Tema 3. Administración de dominios Windows 2003 Server
3.1. Introducción
Aquí se explicarán conceptos fundamentales que soportan el Directorio Activo (Active Directory) tales como:
La administración del mismo, incluyendo los principales objetos que pueden definirse en el mismo.
La compartición de recursos entre sistemas.
Y la delegación de tareas administrativas dentro de un dominio.
3.2. El Directorio Activo
Dominios Windows 2003 y el Directorio Activo
La mejor forma de aprovechar la característica principal de intercambiar información entre ordenadores conectados a una red, es la creación de un dominio, en donde toda la información se encuentra centralizada en uno o varios servidores, facilitando la labor del administrador. Una de las ventajas fundamentales es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red).
Estándares relacionados
Windows 2003 proporciona compatibilidad con muchos protocolos y estándares existentes, algunos de ellos son:
- DHCP, DNS, SNTP, LDAP, Kerberos V5, entre otros.
El Directorio Activo y DNS
El Directorio Activo y DNS son espacios de nombres. El Directorio Activo utiliza el DNS, para tres funciones principales:
- Resolución de nombres: DNS permite realizar la resolución de nombres al convertir los nombres de host a direcciones IP y al revés.
- Definición del espacio de nombres: Directorio Activo utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios. - Búsqueda de los componentes físicos de Active Directory: para realizar consultas en Directorio Activo.
Estructura lógica
La estructura lógica del Directorio Activo se centra en la administración de los recursos de la red organizativa, independientemente de la ubicación física de dichos recursos, y de la topología de las redes.
Dominios
La unidad central de la estructura lógica del Directorio Activo es el dominio.
El uso de dominios permite conseguir algunos objetivos como: Delimitar la seguridad, replicar información, aplicar políticas de Grupo, delegar permisos administrativos.
Múltiples dominios en la misma organización
Según los estándares de nombres DNS, los dominios de Active Directory se crean dentro de una estructura de árbol invertida, con la raíz en la parte superior. Cuando se instala el primer controlador de dominio en la organización se crea lo que se denomina el dominio raíz del bosque, el cual contiene la configuración y el esquema del bosque.
Un árbol: es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
Un ejemplo de al estructura arborescente:
Un ejemplo de al estructura arborescente:
Un bosque: es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas.
Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:
- No se pueden mover dominios de Active Directory entre bosques.
- Solamente se podrán eliminar dominios de un bosque si este no tiene dominios hijo.
- Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
- No se puede crear un dominio padre de un dominio existente.
- No se pueden mover dominios de Active Directory entre bosques.
- Solamente se podrán eliminar dominios de un bosque si este no tiene dominios hijo.
- Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
- No se puede crear un dominio padre de un dominio existente.
Los niveles funcionales son cuatro:
Windows 2000 mixto, Windows 2000 nativo, Windows Server 2003 provisional, Windows Server 2003.
Por otro lado, un bosque de dominios Windows 2003 puede estar en tres niveles funcionales: Windows 2000, Windows Server 2003 provisional, Windows Server 2003.
Relaciones de confianza
Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio.
Unidades Organizativas
El objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupándolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten: Delegar la administración, establecer de forma centralizada comportamientos distintos a usuarios y equipos.
Estructura física
En Active Directory, la estructura lógica está separada de la estructura física. La estructura lógica se utiliza para organizar los recursos de red mientras que la estructura física se utiliza para configurar y administrar el tráfico de red.
SitiosUn sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad.
Normalmente los sitios se crean por dos razones principalmente, para optimizar el tráfico de replicación y para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable.
Controladores de dominio
Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta
Windows 2003 Server y que almacena una replica del directorio.
La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración.
Servidor de catálogo global
El catálogo global cumple dos funciones importantes en el directorio:
- Permite que un usuario inicie una sesión en la red mediante el suministro de la información de pertenencia a grupos universales a un controlador de dominio cuando inicia un proceso de sesión.
- Permite que un usuario busque información de directorio en todo el bosque, independiente de la ubicación de los datos.
Operaciones de maestro único
Operaciones de maestro único
Todos los bosques de Active Directory deben tener controladores de dominio que
cumplan dos de las cinco funciones de operaciones de maestro único. Las funciones
para todo el bosque son:
Maestro de esquema, Maestro de nombres de dominio, Maestro de identificadores relativos (RID), Emulador de controlador de dominio principal (PDC), Maestro de infraestructuras.
3.3. Objetos que administra un dominio
Este apartado expone con detalle los principales tipos de objetos que pueden
crearse en el Directorio Activo de Windows 2003:
Usuarios globales
En la administración de sistemas Windows 2003 independientes (administración local),
se crean en los sistemas cuentas de usuario y de grupo que sirven para identificar y autentificar a las personas (usuarios) que deben poder acceder al sistema y administrar los permisos y derechos a los usuarios.
Grupos
Existen tres clases de grupos de seguridad (o, de forma más precisa, se pueden definir grupos de tres ámbitos distintos): Grupos locales del dominio, Grupos globales, Grupos universales.
Equipos
La misma base de datos tanto de grupos como de usuarios de directorio recoge también una cuenta de equipo por cada uno de los ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el nombre
del ordenador, así como un identificador único y privado que lo identifica unívocamente.
3.4. Compartición de recursos
Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o dominio),
puede compartir sus recursos con el resto de ordenadores.
Existen tres tipos:
Permisos y derechos.
Compartición dentro de un dominio.
Mandatos Windows 2003 para compartir recursos.
- Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo.
3.5. Delegación de la administración
Para delegar, total o parcialmente, la administración de una unidad organizativa existe un asistente (wizard) que aparece cuando se selecciona la acción Delegar el control... en el menú contextual de la unidad organizativa. Este asistente pregunta básicamente los dos aspectos propios de la delegación: a quién se delega y qué se delega.
Texto sacado de temario de ASO.
Enlace a página de interés.
Texto sacado de temario de ASO.
Enlace a página de interés.
Módulo: Administración de sistemas operativos.
Realizado por: Raquel Esquinas Chaparro.
Curso: 2º ASIR.
No hay comentarios:
Publicar un comentario