Instalar Windows XP Profesional

Anuncio
Resumen Técnico de Active Directory
Windows® 2000
Sistema Operativo de Servidor
Documentos Estratégicos
Resumen
Introducción
Este documento proporciona una introducción técnica al Active Directory, el nuevo servicio de
directorio proporcionado por el sistema operativo del Servidor Windows 2000 de Microsoft.
Este documento incluye explicaciones detalladas de los conceptos importantes del Active
Directory, elementos arquitectónicos y características. La sección Conceptos Importantes
describe los términos que necesita comprender antes de abordar el Active Directory mismo.
Las siguientes dos secciones, Arquitectura y Funciones del Active Directory entran más en
detalle sobre lo que realiza el Active Directory, qué características trae a Windows y como
está implementado. La sección Migración cubre modelos de dominio de migración y
estructuras de directorio de Windows NT 4.0 a Windows 2000. La última sección, Preguntas
Más Frecuentes, responde preguntas sobre el Active Directory y cómo funciona.
Un directorio es una fuente de información usada para almacenar información sobre objetos
interesantes. Un directorio telefónico almacena información sobre los subscriptores. En un
sistema de archivo, el directorio almacena información sobre los archivos.
En un sistema computacional distribuido o una red computacional pública como Internet, hay
muchos objetos interesantes, tales como impresoras, servidores de fax, aplicaciones, bases
de datos y otros usuarios. Los usuarios quieren encontrar y usar estos objetos. Los
administradores quieren manejar como se usan estos objetos.
En este documento, los "términos directorio" y "servicio de directorio" se refieren a los
directorios que se encuentran en redes públicas y privadas. Un servicio de directorio difiere de
un directorio en que es tanto la fuente de información del directorio como los servicios que
hacen la información disponible y utilizable para los usuarios.
Un servicio de directorio es uno de los más importantes componentes de un sistema
computacional extenso. Con frecuencia los usuarios y los administradores no saben el nombre
exacto de los objetos en los cuales están interesados. Pueden conocer uno o más atributos de
los objetos y pueden consultar el directorio para obtener una lista de objetos que igualen los
atributos: por ejemplo, "Encuentre todas las impresoras bidireccional en el Edificio 26". Un
servicio de directorio le permite al usuario encontrar cualquier objeto dada uno de sus
atributos.
Un servicio de directorio puede:
•
Reforzar la seguridad definida por los administradores para mantener la información
segura ante intrusos.
•
Distribuir un directorio a través de muchas computadoras en una red.
•
Hacer duplicados del directorio para que esté disponible para más usuarios y sea
resistente a las fallas.
•
Separar un directorio en almacenes múltiples para permitir el almacenaje de un gran
número de objetos.
Un servicio de directorio es tanto una herramienta de manejo como una herramienta de
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
usuario final. Conforme aumenta el número de objetos en una red, el servicio de directorio se
vuelve esencial. El servicio de directorio es el eje alrededor del cual gira un gran sistema
distribuido.
El Active Directory es el servicio de directorio incluido en el Servidor Windows 2000. Amplía
las características de previos servicios de directorio basados en Windows y agrega
características totalmente nuevas. El Active Directory es seguro, distribuido, separado, y
duplicado. Está diseñado para funcionar bien en instalaciones de cualquier tamaño, desde un
solo servidor con unos cuantos cientos de objetos hasta miles de servidores y millones de
objetos. El Active Directory agrega muchas características nuevas que hacen fácil navegar y
manejar grandes cantidades de información, generando ahorros de tiempo tanto para los
administradores como para los usuarios finales.
Conceptos Importantes
Algunos conceptos y términos que son empleados para describir al Active Directory son
nuevos y algunos no lo son. Desafortunadamente, algunos de los términos que han existido
por un tiempo son usados para que signifiquen más que una cosa en particular. Antes de
continuar, es importante que entienda como se definen los siguientes conceptos y términos
en el contexto del Active Directory.
El campo del Active Directory es amplio. Puede incluir todos los objetos (impresora, archivo o
usuario), cada servidor y cada dominio en una sola red de área amplia. También puede incluir
varias redes de área amplia combinadas, así es que es importante tener en mente que el
Active Directory puede escalar desde una sola computadora, a una sola red computacional,
hasta muchas redes computacionales combinadas.
El Active Directory es principalmente un espacio para nombres, como cualquier servicio de
directorio. El directorio es un espacio para nombres. Un espacio para nombres es cualquier
área limitada en la cual puede ser incluido un nombre dado. La inclusión del nombre es el
proceso de adaptar un nombre a algún objeto o información que representa. Un directorio
telefónico forma un espacio para nombres para el cual los nombres de los subscriptores de
teléfono pueden ser incluidos en números telefónicos. El sistema de archivo de Windows
forma un espacio para nombres en el cual el nombre de un archivo puede ser incluido al
archivo mismo.
El Active Directory forma un espacio para nombres en el cual el nombre de un objeto en el
directorio puede ser incluido al objeto mismo.
Un objeto es un juego de nombres preciso de atributos que representa algo en concreto,
como un usuario, una impresora, o una aplicación. Los atributos mantienen datos que
describen al sujeto que es identificado por el objeto del directorio. Los atributos de un usuario
pueden incluir su nombre, apellido y dirección de correo electrónico.
Figura 1. Un objeto de usuario y sus atributos
Un contenedor es como un objeto en que tiene atributos y es parte del espacio para nombres
del Active Directory. Sin embargo, a diferencia de un objeto, no representa algo en concreto.
Es un contenedor para un grupo de objetos y otros contenedores.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Un árbol (tree) se usa en todo este documento para describir una jerarquía de objetos y
contenedores. Los puntos finales en el árbol son usualmente objetos. Los nudos en el árbol
(los puntos donde salen ramas) son contenedores. Un árbol muestra como son conectados los
objetos o el camino de un objeto a otro. Un simple directorio es un contenedor. Una red
computacional o dominio es también un contenedor. Un subárbol colindante es cualquier
camino ininterrumpido en el árbol, incluyendo todos los miembros de cualquier contenedor en
ese camino.
Figura 2. Un subárbol colindante de un directorio de archivo
Se usa un nombre (name) para identificar cada objeto en el Active Directory. Hay dos tipos
diferentes de nombres.
Nombre Único
Cada objeto en el Active Directory tiene un nombre único (Distinguished Name, DN). El
nombre único identifica el dominio que conserva el objeto, así como el camino completo a
través de la jerarquía del contenedor por el cual se llega al objeto. Un típico DN puede ser
/O=Internet/DC=COM/DC=Microsoft/CN=Users/CN=JamesSmith
Este DN identifica al objeto de usuario "James Smith" en el dominio Microsoft.com
Figura 3. Una representación gráfica de un nombre único
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Nombre único Relativo
El Nombre único Relativo (Relative Distinguished Name , RDN) de un objeto es la parte del
nombre la cual es un atributo del objeto mismo. En el siguiente ejemplo, el RDN del usuario
"James Smith" es CN=James Smith. El RDN del objeto principal es CN=Users.
El Active Directory está compuesto de uno a más contextos para dar nombres o particiones.
Un contexto para dar nombres es cualquier subárbol colindante del directorio. Los contextos
para dar nombres son las unidades de duplicado.
En el Active Directory, un solo servidor conserva siempre por lo menos tres contextos para
dar nombres.
•
El esquema
•
La configuración (topología de partición y metadatos relacionados)
•
Uno o más contextos para dar nombres de usuario (subárboles conteniendo los
objetos reales en el directorio).
Un dominio es un solo límite de seguridad de una red computacional de Windows NT o
Windows 2000. (Para más información sobre dominios, vea la documentación de Windows). El
Active Directory está compuesto de uno o más dominios. En una sola estación de trabajo, el
dominio es la computadora misma. Un dominio puede conectar más de una ubicación física.
Cada dominio tiene sus propias políticas de seguridad y relaciones de seguridad con otros
dominios. Cuando dominios múltiples son conectados por relaciones de confianza y comparten
un esquema común, configuración, y catálogo global, tienen un árbol dominio. Arboles de
dominio múltiples pueden conectarse juntos en un bosque.
Un árbol de dominio comprende varios dominios que comparten un esquema común y
configuración, formando un colindante espacio para nombres. Los dominios en un árbol están
también vinculados por relaciones de confianza. El Active Directory es un conjunto de uno o
más árboles.
Los árboles pueden ser vistos de dos maneras. Una manera es las relaciones de confianza
entre los dominios. La otra es el espacio para nombres del árbol de dominio.
Visualizando las Relaciones de confianza
Puede trazar un dibujo de un árbol de dominio basado en los dominios individuales y de cómo
confían uno en el otro.
Windows 2000 establece las relaciones de confianza entre los dominios basándose en el
protocolo de seguridad Kerberos. La confianza de Kerberos es transitiva y jerárquica, si el
dominio A confía en el dominio B y dominio B confía en dominio C, dominio A confía también
en el dominio C.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Figura 4. Un árbol de dominio visto en términos de sus relaciones de confianza.
Visualizando el Espacio para nombres
También puede hacer un dibujo de un árbol de dominio basado en el espacio para nombres
(Namespace). Puede determinar el nombre único de un objeto siguiendo el camino hacia el
espacio para nombres del árbol de dominio. Esta vista es útil para agrupar objetos en una
jerarquía lógica. La principal ventaja de un colindante espacio para nombres es que una
búsqueda intensa desde la raíz del espacio para nombres buscará en la jerarquía completa.
Figura 5. Viendo un árbol dominio como espacio para nombres
Un bosque es un conjunto de uno o más árboles que NO forman un espacio para nombres
colindante. Todos los árboles en un bosque comparten un esquema común, configuración, y
Catalogo Global. Todos los árboles en un bosque dado confían uno en el otro vía relaciones de
confianza Kerberos transitivas jerárquicas. A diferencia de un árbol, un bosque no necesita un
nombre único. Un bosque existe como un conjunto de objetos de referencia recíproca y
relaciones de confianza Kerberos conocidas para los árboles miembros. Los árboles en un
bosque forman una jerarquía para los propósitos de confianza Kerberos; el nombre del árbol
en la raíz del árbol de confianza puede ser usado para referirse a un bosque dado.
Figura 6. Arboles múltiples en un bosque
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Un sitio (site) es una ubicación en una red que contiene servidores de Active Directory. Un
sitio se define como una o más subredes TCP/IP bien conectadas. "Bien conectadas" significa
que la conectividad de la red es altamente confiable y rápida (por ejemplo: velocidades de
LAN (red local) de 10 millones de bits por segundo o mayores). Definir un sitio como un
conjunto de subredes permite a los administradores configurar rápidamente y fácilmente el
acceso al Active Directory y la topología de replicación para tomar ventaja de la red física.
Cuando un usuario se conecta, el cliente del Active Directory encuentra servidores del Active
Directory en el mismo sitio que el usuario. Ya que las máquinas en el mismo sitio están cerca
una de otra en términos de red, la comunicación entre las máquinas es confiable, rápida y
eficiente. Determinar el sitio local en tiempo de conexión se logra fácilmente debido a que la
estación de trabajo del usuario ya sabe en que subred TCP/IP se encuentra, y las subredes se
adaptan directamente a los sitios del Active Directory.
Arquitectura
Esta corta sección presenta algunos de los principales componentes arquitectónicos del Active
Directory.
El modelo de datos del Active Directory se deriva del modelo de datos X.500. El directorio
conserva objetos que representan cosas de diferentes tipos, descritos por características. El
universo de objetos que pueden ser almacenados en el directorio está definido en el esquema.
Para cada clase de objetos, el esquema define qué atributos debe tener un ejemplo del grupo,
qué atributos adicionales puede tener y qué clase de objetos puede ser matriz de la actual
clase de objetos.
El esquema del Active Directory es implementado como un conjunto de instancias de clase de
objeto almacenados en el directorio. Es muy diferente a muchos directorios que tienen un
esquema, pero los almacena como un archivo de texto para leerse al iniciar. Por ejemplo, las
aplicaciones del usuario pueden leer el esquema para descubrir qué objetos y propiedades
están disponibles.
El esquema del Active Directory puede ser actualizado dinámicamente. Es decir, una
aplicación puede extender el esquema con nuevos atributos y clases, y puede usar las
extensiones inmediatamente. Las actualizaciones del esquema se logran creando o
modificando los objetos del esquema almacenados en el directorio. Al igual que cada objeto
en el Active Directory, los objetos del esquema son protegidos por listas de control de acceso
(Access Control Lists, ACLs), así es que sólo los usuarios autorizados pueden alterar el
esquema.
El directorio es parte del Windows 2000 Trusting Computing Base y es un total participante en
la infraestructura de seguridad de Windows 2000. Los ACLs protegen a todos los objetos en el
Active Directory. Las rutinas de validación de acceso a Windows 2000 usan el ACL para validar
cualquier intento de accesar un objeto o atributo en el Active Directory.
Los usuarios autorizados desempeñan la administración en el Active Directory. Un usuario
está autorizado por una autoridad más alta para desempeñar un conjunto de acciones
especificadas en un conjunto de objetos especificados y clases de objetos en algún
identificado subárbol del directorio. Esto se llama administración delegada (delegated
administration). La administración delegada permite un control estricto sobre quien puede
hacer qué y permite la delegación de autoridad sin otorgar altos privilegios.
El Agente del Sistema de Directorio (Directory System Agent, DSA) es el proceso que maneja
el almacenaje físico del directorio. Los clientes usan una de las interfaces apoyadas para
conectarse al DSA y luego buscar, leer, y escribir objetos del directorio y sus atributos. El DSA
proporciona al cliente aislamiento del formato de almacenaje físico de los datos del directorio.
Funciones de Active Directory
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Esta sección describe algunas de las principales características y componentes del Active
Directory.
El Active Directory está integrado estrechamente con el Sistema de nombres del dominio
(Domain Name System, DNS). El DNS es el espacio para nombres distribuido que se usa en
Internet para incluir nombres computacionales y de servicio a las direcciones TCP/IP. La
mayoría de las empresas que tienen intranets usan DNS como el servicio de inclusión de
nombres. El Active Directory usa DNS como el servicio de ubicación.
Los nombres de dominio de Windows 2000 son nombres de dominio DNS. Por ejemplo:
"Microsoft.com" es un nombre de dominio DNS válido y podría también ser el nombre de un
dominio de Windows 2000. La estrecha integración DNS significa que el Active Directory
encaja naturalmente en ambientes de Internet e intranet. Los clientes encuentran los
servidores de directorio rápidamente y fácilmente. Una empresa puede conectar los
servidores de Active Directory directamente a la Internet para facilitar las comunicaciones
seguras y el comercio electrónico con clientes y socios.
Servicio de ubicación
Los servidores del Active Directory publican sus direcciones de modo que los clientes puedan
encontrarlos conociendo sólo el nombre de dominio. Los servidores del Active Directory son
publicados por medio de los Registros de recursos de servicios (Service Resource Records,
SRV RRs) en DNS. El SRV RR es un registro de DNS usado para mapear el nombre de un
servicio a las direcciones de un servidor que ofrece ese servicio. El nombre de un SRV RR se
da en esta forma:
Los servidores del Active Directory ofrecen el servicio LDAP sobre el protocolo TCP de modo
que los nombres publicados se encuentren en la forma: ldap.tcp.
Por lo tanto, el SRV RR para "Microsoft.com" es "ldap.tcp.microsoft.com". Información
adicional sobre el SRV RR indica la prioridad y peso para el servidor, permitiendo que los
clientes seleccionen el mejor servidor para sus necesidades.
Cuando un servidor de Active Directory es instalado, se publica a sí mismo vía un DNS
dinámico (Dynamic DNS) que se explica más adelante. Ya que las direcciones TCP/IP están
sujetas a cambio con el tiempo, los servidores revisan periódicamente sus registros para
asegurarse que están correctos, actualizándolos si es necesario.
DNS Dinámico
Un DNS dinámico (Dynamic DNS) es una reciente adición al estándar DNS. Dynamic DNS
define un protocolo para actualizar dinámicamente un servidor con valores nuevos o
cambiados. Antes de Dynamic DNS, los administradores necesitaban configurar manualmente
los registros almacenados por servidores DNS.
Un objeto tiene exactamente un nombre, el nombre único (DN). El DN identifica originalmente
el objeto y contiene suficiente información para que el cliente retire el objeto del directorio. El
DN de un objeto puede cambiar. Ya que el DN de un objeto está compuesto del RDN del
objeto mismo o cualquier predecesor cambiará el DN.
Debido a que los DNs son complejos para recordar y están sujetos a cambio, es de utilidad
tener otros medios para recuperar objetos. El Active Directory apoya la consulta por
características, de modo que un objeto pueda ser encontrado aún que se desconozca el DN
exacto o haya cambiado. Para simplificar el proceso de encontrar objetos por consulta, el
esquema del Active Directory define dos propiedades útiles:
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
•
Identificador de objeto globalmente único (Object globally unique identifier,
GUID) - Un número de 128 bits, garantizado para ser único. Los objetos tienen
asignado un GUID cuando son creados. El GUID nunca es cambiado, aún si el objeto
es movido o vuelto a nombrar. Las aplicaciones pueden almacenar el GUID de un
objeto y ser asegurado de recuperar ese objeto no importando cual es el DN actual.
•
Nombre principal de usuario (User Principal Name) - Los principios de seguridad
(usuarios y grupos) tienen un nombre "amigable" cada uno, el Nombre Principal de
Usuario (User Principal Name, UPN), el cual es más corto que el DN y más fácil de
recordar. El UPN está compuesto de un nombre en "taquigrafía" para el usuario y el
nombre DNS para el árbol de dominio donde el usuario reside. Por ejemplo, el usuario
James
Smith
en
el
árbol
Microsoft.com
puede
tener
un
UPN
de
"[email protected]".
Exclusividad de Nombres
Los nombres distinguidos están garantizados a ser exclusivos. El Active Directory no permite
que dos objetos con el mismo RDN se encuentren bajo la misma matriz. Los DNs se
componen de RDNs y por lo tanto son singulares. Los GUIDs son singulares por definición; un
algoritmo que asegura la singularidad genera GUIDs. La singularidad no está reforzado por
cualquier otro atributo.
El acceso al Active Directory es vía protocolos en línea (wire protocols). Los protocolos en
línea definen los formatos de mensajes e interacciones del cliente y servidor. Diversas
interfaces de programación de aplicaciones (APIs) dan a los desarrolladores el acceso a estos
protocolos.
Apoyo a protocolos
Los protocolos que son apoyados incluyen:
•
LDAP - El protocolo central del Active Directory es el Lightweight Directory Acces
Protocol (LDAP). Las versiones 2 y 3 de LDAP son apoyadas.
•
MAPI-RPC - El Active Directory soporta las interfaces de Remote procedure call (RPC)
que apoyan las interfaces MAPI.
•
X.500 - El modelo de información del Active Directory se deriva del modelo de
información X.500. ElX.500 define varios protocolos de electrónica que el Active
Directory no implementa. Estos protocolos son:
o
DAP- Directory Access Protocol
o
DSP - Directory System Protocol
o
DISP - Directory Information Shadowing Protocol
o
DOP - Directory Operational Binding Management Protocol
El Active Directory no implementa estos protocolos por las siguientes razones:
•
Hay muy poco interés en estos protocolos y hay unas cuantas implementaciones.
•
Estos protocolos son dependientes de trabajaren la red OSI. OSI es una alternativa
para TCP/IP, la cual no está ampliamente implementada. Trasladar OSI a través de
una red TCP/IP es menos eficiente que usar TCP/IP directamente.
•
LDAP provee las funciones más importantes ofrecidas por DAP y DSP y está diseñado
para trabajar sobre TCP/IP sin la sobrecarga de envolver OSI en TCP/IP.
•
Hay suficiente ambigüedad en las especificaciones DISP y DOP de 1993 y 1997 que
implementaciones de conformar no están garantizadas para interoperar, de ese modo
reduciendo dramáticamente el valor de estos protocolos.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Interfaces de Programación de Aplicaciones
Los APIs apoyados incluyen:
•
ADSI - Interfaces de Servicio de Active Directory (ADSI), proveen al Active Directory
de una interface simple y poderosa orientada al objeto. Los desarrolladores pueden
usar muchos lenguajes de programación diferentes, incluyendo Java, sistema de
programación Visual Basic, C, C++, y otros. El ADSI es totalmente encriptable para un
fácil uso de los administradores del sistema. ADSI le esconde a los usuarios los
detalles de las comunicaciones LDAP.
•
LDAP API - El LDAP C API, definido en RFC 1823, es una interface de menor nivel
disponible para los programadores C.
•
MAPI - El Active Directory respalda a MAPI para compatibilidad en dirección contraria.
Las nuevas aplicaciones deben usar ADSI o el LDAP C API.
El Active Directory le permite a otros directorios a que sean expuestos vía Contenedores
Virtuales (Virtual Containers). Un contenedor virtual permite que cualquier queja del
directorio LDAP sea accesado transparentemente vía el Active Directory. El contenedor virtual
es implementado vía información del conocimiento (knowledge information) almacenada en el
Active Directory. La información del conocimiento describe donde en el Active Directory debe
aparecer el directorio foráneo, y contiene el nombre DNS de un servidor que conserva una
copia del directorio foráneo y el nombre único (DN) en el cual iniciar las operaciones de
búsqueda en el DS foráneo.
El Active Directory puede consistir de muchas separaciones o contextos para dar nombres. El
nombre único (DN) de un objeto incluye suficiente información para localizar una réplica de la
partición que mantiene el objeto. Muchas veces, sin embargo, el usuario o la aplicación
desconoce el DN del objeto clave o cual partición puede contener el objeto. El Catálogo Global
(Global Catalog, GC) permite a los usuarios y a las aplicaciones encontrar objetos en un árbol
de dominio del Active Directory si el usuario o la aplicación sabe uno o más atributos del
objeto clave.
El Catálogo Global contiene una réplica parcial de cada contexto de dar nombre a los usuarios
en el directorio. También contiene los contextos del esquema y configuración para asignar
nombres. Esto significa que el GC mantiene una réplica de cada objeto en el Active Directory,
pero sólo mantiene un pequeño número de sus atributos. Los atributos en el GC son aquellos
más frecuentemente usados en operaciones de búsqueda (tales como el nombre y apellido del
usuario, nombres de inicio de sesión, etc.) y aquellos requeridos para localizar una réplica
completa del objeto. El GC le permite a los usuarios encontrar rápidamente objetos de interés
sin saber que dominio los conserva y sin requerir un contiguo y extenso espacio para nombres
en la empresa.
El sistema para replicar del Active Directory construye automáticamente el Catálogo Global y
genera la topología de replicar. Las propiedades duplicadas en el Catálogo Global incluyen un
conjunto base definido por Microsoft .Los administradores pueden especificar propiedades
adicionales para satisfacer las necesidades de su instalación.
Esto es sólo un panorama general de seguridad en el Active Directory. Para mayor
información sobre el modelo de seguridad de Windows 2000, consulte los documentos
estratégicos de "Secure Networking Using Microsoft Windows 2000 Distributed Security".
Protección de Objetos
Todos los objetos en el Active Directory están protegidos por listas de control de acceso
(Access Control Lists, ACLs). Las ACLs determinan quien puede ver el objeto y que acciones
puede efectuar cada usuario en el objeto. La existencia de un objeto nunca es revelado a un
usuario a quien no se le permite verlo.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Un ACL es una lista de Entradas de Control de Acceso (Access Control Entries, ACE)
almacenadas con el objeto que protege. En Windows 2000, un ACL es almacenada como un
valor binario que se llama un Descriptor de Seguridad (Security Descriptor). Cada ACE
contiene un Identificador de Seguridad (Security Identifier, SID),el cual identifica el principal
(usuario o grupo) a quien el ACE se aplica e información sobre que tipo de acceso que el ACE
otorga o niega.
ACLs en objetos del directorio contienen ACEs que aplican al objeto en conjunto y ACEs que
aplican a los atributos individuales del objeto. Esto permite a un administrador controlar no
sólo que los usuarios puedan ver un objeto, sino que propiedades pueden ver esos usuarios.
Por ejemplo: puede otorgárseles a todos los usuarios que lean el acceso a los atributos de
correo electrónico o número telefónico para todos los demás usuarios, pero las propiedades
de seguridad de usuarios le puede ser negada a todos menos a los miembros de un grupo de
administradores de seguridad. A los usuarios individuales se les puede otorgar acceso a
escribir a atributos personales tales como las direcciones de teléfono o correo en sus propios
objetos de usuario.
Delegación
La delegación (Delegation) es una de las más importantes características de seguridad del
Active Directory. La delegación permite una autoridad administrativa más elevada para
otorgar derechos administrativos específicos para contenedores y subárboles a individuos o
grupos. Esto elimina la necesidad de "Administradores de Dominio" con autoridad arrasadora
sobre grandes segmentos de la población de usuarios.
Los ACEs pueden otorgar derechos administrativos específicos sobre los objetos en un
contenedor a un usuario o grupo. Los derechos se otorgan para operaciones específicas en
clases de objetos específicos vía ACEs en el contenedor de ACL. Por ejemplo, para permitir
que el usuario "James Smith" sea un administrador de la unidad organizacional "Corporate
Accounting", se agregarían ACEs al ACL en "Corporate Accounting" como sigue:
"James Smith"; Grant;Create, Modify, Delete;Object-Class User
"James Smith";Grant;Create,Modify,Delete;Object-Class Group
"James Smith";Grant;Write;Object-Class User;Attribute Password
Ahora James Smith puede crear nuevos usuarios y grupos en Corporate Accounting y
establecer las contraseñas (passwords) de usuarios existentes, pero no puede crear ningunas
otras clases de objetos y no puede afectar a usuarios en cualquier otro contenedor (a menos,
por supuesto, que ACEs les otorgue ese acceso en los otros contenedores).
Herencia
La herencia (inheritance) permite que un ACE dado se propague del contenedor donde fue
aplicado a todos los descendientes del contenedor. La herencia puede ser combinada con la
delegación para otorgar derechos administrativos a un subárbol completo del directorio en
una sola operación.
El Active Directory provee de replicación multimaestra. La replicación multimaestra significa
que todos los duplicados de una partición dada se pueden escribir. Esto permite que
actualizaciones sean aplicadas a cualquier duplicado de una partición dada. El sistema de
replicación del Active Directory propaga los cambios de un duplicado dado a todos los otros
duplicados. La replicación es automática y transparente.
Propagación de actualizaciones
Algunos servicios de directorio usan etiquetas de tiempo (timestamps) para detectar y
propagar cambios. En estos sistemas, es muy importante mantener sincronizados los relojes
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
de todos los servidores de directorio. La sincronización del tiempo en una red es muy difícil.
Aun con muy buena sincronización de tiempo, es posible que el tiempo en un servidor de
directorio dado sea ajustado incorrectamente. Esto puede originar actualizaciones perdidas.
Windows 2000 provee sincronización de tiempo distribuida, pero el sistema de replicación del
Active Directory no depende del tiempo para la propagación de actualización. En lugar de eso,
el sistema para replicar del Active Directory usa Números de secuencia de actualización
(Update Sequence Numbers, USNs). Un USN es un número de 64 bits conservado por cada
servidor del Active Directory. Cuando el servidor escribe cualquier propiedad en el Active
Directory, el USN es adelantado y almacenado con la propiedad escrita. Esta operación es
efectuada automáticamente - es decir, el incremento y almacenamiento del USN y la escritura
de la propiedad tiene éxito o falla como una sola unidad de trabajo.
Cada servidor del Active Directory también mantiene una tabla de USNs recibidos de socios de
duplicado. El más alto USN recibido de cada socio es almacenado en esta tabla. Cuando un
socio dado notifica al Servidor de Directorio que es requerida la replicación , ese servidor
solicita todos los cambios con USNs mayor que el último valor recibido. Este es un
acercamiento muy simple y no depende de la exactitud de etiquetas de tiempo.
Debido a que el USN almacenado en la tabla es actualizado automáticamente para cada
actualización recibida, la recuperación después de una falla es simple también. Para reiniciar
la replicación, un servidor simplemente le solicita a sus socios todos los cambios con USNs
mayores que la última entrada válida en la tabla. Ya que la tabla es actualizada
automáticamente conforme se aplican los cambios, un ciclo de replicación ininterrumpido
siempre continuará exactamente donde se quedó, sin pérdida o duplicado de actualizaciones.
Detección de Colisiones - Números de Versión
En un sistema de duplicado multimaestro como el Active Directory, es posible que la misma
propiedad sea actualizada en dos o más réplicas diferentes. Cuando una propiedad cambia en
una segunda (o tercera, o cuarta, etc.) réplica antes de un cambio de la primera réplica ha
sido completamente propagada, ocurre una colisión de duplicado. Las colisiones son
detectadas a través del uso de números de versión de propiedad. A diferencia de USNs los
cuales son valores específicos del servidor, un número de versión de propiedad es específico a
la propiedad en un objeto del Active Directory. Cuando una propiedades escrita primero a un
objeto del Active Directory, el número de versión es inicializado.
Los escritos de origen avanzan en el número de versión. Un escrito de origen es un escrito a
una propiedad en el sistema inicializando el cambio. Escritos de propiedad causados por
replicación no son escritos originales y no avanzan el número de versión. Por ejemplo, cuando
un usuario actualiza su clave de acceso (password), ocurre un escrito original y el número de
versión de la clave de acceso es adelantado. Escritos de replicación de la clave de acceso
cambiado en otros servidores no adelanta el número de versión.
Una colisión se detecta cuando un cambio es recibido vía replicación en la cual el número de
versión de propiedad recibido es igual al número de versión de propiedad almacenado
localmente, y los valores recibidos y almacenados son diferentes. Cuando esto ocurre, el
sistema receptor aplicará la actualización que tenga la último etiqueta de tiempo. Esta es en
la única situación donde el tiempo es usado en la replicación.
Cuando el número de versión recibido es menor que el número de versión almacenado
localmente, la actualización se supone vana y es desechada. Cuando el número de versión
recibido es mayor que el número de versión almacenado, la actualización es aceptada.
Inhibidor de propagación
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
El sistema de replicación del Active Directory se enlaza en la topología de replicación. Esto le
permite al administrador configurar una topología de replicación con sendas múltiples entre
los servidores para desempeño y disponibilidad. El sistema de replicación del Active Directory
realiza la inhibición de progagación para prevenir cambios de propagación sin fin y para
eliminar la transmisión redundante de cambios a réplicas que ya están actualizadas.
El sistema del Active Directory emplea vectores actualizados para reducir la propagación. El
vector actualizado es una lista pares de servidores USN mantenidos para cada servidor. El
vector actualizado en cada servidor indica el más alto USN de escritos originales recibidos del
servidor en el par de servidor USN. Un vector actualizado para un servidor en un sitio dado
lista a todos los demás servidores en ese sitio.
Cuando se inicia un ciclo de replicación, el servidor que lo solicita envía su vector actualizado
al servidor que lo envía. El servidor que envía usa el vector actualizado para filtrar cambios
enviados al servidor solicitante. Si el USN más alto para un escritor original dado es mayor o
igual al USN escrito original para una actualización en particular, el servidor que envía no
necesita mandar el cambio; el servidor solicitante ya está actualizado con respecto al escritor
original.
Un árbol de dominio de Windows 2000 es una jerarquía de dominios de Windows 2000, cada
uno consistiendo de una partición del Active Directory. La forma del árbol y la relación de los
miembros del árbol uno con el otro son determinados por los nombres DNS de los dominios.
El dominio en un árbol debe formar un contiguo espacio para nombres, tal como a.myco.com
es hijo de myco.com, y b.myco.com es hijo de a.myco.com, etc.
Confianza Bidireccional Transitiva
Cuando un dominio está unido a un árbol de dominio de Windows 2000, una relación de
confianza bidireccional transitiva se establece automáticamente entre el dominio unido y su
matriz en el árbol. Debido a que la confianza es transitiva y bidireccional, no se requiere de
relaciones de confianza adicional es entre los miembros del árbol. La jerarquía de confianza es
almacenada como parte de la metadata del directorio en el contenedor de configuración.
Estos objetos requeridos son creados en el directorio cuando un dominio es unido al árbol.
Espacio para nombres
Los dominios en un árbol de dominio de Windows 2000 debe formar un contiguo espacio para
nombres (Namespace). Por defecto, los descendientes inmediatos de cada dominio son
contiguos y ya son parte de su espacio para nombres. Esto significa que el nombre único de
cada objeto en los dominios de descendientes tiene el nombre del dominio matriz como un
sufijo. Arboles desunidos pueden ser unidos en un bosque.
Figura 7. El dominio padre y dominio descendiente forman un contiguo espacio para
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
nombres debido a que el nombre del dominio descendiente es un subordinado
inmediato del nombre del dominio padre
Por ejemplo, un dominio padre, O=Internet/DC=COM/DC=Microsoft, y un dominio
descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS, forman un árbol contiguo
para
designar
nombres,
ya
que
el
objeto
base
en
el
dominio
padre,
O=Internet/DC=COM/DC=Microsoft, es el padre inmediato del objeto base en el
descendiente, O=Internet/DC=COM/DC=Microsoft/DC=PBS. Debido a que el padre y el
descendiente forman un árbol para designar nombres, una intensa búsqueda iniciada en el
padre también buscará automáticamente al descendiente.
Cuándo formar un árbol de dominio
El árbol de dominio de Windows es el Active Directory de la magnitud de la empresa. Todos
los dominios de Windows 2000 en una empresa dada deben pertenecer al árbol de dominio de
la empresa. Las empresas que necesitan apoyar los nombres DNS desunidos para su dominio
necesitan formar un bosque.
Cómo Formar un Arbol de Dominio o Bosque
Los dominios de Windows 2000 están unidos a un árbol de dominio durante el proceso de
instalación. Durante la instalación de un nuevo servidor de Windows 2000 (para mejorar de
una anterior versión de Windows NT), al administrador se le dan las siguientes opciones:
•
Creación del primer árbol en un bosque nuevo
•
Creación de un árbol en un bosque existente
•
Creación de una nueva réplica de un dominio existente
•
Instalación de un dominio descendiente
Para unir un árbol de dominio, seleccione Install a Child Domain e identifique al dominio
padre para un nuevo dominio descendiente. Una futura actualización a Windows dará la
capacidad de unir dos (o más) árboles existentes en un sólo árbol más grande.
Los dominios dentro de un árbol existente pueden ser libremente motivados a cambiar la
forma total del árbol. Planear un buen árbol es muy importante, pero lo bueno es que es
altamente subjetivo y basado en las necesidades específicas de su organización. La habilidad
de reestructurar el árbol como se necesita reduce la importancia de conocer de antemano el
diseño correcto.
Un sitio es un área de la red en donde la conectividad entre las máquinas se supone es muy
buena. Windows 2000 define un sitio como una o más subredes IP. Esto está basado en la
suposición de que las computadoras con la misma dirección de subred están conectadas al
mismo segmento de red, típicamente un LAN u otro alto ambiente de ancho de banda tal
como Frame Relay, ATM, u otros.
Windows 2000 usa información de un sitio para localizar un servidor del Active Directory cerca
del usuario. Cuando una estación de trabajo de un usuario se conecta a la red, recibe una
dirección TCP/IP de un servidor DHCP, el cual también identifica la subred a la cual la estación
de trabajo está sujeta. Las estaciones de trabajo que han configurado estáticamente
direcciones IP también han configurado estáticamente información de subred. En cualquier
caso, el localizador del controlador de dominio (DC) de Windows 2000 intentará localizar al
servidor del Active Directory localizado en la misma subred que el usuario, basado en la
información de la subred conocida para la estación de trabajo.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Sitios y Replicación
El sistema de replicación de Windows 2000 genera automáticamente una topología de anillo
para la replicación entre los servidores del Active Directory en un sitio dado. Dentro de un
sitio, la replicación de directorio es efectuada vía acceso por procedimiento remoto (Remote
procedure call, RPC). Entre los sitios, la replicación puede ser configurada selectivamente para
usar RPC o enviar mensajes. Windows 2000 provee envío de mensajes SMTP simple como una
característica estándar. Si Microsoft Exchange se encuentra disponible, la replicación intersitio
puede ser llevada vía Exchange, usando cualquiera de los muchos transportes apoyados por
Exchange (esto incluye SMTP, X.400, y otros).
Planeando Sitios
Un sitio mínimo consiste de una sola subred IP. Windows 2000 supone que todas las
máquinas localizadas en el mismo sitio comparten una red común de alta anchura de banda.
Dado esto, un buen diseño de sitio es uno en el cual todas las subredes asignadas a un sitio
dado comparten una red tal. Areas de una red que son separadas por una red de área amplia,
enrutadores múltiples, u otras ligas más lentas deben estar en sitios separados.
El esquema del Active Directory define el conjunto de todas las clases de objetos y atributos
que pueden ser almacenados en el directorio. Para cada clase de objeto, el esquema define
donde puede ser creado en un árbol de directorio especificando los padres legales de la clase.
El contenido de una clase se define por la lista de atributos que la clase debe o puede
contener.
Cuando Extender el Esquema
Los usuarios y aplicaciones extienden el esquema cuando no hay clases de objetos existentes
que estén de acuerdo a la necesidad a mano. Extendiendo el esquema es un proceso simple y
directo.
Agregando Atributos
Se pueden agregar nuevos atributos al esquema en cualquier momento. Una definición de
atributo consiste en un nombre, un Identificador de Objeto (Object Identifier, OID), una
sintaxis que define qué clase de datos puede mantener el atributo, y limites de alcance
opcionales. Para cadena de datos, los limites de valor establecen el mínimo y máximo largo
de cadena de datos. Para números enteros, los límites de valor establecen el valor mínimo y
máximo del número entero.
El desempeño de consulta en el Active Directory está directamente relacionado con la
disponibilidad de un índice que pueda ser usado para optimizar una consulta dada. Cuando no
hay un índice disponible para satisfacer una consulta dada, el servidor LDAP debe leer la
partición completa para satisfacer la consulta. Cuando define un atributo, tiene la opción de
crear un índice para ese atributo. También es posible crear un índice sobre un atributo dado
colocando el atributo banderas de búsqueda en el objeto esquema de atributo a 1. Debe
definir un atributo como indizado cuando:
•
El atributo será frecuentemente usado en consultas. Agregar un índice consume
almacenaje y afecta el desempeño de insertar (porque el índice debe ser mantenido
cuando un artículo es insertado), así es que no debe agregar un índice si no será
usado a menudo.
•
Los valores en el atributo deben ser altamente singulares. Los atributos Booleanos
nunca deben ser indexados, porque un atributo Booleano tendrá sólo dos posibles
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
valores: Falso o verdadero. Los números de empleado y apellido son altamente
singulares y por lo tanto hacen buenos índices.
•
El atributo ocurrirá en objetos de interés. Indizando un atributo le permite encontrar
objetos rápidamente que tengan ese atributo ejemplificado. Antes de agregar un
índice, asegúrese de que el atributo que está indizando es un "debe tener" o "puede
tener" en los objetos que desea recobrar.
Agregando nuevos Objetos
Nuevas clases de objetos pueden ser agregadas al esquema en cualquier momento. La
definición de un objeto consiste en un nombre, un identificador de objeto (Object Identifier,
OID) , una lista de atributos "puede contener" y "debe contener", la lista de clases que
pueden ser padres del objeto, la clase de donde se deriva el objeto, y una lista de cualquier
clase auxiliar que aplica al objeto.
Cómo Extender el Esquema
Debido a que el esquema controla lo que puede ser almacenado en el directorio y describe lo
que ya está almacenado, el acceso para escribir al esquema está limitado a los
administradores por defecto. Un esquema de administración snap-in para el Microsoft
Management Console (MMC) se proporciona con el Windows 2000. Para extender el esquema,
un usuario adecuadamente privilegiado puede crear nuevos atributos y clases. Los atributos
pueden entonces ser agregados a clases nuevas o existentes. Para cada nuevo atributo o
clase, se requiere de OID.
Identificadores de Objetos (OIDs)
Un identificador de objeto es un número identificando una clase de objeto o atributo en un
servicio de directorio. Los OIDs son emitidos por autoridades emisoras y forman una
jerarquía. Un OID es representado como una cadena de datos decimal con puntos (por
ejemplo, "1,2,3,4"). Las empresas (o personas)pueden obtener un OID original de una
autoridad emisora y usarlo para asignar OIDs adicionales. Por ejemplo, a Microsoft sele ha
asignado el OID base de 1.2.840.113556. Microsoft maneja futuras divisiones de esta base
internamente. Una de estas divisiones es usada para asignar OIDs para clases de Active
Directory, otro para atributos del Active Directory, etc.
Muchos países en el mundo tienen una Autoridad de Registro Nacional (National Registration
Authority , NRA) identificada responsable de emitir OIDs a las empresas. En Estados Unidos la
Autoridad de Registro Nacional es el American National Standards Institute (ANSI). La
Autoridad de Registro Nacional emite OIDs originales. Una empresa también puede registrar
un nombre para el OID. Hay una cuota asociada tanto con los OIDs originales como con
nombres registrados. Póngase en contacto con la Autoridad de Registro Nacional de su país
para más detalles http://www.iso.ch.
Publicar es la acción de crear objetos en el directorio que directamente contengan la
información que quiere hacer disponible o proporcionar una referencia para la información que
quiere hacer disponible. Por ejemplo, un objeto de usuario contiene información útil sobre los
usuarios, tales como sus números telefónicos y direcciones de correo electrónico, mientras
que un objeto de volumen contiene una referencia para un volumen del sistema de archivo
compartido.
Cuándo Publicar
La información debe ser publicada en el Active Directory cuando es útil o interesante para
gran parte de la comunidad de usuarios y cuando necesita ser altamente accesible.
La información publicada en el Active Directory tiene dos características principales:
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
•
Es relativamente estática y rara vez cambia. Los números telefónicos y direcciones de
correo electrónico son ejemplos de información relativamente estática adecuada para
ser publicadas; el mensaje de correo electrónico actualmente seleccionado es un
ejemplo de información altamente volátil.
•
Es estructurado y puede ser representado como un conjunto de atributos discretos.
Una dirección de negocios de un usuario es un ejemplo de información estructurada
adecuada para publicarse; un audio clip de la voz del usuario es un ejemplo de
información no estructurada más adecuada para el sistema de archivo.
Información operacional usada en aplicaciones es un excelente candidato para publicarse en
el Active Directory. Esto incluye información de configuración global que se aplica a todas las
instancias de una aplicación dada. Por ejemplo, un producto de la base de datos correlativo
puede almacenar la configuración default para los servidores de base de datos como un
objeto en el Active Directory. Nuevas instalaciones de ese producto recolectarían la
configuración default del objeto, simplificando el proceso de instalación e intensificando la
consistencia de instalaciones en una empresa.
Las aplicaciones pueden también publicar sus puntos de conexión en el directorio Los puntos
de conexión son usados para el punto de reunión del cliente y servidor. El Active Directory
define una arquitectura para la administración de servicio integrado usando objetos del
Service Administration Point y proporciona puntos de conexión estándar para aplicaciones
RPC, Winsock, y COM. Las aplicaciones que no usan las interfaces RPC o Winsock para
publicar sus puntos de conexión pueden explícitamente publicar objetos de Service
Connection Point en el directorio.
Datos de aplicación pueden ser publicados también en el directorio usando objetos de
aplicación específica. Los datos de aplicación específica deben cumplir el criterio discutido
anteriormente. Es decir, los datos deben ser globalmente interesantes, relativamente no
volátil y estructurados.
Cómo Publicar
Los medios para publicar información varía de acuerdo a la aplicación o servicio:
•
RPC - Las aplicaciones RPC usan la familia RpcNs de APIs para publicar sus puntos de
conexión en el directorio y para consultar para los puntos de conexión de servicios que
han publicado los suyos.
•
Windows Sockets - Las aplicaciones de Windows Sockets usan la familia de
Registration y Resolution de APIs disponibles en Winsock 2.0 para publicar sus puntos
de conexión y consultar para los puntos de conexión de servicios que han publicado
los suyos.
•
DCOM - Los servicios DCOM publican sus puntos de conexión vía la DCOM Class Store,
la cual reside en el Active Directory.
Windows 2000 introduce nuevas funciones de grupo
•
Los grupos pueden ser tratados como listas de distribución si el siguiente lanzamiento
principal de Exchange es instalado.
•
Los grupos pueden contener miembros no seguros (esto es importante cuando el
grupo es usado tanto para propósitos de seguridad y listas de distribución).
•
El uso de seguridad de grupos puede ser inhabilitado (esto es importante cuando el
grupo es usado solo como una lista de distribución).
•
Los grupos pueden ser anidados.
•
Un nuevo tipo de grupo, el grupo Universal, es introducido.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Un grupo Universal es la más simple forma de grupo. Los grupos Universales pueden aparecer
en ACLs en cualquier parte del bosque, y puede contener otros grupos Universales. Grupos
Globales, y usuarios de cualquier parte del bosque.
Las instalaciones pequeñas pueden usar grupos Universales exclusivamente y no preocuparse
de grupos Globales y Locales.
Un grupo Global puede aparecer en ACLs en cualquier parte del bosque. Un grupo Global
puede contener usuarios y otros grupos Globales de su propio dominio.
Un grupo Local de Dominio puede ser usado en ACLs sólo si es su propio dominio. Un grupo
Local de Dominio puede contener usuarios y grupos Globales de cualquier dominio en el
bosque, Grupos Universales, y otros grupos Locales de Dominio en su propio dominio.
Los tres tipos de grupo proporcionan un rico y flexible ambiente de control de acceso mientras
que reducen el tráfico de replicación para el Catálogo Global causado por cambios de
membresías de grupo. Un grupo Universal aparece en el GC, pero contendrá principalmente
grupos globales de dominios en el bosque. Una vez que los grupos Globales se establezcan, la
membrecía en el grupo Universal cambiará infrecuentemente. Los grupos Globales aparecen
en el GC, pero sus miembros no. Los cambios de membrecía en grupos Globales no son
duplicados fuera del dominio donde son definidos. Los grupos Locales de Dominio son válidos
solo en el dominio donde son definidos y no aparecen en el GC.
Migración
Esta sección presenta una vista general de migración de versiones anteriores de Windows NT.
La migración es discutido en detalle en un número de documentos aparte disponibles de
http://www.microsoft.com/latam/ntserver/nts/.
Puede mejorar los sistemas Windows NT 3.51 y 4.0 directamente a Windows 2000. Los
sistemas Windows NT 3.51 y 3.5 deben ser mejorados a Windows NT 3.51 om4.0 antes de
que puedan ser mejorados a Windows 2000.Una nueva instalación de Windows 2000 puede
ser efectuada en cualquier sistema listado en la lista de hardware compatibel en el sitio de
Windows 2000.
Los Controladores de Dominio (Domain Controlers) conservan una copia del directorio. En
Windows NT 3.51 y 4.0, hay dos clases de Controladores de Dominio - Controladores de
Dominio Primario (Primary Domain Controllers, PDCs) y Controladores de Dominio de
Respaldo (Backup Domain Controllers, BDCs). Los Controladores de Dominio Primarios
conservan una copia de lea/escriba mientras que los Controladores de Dominio de Respaldo
conservan una copia de leer/solamente.
En Windows 2000, todos los Controladores de Dominio para un dominio dado conservan una
copia que se puede escribir del directorio. No hay distinción entre el primario y el respaldo;
todos los controladores de dominio son iguales.
Para emigrar un dominio de Windows NT 3.51 o 4.0 a Windows 2000, debe primero mejorar
el Controlador de Dominio Primario para el dominio para Windows 2000. Esto
automáticamente carga a los usuarios y grupos del directorio de dominio hacia el Active
Directory. Como parte del proceso de mejoramiento, usted especifica si este dominio será:
•
La raíz de un nuevo árbol en el bosque
•
La raíz de un nuevo árbol de dominios en un bosque existente
•
Un descendiente de un árbol de dominios existente
En este punto el dominio es un dominio mixto. Puede emplear las herramientas de
administración de Windows 2000 para manejar el dominio, y puede crear una estructura
jerárquica de carpetas Organizational Unit en el directorio para delegar la autoridad
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
administrativa. Los Controladores de Dominio de Respaldo, servidores miembros, y clientes
no se cambian y no están conscientes de que el PDC es ahora un servidor del Active
Directory.
Para emigrar los Controladores de Dominio de Respaldo, mejore cada uno a Windows 2000. El
proceso de mejoramiento reconoce al Controlador de Dominio de Respaldo, automáticamente
lo instala como una réplica del Active Directory, y lo inserta en la topología de replicación.
Cuando todos los controladores de dominio han sido mejorados a Windows 2000, el dominio
ya no es un dominio mixto, y los grupos anidados son apoyados.
Para emigrar servidores miembros, mejórelos a Windows 2000. Los usuarios locales y grupos
locales son almacenados en el registro de del servidor miembro y no se mueven al Active
Directory. Mejorar a un servidor miembro a Windows 2000 le permite participar en la
seguridad Kerberos, agrega apoyo para aplicaciones Directory-aware,y agrega la Microsoft
Management Console y Active Directory-aware shell y diálogos comunes.
Para emigrar a los clientes basados en la estación de trabajo Windows NT, mejórelos a
Windows 2000 Professional. Puede emigrar a clientes basados en Windows 95 instalando un
paquete de servicio que contenga los componentes de software adicionales que se necesitan
para hacerlos Active Directory-aware. Mejorar a un cliente le permite participar en la
seguridad Kerberos, apoyo para aplicaciones Active Directory-aware, y agrega el Active
Directory-aware shell y diálogos comunes.
Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los usuarios son
emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raíz del
dominio.
Cuando un PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000 las cuentas de la
máquina son emigradas al Active Directory y colocadas en un contenedor llamado
"Computers" en la raíz del dominio.
Cuando una PDC de nivel bajo (3.51 o 4.0) es mejorada a Windows 2000, los Grupos son
emigrados al Active Directory y colocados en un contenedor llamado "Users" en la raíz de
dominio. Grupos integrados se encuentran en un contenedor especial llamado "Built-in".
Preguntas Más Frecuentes
Una estación de trabajo descubre su sitio presentando su subred al primer servidor del Active
Directory contactado. La estación de trabajo determina la subred aplicando su máscara de
subred a su dirección IP. La máscara de subred y dirección IPO pueden ser asignadas por
DHCP o configurada estáticamente. El primer Servidor contactado usa la subred presentada
para localizar el Site Object para el sitio donde se localiza la estación de trabajo. Si el actual
servidor no se encuentra en ese sitio, el servidor le notifica a la estación de trabajo un mejor
servidor para usar.
Una estación de trabajo encuentra un servidor de directorio consultando DNS. Los servidores
de directorio para un dominio dado publican SRV Resource Records en DNS con nombres en la
forma:
LDAP.TCP.
Por lo tanto, una estación de trabajo que se conecta a Microsoft.com consultará DNS para
registros SRV para LDAP.TCP.Microsoft.com. Un servidor será seleccionado de la lista y
contactado. El servidor contactado usará la información de subred presentada por la estación
de trabajo para determinar el mejor servidor como se describió en la respuesta anterior.
Un usuario puede usar una variedad de nombres en una variedad de formatos para
conectarse a un Windows 2000 Professional. Estos incluyen los formatos de nombre apoyados
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
por interfaces para programar de aplicación Win32 DsCrackNames, los cuales son usados
para convertir estas formas de nombre como sea necesario.
El nombre de dominio NETBIOS y SAM-Account-Name - Este es el nombre de conexión estilo
Windows NT 4.0. El nombre de dominio NETBIOS es el nombre que tenía el dominio antes de
emigrar. El SAM-Account-Name es el nombre de la cuenta que el usuario tenía antes de
emigrar.
Nombre Principal de Usuario - Este se encuentra en el formato @.Si el nombre no es único, el
intento de conexión fallará con un error de usuario desconocido (Unknown User).
Las listas de control de acceso no son afectadas directamente por la emigración. Si todos los
dominios de Windows NT 3.51 y Windows NT 4.0 son emigradas de lugar, nada cambia de
una perspectiva ACL.
Si mueve servidores de un dominio de recurso hacía una unidad organizacional en dominios
de cuenta emigrada y suprime el dominio de recurso, necesitará editar cualquier ACL que
mantiene ACEs que refieren al ahora dominio suprimido. Esta no es una función de la
migración a Windows 2000; si suprime un dominio en cualquier versión de Windows NT, los
identificadores de seguridad emitidos por ese dominio se vuelven inválidos.
Para reducir el esfuerzo involucrado en volver a aplicar recursos ACL, si tiene un dominio de
recursos Windows 3.51 o 4.0 y planea reemplazarlo con un OU y suprimirlo en Windows 2000,
no debe poner a grupos del dominio de recursos en ACLs. Nótese que esto no afecta a los
grupos locales de los servidores miembros, afecta sólo a aquellos de Controladores de
Dominio.
Como parte de Windows 2000, Microsoft proporcionará herramientas para asistir en volver a
aplicar ACLs a los recursos.
Cuando se crea un grupo en un dominio, tiene un Identificador de Seguridad (Security
Identifier, SID) emitido por ese dominio. Cuando se coloca ese SID en un ACL, le otorga
acceso a los usuarios que tengan ese SID en su indicador. Los usuarios obtienen el SID en su
token conectándose a dominio que emitió el SID. Esta puede ser una conexión de red y pasar
transparentemente.
Cuando editas un Acl, el LookupAccountName API es llamado con el SID. Si suprime el
dominio que emitió el SID, verá "Usuario Desconocido" en la lista de usuarios y grupos para el
ACL. Esto sucede en Windows NT 3.51 y Windows NT 4.0 si suprime un dominio o retira una
liga de confianza.
Hay dos partes para esta respuesta:
•
Parte 1: Grupos Locales en Servidores Miembros -- Los grupos locales en un
servidor miembro se quedan locales; existen sólo en el SAM en el servidor miembro y
no son emigrados al Active Directory. Un típico uso de un grupo local en un servidor
miembro es mantener grupos globales de dominios de cuenta. El servidor
administrador coloca al grupo local en los ACLs en los recursos del servidor y agrega a
los grupos globales al grupo local. Esto no cambia en Windows 2000. La única
diferencia es que los grupos globales se convierten en grupos normales y son
publicados en el Active Directory.
•
Parte 2: Grupos Locales en PDCs y BDCs - Los Controladores de Dominio de
Respaldo tienen un SAM de leer/solamente. Cuando crea un grupo local en un BDC, la
operación de crear es remontado al PDC y duplicado de regreso a todos los BDCs.
Semánticamente, estos grupos locales son idénticos a los grupos locales en un
servidor miembro., pero existen en el PDC y en todos los BDCs. Cuando se mejora a
Windows 2000,elproceso de mejoramiento crea un objeto de grupo de Dominio Local
en el Active Directory para cada uno de estos.
Se inicia una búsqueda del catalogo global en una de varias formas:
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
•
Por un subárbol o búsqueda de LDAP de un nivel enraizado en el inválido DN (la raíz
del espacio para nombres) - esto genera una referencia para el Catálogo Global.
•
Por una referencia directa al puerto GC en una réplica de GC (aunque no es probable
que los programas de clientes tomen este acercamiento).
•
Por una referencia explícita al proveedor GC ASDI (GC://).
No. Hay ventajas significativas en usar Microsoft DNS, pero cualquier servidor DNS compatible
con RFC funcionará. Se recomienda Dynamic DNS porque, con un servidor Dynamic DNS los
servidores del Active Directory pueden registrar automáticamente los registros necesarios en
DNS.
Los servidores Static DNS funcionan igualmente bien, pero el registro DNS para cada servidor
de Directorio debe efectuarse manualmente.
El servidor DNS incluido con Windows 2000 es una implementación obediente de RFC y BIND
de Dynamics DNS.Es una implementación nativa para Windows 2000, no un puerto de la
implementación BIND de dominio público. El servidor DNS de Microsoft almacena las zonas
DNS para la cual es autoritario en el Active Directory. Los datos de DNS son duplicados entre
los servidores DNS por replicación del Active Directory, no Transferencia de Zona (Zone
Transfer). El servidor DNS de Microsoft apoya Transferencia de Zona DNS estándar para
interoperabilidad con otros servidores DNS.
El servidor DHCP es mayormente sin cambio para Windows 2000. El cliente de DHCP es DNSaware y usa los servicios de Dynamic DNS para registrar direcciones emitidas por DHCP
directamente en DNS. El cliente DHCP continuará registrándose con WINS si DHCP identifica a
un servidor WINS.
Wins no sufre cambios para Windows 2000. Los clientes de Windows 2000 (y clientes de
Windows 95 con la mejora del Active Directory instalado) ya no necesitan usar el espacio para
nombres de NETBIOS. Aún se requiere WINS para clientes de bajo nivel para encontrar
servidores y viceversa. Cuando ya no hay clientes de bajo nivel en la empresa, los servidores
WINS pueden ser apagados.
Tomado de: http://www.microsoft.com/latam/technet/articulos/199909/art05/
Responsable de la información: Maurizio Di Ianni
Descargar