Resumen Técnico de Active Directory Windows® 2000 Sistema Operativo de Servidor Documentos Estratégicos Resumen Introducción Este documento proporciona una introducción técnica al Active Directory, el nuevo servicio de directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft. Este documento incluye explicaciones detalladas de los conceptos importantes del Active Directory, elementos arquitectónicos y características. La sección Conceptos Importantes describe los términos que necesita comprender antes de abordar el Active Directory mismo. Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran más en detalle sobre lo que realiza el Active Directory, qué características trae a Windows y como está implementado. La sección Migración cubre modelos de dominio de migración y estructuras de directorio de Windows NT 4.0 a Windows 2000. La última sección, Preguntas Más Frecuentes, responde preguntas sobre el Active Directory y cómo funciona. Un directorio es una fuente de información usada para almacenar información sobre objetos interesantes. Un directorio telefónico almacena información sobre los subscriptores. En un sistema de archivo, el directorio almacena información sobre los archivos. En un sistema computacional distribuido o una red computacional pública como Internet, hay muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los administradores quieren manejar como se usan estos objetos. En este documento, los "términos directorio" y "servicio de directorio" se refieren a los directorios que se encuentran en redes públicas y privadas. Un servicio de directorio difiere de un directorio en que es tanto la fuente de información del directorio como los servicios que hacen la información disponible y utilizable para los usuarios. Un servicio de directorio es uno de los más importantes componentes de un sistema computacional extenso. Con frecuencia los usuarios y los administradores no saben el nombre exacto de los objetos en los cuales están interesados. Pueden conocer uno o más atributos de los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus atributos. Un servicio de directorio puede: • Reforzar la seguridad definida por los administradores para mantener la información segura ante intrusos. • Distribuir un directorio a través de muchas computadoras en una red. • Hacer duplicados del directorio para que esté disponible para más usuarios y sea resistente a las fallas. • Separar un directorio en almacenes múltiples para permitir el almacenaje de un gran número de objetos. Un servicio de directorio es tanto una herramienta de manejo como una herramienta de Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni usuario final. Conforme aumenta el número de objetos en una red, el servicio de directorio se vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema distribuido. El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Amplía las características de previos servicios de directorio basados en Windows y agrega características totalmente nuevas. El Active Directory es seguro, distribuido, separado, y duplicado. Está diseñado para funcionar bien en instalaciones de cualquier tamaño, desde un solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de objetos. El Active Directory agrega muchas características nuevas que hacen fácil navegar y manejar grandes cantidades de información, generando ahorros de tiempo tanto para los administradores como para los usuarios finales. Conceptos Importantes Algunos conceptos y términos que son empleados para describir al Active Directory son nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han existido por un tiempo son usados para que signifiquen más que una cosa en particular. Antes de continuar, es importante que entienda como se definen los siguientes conceptos y términos en el contexto del Active Directory. El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o usuario), cada servidor y cada dominio en una sola red de área amplia. También puede incluir varias redes de área amplia combinadas, así es que es importante tener en mente que el Active Directory puede escalar desde una sola computadora, a una sola red computacional, hasta muchas redes computacionales combinadas. El Active Directory es principalmente un espacio para nombres, como cualquier servicio de directorio. El directorio es un espacio para nombres. Un espacio para nombres es cualquier área limitada en la cual puede ser incluido un nombre dado. La inclusión del nombre es el proceso de adaptar un nombre a algún objeto o información que representa. Un directorio telefónico forma un espacio para nombres para el cual los nombres de los subscriptores de teléfono pueden ser incluidos en números telefónicos. El sistema de archivo de Windows forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al archivo mismo. El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el directorio puede ser incluido al objeto mismo. Un objeto es un juego de nombres preciso de atributos que representa algo en concreto, como un usuario, una impresora, o una aplicación. Los atributos mantienen datos que describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario pueden incluir su nombre, apellido y dirección de correo electrónico. Figura 1. Un objeto de usuario y sus atributos Un contenedor es como un objeto en que tiene atributos y es parte del espacio para nombres del Active Directory. Sin embargo, a diferencia de un objeto, no representa algo en concreto. Es un contenedor para un grupo de objetos y otros contenedores. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el árbol (los puntos donde salen ramas) son contenedores. Un árbol muestra como son conectados los objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red computacional o dominio es también un contenedor. Un subárbol colindante es cualquier camino ininterrumpido en el árbol, incluyendo todos los miembros de cualquier contenedor en ese camino. Figura 2. Un subárbol colindante de un directorio de archivo Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos diferentes de nombres. Nombre Único Cada objeto en el Active Directory tiene un nombre único (Distinguished Name, DN). El nombre único identifica el dominio que conserva el objeto, así como el camino completo a través de la jerarquía del contenedor por el cual se llega al objeto. Un típico DN puede ser /O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com Figura 3. Una representación gráfica de un nombre único Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Nombre único Relativo El Nombre único Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario "James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users. El Active Directory está compuesto de uno a más contextos para dar nombres o particiones. Un contexto para dar nombres es cualquier subárbol colindante del directorio. Los contextos para dar nombres son las unidades de duplicado. En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para dar nombres. • El esquema • La configuración (topología de partición y metadatos relacionados) • Uno o más contextos para dar nombres de usuario (subárboles conteniendo los objetos reales en el directorio). Un dominio es un solo límite de seguridad de una red computacional de Windows NT o Windows 2000. (Para más información sobre dominios, vea la documentación de Windows). El Active Directory está compuesto de uno o más dominios. En una sola estación de trabajo, el dominio es la computadora misma. Un dominio puede conectar más de una ubicación física. Cada dominio tiene sus propias políticas de seguridad y relaciones de seguridad con otros dominios. Cuando dominios múltiples son conectados por relaciones de confianza y comparten un esquema común, configuración, y catálogo global, tienen un árbol dominio. Arboles de dominio múltiples pueden conectarse juntos en un bosque. Un árbol de dominio comprende varios dominios que comparten un esquema común y configuración, formando un colindante espacio para nombres. Los dominios en un árbol están también vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o más árboles. Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza entre los dominios. La otra es el espacio para nombres del árbol de dominio. Visualizando las Relaciones de confianza Puede trazar un dibujo de un árbol de dominio basado en los dominios individuales y de cómo confían uno en el otro. Windows 2000 establece las relaciones de confianza entre los dominios basándose en el protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si el dominio A confía en el dominio B y dominio B confía en dominio C, dominio A confía también en el dominio C. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza. Visualizando el Espacio para nombres También puede hacer un dibujo de un árbol de dominio basado en el espacio para nombres (Namespace). Puede determinar el nombre único de un objeto siguiendo el camino hacia el espacio para nombres del árbol de dominio. Esta vista es útil para agrupar objetos en una jerarquía lógica. La principal ventaja de un colindante espacio para nombres es que una búsqueda intensa desde la raíz del espacio para nombres buscará en la jerarquía completa. Figura 5. Viendo un árbol dominio como espacio para nombres Un bosque es un conjunto de uno o más árboles que NO forman un espacio para nombres colindante. Todos los árboles en un bosque comparten un esquema común, configuración, y Catalogo Global. Todos los árboles en un bosque dado confían uno en el otro vía relaciones de confianza Kerberos transitivas jerárquicas. A diferencia de un árbol, un bosque no necesita un nombre único. Un bosque existe como un conjunto de objetos de referencia recíproca y relaciones de confianza Kerberos conocidas para los árboles miembros. Los árboles en un bosque forman una jerarquía para los propósitos de confianza Kerberos; el nombre del árbol en la raíz del árbol de confianza puede ser usado para referirse a un bosque dado. Figura 6. Arboles múltiples en un bosque Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory. Un sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas" significa que la conectividad de la red es altamente confiable y rápida (por ejemplo: velocidades de LAN (red local) de 10 millones de bits por segundo o mayores). Definir un sitio como un conjunto de subredes permite a los administradores configurar rápidamente y fácilmente el acceso al Active Directory y la topología de replicación para tomar ventaja de la red física. Cuando un usuario se conecta, el cliente del Active Directory encuentra servidores del Active Directory en el mismo sitio que el usuario. Ya que las máquinas en el mismo sitio están cerca una de otra en términos de red, la comunicación entre las máquinas es confiable, rápida y eficiente. Determinar el sitio local en tiempo de conexión se logra fácilmente debido a que la estación de trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se adaptan directamente a los sitios del Active Directory. Arquitectura Esta corta sección presenta algunos de los principales componentes arquitectónicos del Active Directory. El modelo de datos del Active Directory se deriva del modelo de datos X.500. El directorio conserva objetos que representan cosas de diferentes tipos, descritos por características. El universo de objetos que pueden ser almacenados en el directorio está definido en el esquema. Para cada clase de objetos, el esquema define qué atributos debe tener un ejemplo del grupo, qué atributos adicionales puede tener y qué clase de objetos puede ser matriz de la actual clase de objetos. El esquema del Active Directory es implementado como un conjunto de instancias de clase de objeto almacenados en el directorio. Es muy diferente a muchos directorios que tienen un esquema, pero los almacena como un archivo de texto para leerse al iniciar. Por ejemplo, las aplicaciones del usuario pueden leer el esquema para descubrir qué objetos y propiedades están disponibles. El esquema del Active Directory puede ser actualizado dinámicamente. Es decir, una aplicación puede extender el esquema con nuevos atributos y clases, y puede usar las extensiones inmediatamente. Las actualizaciones del esquema se logran creando o modificando los objetos del esquema almacenados en el directorio. Al igual que cada objeto en el Active Directory, los objetos del esquema son protegidos por listas de control de acceso (Access Control Lists, ACLs), así es que sólo los usuarios autorizados pueden alterar el esquema. El directorio es parte del Windows 2000 Trusting Computing Base y es un total participante en la infraestructura de seguridad de Windows 2000. Los ACLs protegen a todos los objetos en el Active Directory. Las rutinas de validación de acceso a Windows 2000 usan el ACL para validar cualquier intento de accesar un objeto o atributo en el Active Directory. Los usuarios autorizados desempeñan la administración en el Active Directory. Un usuario está autorizado por una autoridad más alta para desempeñar un conjunto de acciones especificadas en un conjunto de objetos especificados y clases de objetos en algún identificado subárbol del directorio. Esto se llama administración delegada (delegated administration). La administración delegada permite un control estricto sobre quien puede hacer qué y permite la delegación de autoridad sin otorgar altos privilegios. El Agente del Sistema de Directorio (Directory System Agent, DSA) es el proceso que maneja el almacenaje físico del directorio. Los clientes usan una de las interfaces apoyadas para conectarse al DSA y luego buscar, leer, y escribir objetos del directorio y sus atributos. El DSA proporciona al cliente aislamiento del formato de almacenaje físico de los datos del directorio. Funciones de Active Directory Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Esta sección describe algunas de las principales características y componentes del Active Directory. El Active Directory está integrado estrechamente con el Sistema de nombres del dominio (Domain Name System, DNS). El DNS es el espacio para nombres distribuido que se usa en Internet para incluir nombres computacionales y de servicio a las direcciones TCP/IP. La mayoría de las empresas que tienen intranets usan DNS como el servicio de inclusión de nombres. El Active Directory usa DNS como el servicio de ubicación. Los nombres de dominio de Windows 2000 son nombres de dominio DNS. Por ejemplo: "Microsoft.com" es un nombre de dominio DNS válido y podría también ser el nombre de un dominio de Windows 2000. La estrecha integración DNS significa que el Active Directory encaja naturalmente en ambientes de Internet e intranet. Los clientes encuentran los servidores de directorio rápidamente y fácilmente. Una empresa puede conectar los servidores de Active Directory directamente a la Internet para facilitar las comunicaciones seguras y el comercio electrónico con clientes y socios. Servicio de ubicación Los servidores del Active Directory publican sus direcciones de modo que los clientes puedan encontrarlos conociendo sólo el nombre de dominio. Los servidores del Active Directory son publicados por medio de los Registros de recursos de servicios (Service Resource Records, SRV RRs) en DNS. El SRV RR es un registro de DNS usado para mapear el nombre de un servicio a las direcciones de un servidor que ofrece ese servicio. El nombre de un SRV RR se da en esta forma: Los servidores del Active Directory ofrecen el servicio LDAP sobre el protocolo TCP de modo que los nombres publicados se encuentren en la forma: ldap.tcp. Por lo tanto, el SRV RR para "Microsoft.com" es "ldap.tcp.microsoft.com". Información adicional sobre el SRV RR indica la prioridad y peso para el servidor, permitiendo que los clientes seleccionen el mejor servidor para sus necesidades. Cuando un servidor de Active Directory es instalado, se publica a sí mismo vía un DNS dinámico (Dynamic DNS) que se explica más adelante. Ya que las direcciones TCP/IP están sujetas a cambio con el tiempo, los servidores revisan periódicamente sus registros para asegurarse que están correctos, actualizándolos si es necesario. DNS Dinámico Un DNS dinámico (Dynamic DNS) es una reciente adición al estándar DNS. Dynamic DNS define un protocolo para actualizar dinámicamente un servidor con valores nuevos o cambiados. Antes de Dynamic DNS, los administradores necesitaban configurar manualmente los registros almacenados por servidores DNS. Un objeto tiene exactamente un nombre, el nombre único (DN). El DN identifica originalmente el objeto y contiene suficiente información para que el cliente retire el objeto del directorio. El DN de un objeto puede cambiar. Ya que el DN de un objeto está compuesto del RDN del objeto mismo o cualquier predecesor cambiará el DN. Debido a que los DNs son complejos para recordar y están sujetos a cambio, es de utilidad tener otros medios para recuperar objetos. El Active Directory apoya la consulta por características, de modo que un objeto pueda ser encontrado aún que se desconozca el DN exacto o haya cambiado. Para simplificar el proceso de encontrar objetos por consulta, el esquema del Active Directory define dos propiedades útiles: Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni • Identificador de objeto globalmente único (Object globally unique identifier, GUID) - Un número de 128 bits, garantizado para ser único. Los objetos tienen asignado un GUID cuando son creados. El GUID nunca es cambiado, aún si el objeto es movido o vuelto a nombrar. Las aplicaciones pueden almacenar el GUID de un objeto y ser asegurado de recuperar ese objeto no importando cual es el DN actual. • Nombre principal de usuario (User Principal Name) - Los principios de seguridad (usuarios y grupos) tienen un nombre "amigable" cada uno, el Nombre Principal de Usuario (User Principal Name, UPN), el cual es más corto que el DN y más fácil de recordar. El UPN está compuesto de un nombre en "taquigrafía" para el usuario y el nombre DNS para el árbol de dominio donde el usuario reside. Por ejemplo, el usuario James Smith en el árbol Microsoft.com puede tener un UPN de "[email protected]". Exclusividad de Nombres Los nombres distinguidos están garantizados a ser exclusivos. El Active Directory no permite que dos objetos con el mismo RDN se encuentren bajo la misma matriz. Los DNs se componen de RDNs y por lo tanto son singulares. Los GUIDs son singulares por definición; un algoritmo que asegura la singularidad genera GUIDs. La singularidad no está reforzado por cualquier otro atributo. El acceso al Active Directory es vía protocolos en línea (wire protocols). Los protocolos en línea definen los formatos de mensajes e interacciones del cliente y servidor. Diversas interfaces de programación de aplicaciones (APIs) dan a los desarrolladores el acceso a estos protocolos. Apoyo a protocolos Los protocolos que son apoyados incluyen: • LDAP - El protocolo central del Active Directory es el Lightweight Directory Acces Protocol (LDAP). Las versiones 2 y 3 de LDAP son apoyadas. • MAPI-RPC - El Active Directory soporta las interfaces de Remote procedure call (RPC) que apoyan las interfaces MAPI. • X.500 - El modelo de información del Active Directory se deriva del modelo de información X.500. ElX.500 define varios protocolos de electrónica que el Active Directory no implementa. Estos protocolos son: o DAP- Directory Access Protocol o DSP - Directory System Protocol o DISP - Directory Information Shadowing Protocol o DOP - Directory Operational Binding Management Protocol El Active Directory no implementa estos protocolos por las siguientes razones: • Hay muy poco interés en estos protocolos y hay unas cuantas implementaciones. • Estos protocolos son dependientes de trabajaren la red OSI. OSI es una alternativa para TCP/IP, la cual no está ampliamente implementada. Trasladar OSI a través de una red TCP/IP es menos eficiente que usar TCP/IP directamente. • LDAP provee las funciones más importantes ofrecidas por DAP y DSP y está diseñado para trabajar sobre TCP/IP sin la sobrecarga de envolver OSI en TCP/IP. • Hay suficiente ambigüedad en las especificaciones DISP y DOP de 1993 y 1997 que implementaciones de conformar no están garantizadas para interoperar, de ese modo reduciendo dramáticamente el valor de estos protocolos. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Interfaces de Programación de Aplicaciones Los APIs apoyados incluyen: • ADSI - Interfaces de Servicio de Active Directory (ADSI), proveen al Active Directory de una interface simple y poderosa orientada al objeto. Los desarrolladores pueden usar muchos lenguajes de programación diferentes, incluyendo Java, sistema de programación Visual Basic, C, C++, y otros. El ADSI es totalmente encriptable para un fácil uso de los administradores del sistema. ADSI le esconde a los usuarios los detalles de las comunicaciones LDAP. • LDAP API - El LDAP C API, definido en RFC 1823, es una interface de menor nivel disponible para los programadores C. • MAPI - El Active Directory respalda a MAPI para compatibilidad en dirección contraria. Las nuevas aplicaciones deben usar ADSI o el LDAP C API. El Active Directory le permite a otros directorios a que sean expuestos vía Contenedores Virtuales (Virtual Containers). Un contenedor virtual permite que cualquier queja del directorio LDAP sea accesado transparentemente vía el Active Directory. El contenedor virtual es implementado vía información del conocimiento (knowledge information) almacenada en el Active Directory. La información del conocimiento describe donde en el Active Directory debe aparecer el directorio foráneo, y contiene el nombre DNS de un servidor que conserva una copia del directorio foráneo y el nombre único (DN) en el cual iniciar las operaciones de búsqueda en el DS foráneo. El Active Directory puede consistir de muchas separaciones o contextos para dar nombres. El nombre único (DN) de un objeto incluye suficiente información para localizar una réplica de la partición que mantiene el objeto. Muchas veces, sin embargo, el usuario o la aplicación desconoce el DN del objeto clave o cual partición puede contener el objeto. El Catálogo Global (Global Catalog, GC) permite a los usuarios y a las aplicaciones encontrar objetos en un árbol de dominio del Active Directory si el usuario o la aplicación sabe uno o más atributos del objeto clave. El Catálogo Global contiene una réplica parcial de cada contexto de dar nombre a los usuarios en el directorio. También contiene los contextos del esquema y configuración para asignar nombres. Esto significa que el GC mantiene una réplica de cada objeto en el Active Directory, pero sólo mantiene un pequeño número de sus atributos. Los atributos en el GC son aquellos más frecuentemente usados en operaciones de búsqueda (tales como el nombre y apellido del usuario, nombres de inicio de sesión, etc.) y aquellos requeridos para localizar una réplica completa del objeto. El GC le permite a los usuarios encontrar rápidamente objetos de interés sin saber que dominio los conserva y sin requerir un contiguo y extenso espacio para nombres en la empresa. El sistema para replicar del Active Directory construye automáticamente el Catálogo Global y genera la topología de replicar. Las propiedades duplicadas en el Catálogo Global incluyen un conjunto base definido por Microsoft .Los administradores pueden especificar propiedades adicionales para satisfacer las necesidades de su instalación. Esto es sólo un panorama general de seguridad en el Active Directory. Para mayor información sobre el modelo de seguridad de Windows 2000, consulte los documentos estratégicos de "Secure Networking Using Microsoft Windows 2000 Distributed Security". Protección de Objetos Todos los objetos en el Active Directory están protegidos por listas de control de acceso (Access Control Lists, ACLs). Las ACLs determinan quien puede ver el objeto y que acciones puede efectuar cada usuario en el objeto. La existencia de un objeto nunca es revelado a un usuario a quien no se le permite verlo. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Un ACL es una lista de Entradas de Control de Acceso (Access Control Entries, ACE) almacenadas con el objeto que protege. En Windows 2000, un ACL es almacenada como un valor binario que se llama un Descriptor de Seguridad (Security Descriptor). Cada ACE contiene un Identificador de Seguridad (Security Identifier, SID),el cual identifica el principal (usuario o grupo) a quien el ACE se aplica e información sobre que tipo de acceso que el ACE otorga o niega. ACLs en objetos del directorio contienen ACEs que aplican al objeto en conjunto y ACEs que aplican a los atributos individuales del objeto. Esto permite a un administrador controlar no sólo que los usuarios puedan ver un objeto, sino que propiedades pueden ver esos usuarios. Por ejemplo: puede otorgárseles a todos los usuarios que lean el acceso a los atributos de correo electrónico o número telefónico para todos los demás usuarios, pero las propiedades de seguridad de usuarios le puede ser negada a todos menos a los miembros de un grupo de administradores de seguridad. A los usuarios individuales se les puede otorgar acceso a escribir a atributos personales tales como las direcciones de teléfono o correo en sus propios objetos de usuario. Delegación La delegación (Delegation) es una de las más importantes características de seguridad del Active Directory. La delegación permite una autoridad administrativa más elevada para otorgar derechos administrativos específicos para contenedores y subárboles a individuos o grupos. Esto elimina la necesidad de "Administradores de Dominio" con autoridad arrasadora sobre grandes segmentos de la población de usuarios. Los ACEs pueden otorgar derechos administrativos específicos sobre los objetos en un contenedor a un usuario o grupo. Los derechos se otorgan para operaciones específicas en clases de objetos específicos vía ACEs en el contenedor de ACL. Por ejemplo, para permitir que el usuario "James Smith" sea un administrador de la unidad organizacional "Corporate Accounting", se agregarían ACEs al ACL en "Corporate Accounting" como sigue: "James Smith"; Grant;Create, Modify, Delete;Object-Class User "James Smith";Grant;Create,Modify,Delete;Object-Class Group "James Smith";Grant;Write;Object-Class User;Attribute Password Ahora James Smith puede crear nuevos usuarios y grupos en Corporate Accounting y establecer las contraseñas (passwords) de usuarios existentes, pero no puede crear ningunas otras clases de objetos y no puede afectar a usuarios en cualquier otro contenedor (a menos, por supuesto, que ACEs les otorgue ese acceso en los otros contenedores). Herencia La herencia (inheritance) permite que un ACE dado se propague del contenedor donde fue aplicado a todos los descendientes del contenedor. La herencia puede ser combinada con la delegación para otorgar derechos administrativos a un subárbol completo del directorio en una sola operación. El Active Directory provee de replicación multimaestra. La replicación multimaestra significa que todos los duplicados de una partición dada se pueden escribir. Esto permite que actualizaciones sean aplicadas a cualquier duplicado de una partición dada. El sistema de replicación del Active Directory propaga los cambios de un duplicado dado a todos los otros duplicados. La replicación es automática y transparente. Propagación de actualizaciones Algunos servicios de directorio usan etiquetas de tiempo (timestamps) para detectar y propagar cambios. En estos sistemas, es muy importante mantener sincronizados los relojes Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni de todos los servidores de directorio. La sincronización del tiempo en una red es muy difícil. Aun con muy buena sincronización de tiempo, es posible que el tiempo en un servidor de directorio dado sea ajustado incorrectamente. Esto puede originar actualizaciones perdidas. Windows 2000 provee sincronización de tiempo distribuida, pero el sistema de replicación del Active Directory no depende del tiempo para la propagación de actualización. En lugar de eso, el sistema para replicar del Active Directory usa Números de secuencia de actualización (Update Sequence Numbers, USNs). Un USN es un número de 64 bits conservado por cada servidor del Active Directory. Cuando el servidor escribe cualquier propiedad en el Active Directory, el USN es adelantado y almacenado con la propiedad escrita. Esta operación es efectuada automáticamente - es decir, el incremento y almacenamiento del USN y la escritura de la propiedad tiene éxito o falla como una sola unidad de trabajo. Cada servidor del Active Directory también mantiene una tabla de USNs recibidos de socios de duplicado. El más alto USN recibido de cada socio es almacenado en esta tabla. Cuando un socio dado notifica al Servidor de Directorio que es requerida la replicación , ese servidor solicita todos los cambios con USNs mayor que el último valor recibido. Este es un acercamiento muy simple y no depende de la exactitud de etiquetas de tiempo. Debido a que el USN almacenado en la tabla es actualizado automáticamente para cada actualización recibida, la recuperación después de una falla es simple también. Para reiniciar la replicación, un servidor simplemente le solicita a sus socios todos los cambios con USNs mayores que la última entrada válida en la tabla. Ya que la tabla es actualizada automáticamente conforme se aplican los cambios, un ciclo de replicación ininterrumpido siempre continuará exactamente donde se quedó, sin pérdida o duplicado de actualizaciones. Detección de Colisiones - Números de Versión En un sistema de duplicado multimaestro como el Active Directory, es posible que la misma propiedad sea actualizada en dos o más réplicas diferentes. Cuando una propiedad cambia en una segunda (o tercera, o cuarta, etc.) réplica antes de un cambio de la primera réplica ha sido completamente propagada, ocurre una colisión de duplicado. Las colisiones son detectadas a través del uso de números de versión de propiedad. A diferencia de USNs los cuales son valores específicos del servidor, un número de versión de propiedad es específico a la propiedad en un objeto del Active Directory. Cuando una propiedades escrita primero a un objeto del Active Directory, el número de versión es inicializado. Los escritos de origen avanzan en el número de versión. Un escrito de origen es un escrito a una propiedad en el sistema inicializando el cambio. Escritos de propiedad causados por replicación no son escritos originales y no avanzan el número de versión. Por ejemplo, cuando un usuario actualiza su clave de acceso (password), ocurre un escrito original y el número de versión de la clave de acceso es adelantado. Escritos de replicación de la clave de acceso cambiado en otros servidores no adelanta el número de versión. Una colisión se detecta cuando un cambio es recibido vía replicación en la cual el número de versión de propiedad recibido es igual al número de versión de propiedad almacenado localmente, y los valores recibidos y almacenados son diferentes. Cuando esto ocurre, el sistema receptor aplicará la actualización que tenga la último etiqueta de tiempo. Esta es en la única situación donde el tiempo es usado en la replicación. Cuando el número de versión recibido es menor que el número de versión almacenado localmente, la actualización se supone vana y es desechada. Cuando el número de versión recibido es mayor que el número de versión almacenado, la actualización es aceptada. Inhibidor de propagación Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni El sistema de replicación del Active Directory se enlaza en la topología de replicación. Esto le permite al administrador configurar una topología de replicación con sendas múltiples entre los servidores para desempeño y disponibilidad. El sistema de replicación del Active Directory realiza la inhibición de progagación para prevenir cambios de propagación sin fin y para eliminar la transmisión redundante de cambios a réplicas que ya están actualizadas. El sistema del Active Directory emplea vectores actualizados para reducir la propagación. El vector actualizado es una lista pares de servidores USN mantenidos para cada servidor. El vector actualizado en cada servidor indica el más alto USN de escritos originales recibidos del servidor en el par de servidor USN. Un vector actualizado para un servidor en un sitio dado lista a todos los demás servidores en ese sitio. Cuando se inicia un ciclo de replicación, el servidor que lo solicita envía su vector actualizado al servidor que lo envía. El servidor que envía usa el vector actualizado para filtrar cambios enviados al servidor solicitante. Si el USN más alto para un escritor original dado es mayor o igual al USN escrito original para una actualización en particular, el servidor que envía no necesita mandar el cambio; el servidor solicitante ya está actualizado con respecto al escritor original. Un árbol de dominio de Windows 2000 es una jerarquía de dominios de Windows 2000, cada uno consistiendo de una partición del Active Directory. La forma del árbol y la relación de los miembros del árbol uno con el otro son determinados por los nombres DNS de los dominios. El dominio en un árbol debe formar un contiguo espacio para nombres, tal como a.myco.com es hijo de myco.com, y b.myco.com es hijo de a.myco.com, etc. Confianza Bidireccional Transitiva Cuando un dominio está unido a un árbol de dominio de Windows 2000, una relación de confianza bidireccional transitiva se establece automáticamente entre el dominio unido y su matriz en el árbol. Debido a que la confianza es transitiva y bidireccional, no se requiere de relaciones de confianza adicional es entre los miembros del árbol. La jerarquía de confianza es almacenada como parte de la metadata del directorio en el contenedor de configuración. Estos objetos requeridos son creados en el directorio cuando un dominio es unido al árbol. Espacio para nombres Los dominios en un árbol de dominio de Windows 2000 debe formar un contiguo espacio para nombres (Namespace). Por defecto, los descendientes inmediatos de cada dominio son contiguos y ya son parte de su espacio para nombres. Esto significa que el nombre único de cada objeto en los dominios de descendientes tiene el nombre del dominio matriz como un sufijo. Arboles desunidos pueden ser unidos en un bosque. Figura 7. El dominio padre y dominio descendiente forman un contiguo espacio para Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni nombres debido a que el nombre del dominio descendiente es un subordinado inmediato del nombre del dominio padre Por ejemplo, un dominio padre, O=Internet/DC=COM/DC=Microsoft, y un dominio descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS, forman un árbol contiguo para designar nombres, ya que el objeto base en el dominio padre, O=Internet/DC=COM/DC=Microsoft, es el padre inmediato del objeto base en el descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS. Debido a que el padre y el descendiente forman un árbol para designar nombres, una intensa búsqueda iniciada en el padre también buscará automáticamente al descendiente. Cuándo formar un árbol de dominio El árbol de dominio de Windows es el Active Directory de la magnitud de la empresa. Todos los dominios de Windows 2000 en una empresa dada deben pertenecer al árbol de dominio de la empresa. Las empresas que necesitan apoyar los nombres DNS desunidos para su dominio necesitan formar un bosque. Cómo Formar un Arbol de Dominio o Bosque Los dominios de Windows 2000 están unidos a un árbol de dominio durante el proceso de instalación. Durante la instalación de un nuevo servidor de Windows 2000 (para mejorar de una anterior versión de Windows NT), al administrador se le dan las siguientes opciones: • Creación del primer árbol en un bosque nuevo • Creación de un árbol en un bosque existente • Creación de una nueva réplica de un dominio existente • Instalación de un dominio descendiente Para unir un árbol de dominio, seleccione Install a Child Domain e identifique al dominio padre para un nuevo dominio descendiente. Una futura actualización a Windows dará la capacidad de unir dos (o más) árboles existentes en un sólo árbol más grande. Los dominios dentro de un árbol existente pueden ser libremente motivados a cambiar la forma total del árbol. Planear un buen árbol es muy importante, pero lo bueno es que es altamente subjetivo y basado en las necesidades específicas de su organización. La habilidad de reestructurar el árbol como se necesita reduce la importancia de conocer de antemano el diseño correcto. Un sitio es un área de la red en donde la conectividad entre las máquinas se supone es muy buena. Windows 2000 define un sitio como una o más subredes IP. Esto está basado en la suposición de que las computadoras con la misma dirección de subred están conectadas al mismo segmento de red, típicamente un LAN u otro alto ambiente de ancho de banda tal como Frame Relay, ATM, u otros. Windows 2000 usa información de un sitio para localizar un servidor del Active Directory cerca del usuario. Cuando una estación de trabajo de un usuario se conecta a la red, recibe una dirección TCP/IP de un servidor DHCP, el cual también identifica la subred a la cual la estación de trabajo está sujeta. Las estaciones de trabajo que han configurado estáticamente direcciones IP también han configurado estáticamente información de subred. En cualquier caso, el localizador del controlador de dominio (DC) de Windows 2000 intentará localizar al servidor del Active Directory localizado en la misma subred que el usuario, basado en la información de la subred conocida para la estación de trabajo. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Sitios y Replicación El sistema de replicación de Windows 2000 genera automáticamente una topología de anillo para la replicación entre los servidores del Active Directory en un sitio dado. Dentro de un sitio, la replicación de directorio es efectuada vía acceso por procedimiento remoto (Remote procedure call, RPC). Entre los sitios, la replicación puede ser configurada selectivamente para usar RPC o enviar mensajes. Windows 2000 provee envío de mensajes SMTP simple como una característica estándar. Si Microsoft Exchange se encuentra disponible, la replicación intersitio puede ser llevada vía Exchange, usando cualquiera de los muchos transportes apoyados por Exchange (esto incluye SMTP, X.400, y otros). Planeando Sitios Un sitio mínimo consiste de una sola subred IP. Windows 2000 supone que todas las máquinas localizadas en el mismo sitio comparten una red común de alta anchura de banda. Dado esto, un buen diseño de sitio es uno en el cual todas las subredes asignadas a un sitio dado comparten una red tal. Areas de una red que son separadas por una red de área amplia, enrutadores múltiples, u otras ligas más lentas deben estar en sitios separados. El esquema del Active Directory define el conjunto de todas las clases de objetos y atributos que pueden ser almacenados en el directorio. Para cada clase de objeto, el esquema define donde puede ser creado en un árbol de directorio especificando los padres legales de la clase. El contenido de una clase se define por la lista de atributos que la clase debe o puede contener. Cuando Extender el Esquema Los usuarios y aplicaciones extienden el esquema cuando no hay clases de objetos existentes que estén de acuerdo a la necesidad a mano. Extendiendo el esquema es un proceso simple y directo. Agregando Atributos Se pueden agregar nuevos atributos al esquema en cualquier momento. Una definición de atributo consiste en un nombre, un Identificador de Objeto (Object Identifier, OID), una sintaxis que define qué clase de datos puede mantener el atributo, y limites de alcance opcionales. Para cadena de datos, los limites de valor establecen el mínimo y máximo largo de cadena de datos. Para números enteros, los límites de valor establecen el valor mínimo y máximo del número entero. El desempeño de consulta en el Active Directory está directamente relacionado con la disponibilidad de un índice que pueda ser usado para optimizar una consulta dada. Cuando no hay un índice disponible para satisfacer una consulta dada, el servidor LDAP debe leer la partición completa para satisfacer la consulta. Cuando define un atributo, tiene la opción de crear un índice para ese atributo. También es posible crear un índice sobre un atributo dado colocando el atributo banderas de búsqueda en el objeto esquema de atributo a 1. Debe definir un atributo como indizado cuando: • El atributo será frecuentemente usado en consultas. Agregar un índice consume almacenaje y afecta el desempeño de insertar (porque el índice debe ser mantenido cuando un artículo es insertado), así es que no debe agregar un índice si no será usado a menudo. • Los valores en el atributo deben ser altamente singulares. Los atributos Booleanos nunca deben ser indexados, porque un atributo Booleano tendrá sólo dos posibles Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni valores: Falso o verdadero. Los números de empleado y apellido son altamente singulares y por lo tanto hacen buenos índices. • El atributo ocurrirá en objetos de interés. Indizando un atributo le permite encontrar objetos rápidamente que tengan ese atributo ejemplificado. Antes de agregar un índice, asegúrese de que el atributo que está indizando es un "debe tener" o "puede tener" en los objetos que desea recobrar. Agregando nuevos Objetos Nuevas clases de objetos pueden ser agregadas al esquema en cualquier momento. La definición de un objeto consiste en un nombre, un identificador de objeto (Object Identifier, OID) , una lista de atributos "puede contener" y "debe contener", la lista de clases que pueden ser padres del objeto, la clase de donde se deriva el objeto, y una lista de cualquier clase auxiliar que aplica al objeto. Cómo Extender el Esquema Debido a que el esquema controla lo que puede ser almacenado en el directorio y describe lo que ya está almacenado, el acceso para escribir al esquema está limitado a los administradores por defecto. Un esquema de administración snap-in para el Microsoft Management Console (MMC) se proporciona con el Windows 2000. Para extender el esquema, un usuario adecuadamente privilegiado puede crear nuevos atributos y clases. Los atributos pueden entonces ser agregados a clases nuevas o existentes. Para cada nuevo atributo o clase, se requiere de OID. Identificadores de Objetos (OIDs) Un identificador de objeto es un número identificando una clase de objeto o atributo en un servicio de directorio. Los OIDs son emitidos por autoridades emisoras y forman una jerarquía. Un OID es representado como una cadena de datos decimal con puntos (por ejemplo, "1,2,3,4"). Las empresas (o personas)pueden obtener un OID original de una autoridad emisora y usarlo para asignar OIDs adicionales. Por ejemplo, a Microsoft sele ha asignado el OID base de 1.2.840.113556. Microsoft maneja futuras divisiones de esta base internamente. Una de estas divisiones es usada para asignar OIDs para clases de Active Directory, otro para atributos del Active Directory, etc. Muchos países en el mundo tienen una Autoridad de Registro Nacional (National Registration Authority , NRA) identificada responsable de emitir OIDs a las empresas. En Estados Unidos la Autoridad de Registro Nacional es el American National Standards Institute (ANSI). La Autoridad de Registro Nacional emite OIDs originales. Una empresa también puede registrar un nombre para el OID. Hay una cuota asociada tanto con los OIDs originales como con nombres registrados. Póngase en contacto con la Autoridad de Registro Nacional de su país para más detalles http://www.iso.ch. Publicar es la acción de crear objetos en el directorio que directamente contengan la información que quiere hacer disponible o proporcionar una referencia para la información que quiere hacer disponible. Por ejemplo, un objeto de usuario contiene información útil sobre los usuarios, tales como sus números telefónicos y direcciones de correo electrónico, mientras que un objeto de volumen contiene una referencia para un volumen del sistema de archivo compartido. Cuándo Publicar La información debe ser publicada en el Active Directory cuando es útil o interesante para gran parte de la comunidad de usuarios y cuando necesita ser altamente accesible. La información publicada en el Active Directory tiene dos características principales: Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni • Es relativamente estática y rara vez cambia. Los números telefónicos y direcciones de correo electrónico son ejemplos de información relativamente estática adecuada para ser publicadas; el mensaje de correo electrónico actualmente seleccionado es un ejemplo de información altamente volátil. • Es estructurado y puede ser representado como un conjunto de atributos discretos. Una dirección de negocios de un usuario es un ejemplo de información estructurada adecuada para publicarse; un audio clip de la voz del usuario es un ejemplo de información no estructurada más adecuada para el sistema de archivo. Información operacional usada en aplicaciones es un excelente candidato para publicarse en el Active Directory. Esto incluye información de configuración global que se aplica a todas las instancias de una aplicación dada. Por ejemplo, un producto de la base de datos correlativo puede almacenar la configuración default para los servidores de base de datos como un objeto en el Active Directory. Nuevas instalaciones de ese producto recolectarían la configuración default del objeto, simplificando el proceso de instalación e intensificando la consistencia de instalaciones en una empresa. Las aplicaciones pueden también publicar sus puntos de conexión en el directorio Los puntos de conexión son usados para el punto de reunión del cliente y servidor. El Active Directory define una arquitectura para la administración de servicio integrado usando objetos del Service Administration Point y proporciona puntos de conexión estándar para aplicaciones RPC, Winsock, y COM. Las aplicaciones que no usan las interfaces RPC o Winsock para publicar sus puntos de conexión pueden explícitamente publicar objetos de Service Connection Point en el directorio. Datos de aplicación pueden ser publicados también en el directorio usando objetos de aplicación específica. Los datos de aplicación específica deben cumplir el criterio discutido anteriormente. Es decir, los datos deben ser globalmente interesantes, relativamente no volátil y estructurados. Cómo Publicar Los medios para publicar información varía de acuerdo a la aplicación o servicio: • RPC - Las aplicaciones RPC usan la familia RpcNs de APIs para publicar sus puntos de conexión en el directorio y para consultar para los puntos de conexión de servicios que han publicado los suyos. • Windows Sockets - Las aplicaciones de Windows Sockets usan la familia de Registration y Resolution de APIs disponibles en Winsock 2.0 para publicar sus puntos de conexión y consultar para los puntos de conexión de servicios que han publicado los suyos. • DCOM - Los servicios DCOM publican sus puntos de conexión vía la DCOM Class Store, la cual reside en el Active Directory. Windows 2000 introduce nuevas funciones de grupo • Los grupos pueden ser tratados como listas de distribución si el siguiente lanzamiento principal de Exchange es instalado. • Los grupos pueden contener miembros no seguros (esto es importante cuando el grupo es usado tanto para propósitos de seguridad y listas de distribución). • El uso de seguridad de grupos puede ser inhabilitado (esto es importante cuando el grupo es usado solo como una lista de distribución). • Los grupos pueden ser anidados. • Un nuevo tipo de grupo, el grupo Universal, es introducido. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni Un grupo Universal es la más simple forma de grupo. Los grupos Universales pueden aparecer en ACLs en cualquier parte del bosque, y puede contener otros grupos Universales. Grupos Globales, y usuarios de cualquier parte del bosque. Las instalaciones pequeñas pueden usar grupos Universales exclusivamente y no preocuparse de grupos Globales y Locales. Un grupo Global puede aparecer en ACLs en cualquier parte del bosque. Un grupo Global puede contener usuarios y otros grupos Globales de su propio dominio. Un grupo Local de Dominio puede ser usado en ACLs sólo si es su propio dominio. Un grupo Local de Dominio puede contener usuarios y grupos Globales de cualquier dominio en el bosque, Grupos Universales, y otros grupos Locales de Dominio en su propio dominio. Los tres tipos de grupo proporcionan un rico y flexible ambiente de control de acceso mientras que reducen el tráfico de replicación para el Catálogo Global causado por cambios de membresías de grupo. Un grupo Universal aparece en el GC, pero contendrá principalmente grupos globales de dominios en el bosque. Una vez que los grupos Globales se establezcan, la membrecía en el grupo Universal cambiará infrecuentemente. Los grupos Globales aparecen en el GC, pero sus miembros no. Los cambios de membrecía en grupos Globales no son duplicados fuera del dominio donde son definidos. Los grupos Locales de Dominio son válidos solo en el dominio donde son definidos y no aparecen en el GC. Migración Esta sección presenta una vista general de migración de versiones anteriores de Windows NT. La migración es discutido en detalle en un número de documentos aparte disponibles de http://www.microsoft.com/latam/ntserver/nts/. Puede mejorar los sistemas Windows NT 3.51 y 4.0 directamente a Windows 2000. Los sistemas Windows NT 3.51 y 3.5 deben ser mejorados a Windows NT 3.51 om4.0 antes de que puedan ser mejorados a Windows 2000.Una nueva instalación de Windows 2000 puede ser efectuada en cualquier sistema listado en la lista de hardware compatibel en el sitio de Windows 2000. Los Controladores de Dominio (Domain Controlers) conservan una copia del directorio. En Windows NT 3.51 y 4.0, hay dos clases de Controladores de Dominio - Controladores de Dominio Primario (Primary Domain Controllers, PDCs) y Controladores de Dominio de Respaldo (Backup Domain Controllers, BDCs). Los Controladores de Dominio Primarios conservan una copia de lea/escriba mientras que los Controladores de Dominio de Respaldo conservan una copia de leer/solamente. En Windows 2000, todos los Controladores de Dominio para un dominio dado conservan una copia que se puede escribir del directorio. No hay distinción entre el primario y el respaldo; todos los controladores de dominio son iguales. Para emigrar un dominio de Windows NT 3.51 o 4.0 a Windows 2000, debe primero mejorar el Controlador de Dominio Primario para el dominio para Windows 2000. Esto automáticamente carga a los usuarios y grupos del directorio de dominio hacia el Active Directory. Como parte del proceso de mejoramiento, usted especifica si este dominio será: • La raíz de un nuevo árbol en el bosque • La raíz de un nuevo árbol de dominios en un bosque existente • Un descendiente de un árbol de dominios existente En este punto el dominio es un dominio mixto. Puede emplear las herramientas de administración de Windows 2000 para manejar el dominio, y puede crear una estructura jerárquica de carpetas Organizational Unit en el directorio para delegar la autoridad Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni administrativa. Los Controladores de Dominio de Respaldo, servidores miembros, y clientes no se cambian y no están conscientes de que el PDC es ahora un servidor del Active Directory. Para emigrar los Controladores de Dominio de Respaldo, mejore cada uno a Windows 2000. El proceso de mejoramiento reconoce al Controlador de Dominio de Respaldo, automáticamente lo instala como una réplica del Active Directory, y lo inserta en la topología de replicación. Cuando todos los controladores de dominio han sido mejorados a Windows 2000, el dominio ya no es un dominio mixto, y los grupos anidados son apoyados. Para emigrar servidores miembros, mejórelos a Windows 2000. Los usuarios locales y grupos locales son almacenados en el registro de del servidor miembro y no se mueven al Active Directory. Mejorar a un servidor miembro a Windows 2000 le permite participar en la seguridad Kerberos, agrega apoyo para aplicaciones Directory-aware,y agrega la Microsoft Management Console y Active Directory-aware shell y diálogos comunes. Para emigrar a los clientes basados en la estación de trabajo Windows NT, mejórelos a Windows 2000 Professional. Puede emigrar a clientes basados en Windows 95 instalando un paquete de servicio que contenga los componentes de software adicionales que se necesitan para hacerlos Active Directory-aware. Mejorar a un cliente le permite participar en la seguridad Kerberos, apoyo para aplicaciones Active Directory-aware, y agrega el Active Directory-aware shell y diálogos comunes. Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los usuarios son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raíz del dominio. Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000 las cuentas de la máquina son emigradas al Active Directory y colocadas en un contenedor llamado "Computers" en la raíz del dominio. Cuando una PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los Grupos son emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raíz de dominio. Grupos integrados se encuentran en un contenedor especial llamado "Built-in". Preguntas Más Frecuentes Una estación de trabajo descubre su sitio presentando su subred al primer servidor del Active Directory contactado. La estación de trabajo determina la subred aplicando su máscara de subred a su dirección IP. La máscara de subred y dirección IPO pueden ser asignadas por DHCP o configurada estáticamente. El primer Servidor contactado usa la subred presentada para localizar el Site Object para el sitio donde se localiza la estación de trabajo. Si el actual servidor no se encuentra en ese sitio, el servidor le notifica a la estación de trabajo un mejor servidor para usar. Una estación de trabajo encuentra un servidor de directorio consultando DNS. Los servidores de directorio para un dominio dado publican SRV Resource Records en DNS con nombres en la forma: LDAP.TCP. Por lo tanto, una estación de trabajo que se conecta a Microsoft.com consultará DNS para registros SRV para LDAP.TCP.Microsoft.com. Un servidor será seleccionado de la lista y contactado. El servidor contactado usará la información de subred presentada por la estación de trabajo para determinar el mejor servidor como se describió en la respuesta anterior. Un usuario puede usar una variedad de nombres en una variedad de formatos para conectarse a un Windows 2000 Professional. Estos incluyen los formatos de nombre apoyados Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni por interfaces para programar de aplicación Win32 DsCrackNames, los cuales son usados para convertir estas formas de nombre como sea necesario. El nombre de dominio NETBIOS y SAM-Account-Name - Este es el nombre de conexión estilo Windows NT 4.0. El nombre de dominio NETBIOS es el nombre que tenía el dominio antes de emigrar. El SAM-Account-Name es el nombre de la cuenta que el usuario tenía antes de emigrar. Nombre Principal de Usuario - Este se encuentra en el formato @.Si el nombre no es único, el intento de conexión fallará con un error de usuario desconocido (Unknown User). Las listas de control de acceso no son afectadas directamente por la emigración. Si todos los dominios de Windows NT 3.51 y Windows NT 4.0 son emigradas de lugar, nada cambia de una perspectiva ACL. Si mueve servidores de un dominio de recurso hacía una unidad organizacional en dominios de cuenta emigrada y suprime el dominio de recurso, necesitará editar cualquier ACL que mantiene ACEs que refieren al ahora dominio suprimido. Esta no es una función de la migración a Windows 2000; si suprime un dominio en cualquier versión de Windows NT, los identificadores de seguridad emitidos por ese dominio se vuelven inválidos. Para reducir el esfuerzo involucrado en volver a aplicar recursos ACL, si tiene un dominio de recursos Windows 3.51 o 4.0 y planea reemplazarlo con un OU y suprimirlo en Windows 2000, no debe poner a grupos del dominio de recursos en ACLs. Nótese que esto no afecta a los grupos locales de los servidores miembros, afecta sólo a aquellos de Controladores de Dominio. Como parte de Windows 2000, Microsoft proporcionará herramientas para asistir en volver a aplicar ACLs a los recursos. Cuando se crea un grupo en un dominio, tiene un Identificador de Seguridad (Security Identifier, SID) emitido por ese dominio. Cuando se coloca ese SID en un ACL, le otorga acceso a los usuarios que tengan ese SID en su indicador. Los usuarios obtienen el SID en su token conectándose a dominio que emitió el SID. Esta puede ser una conexión de red y pasar transparentemente. Cuando editas un Acl, el LookupAccountName API es llamado con el SID. Si suprime el dominio que emitió el SID, verá "Usuario Desconocido" en la lista de usuarios y grupos para el ACL. Esto sucede en Windows NT 3.51 y Windows NT 4.0 si suprime un dominio o retira una liga de confianza. Hay dos partes para esta respuesta: • Parte 1: Grupos Locales en Servidores Miembros -- Los grupos locales en un servidor miembro se quedan locales; existen sólo en el SAM en el servidor miembro y no son emigrados al Active Directory. Un típico uso de un grupo local en un servidor miembro es mantener grupos globales de dominios de cuenta. El servidor administrador coloca al grupo local en los ACLs en los recursos del servidor y agrega a los grupos globales al grupo local. Esto no cambia en Windows 2000. La única diferencia es que los grupos globales se convierten en grupos normales y son publicados en el Active Directory. • Parte 2: Grupos Locales en PDCs y BDCs - Los Controladores de Dominio de Respaldo tienen un SAM de leer/solamente. Cuando crea un grupo local en un BDC, la operación de crear es remontado al PDC y duplicado de regreso a todos los BDCs. Semánticamente, estos grupos locales son idénticos a los grupos locales en un servidor miembro., pero existen en el PDC y en todos los BDCs. Cuando se mejora a Windows 2000,elproceso de mejoramiento crea un objeto de grupo de Dominio Local en el Active Directory para cada uno de estos. Se inicia una búsqueda del catalogo global en una de varias formas: Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni • Por un subárbol o búsqueda de LDAP de un nivel enraizado en el inválido DN (la raíz del espacio para nombres) - esto genera una referencia para el Catálogo Global. • Por una referencia directa al puerto GC en una réplica de GC (aunque no es probable que los programas de clientes tomen este acercamiento). • Por una referencia explícita al proveedor GC ASDI (GC://). No. Hay ventajas significativas en usar Microsoft DNS, pero cualquier servidor DNS compatible con RFC funcionará. Se recomienda Dynamic DNS porque, con un servidor Dynamic DNS los servidores del Active Directory pueden registrar automáticamente los registros necesarios en DNS. Los servidores Static DNS funcionan igualmente bien, pero el registro DNS para cada servidor de Directorio debe efectuarse manualmente. El servidor DNS incluido con Windows 2000 es una implementación obediente de RFC y BIND de Dynamics DNS.Es una implementación nativa para Windows 2000, no un puerto de la implementación BIND de dominio público. El servidor DNS de Microsoft almacena las zonas DNS para la cual es autoritario en el Active Directory. Los datos de DNS son duplicados entre los servidores DNS por replicación del Active Directory, no Transferencia de Zona (Zone Transfer). El servidor DNS de Microsoft apoya Transferencia de Zona DNS estándar para interoperabilidad con otros servidores DNS. El servidor DHCP es mayormente sin cambio para Windows 2000. El cliente de DHCP es DNSaware y usa los servicios de Dynamic DNS para registrar direcciones emitidas por DHCP directamente en DNS. El cliente DHCP continuará registrándose con WINS si DHCP identifica a un servidor WINS. Wins no sufre cambios para Windows 2000. Los clientes de Windows 2000 (y clientes de Windows 95 con la mejora del Active Directory instalado) ya no necesitan usar el espacio para nombres de NETBIOS. Aún se requiere WINS para clientes de bajo nivel para encontrar servidores y viceversa. Cuando ya no hay clientes de bajo nivel en la empresa, los servidores WINS pueden ser apagados. Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/ Responsable de la información: Maurizio Di Ianni