¿Por qué el sistema win2000 tiene cuentas grupales?
Deprimido, un poco más tarde que el de arriba...55555555555
Descripción general de Active Directory
Ver los productos a los que se aplica este artículo
Número de artículo: 196464
Última modificación: 23 de enero de 2004
Revisión: 2.0
El número de publicación de este artículo fue CHS196464
Esta página
Resumen
Más información
Estructura lógica
Estructura física
Espacio de nombres
p>Catálogo global
Integración DNS con AD
Identificador único global
Replicación
Cambios de grupo
p>
La información de este artículo se aplica a:
Resumen
Un servicio de directorio es una base de datos distribuida que almacena información sobre recursos de red para buscarlos y administrarlos fácilmente. Microsoft Active Directory es la última implementación de servicios de directorio para Windows 2000. Las preguntas fundamentales que involucran los servicios de directorio giran en torno a qué información se puede almacenar en una base de datos y cómo, cómo consultar información específica y qué hacer con los resultados. Active Directory consta del propio servicio de directorio, así como de servicios subordinados que permiten el acceso a bases de datos que admiten reglas de nomenclatura X.500.
Puedes consultar el directorio utilizando un nombre de usuario para obtener información relevante, como el número de teléfono o la dirección de correo electrónico del usuario. Los servicios de directorio también son muy flexibles y pueden realizar consultas resumidas ("¿Dónde está la impresora?" o "¿Cuál es el nombre del servidor?") para ver una lista resumida de impresoras o servidores disponibles.
Los servicios de directorio también tienen la ventaja de proporcionar a los usuarios un único punto de entrada a toda la red empresarial. Los usuarios pueden encontrar y utilizar recursos en la web sin saber el nombre exacto o la ubicación del recurso. También se puede gestionar toda la red utilizando una vista lógica unificada de la organización de la red y sus recursos.
Volver al inicio
Más información
Para asegurarse de diseñar el Active Directory más eficaz y confiable, debe comprender la estructura lógica y física de su red. También es muy importante estudiar y comprender la estructura empresarial y las operaciones de la organización. Active Directory separa la estructura lógica de un dominio de la estructura física real.
Volver al principio
Estructura lógica
La estructura lógica de una red se compone de elementos invisibles, como objetos, dominios, árboles de directorios y directorios. .
El componente básico de Active Directory es un objeto, que es un conjunto de atributos con nombre específico que representa un recurso de red. Las propiedades de los objetos son características de los objetos en el directorio. Los objetos también se pueden agrupar por clases, que son agrupaciones lógicas de objetos. Los usuarios, grupos y computadoras son ejemplos de diferentes clases de objetos.
En el nivel más bajo, ciertos objetos representan entidades individuales en la red, como usuarios o computadoras. Estas entidades se denominan objetos hoja y no pueden contener otros objetos. Sin embargo, para simplificar la gestión y organización del directorio, los objetos hoja se pueden colocar dentro de otros objetos (llamados objetos contenedor). Los objetos contenedores también pueden contener otros contenedores en forma anidada (o jerárquica).
El tipo más común de objeto contenedor es una unidad organizativa (OU). Puede utilizar unidades organizativas para categorizar objetos y convertir dominios en algún tipo de agrupación de gestión lógica. En particular, tenga en cuenta que la estructura y jerarquía de las unidades organizativas dentro de un dominio son independientes de la estructura de cualquier otro dominio.
Todos los objetos de red solo pueden existir en un dominio (ya sean objetos hoja u objetos contenedor).
Para reflejar las características de la red de su organización, puede utilizar dominios para agrupar objetos relacionados. Cada dominio creado almacena información sólo sobre el objeto contenido y no sobre otros objetos. Actualmente, el número máximo de objetos que se pueden mantener en un dominio es un millón.
Cada dominio representa un límite de seguridad. El acceso a los objetos en cada dominio está controlado por entradas de control de acceso (ACE), que están contenidas en listas de control de acceso (ACL). Estas configuraciones de seguridad no cruzan los límites del dominio. En Active Directory, un dominio también se denomina "partición". Dado que un dominio es una partición física de una base de datos de Active Directory, puede estructurarlo por función comercial (recursos humanos, ventas o finanzas) o por ubicación (geográfica o relativa).
Cuando agrupas dominios relacionados para compartir recursos globales, creas un "árbol de directorios". Aunque un árbol de directorios puede contener solo un dominio, puede fusionar varios dominios desde el mismo espacio de nombres en la jerarquía. Puede utilizar la seguridad basada en Kerberos para conectar de forma transparente dominios en un árbol de directorios a través de una relación de confianza bidireccional. Estas relaciones de confianza pueden ser permanentes (no se pueden eliminar) o temporales. En otras palabras, si el dominio A confía en el dominio B y el dominio B confía en el dominio C, entonces el dominio A confía en el dominio C.
Todos los dominios en el árbol de directorios comparten una definición formal (llamada "esquema") de todos los tipos de objetos. Además, todos los dominios de cualquier árbol de directorios comparten el catálogo global (GC). El GC es el depósito central de objetos en el árbol de directorios.
Cada árbol de directorios también se puede representar mediante espacios de nombres contiguos. Por ejemplo, si el dominio raíz de su empresa es "empresa.com", puede crear dominios separados para ventas y soporte técnico, denominados "ventas.empresa.com" y "soporte.empresa.com" respectivamente. Estos dominios se denominan subdominios. A diferencia de Windows NT 4.0, las relaciones de confianza se generan automáticamente para cada dominio.
En el nivel más alto, los árboles de directorios individuales se pueden agrupar en un "bosque". Puede utilizar bosques para reunir diferentes departamentos de su organización, o incluso diferentes organizaciones. Estos departamentos no necesariamente comparten el mismo esquema de nombres y operan de forma independiente, pero pueden comunicarse entre sí. Todos los árboles de un bosque comparten el mismo esquema, catálogo global y contenedor de configuración. Además, la seguridad basada en Kerberos proporciona relaciones de confianza entre árboles de directorios.
Otra ventaja de Windows 2000 Directory Services es que Active Directory se puede desinstalar sin tener que reinstalar todo el sistema operativo del servidor. Para convertir un servidor miembro en un DC, simplemente ejecute la herramienta DCPROMO para agregar un servidor Active Directory. Para eliminar un servidor Active Directory, también puede simplemente ejecutar la herramienta DCPROMO.
Volver al inicio
Estructura física
Los controladores de dominio y los sitios son los dos componentes básicos que manejan la estructura física de una configuración LAN.
A diferencia de Windows NT 4.0, una red que consta únicamente de computadoras que ejecutan Windows 2000 no tiene un controlador de dominio principal (PDC) ni un controlador de dominio de respaldo (BDC). En un entorno Windows 2000, todos los servidores que participan en la administración de la red se consideran controladores de dominio. Los controladores de dominio (DC) almacenan copias replicadas de bases de datos de directorios y la replicación entre controladores en el dominio está automatizada.
Para las redes empresariales que abarcan múltiples ubicaciones geográficas, es importante comprender las implicaciones del diseño y la estructura de la WAN para comprender el impacto de la replicación de la base de datos del directorio en los controladores de dominio y el rendimiento de la red.
Volver al principio
Espacio de nombres
Un espacio de nombres es un área designada con límites específicos donde se pueden resolver los nombres lógicos asignados a las computadoras. El objetivo principal de un espacio de nombres es organizar descripciones de recursos y permitir a los usuarios encontrar recursos por sus características o atributos. Se puede encontrar un objeto utilizando la base de datos del directorio de un espacio de nombres determinado sin conocer su nombre. Si un usuario conoce el nombre de un recurso, puede consultar información útil sobre el objeto.
En particular, el diseño del espacio de nombres determina en última instancia qué tan útil será para los usuarios a medida que crece la base de datos del directorio. Los algoritmos de clasificación y búsqueda no solucionan los fallos en el diseño lógico de directorios.
A nivel lógico, Windows 2000 Active Directory es sólo otro espacio de nombres. En Active Directory se almacenan dos tipos principales de información: La ubicación lógica de los objetos. Lista de propiedades sobre este objeto.
A estos objetos se les pueden asignar atributos (como número de teléfono, ubicación de la habitación, etc.) y estos atributos se pueden usar para encontrar la ubicación del objeto en la base de datos del directorio. A medida que el esquema de Active Directory crece (se modifica), la búsqueda mediante atributos se vuelve cada vez más importante. Cuando se agregan objetos, clases de objetos y/o atributos de estos objetos a una base de datos de directorio, su estructura determina su utilidad para los usuarios del directorio.
Cada contenedor y objeto en el árbol de directorios tiene un nombre único. Estos espacios de nombres son las rutas completas a todos los contenedores y objetos, u objetos de ramas y hojas, en el árbol de directorios. La ubicación de un objeto en el árbol de directorios determina su nombre completo.
El nombre distintivo (DN) de un objeto contiene la ruta completa desde el nivel superior de un espacio de nombres específico a través de toda la jerarquía del árbol de directorios. Debido a que los DN son útiles para organizar bases de datos de directorios pero no para recordar el objeto, también se utilizan nombres distinguidos relativos (RDN) en Active Directory. RDN es parte del nombre del objeto y una propiedad del propio objeto.
Los espacios de nombres utilizados por muchas redes se basan en el Sistema de Nombres de Dominio (DNS) utilizado actualmente en Internet. Esta relación DNS ayuda a determinar la forma del árbol de Active Directory y cómo se relacionan los objetos entre sí. La entrada del controlador de dominio es el dominio que figura en el nombre distinguido, mientras que la entrada del nombre común (CN) es una ruta específica al objeto de usuario en el directorio.
Volver al inicio
Catálogo global
El catálogo global contiene una copia parcial de cada dominio de Windows 2000 en el directorio y lo crea automáticamente la replicación de Active Directory. sistema . De esta manera, los usuarios y las aplicaciones pueden encontrar los objetos en el árbol de dominio de Active Directory teniendo en cuenta uno o algunos atributos de los objetos de destino. El catálogo global también contiene el esquema y la configuración de las particiones del directorio. Esto significa que el catálogo global almacena una copia de cada objeto en Active Directory, pero sólo algunos de sus atributos. Los atributos del catálogo global son los que se utilizan más comúnmente en las operaciones de búsqueda (como el nombre y apellido de un usuario, el nombre de inicio de sesión, etc.) y son necesarios para encontrar la ubicación de una copia completa de un objeto.
Al utilizar esta información común, los usuarios pueden encontrar rápidamente los objetos que buscan sin saber en qué dominio se encuentran los objetos o los espacios de nombres extendidos adyacentes en la empresa. Si el objeto no se encuentra en el catálogo global, la función de búsqueda consulta la información en la partición del dominio local.
Puedes utilizar la herramienta Administrador de esquemas para cambiar el esquema y definir qué propiedades se almacenan en el catálogo global. Dado que los cambios en todos los servidores del catálogo global replican el catálogo global, por motivos de rendimiento y mantenimiento es mejor limitar el número de atributos almacenados en la partición local.
Volver al inicio
Integración de DNS con AD
La integración de DNS y Active Directory es una característica central de Windows 2000 Server. Los dominios DNS y los dominios de Active Directory utilizan exactamente el mismo nombre de dominio para diferentes espacios de nombres. Es importante comprender que incluso si dos espacios de nombres comparten la misma estructura de dominio, son espacios de nombres diferentes. Cada espacio de nombres almacena datos diferentes y gestiona objetos diferentes. DNS usa zonas y registros de recursos, mientras que Active Directory usa dominios y objetos de dominio.
Por ejemplo, si un atributo del objeto es el nombre de dominio completo del servidor (como SERVIDOR1.VENTAS.MICOMPANÍA.COM), Active Directory consultará DNS para obtener la dirección TCP/IP del servidor y solicitudes de Windows 2000. El usuario puede entonces establecer una sesión TCP/IP con el servidor.
Active Directory se integra con DNS publicando la dirección de cada servidor de Active Directory en un registro de recursos de servicio en el host DNS.
Volver al inicio
Identificadores únicos globalmente
Debido a que cada objeto en la red debe identificarse mediante un atributo único, Active Directory lo hace creando identificadores únicos globalmente. Se asocia un identificador (GUID) a cada objeto para lograr esto. Incluso si se cambia el nombre lógico del objeto, se debe garantizar que este número sea único y que la base de datos del directorio nunca lo modifique. Se genera un GUID cuando un usuario o una aplicación crea por primera vez un nombre distinguido (DN) en el directorio.
Volver al principio
Copiar
Aunque la estructura de red en Windows NT 4.0 se basó en los modelos PDC y BDC, todos los servidores en la red de Windows 2000 estaban Se utilizan como controladores de dominio (DC) y no existe una distinción primaria o secundaria entre ellos. Para Active Directory, todos los controladores de dominio se replican automáticamente en el sitio y se admite la replicación multimaestro para replicar la información de Active Directory para todos los controladores de dominio. Con la introducción de la replicación multimaestro, los administradores pueden actualizar Active Directory en cualquier controlador de dominio de Windows 2000 del dominio.
La replicación de bases de datos multimaestro también ayuda a controlar cuándo se sincronizan los cambios, qué información está actualizada y cuándo detener la replicación de datos para evitar duplicaciones y redundancias. Para determinar qué información debe actualizarse, Active Directory utiliza un número de secuencia de actualización (USN) de 64 bits. Estos números se crean y asocian con todas las propiedades. Cada vez que se cambia un objeto, su USN se incrementa y se guarda con las propiedades.
Cada servidor de Active Directory mantiene una tabla de los USN más recientes para todos los socios de replicación dentro del sitio. La tabla incluye el USN más alto para cada atributo. Cuando se alcanza el intervalo de replicación, cada servidor solicita solo aquellos cambios cuyo USN sea mayor que el USN que figura en su tabla.
Ocasionalmente, se pueden realizar cambios en el mismo atributo en dos servidores Active Directory diferentes antes de que se repliquen todos los cambios. Esto puede provocar conflictos de replicación. Uno de los cambios debe declararse como el cambio más preciso y usarse como fuente de replicación para todos los demás socios de replicación. Para resolver este posible problema, Active Directory utiliza un valor de número de versión de propiedad (PVN) para todo el sitio. El PVN se incrementa cuando ocurre una operación de escritura inicial.
Una operación de escritura inicial es una operación de escritura que se produce directamente en un servidor Active Directory específico.
Cuando se cambian dos o más valores de atributos con el mismo PVN en diferentes ubicaciones, el servidor Active Directory que recibe el cambio verifica la marca de tiempo de cada cambio y utiliza la última actualización. El aspecto más importante de este problema es la instalación y el mantenimiento de los relojes del centro de red.
Otro problema de replicación es el bucle. Active Directory permite a los administradores configurar múltiples rutas para redundancia. Para evitar actualizaciones interminables de cambios, Active Directory crea una lista de pares USN en cada servidor. Estas listas se denominan vectores actualizados (UDV). Tienen el USN más alto para cada operación de escritura inicial. Cada UDV enumera todos los demás servidores del sitio en el que se encuentra. Cuando se produce la replicación, el servidor solicitante envía su UDV al servidor emisor. Se puede utilizar el USN más alto para cada operación de escritura inicial para determinar si aún es necesario replicar los cambios. Si el número USN es igual o superior, no se requieren cambios porque el servidor solicitado ya se actualizó.
Volver al principio
Cambios en grupos
Otro aspecto del proceso de planificación lógica para Active Directory es el concepto de grupos. En Windows NT 4.0, los administradores tenían dos tipos de grupos básicos disponibles: local y global. Dadas las limitaciones inherentes a esta estructura, Windows 2000 proporciona a los administradores de red los siguientes grupos que son más potentes y flexibles: ? Grupos de ámbito local (también llamados "grupos locales") Grupos locales de ámbito de dominio (también llamados "grupos de dominio local" ) Grupos de alcance global (también llamados "grupos globales") Grupos de alcance universal (también llamados "grupos universales")
Un cambio importante que vale la pena señalar es que los grupos globales ahora pueden contener otros grupos globales. Aunque los grupos globales todavía se utilizan para recopilar usuarios, pueden colocar un grupo dentro de otro grupo, lo que permite a los administradores ubicarlos en cualquier lugar del bosque, lo que hace que el mantenimiento sea muy conveniente. Sin embargo, los grupos globales sólo pueden incluir usuarios y grupos de un dominio en el bosque de Active Directory.
Debido a que muchas redes utilizan una combinación de servidores Windows 2000 y Windows NT 4.0, antes de crear un grupo, debe determinar la cantidad y los tipos de dominios en la red y qué dominios son de modo mixto y cuáles son locales. modo: ? Dominio de modo mixto. De forma predeterminada, el sistema operativo Windows 2000 se instala en una configuración de red de modo mixto. Un dominio de modo mixto es un grupo de computadoras en una red que ejecutan controladores de dominio Windows NT 4.0 y Windows 2000. (Los dominios de modo mixto también pueden ejecutar sólo controladores de dominio de Windows 2000). Dominios de modo local. Cuando un dominio contiene sólo controladores de dominio de Windows 2000 Server, puede convertir el dominio al modo nativo.
Los grupos universales (nuevos en Windows 2000) pueden contener todos los demás grupos y usuarios en cualquier árbol del bosque y pueden usarse con cualquier lista de control de acceso (ACL) del bosque.
Los grupos globales, los grupos locales de dominio y los grupos universales se pueden utilizar en combinación para controlar el acceso a los recursos de la red. El propósito básico de los grupos globales es organizar a los usuarios en contenedores de administración que representen sus dominios correspondientes. Los grupos universales se pueden utilizar para incluir grupos globales de varios dominios para administrar aún más la jerarquía del dominio al otorgar permisos. Puede agregar grupos globales a grupos universales y luego asignar permisos a grupos locales en el dominio donde se encuentra físicamente el recurso.
La creación de grupos utilizando estos métodos permite a los administradores agregar o eliminar usuarios de grupos globales para cada dominio, controlando el acceso a los recursos en toda la empresa sin tener que realizar cambios en varias ubicaciones.