buscar objetos que pueden estar en cualquier parte del bosque o el acceso de lectura al atributo es conveniente incluso cuando no se puede tener acceso al objeto propiamente dicho. No volátiles: los atributos de un catálogo global se replican en todos los demás catálogos globales del bosque. Si el atributo cambia con frecuencia, ocasionará un tráfico de replicación significativo. Pequeños: los atributos de un catálogo global se replican en cada catálogo global del bosque. Cuanto más pequeño es el atributo, menor será el efecto de esa replicación. Esta es una decisión muy subjetiva. Si el atributo es grande pero apenas cambia, la replicación tendrá un efecto más pequeño que un atributo pequeño que cambia con frecuencia. Los atributos que los usuarios de toda la empresa consultan y a los que hacen referencia con frecuencia, como los nombres de empleados y los números de teléfono, son los candidatos ideales para estar en el catálogo global. Al decidir si incluir un atributo en el catálogo global, recuerde que está cambiando la posibilidad de obtener un mejor rendimiento en las consultas a costa de la reducción del rendimiento de la replicación y el almacenamiento en disco de los catálogos globales. Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Para obtener más información acerca de las definiciones de atributos, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para incluir un atributo en el catálogo global, consulte Agregar un atributo al catálogo global. Tipos de clase El esquema de Active Directory incluye tres tipos de clases: Clase estructural: es el único tipo de clase a partir del que se pueden crear realmente objetos de Active Directory. Las clases estructurales pueden derivarse de una clase estructural o de una clase abstracta. Una clase estructural puede incluir en su definición cualquier número de clases auxiliares. Clase abstracta: son plantillas utilizadas para crear nuevas clases abstractas, auxiliares o estructurales. Clase auxiliar: es una lista de atributos. Al agregar la clase auxiliar a la definición de una clase estructural o abstracta, se agregan los atributos de la clase auxiliar a la clase estructural o abstracta. Las clases auxiliares pueden derivarse de clases auxiliares o estructurales existentes. Active Directory puede incluir también una cuarta clase especial, la clase 88. Actualmente es necesario que las clases de objetos se clasifiquen dentro de uno de los tres tipos de clases mencionados anteriormente (estructural, abstracta o auxiliar). Sin embargo, las clases definidas antes de 1993, en la especificación X.500 de 1988, no necesitan seguir estas clasificaciones. Se considera que estas clases pertenecen a una categoría especial, la 88. Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Para obtener más información acerca de los tipos de clase, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Definiciones de clase Cada objeto en Active Directory es una instancia de una clase particular. Una clase define los atributos disponibles para una instancia de esa clase específica. Cada clase se deriva de una clase principal o Error! Use the Home tab to apply Título to the text that you want to appear here. 127 superclase. Los atributos de cada clase o bien se heredan de sus superclases o se definen explícitamente para esa clase en particular. En cada definición de clase se especifica lo siguiente: Las reglas de estructura que determinan la superclase o clase principal de la clase La lista de atributos que pueden estar presentes en una instancia de esa clase Cuáles de los atributos son obligatorios (Debe contener) Cuáles de los atributos son opcionales (Puede contener) Para ver la definición de una clase en particular mediante el esquema de Active Directory, consulte Ver la definición de una clase. Herencia de atributos Todas las clases del esquema se derivan a la larga de la clase especial Superior (Top). A excepción de esta clase, todas las clases son subclases de otras clases. La herencia permite construir nuevas clases a partir de clases existentes. La clase original se convierte en una superclase o clase principal de la nueva clase. Una subclase hereda los atributos de la superclase, incluidas las reglas de estructura y de contenido. Una clase puede heredar atributos de varias superclases. Las reglas de estructura definen las relaciones jerárquicas posibles entre los objetos. Las reglas de estructura son expresadas totalmente por el atributo Superiores posibles (Poss Superiors) de cada objeto Esquema de clase (Class Schema). Este atributo enumera todos los objetos de superclases posibles de las que ese objeto en particular puede heredar atributos. Los atributos posibles que pueden tener las instancias de una clase específica se definen por medio de reglas de contenido. Las reglas de contenido se expresan por medio de los atributos Debe contener (Must Contain) y Puede contener (May Contain) de las definiciones de esquema de cada clase. Una instancia determinada de una clase debe tener todos los atributos Debe contener y puede tener cualquiera de los atributos Puede contener. La herencia es recursiva. Esto significa que una subclase puede heredar todos los atributos de todas sus superclases. Por ejemplo, suponga que Contacto es una subclase de Persona de organización, ésta a su vez es una subclase de Persona y Persona es una subclase de Superior. Por lo tanto, la clase Contacto puede heredar todos los atributos de las clases Superior, Persona y Persona de organización. Esto quiere decir que cada uno de los objetos del directorio que es una instancia de una subclase particular se puede describir mediante todos los atributos heredados de todas sus superclases. Por ejemplo, podría crear una nueva clase Vendedor que definiera la información acerca del personal de ventas de su organización, incluida información especializada como tarifas de comisión o itinerarios de viaje. Podría especificar que la clase Vendedor fuera una subclase de la clase Usuario. Puesto que la clase Vendedor heredaría todos los atributos Debe contener y Puede contener de la clase Usuario, así como los atributos de todas sus superclases, no tendría que definir estos atributos para la clase Vendedor. Los únicos atributos que tendría que definir serían Tarifas de comisiones e Itinerarios de viaje, que serían únicos para todas las instancias de la clase Vendedor. Para ver la definición de un atributo con el Esquema de Active Directory, consulte Ver la definición de un atributo. Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Para obtener más información acerca de las definiciones de clase, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Identificadores de objeto Un identificador de objeto es un número que identifica de modo inequívoco una clase o un atributo de objeto en un directorio o en cualquier combinación de directorios. Los identificadores de objeto son Error! Use the Home tab to apply Título to the text that you want to appear here. 128 emitidos por las entidades emisoras y constituyen una jerarquía. Un identificador de objetos se representa como una cadena decimal con puntos (por ejemplo, 1.2.3.4). Se garantiza que los identificadores de objeto son únicos en todas las redes del mundo. Se utilizan para asegurar que los objetos definidos por diferentes entidades no entren en conflicto. Los identificadores de objeto son emitidos por la entidad emisora ISO (International Standards Organization) o por la entidad nacional de registro de varios países. La International Standards Organization reconoce las entidades nacionales de registro y mantiene una lista de contactos en el sitio Web de International Standards Organization (http://www.iso.ch/). Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí. La mayor parte de los países del mundo tienen una entidad nacional de registro identificada que es responsable de emitir los identificadores de objetos. En los Estados Unidos, esta entidad es el American National Standards Institute (ANSI). Las organizaciones y los individuos pueden obtener un identificador de objeto raíz de una entidad emisora y utilizarlo para asignar identificadores de objetos adicionales. Por ejemplo, a Microsoft se le ha emitido el identificador de objetos raíz 1.2.840.113556. Microsoft administra de forma interna ramas adicionales a partir de esta raíz. Una de estas ramas se utiliza para asignar identificadores de objetos a las clases del esquema de Active Directory y la otra se usa para los atributos. Una vez recibido un identificador de objetos raíz, puede extender este identificador dentro de su organización tanto como sea necesario, teniendo en cuenta siempre las restricciones de la estructura del identificador de objetos. Puede subdividir el identificador de objetos raíz si anexa números decimales con puntos al número raíz asignado y después asigna estos subespacios a varias divisiones o departamentos internos. Cada división o departamento puede subdividir más este subespacio y así sucesivamente. Por ejemplo, una organización con el número de espacio identificador de objetos 1.2.333.444444 podría conceder el número 1.2.333.444444.5 a una de sus divisiones. Esa división podría entonces utilizar 1.2.333.444444.5.1 como el número base para las clases que crea y 1.2.333.444444.5.2 para los atributos. Cualquier clase que crea esta división tendría entonces el identificador de objetos 1.2.333.444444.5.1.x, donde la x representa un número decimal menor que 268.435.455. La entidad nacional de registro emite identificadores de objetos raíz. Una organización puede, así mismo, registrar un nombre para el identificador de objetos. Se debe pagar una cuota por los identificadores de objetos raíz y los nombres registrados. Para obtener más detalles póngase en contacto con la entidad nacional de registro de su país. Un ejemplo de identificador de objetos en Active Directory es 1.2.840.113556.1.5.4, que define la clase Dominio integrado (Builtin Domain) y que se puede analizar de la forma siguiente. Número Identifica 1 1.2 emitido de ISO a ANSI 2 1.2.840 emitido de ANSI a los EE.UU. 840 1.2.840.113556 emitido de EE.UU a Microsoft. 113556 Microsoft administra internamente varias ramas por debajo de 1.2.840.113556. 1 Microsoft Active Directory 5 Clases de Active Directory 4 La clase de esquema, Dominio integrado Error! Use the Home tab to apply Título to the text that you want to appear here. 129 Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Para obtener más información acerca de los identificadores de objetos, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para obtener información acerca de cómo obtener identificadores de objetos, consulte Obtener identificadores válidos de objeto. Caché del esquema Active Directory mantiene una caché del esquema, que contiene todas las definiciones de clase y atributo de los objetos actualmente existentes en el esquema. Esta caché se guarda en la memoria RAM del controlador de dominio para aumentar el rendimiento de las operaciones de búsqueda del esquema. Cuando se inicia el controlador de dominio, carga el esquema a partir de la información del esquema del disco duro en la caché del esquema en memoria. Si cambia el esquema, Active Directory actualizará la caché del esquema con los nuevos datos del disco en cinco minutos. También puede forzar una actualización del esquema. Para obtener más información, consulte Actualizar la caché del esquema. Para obtener información acerca de cómo tener acceso al esquema mediante programación, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 130 Diseñar Active Directory Esta sección trata: Planear la actualización de modelos de dominio anteriores Planear la estructura de DNS Planear la estructura del dominio Cuándo crear un controlador de dominio Planear el modelo de delegación Planear la estructura de unidades organizativas Planear las ubicaciones del servidor principal de operaciones Planear estructuras de sitios Estrategias para utilizar grupos Planear la extensión del esquema Planear la actualización de modelos de dominio anteriores Normalmente, las organizaciones han utilizado uno o varios de los siguientes modelos de dominio recomendados para Windows NT Server: Dominio único Dominio principal Múltiples dominios principales Confianza completa Todos esos modelos se basaban en los dominios principales (o dominios de cuenta) y dominios de recursos. La diferencia entre estos tipos de dominio no radicaba en el software, sino en la forma en que se utilizaban. Los dominios principales solían contener las cuentas de usuario y grupo, mientras que los dominios de recursos contenían recursos de red, como recursos compartidos de archivo e impresoras. Para obtener más información acerca de estos cuatro modelos de dominio, consulte la documentación de su versión de Windows NT Server. Si su modelo de dominio actual no es del tipo de dominio único, puede usar las nuevas características de Windows 2000 y Active Directory para reducir el número de dominios de la red. De esta forma se obtienen las siguientes ventajas principales: Menor número de dominios que administrar. La administración de los dominios de Windows 2000 es más fácil que la de los dominios de Windows NT, ya que las confianzas seguras transitivas reducen el número de relaciones de confianza que hay que administrar manualmente. Al combinar varios dominios de recursos y un dominio principal en un único dominio, con una estructura de unidades organizativas que permite conservar la estructura actual de contenedores, se agrupan todas las cuentas y recursos (usuarios, grupos de equipos, recursos compartidos de archivo e impresoras) en el dominio al que lógicamente pertenecen. Ésta constituye una diferencia notable con respecto a los modelos de dominio anteriores, en los que los recursos Error! Use the Home tab to apply Título to the text that you want to appear here. 131 existían normalmente en un dominio de recursos mientras que las cuentas de usuario se encontraban en un dominio de cuentas. Es posible que se reduzcan los gastos en hardware. Dado que se reduce el número de dominios, puede que no sean necesarios tantos controladores de dominio. En los temas siguientes se incluyen sugerencias relacionadas con la actualización que indican de qué forma debe realizarse dependiendo del modelo de dominio que se actualice. Modelo de dominio único Al actualizar un modelo de dominio único con Windows 2000 Server, éste se convierte en un dominio único en Active Directory. Puede usar muchas de las nuevas características de Active Directory para agregar funciones que antes no se usaban en el modelo de dominio único, como puede ser la creación de una jerarquía de unidades organizativas para organizar las cuentas y recursos, según la que se puede delegar la autoridad administrativa. Modelo de dominio principal La actualización de un modelo determinado de dominio principal con Active Directory comienza normalmente desde arriba ya que es necesario crear un dominio raíz. El dominio principal es el primero que se actualiza y, a continuación, se actualizan los dominios de recursos. Sin embargo, si la organización tiene una estructura centralizada, puede ser aconsejable actualizar toda la red en un único dominio para reducir el esfuerzo administrativo que conlleva el mantenimiento de múltiples dominios. Puede conservar la estructura de organización existente, basada en múltiples dominios, si crea un árbol de unidades organizativas en el dominio de Windows 2000. El árbol de unidades organizativas puede reflejar la antigua estructura de dominios o se pueden agregar a él nuevas estructuras para organizar la red con un grado de detalle muy superior al antiguo. Además, así se elimina el esfuerzo administrativo adicional que supone tener más dominios y más relaciones de confianza. En una organización centralizada, las ventajas de pasar de un modelo de dominio principal a un único dominio de Windows 2000 son las siguientes: Menor número de dominios que administrar. Mayor rapidez y eficacia en las consultas de información, ya que los objetos de directorio están en un único dominio. Se pueden usar unidades organizativas para crear una estructura detallada de la organización sin que para ello sea necesario aumentar el esfuerzo administrativo, por ejemplo, la administración de las relaciones de confianza. Al delegar la autoridad de administrador a una o varias unidades organizativas, se pueden asignar las tareas administrativas en función de la eficacia y sin poner en peligro la seguridad de la red. En una organización descentralizada, se puede aprovechar la flexibilidad de los árboles de dominio y conservar los dominios de recursos, convirtiéndolos en dominios completos que pueden contener usuarios y recursos. De esta forma, puede mover cuentas de usuario a los dominios que contienen los recursos que usan esas personas, en lugar de tener que colocarlos en el dominio principal central. Muchas organizaciones también requieren incluir divisiones en sus modelos de dominio y darles un tratamiento similar al de organizaciones independientes aunque manteniendo una estructura de red lógica e integrada. En el caso de esas empresas, un bosque con árboles de dominio puede ser una excelente solución. Error! Use the Home tab to apply Título to the text that you want to appear here. 132 Modelo de múltiples dominios principales Si la empresa tiene un modelo de múltiples dominios principales, probablemente se deba a una de las razones siguientes: La red es tan extensa que los usuarios y grupos no caben en una base de datos de dominio. La red tiene varias ubicaciones geográficas principales y cada una tiene su propio grupo de usuarios y recursos. Los sitios se vinculan mediante conexiones lentas y se trata de evitar el tráfico de la replicación a través de esas conexiones. El modelo de dominio reproduce la estructura de la empresa, en la que las distintas divisiones deben controlar sus propios usuarios y recursos. Active Directory soluciona de forma directa los dos primeros puntos. Es ampliable y puede reemplazar a múltiples dominios. Si usa el modelo de múltiples dominios principales de Windows NT sólo por el alto número de usuarios existente, puede agrupar todos esos dominios en un único dominio de Active Directory. Active Directory también permite organizar los equipos en sitios geográficos y programar la replicación entre sitios de la forma que desee. Si los vínculos existentes entre algunos de esos sitios de gran tamaño son lo suficientemente rápidos para controlar la replicación ocasional, puede que incluso pueda combinar esos dominios. Sin embargo, si la estructura de la empresa también refleja las ubicaciones geográficas, puede que sea aconsejable conservar dominios distintos en cada uno de esos sitios. Si es posible pasar a usar un único dominio, o al menos se reduce el número de dominios, se obtienen las ventajas descritas en el Modelo de dominio principal. Si el modelo de la empresa exige usar dominios principales independientes, puede aprovechar algunas de las ventajas de Active Directory si actualiza cada uno de los dominios principales existentes para que pase a ser el dominio raíz de un árbol de dominios de Windows 2000 Server. Así, cualquier usuario autorizado puede tener acceso a los recursos de cualquier dominio del bosque. Además, el bosque permite a todos los árboles de dominio compartir un esquema, contexto de configuración y catálogo global comunes. Debe considerar esta posibilidad si el espacio de nombres DNS de la organización tiene más de un nombre raíz. Modelo de confianza completa El modelo de confianza completa lo usan principalmente las organizaciones muy descentralizadas. En Windows NT Server, este modelo proporcionaba flexibilidad aunque su mantenimiento requería el máximo esfuerzo. Con Active Directory, se puede conservar esa independencia al configurar cada dominio actual como un árbol de dominios o bosque. Si elige este método, el esfuerzo administrativo que conllevan las relaciones de confianza se reduce, ya que todos los dominios del árbol de dominios o bosque utilizan automáticamente relaciones de confianza transitivas. Sólo debe establecer bosques independientes en el caso de que la organización requiera una indepedencia absoluta entre los grupos de dominios, de forma que no compartan recursos. Active Directory también permite usar relaciones de confianza unidireccionales, similares a las de Windows NT Server 4.0. Puede usar relaciones de confianza unidireccionales en el caso de dominios externos, es decir, dominios que no pertenecen al bosque. Las relaciones de confianza unidireccionales tienen como fin principal la comunicación con socios externos y no deben usarse en redes de una única organización. También puede usar Active Directory para centralizar la red y crear uno o varios árboles de dominio. La estructura de redes lógicas de muchas empresas no se diseñó y estableció de forma organizada, sino que es el resultado de múltiples islotes donde se empezó a implementar Windows NT Server y que crecieron juntos a medida que el número de instalaciones de Windows NT Server comenzó a crecer. Error! Use the Home tab to apply Título to the text that you want to appear here. 133 Planear la estructura de DNS Dado que Active Directory y el espacio de nombres del Sistema de nombres de dominios (DNS, Domain Name System) tienen la misma estructura, un diseño meticuloso es fundamental para asegurar que la implementación de Active Directory se realice sin problemas. Para obtener más información acerca del espacio de nombres DNS y su relación con Active Directory, consulte Diseño del espacio de nombres para DNS. Planear la estructura del dominio La estructura de dominios más fácil de administrar es un dominio único. Al planearla, debe comenzar con un único dominio y agregar dominios adicionales sólo cuando el modelo de dominio único ya no se ajuste a sus necesidades. Un dominio puede abarcar varios sitios y contener millones de objetos. La estructura de sitios y la estructura de dominios son independientes y flexibles. Un único dominio puede abarcar varias ubicaciones geográficas y un único sitio puede incluir usuarios y equipos que pertenecen a múltiples dominios. No es necesario crear árboles de dominio independientes sólo para reflejar la organización de la compañía en divisiones y departamentos. Para este propósito, puede utilizar unidades organizativas dentro de un dominio. A continuación, puede asignar configuraciones de Directiva de grupo a esas unidades organizativas y colocar en ellas usuarios, grupos y equipos. Para obtener más información, consulte Planear la estructura de las unidades organizativas. Algunas de las razones por las que se debe crear más de un dominio son las siguientes: Requisitos de contraseñas distintos en los diversos departamentos y divisiones Número muy grande de objetos Nombres de dominio de Internet distintos Mayor control de la replicación Administración descentralizada de la red Planear múltiples dominios Aunque el uso de un único dominio en toda una red tiene varias ventajas, hay ocasiones en que puede ser aconsejable crear uno o más dominios en la organización para satisfacer nuevas necesidades de escalabilidad, seguridad o replicación. Es conveniente conocer cómo se replican los datos de directorios entre los controladores de dominio para poder planear mejor el número de dominios que necesita la organización. Para obtener más información acerca de la replicación, consulte Cómo funciona la replicación. Puede necesitar múltiples dominios si tiene una red descentralizada en la que las distintas divisiones son administradas por administradores totalmente independientes y autónomos. Con dominios independientes, cada grupo de administradores puede establecer sus propias directivas de seguridad sin tener en cuenta las de otros dominios. Además, las organizaciones internacionales pueden preferir que los usuarios y recursos de cada país se administren en el idioma local. Todos los dominios de un bosque comparten el mismo catálogo global y los usuarios autorizados de cada dominio tienen acceso a recursos de otros dominios del bosque. Los árboles de dominio son útiles principalmente para establecer espacios de nombres independientes. Todos los dominios de un árbol de dominios utilizan un espacio de nombres DNS contiguo. Si es posible Error! Use the Home tab to apply Título to the text that you want to appear here. 134 implementar un espacio de nombres DNS contiguo en la red actual, puede que desee configurar todos los dominios en un único árbol de dominios. En un bosque también se pueden combinar organizaciones con nombres de dominio exclusivos. Cada árbol de dominios del bosque tiene su propio espacio de nombres exclusivo. Para obtener más información, consulte Descripción de los bosques y árboles de dominio. Cuándo crear un controlador de dominio Al promover un equipo con Windows 2000 Server a controlador de dominio se crea un dominio o se agregan controladores de dominio adicionales a un dominio existente. Cree un controlador de dominio para: Crear el primer dominio en la red. Crear dominios adicionales en un bosque. Mejorar la disponibilidad y confiabilidad de la red. Mejorar el rendimiento de la red entre sitios. Para crear un dominio de Windows 2000, debe crear al menos un controlador de dominio en ese dominio. Al crear el controlador de dominio también se crea el dominio. No es posible tener un dominio sin un controlador de dominio. Si decide que la organización requiere varios dominios, debe crear al menos un controlador de dominio para cada dominio adicional. Los dominios adicionales de un bosque pueden ser: Un nuevo dominio secundario. La raíz de un nuevo árbol de dominios. Cree un nuevo dominio secundario si desea crear un dominio que comparta un espacio de nombres contiguo con uno o varios dominios. Esto significa que el nombre del dominio nuevo contiene el nombre completo del dominio principal. Por ejemplo, ventas.microsoft.com sería un dominio secundario de microsoft.com. Utilice esta estructura de árbol de dominios para organizar jerárquicamente los dominios dentro de una organización. Cree la raíz de un árbol de dominios nuevo para crear un dominio cuyo nombre no esté relacionado con los otros dominios del bosque. Cree árboles nuevos de dominio para incluir dominios de varias ramas de una organización en el mismo bosque y permitirles conservar sus propios nombres de dominio Internet únicos. Si ya tiene un controlador de dominio en un dominio en particular, puede agregar controladores de dominio adicionales para mejorar la disponibilidad y confiabilidad de los servicios de red. Tener más de un controlador de dominio en un dominio hace posible que el dominio siga funcionando en caso de que falle un controlador de dominio o que deba desconectarse por algún motivo. Disponer de múltiples controladores de dominio también puede mejorar el rendimiento al facilitar a un cliente de Windows 2000 la conexión con un controlador de dominio cuando inicia la sesión en la red. Si la red está dividida en sitios, con frecuencia resulta conveniente poner al menos un controlador de dominio en cada sitio. Cuando los clientes de red inician la sesión en la red, deben conectar con un controlador de dominio como parte del proceso de inicio de sesión. Si deben hacerlo a través de una conexión de red lenta, el proceso de inicio de sesión puede tardar un cantidad de tiempo inaceptable. La colocación de un controlador de dominio en cada sitio permite que los procesos de inicio de sesión de los clientes se controlen dentro del sitio sin utilizar la conexión de red más lenta entre los sitios. Error! Use the Home tab to apply Título to the text that you want to appear here. 135 Planear el modelo de delegación Puede delegar la autoridad hasta el nivel más bajo de una organización si crea un árbol de unidades organizativas en cada dominio y delega la autoridad sobre partes del subárbol de unidades organizativas a otros usuarios o grupos. Al delegar la autoridad de administrador, puede evitar que otras personas tengan que iniciar frecuentemente sesiones en cuentas que tienen autoridad completa en un dominio. Aunque sigue siendo necesario disponer de una cuenta Administrador y del grupo Administradores de dominio, con autoridad administrativa sobre todo el dominio, puede mantener esas cuentas reservadas para un uso poco frecuente y para un número muy limitado de administradores de la máxima confianza. Al decidir la estructura de unidades organizativas y en cuál se va a incluir cada usuario, debe tener en cuenta la jerarquía de la administración. Por ejemplo, puede crear un árbol de unidades organizativas que le permita otorgar a un usuario derechos de administrador en todas las ramas de un departamento, como puede ser el departamento de Relaciones humanas. Otra posibilidad consiste en conceder derechos de administrador a una subunidad que forme parte de la unidad organizativa, como puede ser la unidad de Selección de personal de la unidad organizativa de Relaciones humanas. Otra posible delegación de derechos de administrador consistiría en concederle a un individuo los derechos administrativos de la unidad organizativa de Relaciones humanas, pero no los de ninguna de las unidades organizativas que la componen. Planear la estructura de las unidades organizativas En un dominio se puede crear una jerarquía de unidades organizativas. Las unidades organizativas pueden contener usuarios, grupos, equipos, impresoras y carpetas compartidas, además de otras unidades organizativas. Las unidades organizativas son objetos Contenedor del directorio. Se representan gráficamente como carpetas en Usuarios y equipos de Active Directory. Las unidades organizativas permiten ver con más facilidad los objetos de directorio de un dominio y simplifican su administración. El control administrativo de cada unidad organizativa se puede delegar en personas específicas. Así es posible distribuir las tareas administrativas del dominio entre varios administradores, de forma que sus responsabilidades coincidan en la mayor medida posible con las que tienen asignadas en la organización. Normalmente debe tratar de crear unidades organizativas que reflejen la estructura funcional o empresarial de la organización. Por ejemplo, puede crear unidades organizativas de nivel superior como Relaciones humanas, Instalaciones, Gestión y Mercadotecnia. En la unidad organizativa Relaciones humanas puede crear otras unidades de nivel inferior como Servicios al personal y Selección de personal. En la unidad organizativa Selección de personal, puede crear otro nivel inferior de unidades organizativas, por ejemplo, Selección interna y Selección externa. En resumen, las unidades organizativas permiten reproducir la estructura de la organización de forma lógica y manejable, y asignar la función de administrador a un responsable local adecuado en cualquier nivel de la jerarquía. Cada dominio puede implementar su propia jerarquía de unidades organizativas. Si la compañía tiene varios dominios, se pueden crear estructuras de unidades organizativas totalmente independientes en cada uno de ellos. Administrar las unidades organizativas Las unidades organizativas son el ámbito de menor tamaño en el que se puede delegar la autoridad de administrador (los otros son los sitios y los dominios). Esto permite delegar localmente la administración de usuarios y recursos. Entre los ejemplos de administración de recursos se incluye conceder la capacidad para administrar colas de impresión y recursos de archivos ubicados en una unidad organizativa a una persona cuya cuenta también esté ubicada en esa misma unidad organizativa. Error! Use the Home tab to apply Título to the text that you want to appear here. 136 También se puede conceder a un individuo la autoridad para crear y eliminar cuentas de usuario en todo el subárbol de unidades organizativas. Para obtener más información, consulte Delegar la administración. Directivas y seguridad Las unidades organizativas son también el ámbito de menor tamaño al que se puede asignar una configuración de Directiva de grupo (los otros ámbitos son los sitios y los dominios). Esto permite determinar el nivel de acceso, las configuraciones y el uso de recursos para esa unidad organizativa y algunos o todos sus objetos secundarios (entre los que se pueden incluir otras unidades organizativas). Para obtener más información, consulte Directiva de grupo. Las unidades organizativas no son principales de seguridad y, por tanto, no tienen miembros. Su único propósito consiste en organizar y contener objetos de directorio. Utilice las asignaciones de grupo para conceder derechos y permisos a los usuarios. En la administración de cuentas debe comenzar por asignar la pertenencia a grupos. Puede utilizar las unidades organizativas para contener los objetos Grupo y asignarles configuraciones de Directiva de grupo. Dominios o unidades organizativas Puede que necesite decidir si va a dividir una parte determinada de la red en dominios o unidades organizativas independientes. Puede utilizar como guía las siguientes recomendaciones: Divida la red en dominios independientes si se trata de una organización descentralizada en la que los distintos usuarios y recursos son administrados por grupos totalmente diferentes de administradores. Divida la red en dominios independientes cuando dos partes de la misma estén separadas por un vínculo tan lento que haga prácticamente imposible que el tráfico de una replicación completa pueda atravesarlo. (En el caso de vínculos lentos que pueden manejar un tráfico de replicación menos frecuente, puede configurar un único dominio con varios sitios.) Divida un dominio en unidades organizativas cuando sea necesario reflejar la estructura de la organización. Divida un dominio en unidades organizativas para delegar el control administrativo de pequeños conjuntos de usuarios, grupos y recursos. El control administrativo que concede puede ser completo (por ejemplo, la capacidad de crear usuarios y cambiar contraseñas) o limitado (por ejemplo, el mantenimiento de las colas de impresión). Divida un dominio en unidades organizativas si la estructura de esa parte específica de la organización puede sufrir cambios en el futuro. Siempre que sea posible, debe organizar los dominios de forma que no tengan que moverse o dividirse con frecuencia posteriormente. Al crear unidades organizativas en los dominios, se establecen dos tipos de jerarquías en el árbol del dominio: la jerarquía de los dominios en un árbol de dominio y las jerarquías de las unidades organizativas en un dominio. Esta jerarquía de dos capas permite mayor flexibilidad en la administración de los árboles de dominio. Por ejemplo, suponga el caso de una compañía cuya red es administrada por un grupo central de administradores. En este ejemplo, los administradores se llaman Equipo de tecnología de la información (IT). El equipo IT puede crear unidades organizativas que representen las cuentas y recursos de cada uno de los dominios de la compañía (cada dominio puede tener una unidad organizativa IT que contenga las cuentas de usuario del personal de IT de ese dominio). El equipo IT central puede delegar la autoridad administrativa en cada una de esas unidades organizativas, al mismo tiempo que conserva el control administrativo global sobre ellas. Error! Use the Home tab to apply Título to the text that you want to appear here. 137 La flexibilidad de esta arquitectura lógica permite crear un entorno basado en un modelo organizativo centralizado, descentralizado o una combinación de ambos. Para obtener más información acerca de cómo planear una estructura de unidades organizativas, consulte el Kit de recursos de Windows 2000. Planear las ubicaciones del servidor principal de operaciones En un bosque de pequeño tamaño de Active Directory en el que sólo hay un dominio y un controlador de dominio, ese controlador de dominio posee todas las funciones de servidor principal de operaciones. Al crear el primer dominio en un bosque nuevo, todas las funciones de operaciones de un solo servidor de operaciones se asignan automáticamente al primer controlador de dominio de ese dominio. Al crear un dominio secundario nuevo o el dominio raíz de un árbol nuevo de dominios en un bosque existente, el primer controlador de dominio del dominio nuevo tiene asignadas automáticamente las siguientes funciones: Servidor principal de identificadores relativos Emulador del controlador principal de dominio (PDC, Primary Domain Controller) Maestro de infraestructuras Puesto que sólo puede haber en el bosque un servidor principal de esquemas y un servidor principal de nombres de dominio, estas funciones permanecen en el primer dominio creado en el bosque. Esta ilustración muestra cómo las funciones del servidor principal de operaciones se distribuyen por todo el bosque de forma predeterminada. En la ilustración, el dominio A era el primer dominio creado en el bosque (llamado también dominio raíz del bosque). Éste mantiene las dos funciones de servidor principal de operaciones en todo el bosque. El primer controlador de dominio de cada uno de los demás dominios tiene asignadas las tres funciones específicas del dominio. Las ubicaciones predeterminadas del servidor principal de operaciones son válidas cuando se trata de un bosque distribuido en unos cuantos controladores de dominio y en un solo sitio. En un bosque con más controladores de dominio o en uno que abarca múltiples sitios, podría ser aconsejable transferir las asignaciones predeterminadas de funciones de servidor principal de operaciones a otros controladores de dominio del dominio o del bosque. Error! Use the Home tab to apply Título to the text that you want to appear here. 138 Planear las asignaciones de funciones de servidor principal de operaciones por dominio Si un dominio sólo tiene un controlador de dominio, éste mantendrá todas las funciones del dominio. En caso contrario, elija dos controladores de dominio que sean replicadores directos y que estén conectados correctamente. Convierta uno de los controladores de dominio en el controlador de dominio principal de operaciones. Convierta el otro en controlador de dominio principal de operaciones en espera. El controlador de dominio principal de operaciones en espera se utiliza en caso de que falle el controlador de dominio principal de operaciones. En dominios normales, asigne tanto la función de servidor principal de identificadores relativos como la de emulador del controlador principal del dominio (PDC) al controlador de dominio principal de operaciones. En dominios muy grandes, puede reducir la carga máxima en el emulador PDC si asigna estas funciones a controladores de dominio independientes, que sean replicadores directos del controlador de dominio principal de operaciones en espera. Mantenga las dos funciones juntas a menos que la carga en el controlador de dominio principal de operaciones justifique su separación. Asigne la función de servidor principal de infraestructuras a cualquier controlador de dominio del dominio que no sea un catálogo global, pero que esté conectado correctamente a un catálogo global (de cualquier dominio) del mismo sitio. Si el controlador de dominio principal de operaciones cumple estos requisitos, utilícelo a menos que la carga justifique la sobrecarga administrativa que conlleva separar las funciones. Planear las funciones de servidor principal de operaciones para el bosque Una vez planeadas todas las funciones de dominio para cada dominio, considere las funciones del bosque. Las funciones de servidor principal de esquemas y de nombres de dominio se deben asignar siempre al mismo controlador de dominio. Para obtener el mejor rendimiento, asígnelas a un controlador de dominio que esté conectado correctamente a los equipos utilizados por el administrador o los grupos responsables de las actualizaciones del esquema y de la creación de nuevos dominios. La carga de estas funciones de servidor principal de operaciones es muy leve, de modo que, para simplificar la administración, coloque estas funciones en el controlador de dominio principal de operaciones de uno de los dominios del bosque. Planear el crecimiento Normalmente, a medida que el bosque crece, no será necesario cambiar las ubicaciones de las diversas funciones de servidor principal de operaciones. Pero si tiene pensado dar de baja un controlador de dominio, cambiar el estado del catálogo global de un controlador de dominio o reducir la conectividad de las partes de la red, debe revisar el plan y volver a examinar las asignaciones de funciones de servidor principal de operaciones según sea necesario. Para obtener información general acerca de los servidores principales de operaciones, consulte Operaciones de un solo servidor principal. Para obtener información acerca de cómo transferir las funciones de maestro de operaciones, consulte Transferir las funciones de maestro de operaciones. Algunas condiciones especiales pueden influir en el proceso de guardar el catálogo global en un controlador de dominio que actúa también como servidor principal de infraestructuras. Para obtener más información al respecto, consulte Catálogo global y servidor principal de infraestructuras. Error! Use the Home tab to apply Título to the text that you want to appear here. 139 Planear estructuras de sitios Esta sección trata: Ancho de banda Cuándo establecer un solo sitio Cuándo establecer sitios independientes Colocación de controladores de dominio y del catálogo global Catálogo global y servidor principal de infraestructuras Ancho de banda El ancho de banda es el aspecto más importante y práctico de los que afectan a la replicación entre sitios de la red. Aunque los sitios están adecuadamente definidos mediante subredes, es importante entender que el criterio que se sigue para realizar esos agrupamientos es que las subredes suelen estar bien conectadas. Es decir, las subredes suelen ser, aunque no siempre, una de las formas más eficaces de determinar los sitios. Para organizar eficazmente los sitios debe tener en cuenta los requisitos de replicación y la conectividad disponible. Encuentre un punto de equilibrio que garantice que los controladores de dominio del mismo sitio se encuentran lo suficientemente bien conectados para permitir el intercambio frecuente de información, sin que ello tenga un costo excesivo (en términos financieros o de bajo rendimiento de la red). Al tener en cuenta el ancho de banda, puede que sea aconsejable combinar varias subredes en un sitio o dividir una subred entre varios sitios, como en los casos siguientes: Se dispone de varios equipos muy mal conectados, entre los que se incluyen varios controladores de dominio de una subred. Deberá crear varias subredes de menor tamaño que estén mejor conectadas Error! Use the Home tab to apply Título to the text that you want to appear here. 140 que si formaran una subred de mayor tamaño. Para que esta solución sea eficaz, cada nueva subred debe contener un controlador de dominio. Hay varias subredes bien conectadas o un número menor de controladores de dominio que de subredes, pero sería preferible que las diversas subredes estuvieran en un único sitio. Para ello, se deben agregar varias subredes a un sitio. Para obtener más información acerca del efecto que el ancho de banda puede tener en la configuración de los sitios y servicios, consulte Cuándo se deben establecer sitios independientes. Cuándo se debe establecer un único sitio Al planear la replicación del directorio, debe comenzar con una estructura de sitio único y, después, agregar sitios cuando las limitaciones de ancho de banda y conectividad lo aconsejen. Diseñar una estructura de sitios para una red que consta de una sola red de área local (LAN, Local Area Network) es sencillo. Dado que las conexiones de área local suelen ser rápidas, toda la red puede encontrarse en un único sitio. Es posible definir múltiples sitios en una ubicación única bien conectada (por ejemplo, una red de área local), pero esta opción tiene inconvenientes entre los que se incluyen sus mayores costos de administración y la disminución en el intercambio de información entre los controladores de dominio de otros sitios bien conectados. Si un cliente está en un sitio que no tiene controladores de dominio, utilizará el sitio al que está mejor conectado que disponga de un controlador de dominio. El sitio mejor conectado se determina basándose en qué vínculo de sitio tiene el menor costo. Si desea que un cliente determinado inicie sus sesiones en un conjunto dado de controladores de dominio, puede definir los sitios de forma que sólo dichos controladores de dominio estén en el mismo sitio que el cliente, aunque haya otros controladores de dominio que se encuentren en la misma ubicación física. Es más frecuente disponer de una conexión rápida y fiable cuando los equipos están cerca unos de otros. Los equipos que se encuentran en la misma subred suelen estar bien conectados entre sí y deberían incluirse en el mismo sitio. Sin embargo, independientemente de sus ubicaciones físicas, los equipos que se encuentran en subredes distintas pueden estar bien conectados mediante conexiones Error! Use the Home tab to apply Título to the text that you want to appear here. 141 con un gran ancho de banda. En ese caso, la asignación de sitio no debe basarse exclusivamente en la composición de las subredes y en la proximidad física. Nota : Un equipo multitarjeta (que dispone de varias direcciones IP) con direcciones de subred en los distintos sitios sólo puede pertenecer a uno de los sitios, no a todos. Es aconsejable asignar todas las direcciones de un equipo multitarjeta al mismo sitio. Cuándo se deben establecer sitios independientes Al establecer sitios independientes se obtienen las ventajas siguientes: Se reparte el uso que los clientes hacen de la red Se optimiza en mayor medida el intercambio de información de directorios Se facilita la administración al centralizar recursos como la información de configuración Se puede ajustar con precisión el comportamiento de la replicación Debe establecer un sitio independiente con sus propios controladores de dominio cuando los controladores de dominio existentes no responden con la velocidad suficiente para satisfacer las necesidades de los usuarios. Determinar qué velocidad es suficiente depende de los criterios que haya definido para medir el rendimiento de la red. Se puede esperar un rendimiento poco adecuado en aquellas instalaciones que se extienden por un área geográfica extensa. Por ejemplo, suponga que su organización tiene su oficina central en Nueva York y una sucursal en Los Ángeles. Estas ubicaciones pueden conectarse entre sí de muchas formas distintas: mediante una conexión telefónica de baja velocidad, una conexión Frame Relay a 64 kilobits por segundo (Kbps) o una conexión de alta velocidad. En primer lugar, debe decidir si la sucursal necesita realmente un controlador de dominio. Si no tiene un controlador de dominio, no habrá tráfico de replicación entre la oficina central y la sucursal. Los clientes podrían utilizar una de las conexiones de red con la oficina central para iniciar sesión en la red. Esta solución es admisible si hay disponible una conexión de red rápida y fiable. En la mayor parte de los casos, las conexiones de red con controladores de dominios distantes son relativamente lentas. No disponer de un controlador de dominio en una ubicación remota sólo es admisible en el caso de sucursales muy pequeñas (de uno a cinco equipos, por ejemplo) en las que el bajo rendimiento de la conexión sólo puede afectar a un número reducido de usuarios. Las sucursales de mayor tamaño deben configurarse como sitios independientes, con uno o varios controladores de dominio. Para obtener más información acerca de si debe o no instalar un controlador de dominio, consulte Cuándo se debe crear un controlador de dominio. Si la replicación entre todos los controladores de dominio se debe efectuar al mismo tiempo, parece lógico asignar todos esos controladores de dominio al mismo sitio. Así se puede crear un programa de replicación uniforme, aunque se limita la capacidad de realizar ajustes en el comportamiento de la replicación de directorios. Al crear sitios independientes, se puede ajustar la replicación para adaptarla a las condiciones específicas del sitio. Por ejemplo, puede disponer de una línea de alta velocidad que se utilizará como conexión de red predeterminada y de una conexión de acceso telefónico que sólo se utilizará cuando la línea no esté disponible. En el caso de varias conexiones redundantes de red, Active Directory elige siempre la conexión basándose en el costo, de forma que siempre se utilizará la conexión más barata si está disponible; si esta conexión deja de estar disponible, Active Directory utilizará la conexión alternativa para garantizar la fiabilidad. Si existe buena conectividad entre un grupo de servidores y clientes, debe crear sitios y establecer servidores de cabeza de puente en cada sitio para proporcionar equilibrio de carga. Puede dividir el número previsible de consultas de cliente entre los servidores si establece sitios independientes. Aunque uno de los sitios esté muy bien conectado con los sitios restantes, esta distribución disminuye el tráfico Error! Use the Home tab to apply Título to the text that you want to appear here. 142 de replicación ya que el servidor o servidores del sitio controlan todas las solicitudes de los clientes del sitio. Al planear los sitios debe tener en cuenta qué controladores de dominio debe utilizar cada equipo para el proceso de inicio de sesión. Durante el proceso de inicio de sesión, el cliente trata de encontrar un controlador de dominio en su sitio local. Para garantizar que este proceso es eficaz y fiable, las conexiones rápidas de red deben estar asociadas directamente a los vínculos de sitios de bajo costo en la topología de sitios. Al asociar las subredes de clientes a los sitios en los que se encuentran se garantiza un acceso eficaz de los clientes a los recursos ya que la conectividad entre ambos será buena. Dentro de un sitio, cada controlador de dominio puede actuar como servidor de cabeza de puente si es necesario. Si especifica uno o varios equipos como servidores preferidos de cabeza de puente, sólo uno de los controladores de dominio asume esa función en un momento dado. Aunque Active Directory selecciona otro servidor de cabeza de puente distinto en el caso de que ocurra un error, este cambio de enrutamiento requiere un tiempo durante el que se interrumpe la replicación entre los sitios. Para reducir el efecto negativo que tiene en la red un error en el servidor de cabeza de puente, los sitios bien conectados que son bastante grandes se pueden dividir en sitios más pequeños para que cualquier error afecte sólo a la replicación entre el sitio que contiene el servidor de cabeza de puente en el que ha ocurrido el error y el sitio o los sitios que contienen sus servidores asociados de replicación. En el caso de un único sitio de gran tamaño, la interrupción de la replicación entre sitios ocasionada por un error en el servidor de cabeza de puente tiene un efecto más amplio. Al disponer de varios sitios más pequeños, la pérdida de la replicación entre sitios (mientras se selecciona un nuevo servidor de cabeza de puente) sólo afecta a un sitio de menor tamaño. Para obtener más información, consulte Utilizar los servidores preferidos de cabeza de puente. Trabajar con vínculos entre sitios Si establece varios sitios, debe tener en cuenta cómo se va a intercambiar la información entre los sitios para poder revisar, ajustar o complementar la configuración actual de vínculos de los sitios. Para complementar la topología de replicación entre sitios de la red, puede crear vínculos de sitios o establecer un conjunto de vínculos mediante la creación de un puente de vínculos de sitios. Aunque un solo vínculo de sitio es suficiente para conectar un sitio con otros sitios, para que la configuración de replicación sea más fiable y tolerante a errores, debe agregar vínculos de sitios adicionales que correspondan a conexiones con otros sitios. Para obtener más información acerca de cómo complementar la topología de replicación entre sitios de la red, consulte Lista de comprobación: optimizar la replicación entre sitios, Para crear un vínculo de sitio, Para crear un puente de vínculos de sitio. Para obtener información acerca de cómo configurar las opciones de vínculo de sitio, incluidos la disponibilidad para la replicación, el costo y la frecuencia, consulte Opciones de replicación. Controlador de dominio y posición del catálogo global Para que los inicios de sesión se realicen correctamente se debe proporcionar acceso a un catálogo global. Durante el proceso de inicio de sesión es necesario consultar un catálogo global para determinar la pertenencia a grupos. Si la red utiliza vínculos lentos o poco fiables, debe habilitar al menos un catálogo global en cada lado del vínculo para asegurar una disponibilidad máxima y aumentar la tolerancia a errores. La mayor parte del tráfico de red de Active Directory está relacionado con las consultas: usuarios, administradores y programas que solicitan información acerca de objetos de directorio. Las actualizaciones al directorio, que hacen necesario el envío de tráfico de replicación del directorio, deben producirse con menor frecuencia. Para obtener el máximo rendimiento de la red, debe colocar al menos un controlador de dominio en cada sitio. Con un controlador de dominio en cada sitio, todos los usuarios Error! Use the Home tab to apply Título to the text that you want to appear here. 143 tienen acceso a un servidor que puede procesar sus solicitudes y consultas a través de los vínculos más rápidos disponibles. Para optimizar el tráfico de la red, en los sitios conectados a través de vínculos lentos, puede configurar además controladores de dominio para recibir las actualizaciones de replicación de directorios sólo durante las horas de menos actividad. El mejor rendimiento de la red se logra cuando el controlador de dominio de un sitio es además un catálogo global. De esta forma, el servidor puede responder las consultas relativas a los objetos del bosque. Sin embargo, al habilitar muchos controladores de dominio como catálogos globales puede aumentar mucho el tráfico de replicación en la red. En los dominios que tienen más de un controlador de dominio, no debe habilitar como catálogo global el controlador de dominio que realiza la función de maestro de infraestructuras. Para obtener más información, consulte Catálogo global y maestro de infraestructuras. Catálogo global y maestro de infraestructuras El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catálogo global. Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los dominios mediante la replicación, de forma que los datos de los catálogos globales siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catálogo global. A continuación, el maestro de infraestructuras replica los datos actualizados en los otros controladores del dominio. Importante A menos que haya un único controlador de dominio en el dominio, la función de maestro de infraestructuras no debe asignarse al controlador de dominio que alberga el catálogo global. Si el maestro de infraestructuras y el catálogo global se encuentran en el mismo controlador de dominio, el maestro de infraestructuras no funcionará. El maestro de infraestructuras no encontrará nunca datos no actualizados, por lo que nunca replicará los cambios en los otros controladores del dominio. Si todos los controladores de un dominio albergan el catálogo global, todos los controladores de dominio tendrán ya datos actualizados y no importará qué controlador de dominio desempeña la función de maestro de infraestructuras. Para obtener más información acerca de las funciones de maestro de operaciones, consulte Operaciones de un solo maestro. Para obtener más información acerca de cómo transferir las funciones de maestro de operaciones, consulte Transferir las funciones de maestro de operaciones. Estrategias para utilizar grupos Planear las estrategias para los grupos es una parte esencial de la preparación para distribuir Active Directory. Antes de decidir qué grupos va a crear, debe determinar el número de dominios de Windows 2000 que habrá en la red y sus modos de dominio (nativo o mixto). Los modos de dominio determinan los tipos y ámbito de los grupos que puede utilizar. Un dominio de modo mixto sólo admite grupos de seguridad de ámbito global o de dominio local. No admite el ámbito universal que es una de las novedades de Windows 2000. Una vez que el dominio se ha convertido a modo nativo, puede crear grupos de seguridad de ámbito universal o convertir los grupos existentes en grupos de ámbito universal. Para obtener más información, consulte: Dónde se pueden crear grupos Error! Use the Home tab to apply Título to the text that you want to appear here. 144 Cuándo se deben utilizar grupos de ámbito local de dominio Cuándo se deben utilizar grupos de ámbito global Cuándo se deben utilizar grupos de ámbito universal Dónde se pueden crear grupos En Active Directory, los grupos se crean en dominios. Los grupos se crean mediante Usuarios y equipos de Active Directory. Con los permisos necesarios, y definiendo correctamente el destino de Usuarios y equipos de Active Directory, se pueden crear grupos en el dominio raíz del bosque, en cualquier otro dominio del bosque o en una unidad organizativa. Además del dominio en que se crea, un grupo queda también definido por su ámbito. El ámbito de un grupo determina: El dominio del que se pueden agregar miembros El dominio en el que son válidos los derechos y permisos asignados al grupo Para obtener más información acerca de los ámbitos de grupo, consulte Ámbito de grupo. Elija un dominio o unidad organizativa determinados en los que desea crear un grupo basado en la administración que necesita ese grupo. Por ejemplo, si el directorio tiene varias unidades organizativas, cada una con un administrador distinto, puede que sea aconsejable crear grupos de ámbito global en esas unidades organizativas para que los administradores puedan administrar la pertenencia al grupo de los usuarios en sus respectivas unidades organizativas. Si los grupos son necesarios para el control de acceso fuera de la unidad organizativa, los grupos de la unidad organizativa pueden anidarse en grupos de ámbito universal (o en otros grupos de ámbito global) que pueden utilizarse en cualquier otro lugar del bosque. Si un dominio de modo nativo contiene una jerarquía de unidades organizativas y la administración está delegada en administradores en cada unidad organizativa, puede ser más eficaz anidar los grupos de ámbito global. Por ejemplo, si la unidad organizativa OU1 contiene las unidades organizativas OU2 y OU3, un grupo de ámbito global en OU1 podría tener como miembros grupos de ámbito global en OU2 y OU3. En OU1, el administrador podría agregar o quitar miembros de grupos de OU1, mientras que los administradores de OU2 y OU3 podrían agregar o quitar miembros de grupos de cuentas de sus propias unidades organizativas sin necesidad de tener derechos administrativos para el grupo de ámbito global en OU1. Nota: Los grupos se pueden mover dentro del dominio. Sin embargo, sólo los grupos de ámbito universal pueden moverse de un dominio a otro. Los derechos y permisos asignados a un grupo de ámbito universal se pierden cuando el grupo se mueve a otro dominio; en ese caso, es necesario hacer nuevas asignaciones. Los dominios son límites de seguridad. Para obtener más información acerca de las herramientas utilizadas para mover grupos de un dominio a otro, consulte el Kit de recursos de Windows 2000. Cuándo se deben utilizar grupos de ámbito local de dominio Los grupos de ámbito local de dominio le ayudan a definir y administrar el acceso a los recursos en un solo dominio. Estos grupos pueden tener como miembros: Grupos de ámbito global Grupos de ámbito universal Error! Use the Home tab to apply Título to the text that you want to appear here. 145 Cuentas Otros grupos de ámbito local de dominio Una mezcla de los anteriores Por ejemplo, para conceder a cinco usuarios acceso a una impresora determinada, puede agregar las cinco cuentas de usuario a la lista de permisos de la impresora. Sin embargo, si más tarde desea dar a esos cinco usuarios acceso a una nueva impresora, deberá especificar nuevamente las cinco cuentas en la lista de permisos de la nueva impresora. Si planea antes los grupos, puede simplificar esta tarea administrativa rutinaria; para ello, deberá crear un grupo de ámbito local de dominio y asignarle los permisos necesarios para tener acceso a la impresora. Coloque las cinco cuentas de usuario en un grupo de ámbito global y agregue ese grupo al grupo de ámbito local de dominio. Cuando desee dar a esos cinco usuarios acceso a una nueva impresora, bastará con asignar al grupo de ámbito local de dominio los permisos de acceso a la nueva impresora. Todos los miembros del grupo de ámbito global recibirán automáticamente los permisos de acceso a la nueva impresora. Cuándo se deben utilizar grupos de ámbito global Los grupos de ámbito global se utilizan para administrar objetos de directorio que requieren mantenimiento diario, como las cuentas de usuarios y equipos. Dado que los grupos de ámbito global no se replican fuera de su propio dominio, las cuentas de un grupo de ámbito global pueden cambiar con frecuencia sin que eso genere tráfico de replicación hacia el catálogo global. Para obtener más información acerca de los grupos y la replicación, consulte Cómo afectan los grupos al rendimiento de la red. Aunque las asignaciones de derechos y permisos son sólo válidas en el dominio en el que se realizan, al aplicar grupos de ámbito global de forma estructurada y en varios dominios adecuados se pueden consolidar referencias a cuentas que tienen propósitos similares. Esto simplifica y racionaliza la administración de grupos en varios dominios. Por ejemplo, si en una red con dos dominios, Europa y América del Norte, hay un grupo de ámbito global denominado GLContabilidad en el dominio América del Norte, debe haber también un grupo denominado GLContabilidad en el dominio Europa (a menos que esa función no exista en el dominio Europa). Cuándo se deben utilizar grupos de ámbito universal La pertenencia de un grupo de ámbito universal no debe cambiar frecuentemente, ya que los cambios de pertenencia de esos grupos hacen que todos los datos de pertenencia del grupo se repliquen en todos los catálogos globales del bosque. Para obtener más información acerca de los grupos y la replicación, consulte Cómo afectan los grupos al rendimiento de la red. Los grupos de ámbito universal se pueden utilizar para consolidar grupos que abarcan varios dominios. Para ello, agregue las cuentas a grupos de ámbito global y anide esos grupos en otros de ámbito universal. Con esta estrategia, los cambios de pertenencia en los grupos de ámbito global no afectan a los grupos de ámbito universal. Por ejemplo, en una red que tiene dos dominios, Europa y América del Norte, y un grupo de ámbito global denominado GLContabilidad en cada dominio, se puede crear un grupo de ámbito universal denominado UContabilidad que tendrá como miembros los dos grupos GLContabilidad, AméricaDelNorte\GLContabilidad y Europa\GLContabilidad. El grupo UContabilidad se puede utilizar en cualquier lugar de la compañía. Cualquier cambio en la pertenencia de los grupos GLContabilidad individuales, no causará la replicación del grupo UContabilidad. Error! Use the Home tab to apply Título to the text that you want to appear here. 146 Planear la extensión del esquema Esta sección trata: Cuestiones relativas a la extensión del esquema Cuándo se debe extender el esquema Antes de extender el esquema Obtener identificadores válidos de objeto Extender el esquema Desactivar una clase o un atributo Actualizar la caché del esquema Cuestiones relativas a la extensión del esquema Es necesario considerar las cuestiones siguientes al planear la extensión del esquema: Control de la simultaneidad Control de las instancias de objetos no válidas Cuestiones relativas a la replicación Extensión de las herramientas administrativas Control de la simultaneidad Al diseñar la rutina de instalación de una aplicación que debe extender el esquema, debe comprender dos fases distintas: en la primera se realizan las modificaciones del esquema necesarias y en la segunda se comprueba que las modificaciones del esquema hayan tenido lugar correctamente y se realiza la instalación real de la aplicación. Control de las instancias de objetos no válidas Una actualización del esquema puede invalidar un objeto existente. Por ejemplo, suponga que Mi objeto es una instancia de Nuestra clase. Nuestra clase tiene un atributo, Edad, en su lista Puede contener. Puesto que Mi objeto es una instancia de Nuestra clase, suponga también que Mi objeto está utilizando el atributo Edad. Si una actualización del esquema elimina Edad de la lista Puede contener de Nuestra clase, Mi objeto no será válido, ya que ahora tiene el atributo Edad que no está en concordancia con su definición de clase. En este caso, Active Directory permite que el nuevo objeto no válido permanezca en el directorio y asegura que no ocasione ningún conflicto en el esquema. Active Directory no borra automáticamente los objetos no válidos, pero los objetos y atributos de Active Directory no válidos aparecen en las búsquedas y se pueden eliminar manualmente. Cuestiones relativas a la replicación Una actualización del esquema realizada en el servidor principal de esquemas se replica en todos los demás controladores de dominio del bosque, lo que garantiza la coherencia del esquema. Sin embargo, debido al tiempo requerido para completar la replicación, es posible que surjan incoherencias temporales. Error! Use the Home tab to apply Título to the text that you want to appear here. 147 Por ejemplo, si se crea una clase nueva y, posteriormente, un objeto de esa clase, las actualizaciones del esquema relacionadas se pueden enviar por separado a los otros controladores de dominio. La actualización del objeto nuevo puede llegar a otro controlador de dominio antes que la actualización de la nueva clase. Esto provoca un error, ya que la clase no existe todavía en ese controlador de dominio. Active Directory resuelve este problema al replicar el objeto Contenedor del esquema del controlador de dominio de origen cuando se producen errores. Asimismo, se produce la activación de una actualización inmediata de la caché del esquema en el controlador de dominio de destino. Entonces, Active Directory intenta de nuevo replicar la actualización del esquema fallida para el nuevo objeto. Puesto que el esquema del controlador de dominio de destino contiene ahora la definición de clase, la operación tiene éxito. Extensión de las herramientas administrativas Las herramientas administrativas enviadas con Windows 2000 Server se han diseñado para administrar el esquema predeterminado. Es posible que las clases y atributos nuevos no aparezcan correctamente en estas herramientas. Las herramientas administrativas de Active Directory se pueden extender mediante programación para administrar las nuevas extensiones del esquema que realice, aunque es más conveniente que dicha tarea la lleven a cabo programadores o administradores de la red con experiencia. Para obtener más información acerca de cómo extender las herramientas administrativas de Active Directory y otras cuestiones relacionadas, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Cuándo se debe extender el esquema Extender el esquema es una operación delicada con posibles efectos en toda la red. Esta operación se controla mejor mediante programación y sólo debe realizarse cuando sea absolutamente necesario. Las modificaciones del esquema inadecuadas pueden dañar o deshabilitar Windows 2000 Server y, posiblemente, toda la red. Extienda el esquema sólo si ninguna de las clases de objetos existentes satisface sus necesidades. Los cambios del esquema se replican en cada controlador de dominio del bosque. Considere sus necesidades cuidadosamente y evalúe si una extensión es realmente necesaria. El esquema se puede extender de dos formas: Derivar una nueva subclase a partir de una clase existente. La subclase tiene todos los atributos de la superclase y cualquiera de los atributos adicionales que haya especificado. Éste es el método preferido para agregar atributos a una clase existente. Agregar atributos adicionales a una clase existente o agregar objetos principales adicionales a la clase. Derive una nueva subclase a partir de una clase existente cuando: La clase existente requiera atributos adicionales pero por lo demás satisfaga sus necesidades. No se requiera la capacidad para transformar objetos existentes de la clase en su nueva clase. No es posible agregar una subclase a un objeto de esquema existente. Desea utilizar el Esquema de Active Directory para administrar los atributos extendidos de los objetos sin tener que modificarlo para incorporar la clase adicional. Debe evitar modificar una clase existente. Sólo es necesario cuando la aplicación requiera la capacidad para extender objetos existentes de la clase. Por ejemplo, para agregar información específica de la Error! Use the Home tab to apply Título to the text that you want to appear here. 148 aplicación al objeto Usuario, normalmente extendería la clase Usuario, ya que necesita tratar con objetos Usuario existentes y no solamente con objetos Usuario especiales creados por la aplicación. Al crear una subclase de una clase existente o al extender una clase existente, tendrá que configurar herramientas del tipo Usuarios y equipos de Active Directory para administrar los atributos extendidos de las instancias de la clase nueva. Sólo debe crear una clase completamente nueva (una subclase de la superclase Superior, o Top) si no hay clases que satisfagan sus necesidades. Para obtener más información acerca de cuándo extender el esquema y de cómo modificar las herramientas administrativas de Active Directory para manejar las extensiones del esquema, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Antes de extender el esquema La modificación del esquema de Active Directory es una operación avanzada que es mejor que la lleven a cabo mediante programación programadores y administradores del sistema experimentados. Para obtener información detallada acerca de cómo modificar el esquema de Active Directory, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para el desarrollo y las pruebas, es posible modificar el esquema con el Esquema de Active Directory. La forma más segura de desarrollar y probar las extensiones del esquema es en una red aislada en un entorno de laboratorio. Esto impide que los cambios en el esquema se repliquen en todo el bosque antes de que se hayan probado a fondo. Para modificar el esquema con el Esquema de Active Directory, debe: 3. 4. Ser miembro del grupo Administradores del esquema. Instalar el complemento Esquema de Active Directory en el equipo que mantiene la función de servidor principal de operaciones de esquemas. 5. Activar la casilla de verificación en Esquema de Active Directory que permite la modificación del esquema desde el equipo actual. 6. Desconectar el controlador de dominio principal de esquemas de la red. Aislar el controlador de dominio principal de esquemas del resto de la red permitirá experimentar algunos cambios sin preocuparse por el efecto que puedan tener en el resto de la red. Para obtener más información acerca de la función de servidor principal de esquemas y de las operaciones de un solo servidor principal, consulte Operaciones de un solo servidor principal. Nota: Si el servidor principal de esquemas existente no está disponible, puede transferir manualmente su función a cualquier controlador de dominio del bosque. Sin embargo, es posible que los cambios recientes realizados en el antiguo servidor principal de esquemas no se hayan propagado al nuevo y se hayan perdido. Para obtener más información acerca de cómo asumir la función de servidor principal de esquemas, consulte Responder a errores en el servidor principal de operaciones. Obtener identificadores válidos de objeto Un identificador de objeto es un número que identifica de modo inequívoco la clase o atributo de un objeto en un directorio. Los identificadores de objeto son emitidos por las entidades emisoras y constituyen una jerarquía. Un identificador de objetos se representa como una cadena decimal con puntos (por ejemplo, 1.2.3.4). Error! Use the Home tab to apply Título to the text that you want to appear here. 149 Se garantiza que los identificadores de objeto son únicos en todas las redes del mundo. Se utilizan para asegurar que los objetos definidos por diferentes entidades no entren en conflicto. Los identificadores de objeto son emitidos por la entidad emisora ISO (International Standards Organization) o por la entidad nacional de registro de varios países. La International Standards Organization reconoce las entidades nacionales de registro y mantiene una lista de contactos en el sitio Web de International Standards Organization (http://www.iso.ch/). Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí. La mayor parte de los países del mundo tienen una entidad nacional de registro identificada que es responsable de emitir los identificadores de objetos. En los Estados Unidos, esta entidad es el American National Standards Institute (ANSI). La entidad nacional de registro emite identificadores de objetos raíz. Una empresa puede, así mismo, registrar un nombre para el identificador de objeto. Se debe pagar una cuota por los identificadores de objetos raíz y los nombres registrados. Para obtener más detalles póngase en contacto con la entidad nacional de registro de su país. Igualmente, puede solicitar identificadores de objetos a Microsoft si envía un mensaje de correo electrónico a [email protected]. Incluya en el mensaje el prefijo de denominación de su organización y la siguiente información de contacto: Nombre de contacto Dirección de contacto Número de teléfono de contacto Para obtener información acerca de cómo determinar el prefijo de denominación de su organización, consulte el capítulo Active Directory del documento Windows 2000 Logo. Para obtener más información acerca de los identificadores de objetos, consulte Identificadores de objetos junto con el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Extender el esquema La extensión del esquema de Active Directory es una operación avanzada concebida para ser llevada a cabo por programadores y administradores del sistema con experiencia. Para el desarrollo y las pruebas, es posible modificar el esquema con el Esquema de Active Directory. Antes de modificar el esquema, consulte la Lista de comprobación: antes de extender el esquema y el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Hay tres formas de extender el esquema: Con las secuencias de comandos de Formato de intercambio de datos LDAP (LDIF) (método preferido) Mediante programación Con el complemento Esquema de Active Directory Consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/) para obtener información detallada acerca de los métodos para extender el esquema de Active Directory así como de las secuencias de comandos de muestra y los ejemplos de códigos de programación. Advertencia Extender el esquema es una operación delicada con posibles efectos en toda la red. Esta operación se controla mejor mediante programación y sólo debe realizarse cuando sea Error! Use the Home tab to apply Título to the text that you want to appear here. 150 absolutamente necesario. Las modificaciones del esquema inadecuadas pueden dañar o deshabilitar Windows 2000 Server y, posiblemente, toda la red. Nadie debe considerar extender el esquema de Active Directory sin consultar primero el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Desactivar una clase o un atributo Active Directory no permite la eliminación de clases o atributos, sin embargo, sí se pueden desactivar. La desactivación también se conoce como invalidación de la clase o el atributo. Desactivar una clase o un atributo tiene casi los mismos efectos que su eliminación, con la ventaja agregada de que son fácilmente reversibles. Antes de desactivar una clase, tenga en cuenta los factores siguientes: Sólo puede desactivar una clase si no está especificada como una Subclase de (Sub Class Of), Clase auxiliar de (Auxiliary Class Of) o Superior posible (Poss Superior) de cualquier clase activa existente. Cuando se desactiva una clase, ya no se podrá crear objetos que sean instancias de ella. Cualquier intento de hacerlo devolverá un error idéntico al que resultaría si la clase nunca hubiera existido. Antes de desactivar un atributo, tenga en cuenta los factores siguientes: Sólo puede desactivar un atributo si no está especificado como un Sistema debe contener (System Must Contain), Debe contener (Must Contain), Sistema puede contener (System May Contain) o Puede contener (May Contain) de cualquier clase activa existente. Cuando se desactiva un atributo, no se puede usar en definiciones de clases nuevas y no se puede agregar a definiciones de clases existentes. Debido a que una clase o un atributo desactivado continúa existiendo en el esquema, no puede crear clases o atributos nuevos con el mismo nombre común, identificador de objeto o nombre completo LDAP que la clase o el atributo desactivado. Las clases y los atributos se pueden desactivar mediante programación, lo que constituye el método recomendado, o con el Esquema de Active Directory. Para desactivar una clase o un atributo con el esquema de Active Directory, consulte Desactivar una clase o un atributo. Para obtener información acerca de cómo desactivar clases y atributos mediante programación, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Actualizar la caché del esquema En cada controlador de dominio, siempre hay dos copias del esquema, una en el disco duro y otra en la memoria RAM. La copia de la memoria RAM se denomina caché del esquema. Contiene una copia de las clases y atributos de todos los objetos existentes en el esquema. Cuando se extiende el esquema, los cambios se realizan inmediatamente en los datos del esquema del disco duro del servidor principal de operaciones de esquemas. Sin embargo, por motivos de rendimiento, Active Directory espera unos 5 minutos, aproximadamente, después de la última actualización del esquema antes de copiar los datos almacenados en la caché del esquema. Durante el tiempo inmediatamente posterior a la agregación de una nueva clase o la modificación de una clase existente, y antes de que se copie la actualización en la caché del esquema, cualquier intento de agregar un objeto que pertenece a la clase nueva o modificada devolverá un error. Esto se debe a que Error! Use the Home tab to apply Título to the text that you want to appear here. 151 cualquier cambio realizado en el esquema no se refleja en la caché del esquema hasta transcurridos unos 5 minutos. Active Directory proporciona un método para forzar actualizaciones inmediatas de la caché del esquema cuando los retrasos no son aceptables. Puede forzar la actualización de la caché del esquema mediante programación o con el Esquema de Active Directory. Para forzar la actualización de la caché del esquema, consulte Volver a cargar el esquema. Sólo debe forzar la recarga inmediata de la caché del esquema una sola vez, y después de que hayan finalizado todas las actualizaciones del esquema necesarias. Para obtener información básica acerca del esquema, consulte Introducción al esquema de Active Directory. Para obtener información detallada acerca de cómo extender el esquema, consulte el Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Error! Use the Home tab to apply Título to the text that you want to appear here. 152 Usar Active Directory Esta sección trata: Implementar Active Directory Actualizar con Active Directory Interoperar con otros servicios de directorio Administrar Active Directory Implementar Active Directory Los temas siguientes presentan las cuestiones que se deben tener en cuenta a la hora de implementar Active Directory. Si tiene que realizar instalaciones de gran tamaño, puede usar la Guía de distribución de Windows 2000. Instalar Windows 2000 Server Promover controladores de dominio Usar la Directiva de grupo Definir sitios Instalar Windows 2000 Server Windows 2000 Server se puede instalar como primer sistema operativo en un equipo nuevo, como una actualización de una versión ya existente de Windows NT Server o en una configuración de inicio dual con otros sistemas operativos Windows. Para obtener información acerca de las distintas funciones para las que se puede configurar Windows 2000 Server, consulte Funciones del servidor. Para obtener información acerca de cómo planear y realizar una nueva instalación de Windows 2000 Server o actualizar una versión ya existente de Windows NT Server a Windows 2000 Server, consulte Instalar Windows 2000 Server. Para obtener más información acerca de cómo ejecutar Windows 2000 Server y otro sistema operativo en el mismo equipo, consulte Decidir si un equipo va a contener más de un sistema operativo. Después de haber instalado Windows 2000 Server, puede hacer que el nuevo servidor se convierta en un controlador de dominio. Antes de promover un equipo Windows 2000 Server a controlador de dominio, consulte Lista de comprobación: instalar un controlador de dominio. Para promover un equipo Windows 2000 Server a controlador de dominio, consulte Instalar un controlador de dominio. Promover controladores de dominio Cualquier servidor miembro o servidor independiente se puede promover a controlador de dominio con el Asistente para instalación de Active Directory. Para ver los factores que se deben considerar antes de promover un controlador de dominio, consulte la Lista de comprobación: instalar un controlador de dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 153 Seleccionar el nivel de seguridad Para maximizar la seguridad, de forma predeterminada, Active Directory de Windows 2000 no permite que las cuentas que han iniciado la sesión con acceso anónimo puedan ver las pertenencias a grupos y otra información de los usuarios y grupos. Windows NT 4.0 sí permitía este grado de acceso. Diversas aplicaciones existentes, incluidas aplicaciones de Microsoft BackOffice como SQL Server y algunas aplicaciones de otros fabricantes, dependen de este tipo de acceso para funcionar correctamente. Para que pueda elegir entre la mayor seguridad que proporciona Windows 2000 y la posibilidad de seguir utilizando la seguridad necesaria para aplicaciones heredadas, Windows 2000 incluye el grupo de seguridad local integrado Acceso compatible anterior a Windows 2000. Para utilizar la red con los niveles de seguridad anteriores a Windows 2000 o con la mayor seguridad que proporciona Windows 2000, agregue o quite el grupo especial Todos como miembro de este grupo y, después, reinicie los controladores de dominio de ese dominio. Para una ruta de actualización completa y sencilla desde Windows NT, el Asistente para instalación de Active Directory permite elegir entre Permisos compatibles con servidores pre-Windows 2000, que proporciona el nivel de seguridad compatible con algunas aplicaciones anteriores a Windows 2000, y Permisos compatibles sólo con servidores Windows 2000. Para obtener más información acerca del Asistente para instalación de Active Directory, consulte Instalar un controlador de dominio. Nota: Si elige Permisos compatibles sólo con servidores Windows 2000 mientras promueve un controlador de dominio y observa que las aplicaciones no funcionan correctamente, intente solucionar el problema agregando el grupo especial Todos al grupo de seguridad Acceso compatible anterior a Windows 2000 y reiniciando los controladores de dominio en ese dominio. Después de actualizar a aplicaciones compatibles con Windows 2000, debe restablecer la configuración más segura de Windows 2000; para ello, quite el grupo Todos del grupo de seguridad Acceso compatible anterior a Windows 2000 y reinicie los controladores de dominio en el dominio correspondiente. Para obtener información adicional, consulte: Instalar un controlador de dominio Controladores de dominio Usar la Directiva de grupo La Directiva de grupo se puede utilizar para definir la configuración predeterminada que se aplicará automáticamente a usuarios y equipos. Esta configuración puede determinar opciones de seguridad y controlar el software que se puede instalar en determinados equipos así como el software que está disponible para ciertos grupos de usuarios. La configuración de la directiva se almacena en los objetos de Directiva de grupo. Los objetos de Directiva de grupo pueden controlar la configuración de usuarios y equipos en sitios, dominios y unidades organizativas. Para crear o modificar objetos de Directiva de grupo, utilice el complemento Directiva de grupo. Para obtener más información, consulte Usar la Directiva de grupo. La configuración de la Directiva de grupo de varios objetos de Directiva de grupo se puede aplicar a un sitio, dominio o unidad organizativa en particular. Por ejemplo, si un sitio contiene tres dominios, un objeto de Directiva de grupo podría controlar la configuración de los equipos de todo el sitio. Una directiva independiente para cada dominio podría determinar opciones de seguridad específicas para los equipos de cada dominio. Si cada dominio contiene un grupo Contabilidad y una unidad organizativa Mercadotecnia, los objetos de Directiva de grupo adicionales determinan el software que se instala en los equipos que utilizan estos grupos en todo el sitio. Esta capacidad para configurar y proteger automáticamente los equipos en toda la organización aplicada de forma selectiva a los objetos de Directiva de grupo constituye una herramienta administrativa muy eficaz. Para obtener más información acerca de cómo controlar la instalación del software con la Directiva de grupo, consulte Instalación de Error! Use the Home tab to apply Título to the text that you want to appear here. 154 software. Para obtener más información acerca de cómo administrar la Directiva de grupo, consulte Administrar la Directiva de grupo. Los equipos y usuarios de los dominios de Windows 2000 pueden pertenecer a grupos de seguridad. Estos grupos de seguridad se pueden utilizar para establecer un filtro en la aplicación de la configuración de la Directiva de grupo a grupos de usuarios y equipos que pertenecen a un sitio, dominio o unidad organizativa en particular. Para obtener más información acerca de cómo filtrar la aplicación de la configuración de Directiva de grupo, consulte Trabajar con propiedades de objetos de Directiva de grupo. Para obtener más información acerca de los grupos de seguridad, consulte Descripción de los grupos. Para obtener información general acerca de la Directiva de grupo, consulte Directiva de grupo. Error! Use the Home tab to apply Título to the text that you want to appear here. 155 Definir sitios Esta sección trata: Proporcionar información de la subred Usar los servidores cabeza de puente preferidos Proporcionar información de la subred Debe asociar una o varias subredes a cada sitio. Las subredes se derivan de la dirección IP y de la máscara de subred de un equipo en la subred. Si aún no conoce la máscara de subred ni la dirección IP de su subred, pídaselas al administrador de la red o consulte Ver la configuración mediante el uso de Ipconfig /all. Cuando conozca la máscara de subred y la dirección IP, consulte Para crear una subred con el objeto de proporcionar esta información y establecer un sitio. Para obtener más información acerca de cómo determinar subredes, consulte Direccionamiento IP o Máscaras de subred. Usar los servidores cabeza de puente preferidos Los servidores cabeza de puente son el punto de contacto para el intercambio de información del directorio entre sitios. Puede especificar servidores cabeza de puente preferidos si tiene un equipo con el ancho de banda adecuado para transmitir y recibir información. Si normalmente se produce un intercambio elevado de información del directorio, un equipo con un ancho de banda mayor puede asegurar que estos intercambios se controlen inmediatamente. Equilibrar las demandas de la implementación de Active Directory con un controlador de dominio que tenga la capacidad para manejarlas permitirá realizar actualizaciones eficientes de la información del directorio. Para obtener más información acerca de cómo designar servidores cabeza de puente preferidos, consulte Para designar un servidor cabeza de puente preferido. Puede especificar múltiples servidores cabeza de puente preferidos, pero sólo uno de ellos será el servidor cabeza de puente preferido activo en cualquier momento. Si el servidor cabeza de puente preferido activo tiene un error, Active Directory seleccionará otro del conjunto que se designe. Si no hay disponible ningún servidor cabeza de puente preferido activo y tampoco hay otros servidores para que Active Directory los seleccione para esa función, seleccionará otro controlador de dominio en el sitio. Esto puede ser problemático si el controlador de dominio que selecciona Active Directory no tiene el ancho de banda para controlar de forma eficaz el aumento en las necesidades que conlleva ser un servidor cabeza de puente preferido. Debe especificar un servidor cabeza de puente preferido si su implementación utiliza un servidor de seguridad para proteger un sitio. Establezca el servidor proxy de seguridad como servidor cabeza de puente preferido, convirtiéndolo en el punto de contacto para el intercambio de información con servidores externos al servidor de seguridad. Si no lo hace, es posible que la información del directorio no se intercambie correctamente. La información del directorio se intercambia entre sitios a través de un vínculo a sitios. IP y SMTP son los protocolos de transporte predeterminados para los que puede agregar vínculos a sitios. Cualquier controlador de dominio puede utilizar el protocolo de vínculo a sitios para intercambiar la información. Si hay múltiples servidores en un sitio y uno de ellos es un servidor cabeza de puente preferido para un protocolo utilizado en un vínculo a sitios, ese servidor tendrá la misma función para el intercambio de información del directorio entre sitios. Error! Use the Home tab to apply Título to the text that you want to appear here. 156 El establecimiento de un servidor cabeza de puente preferido designa ese servidor como el preferente para el intercambio de información a través del protocolo para el que se ha establecido el vínculo a sitios. Otros controladores de dominio podrían seguir intercambiando información del directorio si surge la necesidad pero, en circunstancias normales, el servidor cabeza de puente se utilizará como primera opción para recibir y enviar todo el tráfico del directorio. En resumen, un vínculo a sitios dirige la información de forma arbitraria a cualquier controlador de dominio de un sitio. El establecimiento de un servidor cabeza de puente proporciona cierta clasificación o criterio para elegir qué controlador de dominio se debe preferir como receptor para la replicación entre sitios. Este servidor cabeza de puente distribuye entonces la información del directorio por medio de la replicación dentro de un sitio. Actualizar con Active Directory El servicio de directorio de Active Directory es compatible con Windows NT y permite el uso de un modo mixto de funcionamiento con controladores de dominio de Windows 2000 Server y de Windows NT Server 4.0. Dado que Active Directory permite operar en modo mixto, se pueden actualizar dominios y equipos al ritmo que desee, según las necesidades específicas de su organización. Active Directory admite el protocolo NTLM utilizado por Windows NT. Esto permite a los usuarios y equipos autorizados de un dominio de Windows NT iniciar sesiones y tener acceso a recursos en dominios de Windows 2000. Para los clientes de Windows NT, Windows 95 o Windows 98 que no ejecutan el software de cliente de Active Directory, un dominio de Windows 2000 parece un dominio de Windows NT Server 4.0. La actualización con Active Directory puede ser gradual y se realiza sin interrumpir las operaciones normales. Si sigue las recomendaciones para actualizar los dominios, no debe ser necesario en ningún caso poner fuera de servicio un dominio para actualizar los controladores de dominio, servidores miembro ni estaciones de trabajo. Al actualizar un dominio de Windows NT, primero debe actualizar el controlador principal del dominio. A continuación, puede actualizar los servidores miembro y las estaciones de trabajo cuando lo desee. Active Directory permite realizar la actualización desde cualquier modelo de dominios de Windows NT 4.0 y admite el uso de modelos centralizados y descentralizados. Los modelos habituales de dominio con múltiples servidores principales o con un sólo servidor principal pueden actualizarse fácilmente convirtiéndolos en un bosque de Active Directory. Para obtener más información acerca de cómo diseñar y realizar el proceso de actualización, consulte: Actualizar un dominio de Windows NT Combinar dominios de recursos en dominios principales Convertir grupos para Windows 2000 Error! Use the Home tab to apply Título to the text that you want to appear here. 157 Actualizar un dominio de Windows NT Esta sección describe los pasos recomendados para actualizar un dominio de Windows NT a Windows 2000 y Active Directory. Planear e implementar una infraestructura DNS y de espacio de nombres Como Active Directory necesita utilizar el Sistema de nombres de dominio (DNS, Domain Name System), debe asegurarse de haber designado un espacio de nombres DNS y Active Directory, y de haber configurado servidores DNS o planear utilizar el Asistente para la instalación de Active Directory para instalar automáticamente el servicio DNS de Windows 2000 en el controlador de dominio. Para obtener más información, consulte: Integración con DNS Descripción de la integración con DNS Planear la estructura de DNS Planear la estructura del dominio Actualizar el controlador principal de dominio de Windows NT El primer servidor Windows NT que debe actualizar es el controlador principal del dominio (PDC, Primary Domain Controller) de Windows NT. Es necesario actualizar el PDC de Windows NT para poder actualizar correctamente un dominio Windows NT a Windows 2000. Instalar Active Directory en el PDC de Windows NT Durante la actualización a Windows 2000 Server, el Asistente para la instalación de Active Directory le da la opción de unirse a un bosque o árbol de dominio existente, o de crear un nuevo bosque o árbol de dominio. Si opta por unirse a un árbol de dominio existente, debe proporcionar una referencia del dominio principal que desee. Para obtener más información, consulte Lista de comprobación: instalar un controlador de dominio. Al ejecutar el Asistente para la instalación de Active Directory se instalan en el controlador del dominio todos los componentes necesarios, como el almacén de datos del directorio y el software de autenticación de protocolos Kerberos V5. Los objetos existentes del Administrador de cuentas de seguridad (SAM, Security Account Manager) se copiarán del Registro al nuevo almacén de datos. Estos objetos son los principales de seguridad (cuentas de usuario, grupos locales y globales, y cuentas de equipo). Una vez instalado el protocolo Kerberos V5, el proceso de instalación inicia el servicio de autenticación y el servicio de concesión de vales, y si se trata de un nuevo dominio secundario, establece una relación de confianza transitiva con el dominio principal. Finalmente, el controlador del dominio principal copia toda la información de configuración y del esquema en el nuevo controlador del dominio secundario. El controlador de dominio actualizado se convierte en un miembro completamente funcional del bosque de Active Directory. El nuevo dominio se agrega a la estructura de sitios y dominios, y todos los controladores del dominio reciben la notificación de que se ha unido al bosque un nuevo dominio. Los equipos que ejecutan el software de cliente de Active Directory (Windows 2000 Professional, Windows 98 o Windows 95) pueden utilizar las características de Active Directory, como la autenticación, para tener acceso a los recursos del árbol o el bosque de dominios, y para realizar consultas de directorio. Los clientes aprovechan las relaciones de confianza transitivas que existen en el bosque, lo que permite a los usuarios autorizados tener acceso a los recursos de cualquier dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 158 Los equipos que ejecutan versiones anteriores de Windows tienen acceso al dominio como si se tratara de un dominio de Windows NT, aunque sólo pueden encontrar los recursos que están disponibles mediante relaciones de confianza unidireccionales de Windows NT. Cuando el dominio es de modo mixto, el controlador del dominio expone a los clientes que utilizan versiones anteriores de Windows sólo los recursos de aquellos dominios que tienen relaciones de confianza explícitas ya establecidas de Windows NT. Así se crea un entorno coherente en el que los clientes de versiones anteriores pueden tener acceso sólo a los recursos de los dominios que tienen relaciones de confianza explícitas, sin importar que el cliente utilice un controlador de dominio de Windows 2000 o un controlador de reserva de Windows NT. Después de actualizar el PDC, el controlador de dominio de Windows 2000 utiliza el almacén de datos de Active Directory, que es compatible con los controladores de reserva (BDC, Backup Domain Controller) de Windows NT existentes. El controlador de dominio actualizado a Windows 2000 puede sincronizar los cambios de los principales de seguridad con los BDC de Windows NT Server 4.0 existentes. Los controladores de reserva (BDC) de Windows NT Server 4.0 lo reconocen como controlador principal del dominio. Si el controlador de dominio de Windows 2000 se desconecta o deja de estar disponible por alguna otra razón y no hay otro controlador de dominio de Windows 2000 en el dominio, un BDC que ejecuta Windows NT Server puede convertirse en un controlador de dominio de Windows 2000. Cuando haya actualizado el controlador principal de dominio de Windows NT, puede realizar una de las dos acciones siguientes: Actualizar todos los demás servidores a Windows 2000 Server Durante el proceso de actualización debe mantener un BDC que ejecute la versión actual de Windows NT Server para disponer de un controlador de reserva si ocurre algún problema. Instalar Windows 2000 Server sólo en un controlador de dominio, dejando los otros controladores de dominio configurados con Windows NT Server. Implementar la organización del dominio Después de actualizar a Windows 2000 y configurar el controlador de dominio mediante el Asistente para la instalación de Active Directory, utilice las herramientas administrativas de Active Directory para crear los nuevos objetos de directorio (como las unidades organizativas y los objetos Directiva de grupo) necesarios para implementar la organización que ha planeado para el dominio. Para obtener más información, consulte Planear la estructura del dominio, Planear la estructura de las unidades organizativas y Directiva de grupo. Actualizar los controladores de reserva existentes El siguiente paso en el proceso de actualización consiste en actualizar los controladores de reserva de Windows NT existentes a Windows 2000 Server y Active Directory. Al actualizar dominios de Windows NT, sólo un controlador de dominio de Windows 2000 puede crear principales de seguridad (usuarios, grupos y cuentas de equipo). Este único controlador de dominio está configurado como un maestro de operaciones emulador de PDC. El maestro de operaciones emulador de PDC emula a un PDC de Windows NT. El controlador de dominio que emula al PDC de Windows NT controla los identificadores de recursos únicos asignados a los principales de seguridad. Los identificadores de recursos se utilizan para crear el identificador de seguridad de Windows 2000 que identifica a los objetos Usuario y Grupo. El controlador de dominio que emula al PDC de Windows NT admite dos protocolos de autenticación: el protocolo Kerberos V5 Error! Use the Home tab to apply Título to the text that you want to appear here. 159 el protocolo NTLM Finalizar la actualización del dominio Después de haber actualizado todos los controladores principales de dominio y de reserva de Windows NT existentes a Windows 2000 Server y Active Directory, si no planea seguir utilizando los controladores de dominio de Windows NT, puede cambiar el dominio de modo mixto a modo nativo. Un administrador puede realizar manualmente el cambio de modo mixto a modo nativo mediante el complemento Dominios y confianzas de Active Directory. Al cambiar a modo nativo se producen varias modificaciones: Los controladores de dominio dejan de ser compatibles con la duplicación NTLM. El controlador de dominio que emula al maestro de operaciones de PDC ya no puede sincronizar los datos con ningún BDC de Windows NT. No se pueden agregar controladores de dominio de Windows NT al dominio. (Naturalmente, se pueden agregar nuevos controladores de dominio de Windows 2000.) Los usuarios y equipos que utilizan versiones anteriores de Windows comienzan a aprovechar las relaciones transitivas de confianza de Active Directory y (con las autorizaciones necesarias) pueden tener acceso a recursos en cualquier lugar del bosque. Aunque las versiones anteriores de Windows no son compatibles con el protocolo Kerberos V5, el sistema de autenticación transferida que ofrecen los controladores de dominio permite que los usuarios y equipos se puedan autenticar en cualquier dominio del bosque. Esto permite que los usuarios o equipos tengan acceso a los recursos de cualquier dominio del bosque para los que tengan los permisos necesarios. El único cambio en el dominio que observarán los clientes es la mejora en el acceso a los recursos de los demás dominios del bosque. Actualizar Active Directory Cuando un PDC o BDC de Windows NT se actualiza a Windows 2000, el proceso de actualización crea los objetos de sitio y dominio que utiliza Active Directory, además de crear cuentas de equipos y usuarios a partir del directorio de Windows NT (también conocido como la base de datos del Administrador de cuentas de seguridad). Durante la actualización se crean objetos que contienen las cuentas y grupos del PDC o BDC de Windows NT. Estos objetos contenedores se denominan Usuarios, Equipos e Integrados, y se muestran como carpetas en la consola de Usuarios y equipos de Active Directory. Estos objetos contienen los usuarios, equipos y grupos procedentes del directorio de Windows NT. Las cuentas de usuario y los grupos predefinidos se colocan en la carpeta Usuarios. Las cuentas de equipo se colocan en la carpeta Equipos. Los grupos integrados se colocan en la carpeta Integrados. Nota: Estos objetos contenedores especiales no son unidades organizativas. No se pueden cambiar de nombre, mover o eliminar. Durante la actualización, los grupos existentes de Windows NT se colocan en contenedores distintos según la naturaleza del grupo. Los grupos locales integrados de Windows NT (como los Administradores y Operadores del servidor) se colocan en el contenedor Integrados. Los grupos globales de Windows NT (como los Administradores del dominio) y cualquier otro grupo local o global creado por el usuario, se colocan en el contenedor Usuarios. Modelos de actualización más conservadores Hay otros dos modelos de actualización que ofrecen mayor flexibilidad. Ambos modelos exigen que se actualice en primer lugar el controlador principal de dominio. Error! Use the Home tab to apply Título to the text that you want to appear here. 160 Modelo 1: Conservar un controlador de reserva (BDC) de una versión anterior a Windows 2000 En este modelo, puede instalar un nuevo BDC que ejecute la versión actual de Windows NT Server o emplear uno de los BDC que ya está utilizando. Este BDC almacenará una copia de la base de datos del dominio actual. Antes de iniciar el proceso debe quitar el BDC de la red. Si durante la migración surge algún problema, puede quitar todos los equipos Windows 2000 del entorno de producción, conectar el BDC de nuevo a la red y convertir al BDC en el nuevo PDC. A continuación, este nuevo PDC replicará los datos a todos los BDC, con lo que el dominio volverá al estado anterior. El único inconveniente de este método es que se pierden todos los cambios que hayan tenido lugar mientras el BDC de seguridad estaba desconectado de la red. Para reducir al mínimo esas pérdidas, puede conectar y desconectar periódicamente el BDC (cuando el dominio se encuentre en un estado estable) durante el proceso de migración para actualizar la copia segura del directorio. Modelo 2: Quitar de la red el controlador principal de dominio (PDC) en primer lugar También puede desconectar el PDC de la red antes de iniciar la migración. Si va a crear múltiples dominios, puede transferir todos los PDC a un entorno que no forme parte de la red de producción. A continuación, puede actualizar los PDC y crear el árbol o árboles de dominio mientras los PDC están desconectados del entorno de producción. El resultado es la creación de un bosque totalmente operativo, sin afectar a la producción. Una vez creado el bosque, puede agregar las estaciones de trabajo y los BDC. Si la migración continúa sin problemas, los PDC pueden volver a conectarse al entorno de producción y activarse. El bosque continuará funcionando y los demás servidores se podrán actualizar a Windows 2000 Server, o podrá instalarse el nuevo software de acceso de cliente en los clientes con versiones anteriores a Windows 2000. Si ya existe un bosque, puede agregar un controlador de dominio del bosque existente al entorno de prueba establecido y utilizarlo para agregar al bosque todos los PDC que va a actualizar. El controlador de dominio del bosque existente puede duplicar los datos de configuración y el esquema del directorio en los nuevos controladores de dominio. Cuando se utiliza este método, el entorno de producción no se verá afectado hasta que los nuevos controladores de dominio y el nuevo bosque hayan demostrado su estabilidad. El principal inconveniente de este método es que no se pueden hacer cambios en el directorio hasta que los nuevos controladores de dominio se ponen en línea en el entorno de producción. Combinar dominios de recursos en dominios principales La estructuras de dominios actuales de muchas compañías incluyen dominios principales, que contienen usuarios y grupos, y dominios de recursos, que contienen los recursos de la red. Dado que Active Directory hace innecesario este modelo, puede combinar los dominios de recursos existentes con los dominios principales. Si es necesario, puede crear en el dominio principal una estructura de unidades organizativas que refleje la antigua estructura de dominios de recursos. Los siguientes temas proporcionan instrucciones para combinar los dominios de recursos con los dominios principales. Asegurar que se mantienen los privilegios de acceso Las organizaciones que utilizan el modelo de dominio principal suelen crear solamente grupos locales en los dominios de recursos, no grupos globales o cuentas de usuario. Error! Use the Home tab to apply Título to the text that you want to appear here. 161 Estas organizaciones asignan normalmente los permisos de acceso a recursos de los dominios de la segunda capa en las siguientes formas: Asignar los permisos a grupos globales del dominio principal. Asignar los permisos a grupos locales creados en los servidores miembros del dominio de recursos. Asignar los permisos a grupos locales creados en el dominio de recursos. Al combinar un dominio de recursos con un dominio principal, los permisos que emplean los dos primeros métodos se conservan de forma automática. Con el último método, los permisos asignados a grupos locales del dominio de recursos no se conservan de forma automática, pero puede conservarlos si sigue unos sencillos pasos: Nota: Antes de combinar los dominios, para asegurar que se conservarán los permisos, debe copiar los grupos locales del dominio de recursos al dominio principal. Paso 1: Actualizar el dominio principal. Actualice el dominio principal a Windows 2000 Server e instale Active Directory en el controlador principal del dominio (PDC, Primary Domain Controller). Paso 2: Agregar unidades organizativas. Si va a convertir los dominios de recursos en unidades organizativas del dominio principal, debe crear en primer lugar las unidades organizativas. Durante la actualización, los contenedores de las nuevas unidades organizativas se muestran únicamente en los clientes de Active Directory. Los clientes con versiones anteriores a Windows 2000 seguirán teniendo acceso a los recursos existentes en las unidades organizativas del dominio, pero no podrán ver la estructura de unidades organizativas. Para esos clientes, no es evidente ninguno de los cambios que han tenido lugar en el dominio. Una vez creadas las unidades organizativas, puede utilizarlas para distribuir los objetos de directorio a través de un espacio de nombres jerárquico. Puede mover usuarios y grupos de la carpeta Usuarios a las unidades organizativas. Paso 3: Actualizar los PDC del dominio de recursos a Windows 2000 Server. Como ambos dominios deben utilizar Active Directory para mover los principales de seguridad de un dominio a otro, durante este paso del proceso debe conservar estos servidores en su dominio de recursos actual. No los mueva aún al dominio principal. Paso 4: Mover los principales de seguridad y los servidores al dominio principal. Al mover los servidores miembros de los dominios de recursos a las unidades organizativas del dominio principal, la cuenta de equipo de cada servidor se mueve junto con él. Los grupos locales que se hayan creado en el servidor miembro también se mueven con él y siguen funcionando. El administrador del dominio principal puede utilizar los sistemas de publicación de NetBIOS y de Active Directory para informar acerca de la existencia de un recurso dado. Esto permite a los clientes de Active Directory utilizar el mecanismo de consulta ampliado del directorio para buscar recursos y conectarse a ellos. Mientras existan clientes con versiones anteriores a Windows 2000 en la red, se debe utilizar Error! Use the Home tab to apply Título to the text that you want to appear here. 162 también el sistema de anuncios de NetBIOS. (El recurso se publica automáticamente en Active Directory.) Cuando se hayan actualizado todos los clientes con el nuevo software de cliente de Active Directory, se puede deshabilitar NetBIOS. No quite el PDC de los dominios de segunda capa ni los haga desaparecer todavía. Esos dominios son aún los responsables de resolver los identificadores de seguridad que han emitido. Paso 5: Mover los grupos locales del dominio de recursos al dominio principal. Mueva los grupos locales que desee conservar del dominio de recursos al dominio principal. Los grupos que se mueven aparecen como grupos normales en el dominio principal. No es necesario hacer cambios adicionales en los permisos. Paso 6: Mover todas las estaciones de trabajo al dominio principal. Mueva las estaciones de trabajo de los dominios de recursos al dominio principal. En el caso de los equipos que ejecutan Windows 98 o Windows 95, sólo es necesario cambiar el nombre del grupo de trabajo del equipo. En el caso de los equipos que ejecutan Windows NT Workstation, debe quitarlos del dominio antiguo y, a continuación, agregarlos al dominio principal. El dominio principal creará las nuevas cuentas de equipo. En los equipos que ejecutan Windows 98 o Windows 95, el cambio de dominio puede hacerse al mismo tiempo que se instala el software de cliente de Active Directory. Este software de cliente (incluido en Windows 2000 Server) debe instalarse para que se pueda utilizar Active Directory. Para poder participar en Active Directory, los equipos que ejecutan Windows NT Workstation deben actualizarse a Windows 2000 Professional. Si utiliza una secuencia de comandos de instalación automatizada para la actualización, el cambio de dominio también puede realizarse automáticamente en la secuencia de comandos. Paso 7: Eliminar los dominios de recursos. Ya puede eliminar los dominios de recursos. Para ello, puede deshabilitar todos los controladores del dominio de recursos o mover los controladores de dominio al dominio principal. Convertir grupos a Windows 2000 Al actualizar un controlador principal de dominio que ejecuta Windows NT Server a Windows 2000 Server, los grupos de Windows NT se convierten de las siguientes formas: Los grupos locales de Windows NT se convierten en grupos locales de dominio de Windows 2000. Los grupos globales de Windows NT se convierten en grupos globales de Windows 2000. Los equipos miembros del dominio que ejecutan Windows NT pueden seguir mostrando y teniendo acceso a los grupos convertidos. Esos clientes ven los grupos como grupos locales y globales de Windows NT 4.0. Sin embargo, un cliente Windows NT no puede mostrar los miembros de esos grupos o modificar las propiedades de los miembros cuando esa pertenencia infrinja las normas de grupo de Windows NT. Por ejemplo, cuando un cliente Windows NT ve los miembros de un grupo global de Windows 2000 Server, no ve ninguno de los grupos que son miembros de ese grupo global. Error! Use the Home tab to apply Título to the text that you want to appear here. 163 Grupos convertidos y Microsoft Exchange Exchange permite a los usuarios organizar las direcciones de correo electrónico en grupos y listas de distribución. Cuando los servidores de Exchange se actualizan a Active Directory, las listas de distribución de Exchange se convierten en grupos de distribución de ámbito universal. El administrador puede convertir después el grupo en un grupo de seguridad, si es necesario, empleando Usuarios y equipos de Active Directory para cambiar las propiedades del grupo. La Interfaz de programación de aplicaciones de mensajería (MAPI, Messaging Application Programming Interface) permite a los equipos que ejecutan clientes de versiones anteriores de Exchange ver el grupo de distribución que se ha convertido. Utilizar grupos convertidos con Windows NT Los equipos cliente que no ejecutan software de cliente de Active Directory identifican los grupos de Windows 2000 de ámbito universal como grupos de ámbito global. Al ver los miembros de un grupo de ámbito universal, el cliente Windows NT sólo puede ver y tener acceso a los miembros de grupo que cumplan las reglas de pertenencia de los grupos globales de Windows NT. En un dominio de Windows 2000 de modo nativo, todos los controladores de dominio deben ejecutar Windows 2000 Server. Sin embargo, el dominio puede contener servidores miembros que ejecutan Windows NT Server 4.0. Esos servidores ven los grupos de ámbito universal como si tuvieran ámbito global y pueden asignar derechos y permisos a grupos de ámbito universal, e incluirlos en grupos locales. En un dominio de Windows 2000, un servidor miembro Windows NT Server 4.0 que ejecuta las herramientas administrativas de Windows NT no tiene acceso a los grupos locales de dominio. Sin embargo, puede evitar este problema si utiliza las herramientas administrativas de un equipo que ejecuta Windows 2000 Server para tener acceso al servidor que ejecuta Windows NT Server 4.0. Puede utilizar las herramientas de Windows 2000 Server para mostrar los grupos locales de dominio y asignarles permisos sobre recursos existentes en el servidor que ejecuta Windows NT Server 4.0. Interoperar con otros servicios de directorio Los servicios de directorio admiten una gran variedad de características y posibilidades. Algunos servicios de directorio están integrados en un sistema operativo, mientras que otros son aplicaciones, por ejemplo, los directorios de correo electrónico. Los servicios de directorio de un sistema operativo, como Active Directory, permiten administrar usuarios, equipos y recursos compartidos. Los servicios de directorio que son aplicaciones de correo electrónico, como Microsoft Exchange, permiten a los usuarios buscar otros usuarios y enviarles correo electrónico. Para obtener información acerca de cómo sincronizar Active Directory con otros servicios de directorio, consulte: Importar y exportar información del directorio Utilizar Active Directory con Exchange Importar y exportar información del directorio Para permitir la importación y exportación de información del directorio se proporcionan dos utilidades de la línea de comandos: LDIFDE Se utiliza para exportar e importar datos en Active Directory. CSVDE Error! Use the Home tab to apply Título to the text that you want to appear here. 164 Se utiliza para exportar e importar datos de archivos que son compatibles con el formato CSV (variables separadas por comas) que se emplea en aplicaciones como Microsoft Excel. LDIFDE Entre las operaciones por lotes que se pueden realizar con LDIFDE se encuentran agregar, eliminar, cambiar el nombre y modificar. Estas operaciones permiten exportar datos de Active Directory a otras aplicaciones o servicios. De manera alternativa, puede rellenar Active Directory con información obtenida de otros orígenes, como son otros servicios de directorio. Para utilizar LDIFDE, en el símbolo del sistema, escriba LDIFDE seguido de uno o varios parámetros. Resumen de parámetros de LDIFDE Parámetros Descripción -i Especifica el modo de importación. Si no se especifica, el modo predeterminado de LDIFDE es exportar. -f nombre de archivo Identifica el nombre de archivo de importación o exportación. -s nombre de servidor Especifica el controlador de dominio para realizar la operación de importación o exportación. -c cadena1 cadena2 Reemplaza todas las cadenas1 con las cadenas2. Se utiliza generalmente al importar datos de un dominio a otro y cuando es necesario reemplazar el nombre completo del dominio de exportación con el del dominio de importación. -v Establece el modo detallado. -j ruta Se utiliza para establecer la ubicación del archivo de registro. La predeterminada es la ruta actual. -t número de puerto Se utiliza para especificar un número de puerto LDAP. El puerto LDAP predeterminado es el 389. El puerto del catálogo global es 3268. -d DNbase Se utiliza para establecer el nombre completo de la búsqueda de base para la exportación de datos. -r filtro para LDAP Se utiliza para crear un filtro de búsqueda LDAP para la exportación de datos. Por ejemplo, para exportar todos los usuarios con su apellido, se podría utilizar el siguiente filtro: -r "(&(objectClass=usuario)(sn=suApellido))" -p ámbito Establece el alcance de la búsqueda. Puede ser Base, OneLevel o SubTree. -l Lista de atributos de LDAP Establece la lista de atributos que se van a devolver en los resultados de una consulta de exportación. Si se omite este parámetro, se devuelven todos los atributos. Por ejemplo, para recuperar sólo el nombre completo, el nombre común, el nombre de pila, el apellido y el número de teléfono de los objetos devueltos, se Error! Use the Home tab to apply Título to the text that you want to appear here. 165 especificaría la siguiente lista de atributos: -l "distinguishedName, cn, givenName, sn, telephone" -o Lista de atributos que se van a omitir de los resultados de una consulta de exportación. Se utiliza generalmente al exportar objetos de Active Directory e importarlos después en otro directorio compatible con LDAP. Es posible que algunos atributos no los admita el otro directorio, de modo que estos atributos se pueden omitir del resultado con esta opción. Por ejemplo, para omitir los atributos objectGUID, whenChanged y whenCreated, se especificaría la siguiente omisión: -o "whenCreated, whenChanged, objectGUID" -g No realiza búsquedas paginadas. -m Omite los atributos que sólo se aplican a objetos de Active Directory como los atributos ObjectGUID, objectSID, pwdLastSet y samAccountType. -n No exporta valores binarios. -k Pasa por alto los errores durante la operación de importación y continúa el procesamiento. Entre los errores típicos que se pueden omitir se encuentran aquellos donde ya existe el objeto. -a contraseña de nombre completo Establece el comando que se va a ejecutar utilizando el nombre de usuario completo del usuario y la contraseña suministrados. La opción predeterminada es ejecutar con las credenciales del usuario que actualmente ha iniciado la sesión. Por ejemplo: a cn=suNombre,dc=suOrganización,dc=com contraseña -b contraseña de dominio de nombre de usuario Establece el comando que se va a ejecutar como contraseña de dominio de nombre de usuario. La opción predeterminada es ejecutar con las credenciales del usuario que actualmente ha iniciado la sesión. Por ejemplo: b suNombreDeUsuario suDominioDeOrganización contraseña -? Se utiliza para mostrar la Ayuda en pantalla. Para obtener más información acerca de LDIFDE, consulte la ayuda en pantalla de LDIFDE. CSVDE Los datos se pueden importar y exportar de Active Directory con los archivos que almacenan datos en formato CVS (variables separadas por comas). Las aplicaciones como Microsoft Excel son capaces de leer y guardar datos en formato CSV. Además, las herramientas de administración de Microsoft Exchange Server también son capaces de importar y exportar datos con el formato CSV, al igual que las herramientas de otros muchos proveedores. El formato CSV consiste en una o varias líneas de datos, donde cada uno de sus valores están separados por una coma. La primera línea (algunas veces denominada encabezado) del archivo CSV debe contener los nombres de cada atributo en el mismo orden que los datos de cualquiera de las líneas que siguen a la primera. Por ejemplo: Cn,Nombre,Apellido,Descripción 1nombreInicioSesiónUsuario,1nombrePilaUsuario,1apellidoUsuario,Administrador 2nombreInicioSesiónUsuario,2nombrePilaUsuario,2apellidoUsuario,Presidente Error! Use the Home tab to apply Título to the text that you want to appear here. 166 En Windows 2000 se incluye un programa de la línea de comandos llamado CSVDE que permite usar operaciones por lotes basadas en el estándar del formato de archivo CSV. Para utilizar CSVDE, en el símbolo del sistema, escriba CSVDE seguido de uno o varios parámetros. Resumen de parámetros de CSVDE Parámetros Descripción -i Especifica el modo de importación. Si no se especifica, el modo predeterminado es exportar. -f nombre de archivo Identifica el nombre de archivo de importación o exportación. -s nombre de servidor Especifica el controlador de dominio para realizar la operación de importación o exportación. -c cadena1 cadena2 Reemplaza todas las cadenas1 con las cadenas2. Se utiliza generalmente al importar datos de un dominio a otro y cuando es necesario reemplazar el nombre completo del dominio de exportación con el del dominio de importación. -v Establece el modo detallado. -j ruta Se utiliza para establecer la ubicación del archivo de registro. La predeterminada es la ruta actual. -t número de puerto Se utiliza para especificar un número de puerto LDAP. El puerto LDAP predeterminado es el 389. El puerto del catálogo global es 3268. -d DNbase Se utiliza para establecer el nombre completo de la búsqueda de base para la exportación de datos. -r filtro para LDAP Se utiliza para crear un filtro de búsqueda LDAP para la exportación de datos. Por ejemplo, para exportar todos los usuarios con su apellido, se podría utilizar el siguiente filtro: -r "(&(objectClass=usuario)(sn=suApellido))" -p ámbito Establece el alcance de la búsqueda. Puede ser Base, OneLevel o SubTree. -l Lista de atributos de LDAP Establece la lista de atributos que se van a devolver en los resultados de una consulta de exportación. Si se omite este parámetro, se devuelven todos los atributos. Por ejemplo, para recuperar sólo el nombre completo, el nombre común, el nombre de pila, el apellido y el número de teléfono de los objetos devueltos, se especificaría la siguiente lista de atributos: -l "distinguishedName, cn, givenName, sn, telephone" -o Lista de atributos que se van a omitir de los resultados de una consulta de exportación. Se utiliza generalmente al exportar objetos de Active Directory e importarlos después en otro directorio compatible con LDAP. Es posible que algunos atributos no los admita el otro directorio, de modo que estos atributos se pueden omitir del resultado con esta opción. Por ejemplo, para omitir los atributos Error! Use the Home tab to apply Título to the text that you want to appear here. 167 objectGUID, whenChanged y whenCreated, se especificaría la siguiente omisión: -o "whenCreated, whenChanged, objectGUID" -g No realiza búsquedas paginadas. -m Omite los atributos que sólo se aplican a objetos de Active Directory como los atributos ObjectGUID, objectSID, pwdLastSet y samAccountType. -n No exporta valores binarios. -k Pasa por alto los errores durante la operación de importación y continúa el procesamiento. Entre los errores típicos que se pueden omitir se encuentran aquellos donde ya existe el objeto. -a contraseña de nombre completo Establece el comando que se va a ejecutar utilizando el nombre de usuario completo del usuario y la contraseña suministrados. La opción predeterminada es ejecutar con las credenciales del usuario que actualmente ha iniciado la sesión. Por ejemplo: a cn=suNombre,dc=suOrganización,dc=com contraseña -b contraseña de dominio de nombre de usuario Establece el comando que se va a ejecutar como contraseña de dominio de nombre de usuario. La opción predeterminada es ejecutar con las credenciales del usuario que actualmente ha iniciado la sesión. Por ejemplo: b suNombreInicioSesión suDominioDeOrganización contraseña -? Se utiliza para mostrar la Ayuda en pantalla. Para obtener más información acerca de CSVDE, consulte la ayuda en pantalla de CSVDE. Utilizar Active Directory con Exchange La información de Microsoft Exchange relativa a los usuarios se puede sincronizar con Active Directory para reducir el costo de administrar varios directorios. Al instalar Exchange, el esquema de Active Directory se extiende para incluir los objetos de Exchange. El Conector de Active Directory sincroniza los datos entre Active Directory y Exchange. A continuación, se puede administrar la información mediante los complementos de Active Directory. Para obtener más información acerca de la sincronización de la información y la extensión de Active Directory para su uso con los servicios de directorio de Exchange, consulte: Utilizar el Conector de Active Directory Usar las extensiones de Exchange para Usuarios y equipos de Active Directory Usar Active Directory Connector Con Active Directory Connector, puede replicar objetos de directorio entre un directorio de Microsoft Exchange Server (versión 5.5. o posterior) y el servicio de directorios de Active Directory. Active Directory Connector no se instala de manera predeterminada durante la instalación de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 168 Para instalar Active Directory Connector, en el CD de Windows 2000 Server, abra la carpeta Valueadd, y, a continuación, Msft. Abra la carpeta Mgmt, después ADC y, a continuación, haga doble clic en Instalar. Siga las instrucciones que aparecen en el Asistente para la instalación Active Directory Connector. Puede administrar Active Directory Connector si utiliza el complemento Administración de Active Directory Connector en la Consola de administración de Windows. Para abrir Administración de Active Directory Connector después de instalarlo, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Administración de Active Directory Connector. Notas Microsoft Exchange Server debe estar ejecutándose para que pueda configurar totalmente Active Directory Connector. Para obtener más información sobre cómo utilizar Active Diretory Connector, en la consola, haga clic en el menú Acción y después en Ayuda. Usar extensiones de Exchange para usuarios y equipos de Active Directory Si usa las extensiones de Exchange para usuarios y equipos de Active Directory, puede configurar varias direcciones de correo electrónico de cualquier tipo, así como atributos de correo electrónico básicos y avanzados para Microsoft Exchange. El servidor de Microsoft Exchange y Active Directory Connector deben estar instalados y en ejecución para poder utilizar las extensiones de Exchange para usuarios y equipos de Active Directory. Para configurar las extensiones de Exchange para usuarios y equipos de Active Directory 1. Abra Usuarios y equipos de Active Directory. 2. En el árbol de la consola, haga clic en Usuarios y equipos de Active Directory. 3. En el menú Ver, haga clic en Características avanzadas. 4. En el árbol de la consola, haga doble clic en el dominio correspondiente, haga clic con el botón secundario del mouse en Usuarios y, a continuación, haga clic en Propiedades. 5. Haga clic en las Direcciones de correo electrónico, Exchange o en la ficha Avanzadas de Exchange y configure las propiedades según sea necesario. Notas: Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio, seleccione Programas, Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 169 Administrar Active Directory Esta sección trata: Administrar otros dominios Delegar la administración Transferir funciones de servidor principal de operaciones Responder a errores en servidores principales de operaciones Publicación de servicios Administrar la seguridad Publicar recursos Buscar información de directorio Programar interfaces Herramientas administrativas de Active Directory Herramientas de compatibilidad de Active Directory Administrar otros dominios En una organización con más de un dominio, a menudo es necesario administrar un dominio distinto a aquel donde se ha iniciado una sesión. Por ejemplo, al crear relaciones de confianza, éstas deben crearse en ambos dominios, el que confía y el de confianza. Para ello, puede: Cooperar con otros usuarios que tengan permisos de administrador en el otro dominio Iniciar una sesión con una cuenta de usuario que tenga los permisos necesarios Usar el comando Ejecutar como para ejecutar una herramienta administrativa que tenga como destino el dominio que desee; es el método recomendado. Un método seguro para controlar el acceso administrativo a un dominio en particular consiste en controlar estrictamente el número de cuentas que tienen permisos de administrador en ese dominio y el número de personas que conocen esas cuentas. Sólo aquellas personas que conozcan el nombre de la cuenta y su contraseña podrán hacer cambios administrativos en el dominio. Por ejemplo, si un administrador de otro dominio desea establecer una relación de confianza de acceso directo con un dominio estrictamente controlado, el único sistema que tendría a su alcance sería ponerse en contacto con un administrador de ese dominio, acordar con él una contraseña común para la relación de confianza y, finalmente, pedirle al administrador del dominio estrictamente controlado que cree la relación de confianza en ese dominio. Un sistema más adecuado para administrar varios dominios consiste en iniciar una sesión con una cuenta de usuario que tenga permisos de administrador en todos ellos. Por ejemplo, las cuentas de usuarios miembros del grupo de seguridad Administradores de empresa tienen los permisos necesarios para administrar todos los dominios del bosque. No es aconsejable usar cuentas con privilegios demasiado extensos. Para obtener más información, consulte Por qué no debe trabajar en el equipo como administrador. Nota: Siempre es aconsejable no iniciar una sesión con una cuenta que tenga más permisos de los necesarios para la tarea que se lleva a cabo. Error! Use the Home tab to apply Título to the text that you want to appear here. 170 También es aconsejable restringir el ámbito de los permisos de un administrador determinado de forma que sólo pueda realizar las tareas que normalmente le vayan a ser encomendadas. El comando Ejecutar como permite ejecutar operaciones en un contexto de seguridad distinto al de la cuenta actual, por lo que es posible llevar a cabo tareas que requieren un conjunto de permisos distinto. El comando Ejecutar como inicia la aplicación o herramienta administrativa en cuestión con los permisos de la cuenta de usuario especificada. Por ejemplo, al usar el comando Ejecutar como, puede ejecutar dos copias de una herramienta administrativa determinada, cada una de ellas destinada a un dominio distinto, sabiendo que ambas tendrán los permisos necesarios para cada dominio. Para usar el comando Ejecutar como debe conocer el nombre de usuario y la contraseña de una cuenta que tenga los permisos necesarios. Importante El comando Ejecutar como puede usarse también para administrar dominios de otro bosque distinto si se emplean un nombre de cuenta de usuario y contraseña adecuados. Para obtener más información acerca del comando Ejecutar como, consulte Ejecutar como. Delegar la administración Puede delegar el control administrativo en cualquier nivel de un árbol de dominios si crea unidades de organización dentro de un dominio y delega el control administrativo de determinadas unidades de organización a usuarios o grupos particulares. Para decidir qué unidades de organización crear y cuáles deben contener cuentas o recursos compartidos, tenga en cuenta la estructura de la organización. Por ejemplo, puede ser aconsejable crear una unidad de organización que permita conceder a un usuario el control administrativo para todas las cuentas de usuario y de equipo en todas las ramas de un departamento de la organización, como el de Recursos humanos. O bien, en su lugar, puede que desee otorgar a un usuario el control administrativo de sólo algunos recursos dentro de un departamento, por ejemplo, las cuentas de equipo. Otra delegación posible del control administrativo consistiría en conceder a un usuario el control administrativo de la unidad de organización Recursos humanos pero no de otras unidades de organización contenidas dentro de ella. Al delegar las responsabilidades administrativas, puede eliminar la necesidad de tener varias cuentas administrativas con una autoridad general, como por ejemplo sobre un dominio entero. Aunque probablemente seguirá usando el grupo predefinido Administradores de dominio para la administración de todo el dominio, puede limitar las cuentas que pertenecen a este grupo a los usuarios administrativos de total confianza. Windows 2000 define varios permisos y derechos de usuario muy específicos que se pueden usar para delegar o limitar el control administrativo. Mediante una combinación de unidades de organización, grupos y permisos, es posible definir el ámbito administrativo más apropiado para una persona determinada: todo un dominio, todas las unidades de organización dentro de un dominio o, incluso, una única unidad de organización. El control administrativo se puede conceder a un usuario o grupo mediante el uso del Asistente para delegación de control. Este asistente permite seleccionar el usuario o grupo en el que se desea delegar el control, los objetos y unidades de organización sobre los que desea conceder derechos de control y los permisos para tener acceso y modificar objetos. Por ejemplo, se puede otorgar a un usuario el derecho para modificar la propiedad Propietario de cuentas, sin concederle el derecho a eliminar cuentas de esa unidad de organización. Error! Use the Home tab to apply Título to the text that you want to appear here. 171 Personalizar consolas MMC para grupos específicos Puede utilizar opciones de consola MMC para crear una versión de uso limitado de un complemento, como Usuarios y equipos de Active Directory. Esto permite a los usuarios controlar las opciones disponibles para los grupos a los que ha delegado responsabilidades administrativas mediante la restricción del acceso a operaciones y áreas de esa consola personalizada. Por ejemplo, imagine que delega el derecho de Administrar impresoras al grupo de administradores de impresión de la unidad de organización Fabricación. Para simplificar la administración, puede crear una consola personalizada para que sea utilizada por los miembros del grupo de administradores de impresión, que sólo contenga la unidad de organización Fabricación, y restringir el ámbito de la consola mediante modos de consola MMC. Para obtener más información acerca de la personalización de la consola y del uso de modos de consola, consulte Utilizar consolas personalizadas y Opciones de acceso a la consola. Este tipo de delegación también se mejora mediante la configuración de la Directiva de grupo disponible para MMC. Esta configuración permite al administrador establecer los complementos MMC que puede ejecutar el usuario afectado. Esta configuración puede ser exclusiva, si restringe el conjunto de complementos que se pueden ejecutar, o no, si permite que se ejecute un conjunto de complementos. Para obtener más información acerca de la configuración de la Directiva de grupo para MMC, consulte Establecer la directiva de grupo en MMC. Utilizar la Directiva de grupo para publicar y asignar consolas personalizadas Mediante la Directiva de grupo puede distribuir una consola personalizada para grupos específicos de dos formas distintas: por publicación o por asignación. Cuando se publica una consola personalizada, se anuncia la consola a los miembros de un grupo especificado en la configuración de Directiva de grupo mediante la incorporación de la consola a la lista de programas disponibles en Agregar o quitar programas. La próxima vez que los miembros del grupo abran Agregar o quitar programas, tendrán la posibilidad de instalar la nueva consola. Mediante la asignación (en contraste con la publicación) de una consola, se exige la instalación automática de la consola para todas las cuentas especificadas. Para publicar o asignar una consola, cree o modifique un objeto Directiva de grupo y aplíquelo al grupo de usuarios apropiado. A continuación, utilice la extensión Instalación de software del complemento Directiva de grupo para publicar o para asignar la consola. Para obtener más información acerca de la creación de objetos de Directiva de grupo y su aplicación en cuentas, consulte Para crear un nuevo objeto de Directiva de grupo, Delegar el control de la Directiva de grupo y Para filtrar el ámbito de la Directiva de grupo según la pertenencia a los grupos de seguridad. Para obtener más información acerca de la publicación y la asignación, consulte Instalación de software, Para publicar una aplicación y Para asignar una aplicación. Importante La consola debe estar empaquetada antes de utilizar el complemento de Instalación de software. Puede utilizar una herramienta como Windows Installer para empaquetar la consola personalizada. Después de esto, puede configurar el complemento de Instalación de software para publicar o asignar el paquete recién creado. Para obtener información acerca de cómo empaquetar una aplicación, consulte el Kit de recursos y SDK de Windows 2000 Server. Si la consola personalizada que va a empaquetar utiliza un complemento que no está instalado en el servidor o la estación de trabajo de destino para el usuario publicado o asignado, deberá incluir el archivo de complemento y el registro del archivo en el paquete. Puede crear un paquete separado que contenga el complemento o agregar el complemento durante la creación del paquete de la consola personalizada para que se instale correctamente en el equipo siempre que un usuario instale el paquete de la consola. Error! Use the Home tab to apply Título to the text that you want to appear here. 172 Nota: Si un usuario ha iniciado sesión en su equipo en el momento en el que se aplica un objeto de Directiva de grupo a su cuenta, no verá la consola publicada o asignada hasta que finalice la sesión y vuelva a iniciarla. Para obtener más información acerca de otras cuestiones relativas a la seguridad de Active Directory, consulte Modelo de seguridad. Transferir funciones de servidor principal de operaciones Transferir una función de servidor principal de operaciones significa moverla de un controlador de dominio a otro, con la colaboración del poseedor original de la función. Según la función de servidor principal de operaciones que se vaya a transferir, la transferencia se realiza con uno de los tres complementos de Active Directory. Función Complemento Servidor principal de esquemas Esquema de Active Directory Servidor principal de nombres de dominio Dominios y confianzas de Active Directory Servidor principal de identificadores relativos Usuarios y equipos de Active Directory. Emulador PDC Usuarios y equipos de Active Directory Servidor principal de infraestructuras Usuarios y equipos de Active Directory Para obtener información general acerca de las funciones de servidor principal de operaciones, consulte Operaciones de un solo servidor principal. Para ver procedimientos que describen la transferencia de las funciones de servidor principal de operaciones, consulte: Transferir la función de servidor principal de esquemas Transferir la función de servidor principal de nombres de dominio Transferir la función de servidor principal de identificadores relativos Transferir la función de emulador PDC Transferir la función de servidor principal de infraestructuras Responder a errores en el servidor principal de operaciones Algunas de las funciones de servidor principal de operaciones son cruciales para el funcionamiento de la red. Otras pueden dejar de estar disponibles durante algún tiempo antes de que su ausencia se convierta en un problema. Por lo general, observará que el poseedor de una función relativa a las operaciones con un solo servidor principal no está disponible cuando intenta realizar algunas funciones que controla el servidor principal de operaciones en particular. Si un servidor principal de operaciones no está disponible debido a un error del equipo o a un problema de la red, puede asumir su función. Esto también se conoce como forzar la transferencia de la función de servidor principal de operaciones. Antes de forzar la transferencia, determine primero la causa y la duración esperada del error del equipo o de la red. Si la causa es un problema de la interconexión en red o un error del servidor que se va a resolver pronto, espere a que el poseedor de la función esté disponible de nuevo. Si el controlador de Error! Use the Home tab to apply Título to the text that you want to appear here. 173 dominio que desempeña actualmente la función tiene un error, debe determinar si se puede recuperar y ponerse de nuevo en conexión. En general, asumir esta función es un paso drástico que únicamente se debe considerar si el servidor principal de operaciones actual no va a volver a estar disponible. La decisión depende de la función y del tiempo que el poseedor de la función en particular no estará disponible. En los temas siguientes se discutirá el efecto de los diversos errores del poseedor de la función. Error del servidor principal de esquemas La pérdida temporal del servidor principal de operaciones de esquemas no será visible para los usuarios de la red. Tampoco será visible para los administradores de la red, a menos que intenten modificar el esquema o instalar una aplicación que lo modifique durante la instalación. Si el servidor principal de esquemas no va a estar disponible durante un período inaceptable, puede transferir la función al servidor de operaciones en espera. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor de esquemas es permanente. Importante Un controlador de dominio cuya función de servidor principal de esquemas se ha transferido nunca se debe poner de nuevo en conexión. Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de esquemas, consulte Asumir la función de servidor principal de esquemas. Error del servidor principal de nombres de dominio Los usuarios de la red no advierten la pérdida temporal del servidor principal de nombres de dominio. Tampoco será visible para los administradores de la red, a menos que intenten agregar o quitar un dominio del bosque. Si el servidor principal de nombres de dominio no va a estar disponible durante un período inaceptable, puede transferir la función al servidor de operaciones en espera. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor principal de nombres de dominios es permanente. Importante Un controlador de dominio cuya función de servidor principal de nombres de dominio se ha transferido nunca se debe poner de nuevo en conexión. Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de nombres de dominio, consulte Asumir la función de servidor principal de nombres de dominio. Error del servidor principal de identificadores relativos La pérdida temporal del servidor principal de operaciones de identificadores relativos no será visible para los usuarios de la red. Tampoco será visible para los administradores de la red, a menos que estén creando objetos y el dominio donde lo hacen se haya quedado sin identificadores relativos. Si el servidor principal de identificadores relativos no va a estar disponible durante un período inaceptable, puede transferir la función al servidor principal de operaciones. Sin embargo, asumir esta función es un paso drástico que sólo debe considerar si el error del servidor principal de identificadores relativos es permanente. Importante Error! Use the Home tab to apply Título to the text that you want to appear here. 174 Un controlador de dominio cuya función de servidor principal de identificadores relativos se ha transferido nunca se debe poner de nuevo en conexión. Para obtener información acerca de los procedimientos para asumir la función de servidor principal de identificadores relativos, consulte Asumir la función de servidor principal de identificadores relativos. Error del emulador PDC La pérdida del emulador del controlador principal del dominio (PDC) afecta a los usuarios de la red. Por lo tanto, cuando el emulador PDC no está disponible, es posible que tenga que asumir inmediatamente la función. Si el servidor principal emulador PDC actual no va a estar disponible durante un período inaceptable y su dominio tiene clientes sin el software de cliente de Windows 2000, o si contiene controladores de dominio de reserva de Windows NT, transfiera la función de servidor principal emulador PDC al servidor principal de operaciones en espera. Cuando el emulador PDC original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original. Para obtener información acerca de los procedimientos relativos al modo de asumir la función de emulador PDC, consulte Asumir la función de emulador PDC. Error del servidor principal de infraestructuras Los usuarios de la red no advierten la pérdida temporal de un servidor principal de infraestructuras. Tampoco será visible para los administradores de la red, a menos que hayan movido recientemente o cambiado el nombre de una gran cantidad de cuentas. Si el servidor principal de infraestructuras no va a estar disponible durante un período inaceptable, puede transferir la función a un controlador de dominio que no sea un catálogo global pero que esté conectado correctamente a uno de cualquier dominio y, si es posible, del mismo sitio que el catálogo global actual. Cuando el servidor principal de infraestructuras original vuelva a estar en servicio, puede transferir de nuevo la función al controlador de dominio original. Para obtener información acerca de los procedimientos relativos al modo de asumir la función de servidor principal de infraestructuras, consulte Asumir la función de servidor principal de infraestructuras. Para obtener información general acerca de los servidores principales de operaciones, consulte Operaciones de un solo servidor principal. Error! Use the Home tab to apply Título to the text that you want to appear here. 175 Publicación de servicios Los temas siguientes describen algunos tipos de información de servicios que puede ser de utilidad para publicar en el directorio. Las cualidades que hacen que un servicio sea adecuado para su publicación se pueden entender mejor si se comprende el modo en que Active Directory utiliza los servicios. Categorías de información de servicios La información de enlace y de configuración constituye los dos tipos de información que se publican con mayor frecuencia mediante Active Directory: La información de enlace permite a los clientes conectarse con servicios cuyos enlaces no se conocen bien y que se ajustan a un modelo orientado al servicio. Mediante la publicación de los enlaces para estos tipos de servicios, Windows 2000 puede establecer automáticamente conexiones con servicios. Los servicios orientados al equipo se controlan, normalmente, servicio por servicio y no se deben publicar en el directorio. La información de configuración puede ser común entre aplicaciones de cliente. Publicar este tipo de información permite distribuir los datos actuales de configuración de estas aplicaciones a todos los clientes del dominio. Las aplicaciones de cliente tienen acceso a la información de configuración cuando es necesario. Esto facilita a los usuarios la configuración de la aplicación al tiempo que proporciona un mayor control sobre su comportamiento. Características de la información de servicios La información de servicios que se publica en el directorio es más efectiva si reúne las siguientes características: Útil Para muchos clientes. No se debe publicar la información que es útil para un pequeño grupo de clientes o para ciertas áreas de la red. Si no se utiliza ampliamente, esta información desperdicia recursos de red, ya que se publica en cada controlador de dominio de un dominio. Relativamente estable e inalterable. Aunque hay muchas excepciones a esta regla, generalmente sólo tiene sentido publicar información de servicios cuya frecuencia de cambio es inferior a dos intervalos de replicación. Para la replicación dentro de un sitio, el período máximo de replicación es de quince minutos y, para la replicación entre sitios, el período máximo de replicación se configura según el intervalo de replicación del vínculo a sitios utilizado. Las propiedades de los objetos que cambian con mayor frecuencia generan una demanda excesiva de recursos de red. Los valores de las propiedades pueden estar anticuados hasta que no se publiquen actualizaciones, lo que puede tardar tanto tiempo como el período máximo de replicación. Como consecuencia, el hecho de tener propiedades anticuadas para ese período no debe crear condiciones inaceptables. Por ejemplo, algunos servicios de red seleccionan un puerto TCP válido para utilizar cada vez que se inician. Una vez seleccionado el puerto, el servicio actualiza Active Directory con esta información, que se almacena como el punto de conexión del servicio. Los clientes tienen acceso al punto de conexión del servicio cuando desean utilizar el servicio pero, si el nuevo punto de conexión no se ha replicado cuando el cliente lo solicita, éste recibirá un puerto anticuado, que procesa el servicio temporalmente inaccesible. Propiedades razonables y bien definidas. La información con una forma coherente facilita su uso por parte de los servicios. La información debería tener un tamaño relativamente reducido. Como ejemplo de publicación de servicios por medio de Sitios y servicios de Active Directory, consulte Para establecer permisos de seguridad y delegar el control de plantillas de certificados. Para obtener más información acerca de qué servicios publicar y cómo hacerlo, consulte la sección Publicación de servicios en El manual del programador de Active Directory (http://www.microsoft.com/). Error! Use the Home tab to apply Título to the text that you want to appear here. 176 Administrar la seguridad Windows 2000 presenta varias características nuevas de seguridad para ayudar a implementar el grado de seguridad que necesita una organización. En su forma más simple, la seguridad garantiza que las personas que inician la sesión en la red sean quienes dicen ser. Cuando se crean relaciones de confianza entre dominios de Windows o territorios de Kerberos V5, la seguridad de Windows puede limitar el acceso a datos delicados o recursos específicos a sólo aquellas personas, tanto de dentro como de fuera de la organización, a quienes se desea conceder el acceso. La seguridad de Windows 2000 también puede garantizar que los datos almacenados en el disco o enviados a través de redes privadas o públicas estén protegidos del acceso no autorizado. Puede utilizar el Sistema de archivos de cifrado para proteger los datos almacenados en el disco. La seguridad IP y el cifrado PPTP pueden proteger los datos de la red así como aquellos transmitidos a través de Internet. Para obtener más información acerca de cómo implementar y utilizar la seguridad de Windows 2000, consulte Seguridad. Publicar recursos Es necesario poder proporcionar a los usuarios de la red una publicación de recursos de red segura y selectiva así como facilitarles la búsqueda de información. El directorio almacena esta información para una recuperación rápida e integra los sistemas de seguridad de Windows 2000 para controlar el acceso. Entre los recursos que se pueden publicar en el directorio se incluyen objetos como usuarios, equipos, impresoras, archivos y servicios de red. Publicar usuarios y equipos Las cuentas de usuario y de equipo se agregan al directorio con Usuarios y equipos de Active Directory. Puede publicarse la información acerca de las cuentas que resulta de utilidad para otros usuarios de la red. Otra información, como la de la seguridad de las cuentas, sólo está disponible para los administradores. Publicar recursos compartidos La publicación de información acerca de recursos compartidos como impresoras y carpetas de archivos facilita a los usuarios el hallazgo de dichos recursos en la red. La información acerca de impresoras y carpetas compartidas de Windows NT se puede publicar en el directorio con Usuarios y equipos de Active Directory. Al instalar Windows 2000 las impresoras de red se publican automáticamente en el directorio. Publicar servicios de red Los servicios que pueden usarse en una red, como los Servicios de Certificate Server, se pueden publicar en el directorio para que los administradores puedan encontrarlos y administrarlos por medio de Sitios y servicios de Active Directory. Al publicar un servicio, en lugar de equipos o servidores, los administradores pueden centrarse en administrar el servicio sin importar cuál sea o dónde se encuentre el equipo que proporciona el servicio. Se pueden publicar servicios o aplicaciones adicionales en el directorio por medio de las interfaces de programación de Active Directory. Para ver su descripción, consulte Interfaces de programación. Para obtener información detallada acerca de cómo desarrollar una aplicación que publica información en el directorio, consulte el Manual del programador de Active Directory. Error! Use the Home tab to apply Título to the text that you want to appear here. 177 Buscar información del directorio Active Directory se ha diseñado para proporcionar información a consultas acerca de los objetos de directorio tanto de usuarios como de programas. Los administradores y los usuarios pueden buscar y encontrar información del directorio fácilmente con el comando Buscar del menú Inicio, con Mis sitios de red del escritorio o con el complemento Usuarios y equipos de Active Directory. Los programas de cliente puede tener acceso a información de Active Directory con Interfaces de servicio Active Directory (ADSI, Active Directory Service Interfaces). Una de las ventajas principales de Active Directory es su amplio almacén de información acerca de objetos de red. La información publicada en Active Directory acerca de usuarios, equipos, archivos e impresoras está a disposición de los usuarios de la red. Esta disponibilidad es controlada mediante los permisos de seguridad para ver información. Las tareas diarias en una red implican la comunicación con otros usuarios y la conexión con recursos publicados. Estas tareas requieren encontrar nombres y direcciones para enviar correo o conectar con recursos compartidos. En este sentido, Active Directory funciona como una libreta de direcciones compartida para la empresa. Además, los administradores pueden utilizar los cuadros de diálogo avanzados Buscar de Usuarios y equipos de Active Directory para realizar tareas de administración con mayor eficiencia y para personalizar y filtrar fácilmente los datos recuperados del directorio. Para saber cómo encontrar y publicar información del directorio como usuarios, equipos, grupos, carpetas compartidas e impresoras, consulte Administrar recursos publicados. Programar interfaces Interfaces de servicio de Active Directory (ADSI, Active Directory Service Interfaces) proporciona a Active Directory una interfaz simple y eficaz orientada a objetos. ADSI facilita a los programadores y administradores la creación de programas de directorio mediante herramientas de alto nivel como Microsoft Visual Basic, Java, C o Visual C++, sin necesidad de que se preocupen de las diferencias subyacentes entre los diversos espacios de nombres. ADSI permite crear o comprar programas que ofrecen un único punto de acceso a múltiples directorios en el entorno de red, ya estén basados esos directorios en LDAP o en otro protocolo. Con ADSI se pueden crear secuencias de comandos para facilitar su uso a los administradores. Para obtener más información acerca de ADSI, consulte el Kit de recursos de Windows 2000. Active Directory ofrece también la posibilidad de utilizar la Interfaz de programación de aplicaciones de mensajería (MAPI, Messaging Application Programming Interface), lo que permite que los programas MAPI heredados sigan funcionando con Active Directory. Además, Active Directory es compatible con la API C de LDAP, definida en RFC 1823 como interfaz de nivel inferior para programadores de C. Para obtener más información, consulte el Kit de desarrollo de software (SDK, Software Development Kit) de la plataforma. Herramientas administrativas de Active Directory Las herramientas administrativas de Active Directory que se incluyen con Windows 2000 Server simplifican la administración del servicio de directorio. Puede usar las herramientas estándar o crear, mediante Microsoft Management Console (MMC), herramientas personalizadas que se centren en tareas de administración específicas. Puede combinar varias herramientas en una única consola. También puede asignar herramientas personalizadas a varios administradores, dando así a cada uno de ellos una responsabilidad específica. Para obtener más información acerca de MMC, consulte Crear y abrir consolas MMC. Error! Use the Home tab to apply Título to the text that you want to appear here. 178 Las herramientas administrativas de Active Directory sólo se pueden utilizar desde un equipo que tenga acceso a un dominio de Windows 2000. Las siguientes herramientas de administración de Active Directory están incluidas en el menú Herramientas administrativas de Windows 2000 Server en todos los controladores de dominio de Windows 2000: Usuarios y equipos de Active Directory Dominios y confianzas de Active Directory Sitios y servicios de Active Directory También puede administrar Active Directory de forma remota desde un equipo que no sea controlador de dominio. Para utilizar las herramientas de administración de Active Directory en un equipo que no sea controlador de dominio, como uno donde se ejecute Windows 2000 Professional, debe instalar las Herramientas administrativas de Windows 2000. Para obtener más información, consulte Administrar servidores remotamente. Otra herramienta de administración de Active Directory es el complemento Esquema de Active Directory. No está incluida en el menú Herramientas administrativas de Windows 2000 Server. Debe instalarla desde el disco compacto de Windows 2000 Server y agregarla a una consola MMC. Para obtener más información, consulte Instalar el complemento Esquema de Active Directory. Para los administradores avanzados y los especialistas en redes hay muchas más herramientas de línea de comandos que pueden usar para configurar, administrar y solucionar problemas de Active Directory. Para obtener más información, consulte Herramientas de compatibilidad de Active Directory. También puede crear secuencias de comandos que usen las Interfaces del servicio Active Directory (ADSI, Active Directory Service Interfaces). En el disco compacto de Windows 2000 Server se incluyen varias secuencias de comandos de ejemplo. Para obtener más información acerca de esos ejemplos de secuencias de comandos, consulte Kit de recursos de Windows 2000. Para obtener más información acerca de cómo usar ADSI, consulte Programar interfaces. Herramientas de soporte de Active Directory Hay varias herramientas adicionales de la línea de comandos que se pueden usar para configurar, administrar y depurar Active Directory. Estas herramientas se denominan Herramientas de soporte y están incluidas en el disco compacto de Windows 2000 Server, en la carpeta \SUPPORT\TOOLS. Lista y descripción de las herramientas Herramienta Descripción MoveTree Mueve objetos de un dominio a otro. SIDWalker Establece las listas de control de acceso para los objetos que eran propiedad de cuentas que se han movido, han quedado huérfanas o han sido eliminadas. ESEUtil Repara, comprueba, compacta, mueve y realiza un volcado de los archivos de la base de datos del directorio. NTDSUTIL usa muchas de estas funciones. NTDSUtil Repara, comprueba, compacta, mueve y realiza un volcado de los archivos de la base de datos del directorio. Crea listas de sitios y dominios, muestra información del servidor, administra servidores principales de operaciones, realiza restauraciones autorizadas y crea dominios. Error! Use the Home tab to apply Título to the text that you want to appear here. 179 LDP Permite realizar operaciones LDAP en Active Directory. Esta herramienta cuenta con una interfaz gráfica de usuario. DNSCMD Comprueba que los registros de recursos DNS, incluida la actualización de DNS seguro, se registran de forma dinámica, además de comprobar que se anula su registro cuando procede. DOMMAP Comprueba la topología de la replicación y las relaciones entre sitios y dominios. DSACLS Muestra o modifica las listas de control de acceso de los objetos del directorio. NETDOM5 Administra por lotes las relaciones de confianza, permite agregar equipos a dominios y comprueba relaciones de confianza y canales seguros. NETTest Comprueba toda la red (de extremo a extremo) y las funciones de servicios distribuidos. NLTest Comprueba que el localizador y el canal seguro funcionan correctamente. REPAdmin Comprueba la coherencia de la replicación entre equipos asociados de replicación, supervisa el estado de la replicación, muestra los metadatos de la replicación, fuerza sucesos de replicación y obliga a volver a calcular el comprobador de coherencia del conocimiento. REPLMon Muestra la topología de la replicación, monitoriza el estado de la replicación, incluso de las directivas de grupo, fuerza sucesos de replicación y obliga a volver a calcular el comprobador de coherencia del conocimiento. Esta herramienta cuenta con una interfaz gráfica de usuario. DSAStat Compara la información de directorio de los distintos controladores de dominio y detecta las diferencias. ADSIEdit Es un complemento de Microsoft Management Console (MMC) que se usa para ver todos los objetos del directorio, incluso el esquema y los datos de configuración, modificar los objetos y establecer listas de control de acceso a los mismos. SDCheck Comprueba la propagación y replicación de las listas de control de acceso de los objetos especificados en el directorio. Esta herramienta permite al administrador determinar si las listas de control de acceso se están heredando correctamente y si los cambios en esas listas se están replicando en los distintos controladores de dominio. ACLDiag Determina si se ha concedido o negado a un usuario el acceso a un objeto de directorio. También puede usarse para restablecer listas de control de acceso a su estado predeterminado. DFSCheck Utilidad de la línea de comandos que permite administrar todos los aspectos del Sistema de archivos distribuido (DFS, Distributed File System) y mostrar la topología de DFS. Para obtener más información acerca de las herramientas de soporte de Active Directory, consulte Kit de recursos de Windows 2000. Error! Use the Home tab to apply Título to the text that you want to appear here. 180 Recursos Vínculos a información acerca de los sitios Web de Microsoft Kit de recursos de Windows 2000 El Manual del programador de Active Directory en el sitio Web de Microsoft (http://www.microsoft.com/). Vínculos a información acerca de otros sitios Web Las direcciones Web pueden cambiar, de forma que es posible que no pueda conectar con el sitio o sitios Web mencionados aquí. International Standards Organization (http://www.iso.ch/) The Internet Engineering Task Force (Grupo de trabajo de ingeniería de Internet) (http://www.ietf.org/) Error! Use the Home tab to apply Título to the text that you want to appear here. 181 Solución de problemas ¿Qué problema tiene? Un dominio no se puede agregar o quitar. Causa: el servidor principal de nombres de dominio no está disponible. Puede deberse a un problema de conectividad de red. Igualmente, puede deberse a un error en el equipo que tiene la función de servidor principal de nombres de dominio. Solución: resuelva el problema de conectividad de red. O bien, repare o reemplace el equipo servidor principal de nombres de dominio. Puede que sea necesario asumir la función de servidor principal de nombres de dominio. Consulte también: Diagnosticar conexiones; Operaciones de un solo servidor principal; Responder a errores en el servidor principal de operaciones; Transferir la función de servidor principal de nombres de dominio; Asumir la función de servidor principal de nombres de dominio No se pueden crear objetos en Active Directory. Causa: el servidor principal de identificadores relativos no está disponible. Puede deberse a un problema de conectividad de red. También puede deberse a un error en el equipo que realiza esa función. Solución: resuelva el problema de conectividad de red. O bien, repare o reemplace el equipo que desempeña la función de servidor principal de identificadores relativos. Puede que sea necesario asumir la función de servidor principal de identificadores relativos. Consulte también: Diagnosticar conexiones; Operaciones de un solo servidor principal; Responder a errores en el servidor principal de operaciones; Transferir la función de servidor principal de identificadores relativos; Asumir la función de servidor principal de identificadores relativos No se puede modificar el esquema. Causa: el servidor principal de esquemas no está disponible. Puede deberse a un problema de conectividad de red. También puede deberse a un error en el equipo que realiza esa función. Solución: resuelva el problema de conectividad de red. O bien, repare o reemplace el equipo que desempeña la función de servidor principal de esquemas. Puede que sea necesario asumir la función de servidor principal de esquemas. Consulte también: Diagnosticar conexiones; Operaciones de un solo servidor principal; Responder a errores en el servidor principal de operaciones; Transferir la función de servidor principal de esquemas; Asumir la función de servidor principal de esquemas Los cambios en la pertenencia a grupos no tienen ningún efecto. Causa: el servidor principal de infraestructuras no está disponible. Puede deberse a un problema de conectividad de red. También puede deberse a un error en el equipo que realiza esa función. Solución: resuelva el problema de conectividad de red. O bien, repare o reemplace el equipo que desempeña la función de servidor principal de infraestructuras. Puede que sea necesario asumir la función de servidor principal de infraestructuras. Consulte también: Diagnosticar conexiones; Operaciones de un solo servidor principal; Responder a errores en el servidor principal de operaciones; Transferir la función de servidor principal de infraestructuras; Asumir la función de servidor principal de infraestructuras Error! Use the Home tab to apply Título to the text that you want to appear here. 182 Los clientes que no tienen instalado el software de cliente de active Directory no pueden iniciar sesiones. Causa: no está disponible el emulador del controlador principal de dominio. Puede deberse a un problema de conectividad de red. También puede deberse a un error en el equipo que realiza esa función. Solución: resuelva el problema de conectividad de red. O bien, repare o reemplace el equipo con la función de emulador de controlador principal de dominio. Puede que sea necesario asumir la función de emulador del controlador principal de dominio. Consulte también: Diagnosticar conexiones; Operaciones de un solo servidor principal; Responder a errores en el servidor principal de operaciones; Transferir la función de emulador PDC; Asumir la función de emulador PDC Los clientes no pueden tener acceso a los recursos de otro dominio. Causa: ha habido un error en la confianza entre los dominios. Solución: restablezca y compruebe la confianza entre los dominios. El emulador PDC debe estar disponible para que la confianza se restablezca correctamente. Consulte también: Comprobar una confianza; Operaciones de un solo servidor principal Se reciben los mensajes "Dominio no encontrado", "Servidor no disponible" o "El servidor RPC no está disponible". Causa: el registro o la resolución de nombres no funciona correctamente. Puede deberse a un problema del registro o la resolución de nombres NetBIOS o DNS, o de conectividad de red. Solución: ejecute Netdiag /debug en el servidor que tiene el problema. Esta herramienta de la línea de comandos evaluará NetBIOS, DNS, el registro y servicios. Consulte también: Kit de recursos de Windows 2000 El usuario no puede iniciar una sesión localmente en un controlador de dominio. Causa: la directiva define los derechos de acceso para inicios de sesión local de los usuarios. De forma predeterminada, no se permite a los usuarios iniciar sesiones localmente en un controlador de dominio. Solución: para permitir que uno o más usuarios inicien sesiones localmente en un controlador de dominio (generalmente no es una práctica recomendada), debe habilitarse esta directiva desde la Directiva predeterminada de controladores de dominio. Consulte también: Directiva de grupo Se producen errores de confianza entre servidores o estaciones de trabajo. Causa: sincronización de tiempo incorrecta entre los controladores de dominio o las estaciones de trabajo, el servidor puede haber dejado de funcionar o la relación de confianza puede haberse roto. Solución: ejecute Netdom5 para comprobar, restablecer o definir la confianza entre los equipos. Esta herramienta de la línea de comandos administra por lotes y comprueba las relaciones de confianza, asegura los canales entre los equipos y puede unir equipos a dominios. Consulte también: Kit de recursos de Windows 2000 No es posible habilitar la auditoría. Causa: en Windows 2000, la auditoría debe habilitarse en el objeto Directiva de grupo. Error! Use the Home tab to apply Título to the text that you want to appear here. 183 Solución: ejecute GPEdit.msc para habilitar la auditoría o la supervisión de sucesos del sistema. Consulte también: Directiva de grupo. Error! Use the Home tab to apply Título to the text that you want to appear here. 184
