Information Center Networking Specialist 1

Sistemas Operativos
Conceptos Bsicos de Windows Server 2003
Sin lugar a dudas Windows Server es un sistema operativo excelente por
sus prestaciones, robustez y confiabilidad, pero generalmente se desconoce
el por qu, y qu elementos contiene. Este es el caso de Active Directory,
uno de los puntos primordiales.
Qu es Active Directory
El Active Directory (Directorio Activo) es el servicio de directorio Windows
Server 2! que almacena informaci"n acerca de los ob#etos de la red y
pone a disposici"n de los usuarios y administradores de la red dic$a
informaci"n. %$ora bien, &qu es un directorio, ob#etos y dem's
caracter(sticas)
!ecopi"ado por #er$er #% Ara&'n Suc""a
Sistemas Operativos 2
*ebemos definir a un directorio como una estructura #er'rquica en la cual
se almacena informaci"n acerca de los ob#etos que componen nuestra red,
considerando como o$(etos todos aquellos elementos que tengan entidad,
como ser+ un member server, una computadora, un usuario, una impresora,
etc. ,ncluso algunos ob#etos pueden llegar a ser contenedores -containers.
para otros ob#etos.
Es decir - Active Directory . provee una estructura y las funciones
necesarias para organizar, administrar y controlar recursos de forma
centralizada, por lo cual toda esta informaci"n se almacena tambin en
forma centralizada. /or e#emplo, se almacenan los datos -atributos. acerca
de las cuentas de usuarios, recopilando toda la informaci"n de un usuario
en distintas solapas, como se puede ver en la figura 0.
En este caso en particular, el Active Directory se encuentra extendido ya
que posee las propiedades de un servidor de correo 1icrosoft Exc$ange.
%simismo, no solo almacena los datos del usuario y su password, sino
tambin permite a otros usuarios autorizados a mane#ar dic$a informaci"n,
admitiendo la delegaci"n de la administraci"n a administradores espec(ficos
de ciertos recursos, y no de toda la red de Windows Server 2!.
)a estructura )'&ica de Active Directory *AD+
2omo mencionamos anteriormente la estructura de un %* es #er'rquica. 3a
estructura ser(a similar a la mostrada en la figura 2.
*entro de la estructura podemos observar los siguientes elementos+
O$(etos% Estos son los componentes b'sicos de la estructura l"gica.
C"ases% Son los modelos o las plantillas para los tipos de ob#etos que se
pueden crear en AD. 2ada clase de ob#eto es definida por un grupo de
atributos, los cuales identifican los posibles valores que puede tomar
cada ob#eto. 2ada ob#eto tiene una combinaci"n 4nica de los valores de
atributos.
,nidades Or&ani-ativas% Son contenedores de ob#etos y sirven para
organizarlos -con fines netamente administrativos.. Se puede delegar la
autoridad para administrarlas e incluso asignarles pol(ticas de seguridad
especiales a cada una.
Dominios% Son las unidades funcionales 52ore6 de la estructura l"gica
de %*7 se las puede considerar como una colecci"n de los ob#etos
administrativos definidos, que comparten un directorio, pol(ticas de
seguridad y relaciones de confianza con otros *ominios.
Information Center Networking Specialist 3
.r$o" de Dominio *Domain tree+% Son *ominios agrupados en
estructuras #er'rquicas+ al agregar un segundo dominio en una
estructura, este 4ltimo se convierte en 2$ild del dominio principal
-domain tree. y as( sucesivamente. 8n e#emplo de ellos ser(a
ba.laboratorio.com.ar -2$ild., donde el domain tree ser(a
laboratorio.com.ar.
Bos/ues *0orests+% Es una instancia completa de %ctive *irectory y
consiste en uno o m's 'rboles -tres..
)a 0unciona"idad de" AD Windows Server 2003
2omo describimos anteriormente, AD es el medio , "a 1erramienta para
organizar, administrar y controlar de forma centralizada nuestra red y los
recursos que $ay en ella.
!ecopi"ado por #er$er #% Ara&'n Suc""a
Sistemas Operativos 4
/rovee al usuario los recursos disponibles, independientemente de su
ubicaci"n y de la forma en que est conectada a la red.
AD proporciona distintas $erramientas para facilitar las tareas de
administraci"n, permitiendo controlar escritorios distribuidos, servicios de
red y aplicaciones desde una oficina central, y con consolas centralizadas,
disminuyendo dic$as tareas. *entro de las funcionalidades que presenta
AD se encuentran+
2osi$i"idad de 3uncionar como servicio 4on5Operatin& System%
%ctive *irectory in %pplication 1ode -%*9%1. es un feature nuevo de
Active Directory de Windows Server 2! y act4a en escenarios de
aplicaciones *irectory Enabled. %*9%1 funciona como servicio :on;
<perating System que, como tal, no requiere instalaci"n sobre un
*omain 2ontroller. Este tipo de servicios e#ecutan m4ltiples instancias de
%*9%1 en un mismo server, a su vez configurando cada una de ellas de
forma independiente.
!enom$rado de Dominios% Existe la posibilidad de renombrar dominios
sin modificar la estructura del %*. Esta caracter(stica facilita muc$o las
tareas de reestructuraci"n de dominios.
AD67 versi'n 2%0% 2on esta utilidad se facilitan las labores a la $ora de
migrar a %*. %ctive *irectory 1igration =ool -%*1=. tiene la opci"n de
migrar passwords desde 1icrosoft Windows := >. a Windows 2 y
Windows Server 2!, o desde Windows 2 a *ominios Windows
Server 2!.
8s/uema *Sc1ema+% Existe la posibilidad de $abilitar o des$abilitar
atributos y definiciones de clases %ctive *irectory Sc$ema.
9rupo de 2o":ticas *9roup 2o"icy+% Existe una consola de
administraci"n centralizada de pol(ticas que fue lanzada en forma
con#unta con Windows Server 2!, ?roup /olicy 1anagement 2onsole
-?/12.. /or medio de ella se pueden administrar las pol(ticas de
m4ltiples dominios, realizar bac@ups y restores de las mismas, activar o
desactivar pol(ticas, editarlas, generar reportes para visualizar y analizar
las opciones que configura cada pol(tica.
!e"aciones de con3ian-a% Se realizaron me#oras en cuanto a las
relaciones de confianza ,nter;Aorest.
2o":ticas de !estricci'n de So3tware% Existe la posibilidad proteger los
entornos de Software no autorizados.
!ep"icaci'n de miem$ros en "os &rupos% Se eliminaron las
restricciones de B. usuarios por grupo, y se resolvieron los problemas
de replicaci"n, ya que a$ora cada miembro de un grupo es un atributo en
s(.
6ane(o de Sitios *Sites+% El mane#o de sites incluye un nuevo algoritmo
de ,nter;Site =opology ?enerator -,S=?., eliminando la limitaci"n del
Information Center Networking Specialist 5
n4mero m'ximo de Sites en B a B. Sites -probado en laboratorios
de 1icrosoft..
Qu son "os Operation 6asters
2uando se efect4a un cambio en un servidor de dominio, este cambio es
replicado a todos los Domain Controllers del mismo. %lgunos cambios, por
e#emplo los que se $acen en el sc$ema, son replicados a todos los domains
en el forest. Este tipo de replicaci"n es llamada 6u"timaster !ep"ication.
O28!AC;O48S S;49)8 6AS78!
?eneralmente se utiliza Single Master Replication para evitar errores o
conflictos durante la rplica. 2on este mtodo, solamente un *omain
2ontroller determinado es el que puede realizar los cambios en el Active
Directory, evitando as( m4ltiples cambios simult'neos.
O28!A7;O4S 6AS78! !O)8S -Alexible Single 1aster <peration Coles ;
AS1<.
Son roles espec(ficos del forest -o del domain. que son utilizados en las
operaciones del Single Master Replication. S"lo el *omain 2ontroller que
tiene asignado el rol es quien puede realizar los cambios en el directorio.
2ada *omain 2ontroller responsable de un rol espec(fico es denominado
Operation Master Rol, y este es almacenado en el Active Directory. 3os
<perations 1aster Coles existen a nivel forest o nivel domain, y %ctive
*irectory define cinco de ellos.
Roles Forest-wide
Sc1ema 6aster% Se encarga de controlar las actualizaciones al sc$ema.
El sc$ema contiene la definici"n de clases de ob#etos y atributos
utilizados para crear todos los ob#etos -usuarios, computadoras e
impresoras..
Domain 4amin& 6aster% Se encarga de controlar las altas o ba#as de
dominios del forest. 2uando se agregue un dominio al forest, solamente
el *omain 2ontroller que tenga el rol *omain :aming 1aster, podr'
agregarlo. Existen solamente un Sc$ema 1aster y un *omain :aming
1aster por cada forest.
Roles Domain-Wide
2rimary Domain Contro""er 8mu"ator *2DC+% Este rol act4a como un
/*2 Windows := para dar soporte a los Dac@up *omain 2ontrollers
-D*2s. los cuales se e#ecutan en dominios Windows :=, en modo mixto.
!ecopi"ado por #er$er #% Ara&'n Suc""a
Sistemas Operativos 6
Este tipo de dominios se caracterizan por tener en su infraestructura un
*omain 2ontroller con Windows := >..
!e"ative ;denti3ier 6aster *!;D+% Es el rol encargado de vincular el C,*
a los ob#etos creados. Esto ocurre de la siguiente manera+ cuando un
ob#eto es creado, el *omain 2ontroller genera un Security /rincipal que
lo representa, y le asigna un 8nique Security /rincipal -S,*.. Este S,* es
igual para todos los Security /rincipals del dominio, y un Celative
,dentifier -C,*., que es 4nico para cada Security /rincipal de todo el
dominio.
;n3rastructure 6aster% Es el encargado de actualizar las referencias de
cada ob#eto dentro del dominio cuando sufre alguna modificaci"n. 2ada
dominio en el forest tiene su propio /*2 Emulator, C,* 1aster e
,nfraestructure 1aster.
Information Center Networking Specialist 7
Qu es un Domain Contro""er
%ntiguamente con Windows :=, el controlador de dominio central se lo
llamaba /rimary *omain 2ontroller -/*2., 4nicamente un server pod(a
tener este rol, el resto de los controladores de dominio se los denominaba
Dac@up *omain 2ontrollers -D*2.. Windows := mane#aba la idea de
dominio para administrar los accesos de usuarios a los recursos disponibles
en la red -aplicaciones, impresoras, etc...
El servidor /*2 administraba la base de datos principal del dominio, y los
D*2 solamente manten(an una copia de ella que se actualizaba
peri"dicamente. En el caso de que un /*2 estuviera fuera de servicio $ab(a
que promover un D*2 a /*2.
% partir de Windows 2 este concepto de *omain 2ontroller persiste,
pero los conceptos de /*2 y D*2 fueron eliminados para dar camino a la
nueva tecnolog(a+ %ctive *irectory y la replicaci"n 1ulti;1aster Ceplication
=ec$nology.
,gualmente es bueno tener en cuenta este concepto ya que en un futuro se
implementar' nuevamente ba#o el nombre de C<*2 -Cead <nly *omain
2ontroller. con Windows 3ong$orn.
3os servidores que tengan dic$o rol ser'n controladores de dominio
adicionales y mantendr'n una copia parcial de la base de datos en modo
solo lectura, pensado para implementarse en sucursales donde el anc$o de
banda y la cantidad de usuarios es escasa.
Qu es un Sc1ema
El Sc$ema de %* contiene las definiciones de todos los ob#etos -usuarios,
computadoras, impresoras, etc.. almacenados en %*. En una estructura
donde se encuentran varios *omain 2ontroller Windows Server 2!, existe
solamente un Sc$ema para todo el Bos/ue *0orest+, asegurando as( que
las reglas para todos los ob#etos creados sean las mismas.
El Sc$ema tiene dos tipos de definiciones+ 2lases de <b#etos -<b#ect
2lasses. y %tributos. /or e#emplo los usuarios, computadoras e impresoras
corresponden a una definici"n <b#ect 2lasses, que describen los ob#etos
posibles que se pueden crear en el %ctive *irectory. 2ada <b#ect 2lass es
una colecci"n de atributos.
!ecopi"ado por #er$er #% Ara&'n Suc""a
Sistemas Operativos 8
*ic$os atributos se definen independientemente de los <b#ect 2lasses, y
tiene una definici"n 4nica y puede ser utilizado en m4ltiples <b#ect 2lasses.
/or e#emplo, el atributo 5descripci"n6 se utiliza en muc$os <b#ect 2lasses,
<%=00
<%=00 es un con#unto de est'ndares de redes de computadoras de la ,=8;=
sobre servicios de directorio, entendidos estos como bases de datos de
direcciones electr"nicas -o de otros tipos.. El est'ndar se desarroll"
con#untamente con la ,S< como parte del 1odelo de interconexi"n de
sistemas abiertos, para usarlo como soporte del correo electr"nico E.>.
3os protocolos definidos por E.B incluyen, protocolo de acceso al
directorio -*%/., el protocolo de sistema de directorio, el protocolo de
ocultaci"n de informaci"n de directorio, y el protocolo de gesti"n de enlaces
operativos de directorio.
El protocolo 3*%/ fue creado como una versi"n liviana de E.B y termin"
por reemplazarlo. /or esta raz"n algunos de los conceptos y est'ndares
que utiliza 3*%/ provienen de la serie de protocolos E.B.
Qu es e" )DA2
3ig$tweig$t *irectory %ccess /rotocol -3*%/. es el protocolo responsable
de brindar el acceso al %ctive *irectory para buscar informaci"n en l.