¿Cuál es la función de Active Directory en WINDOWS2000?
El servicio Microsoft® Active Directory® es un componente central de la plataforma Windows® y proporciona un medio poderoso para que los usuarios administren las identidades y relaciones de varios componentes del entorno de red.
Al extenderse sobre la base del sistema operativo Windows 2000, la familia de productos Windows Server 2003 mejora la capacidad de administración de Active Directory y simplifica la complejidad de la migración y la implementación. En particular, los desarrolladores de aplicaciones y proveedores de software independientes (ISV) encontrarán que Active Directory en Windows Server 2003 será su mejor opción para desarrollar aplicaciones basadas en directorios.
Active Directory se ha mejorado para reducir el costo total de propiedad (TCO) y la complejidad operativa de una empresa. Se agrega una variedad de funciones nuevas y características mejoradas en todos los niveles del producto para aumentar la versatilidad del sistema, simplificar la administración y mejorar la confiabilidad. Con Windows Server 2003, las organizaciones pueden beneficiarse del ahorro de costos y al mismo tiempo mejorar la eficiencia al compartir y administrar una variedad de elementos empresariales diferentes.
Este artículo está dirigido a administradores de TI, diseñadores de sistemas de red o cualquier persona interesada en conocer las principales mejoras y nuevas características de Active Directory en Windows Server 2003. Este artículo presenta primero los conceptos básicos de Active Directory y luego se centra en las nuevas características y funciones mejoradas de Active Directory en la familia de productos Windows Server 2003: Integración y productividad Rendimiento y escalabilidad Administración del sistema y administración de la configuración Funciones de política de grupo Mejora de la seguridad
Conceptos básicos de Active Directory
Active Directory es un servicio de directorio para Windows Standard Server, Windows Enterprise Server y Windows Datacenter Server. (Active Directory no se ejecuta en Windows Web Server, pero se puede utilizar para administrar computadoras que ejecutan Windows Web Server). Active Directory almacena información sobre los objetos de la red y permite a los administradores y usuarios encontrar y utilizar esta información fácilmente. Active Directory utiliza un método de almacenamiento de datos estructurado como base para la organización lógicamente jerárquica de la información del directorio.
Almacenamiento de datos en forma de directorios
La gente suele utilizar almacenamiento de datos como sinónimo de directorios. El directorio contiene información sobre varios objetos, como usuarios, grupos de usuarios, computadoras, dominios, unidades organizativas (OU) y políticas de seguridad. Esta información puede publicarse para uso de usuarios y administradores.
Los directorios se almacenan en servidores llamados controladores de dominio y pueden acceder a ellos aplicaciones o servicios de red. Un dominio puede tener más de un controlador de dominio. Cada controlador de dominio tiene una copia grabable del directorio de su dominio. Cualquier modificación realizada en el directorio se puede replicar desde el controlador de dominio de origen a otros controladores de dominio en el dominio, árbol de dominio o bosque. Debido a que los directorios se pueden replicar y todos los controladores de dominio tienen una copia grabable del directorio, los usuarios y administradores pueden obtener fácilmente la información del directorio que necesitan en cualquier parte del dominio.
Los datos del directorio se almacenan en el archivo Ntds.dit en el controlador de dominio. Recomendamos almacenar el archivo en una partición NTFS. Algunos datos se almacenan en archivos de bases de datos de directorio, mientras que otros datos se almacenan en un sistema de archivos replicado, como scripts de inicio de sesión y políticas de grupo.
Existen tres tipos de datos de directorio que se replican entre controladores de dominio: Datos de dominio. Los datos del dominio contienen información sobre los objetos del dominio. Generalmente, esta información puede ser información de directorio, como contactos de correo electrónico, atributos de cuentas de usuario y de computadora, y recursos publicados, que pueden ser de interés tanto para administradores como para usuarios.
Por ejemplo, cuando se agrega una cuenta de usuario a la red, el objeto de la cuenta de usuario y los datos de atributos se guardan en los datos del dominio. Si modifica los objetos del directorio de la organización, como crear, eliminar objetos o modificar las propiedades de un objeto, los datos relacionados se guardarán en los datos del dominio. Datos de configuración. Los datos de configuración describen la topología del directorio. Los datos de configuración incluyen una lista de todos los dominios, árboles de dominio y bosques, e indican la ubicación de los controladores de dominio y los catálogos globales. Datos de esquema. Un esquema es la definición formal de todos los datos de objetos y atributos almacenados en un directorio. Windows Server 2003 proporciona un esquema predeterminado que define numerosos tipos de objetos, como cuentas de usuario y de computadora, grupos, dominios, unidades organizativas y políticas de seguridad. Los administradores y desarrolladores de aplicaciones pueden ampliar la arquitectura definiendo nuevos tipos de objetos y propiedades, o agregando nuevas propiedades a los objetos existentes. Los objetos del esquema están protegidos por listas de control de acceso (ACL), que garantizan que solo los usuarios autorizados puedan cambiar el esquema.
Active Directory y Seguridad
La seguridad se integra en Active Directory a través de la autenticación de inicio de sesión y el control de acceso a los objetos del directorio. A través de un punto único de inicio de sesión en la red, los administradores pueden administrar datos de directorio y unidades organizativas dispersas por toda la red, y los usuarios autorizados de la red pueden acceder a los recursos en cualquier lugar de la red. La gestión basada en políticas simplifica la gestión incluso de las redes más complejas.
Active Directory protege la cuenta de usuario y la información del grupo que almacena a través de listas de control de acceso a objetos y credenciales de usuario. Dado que Active Directory no sólo guarda las credenciales de los usuarios sino también la información de control de acceso, los usuarios que inician sesión en la red pueden autenticarse y obtener los permisos necesarios para acceder a los recursos del sistema. Por ejemplo, cuando un usuario inicia sesión en la red, el sistema de seguridad primero utiliza la información almacenada en Active Directory para autenticar la identidad del usuario. Luego, cuando un usuario intenta acceder a un servicio de red, el sistema verifica los atributos definidos en la Lista de control de acceso discrecional (DCAL) del servicio.
Dado que Active Directory permite a los administradores crear cuentas de grupo, los administradores pueden gestionar la seguridad del sistema de forma más eficaz. Por ejemplo, al ajustar las propiedades de un archivo, un administrador puede permitir que todos los usuarios de un grupo lean el archivo. De esta manera, el sistema controla el acceso a los objetos en Active Directory según la pertenencia al grupo del usuario.
Esquema de Active Directory
El esquema de Active Directory es un conjunto de definiciones para los distintos objetos que se pueden almacenar en Active Directory (y la información relacionada con ellos). definido. Dado que las definiciones en sí se almacenan como objetos, Active Directory puede administrar objetos de esquema igual que otros objetos del directorio. El esquema incluye dos tipos de definiciones: atributos y categorías. Las propiedades y categorías también pueden denominarse objetos de esquema o metadatos.
Categoría
La categoría, también conocida como clasificación de objetos, describe los objetos del directorio que los administradores pueden crear. Cada categoría es una colección de objetos. Cuando crea un objeto, las propiedades almacenan información que describe el objeto. Por ejemplo, la categoría "Usuarios" consta de varios atributos, incluida la dirección de red, el directorio de inicio, etc. Todos los objetos en Active Directory son una instancia de una clase de objeto.
Extensión del esquema
Los desarrolladores y administradores de red experimentados pueden ampliar dinámicamente el esquema definiendo nuevas propiedades para categorías existentes o definiendo nuevas categorías.
El contenido del esquema está controlado por un controlador de dominio que actúa como maestro de las operaciones del esquema. Se replica una copia del esquema en todos los controladores de dominio del bosque. El uso de esta arquitectura única garantiza la integridad y coherencia de los datos en todo el bosque.
Además, puede ampliar el esquema utilizando el complemento Esquema de Active Directory. Para modificar el esquema, debe cumplir con los siguientes tres requisitos: Ser miembro del grupo Administradores de esquema Tener el complemento Esquema de Active Directory instalado en la computadora que asume la función Maestro de operaciones de esquema Tener los requisitos para modificar el esquema maestro Derechos de administrador
Al considerar realizar cambios en el esquema, debe prestar atención a los siguientes tres puntos: Las extensiones del esquema son globales. Cuando extiende el esquema, en realidad extiende el esquema de todo el bosque porque cualquier modificación del esquema se replica en todos los controladores de dominio en todos los dominios del bosque. La clasificación arquitectónica asociada al sistema no se puede modificar. No puede modificar las clasificaciones del sistema predeterminadas en el esquema de Active Directory; sin embargo, la aplicación utilizada para modificar el esquema puede agregar clasificaciones del sistema opcionales que puede modificar. Las extensiones del esquema son irrevocables. Ciertos atributos o atributos de una categoría se pueden modificar después de su creación. Después de agregar una nueva categoría o atributo al esquema, puede desactivarlo, pero no eliminarlo. Sin embargo, puede revocar una definición de esquema revocando la definición y reutilizando el identificador de objeto (OID) o el nombre para mostrar.
Para obtener más información sobre modificaciones de esquema, consulte el kit de recursos de Microsoft Windows a través de /reskit.
Active Directory no admite la eliminación de objetos de esquema; sin embargo, los objetos se pueden marcar como "inactivos" para lograr muchos de los mismos beneficios que la eliminación.
Atributos
Los atributos y categorías se definen por separado. Cada atributo se define solo una vez, pero se puede utilizar en varias categorías. Por ejemplo, el atributo "Descripción" se puede utilizar en varias categorías, pero solo es necesario definirlo una vez en el esquema para mantener la coherencia de los datos.
Los atributos se utilizan para describir objetos. Cada atributo tiene su propia definición, que describe el tipo de información específica de ese atributo. Cada atributo del esquema se puede especificar en la categoría "Atributo-Esquema", que determina la información que debe incluirse en cada definición de atributo.
La lista de atributos que se pueden aplicar a un objeto en particular está determinada por la categoría de la cual el objeto es una instancia y cualquier superclase de la categoría del objeto. Las propiedades se definen sólo una vez, pero se pueden utilizar varias veces. Esto garantiza la coherencia entre todas las categorías que comparten el mismo atributo.
Atributos multivalor
Los atributos pueden ser de un solo valor o de varios valores. La definición de esquema de una propiedad especifica si las instancias de la propiedad deben tener varios valores. Las instancias de propiedades de un solo valor pueden estar vacías o contener un solo valor. Las instancias de atributos de valores múltiples pueden estar vacías o contener uno o varios valores. Cada valor de un atributo multivalor debe ser único.
Propiedades del índice
Los índices se aplican a las propiedades, no a las categorías. Indexar una propiedad hace que sea más rápido encontrar objetos que posean esa propiedad. Cuando marca una propiedad como indexada, todas las instancias de la propiedad se agregan al índice, en lugar de solo las instancias que son miembros de una clasificación específica.
Agregar atributos indexados afecta el tiempo de replicación de Active Directory, la memoria disponible y el tamaño de la base de datos. Debido a que la base de datos se hace más grande, se necesita más tiempo para copiarla.
También se pueden indexar atributos multivalor. En comparación con la indexación de atributos de un solo valor, la indexación de atributos de múltiples valores aumenta aún más el tamaño de Active Directory y requiere más tiempo para crear objetos.
Al elegir qué propiedades indexar, asegúrese de seleccionar propiedades que sean útiles y que equilibren costo y rendimiento.
Un atributo de esquema indexado también se puede buscar por el contenedor utilizado para almacenar el atributo, evitando así la necesidad de buscar en toda la base de datos de Active Directory. Esto no sólo acorta el tiempo necesario para la búsqueda, sino que también reduce la cantidad de recursos necesarios durante la búsqueda.
La función del catálogo global
El catálogo global es un controlador de dominio que almacena una copia de todos los objetos de Active Directory en el bosque. Además, el catálogo global almacena algunas de las propiedades de búsqueda más utilizadas de cada objeto. El catálogo global almacena una copia completa de todos los objetos de directorio en el dominio en el que reside, así como copias parciales de todos los objetos de directorio en otros dominios del bosque, para que pueda realizar búsquedas efectivas sin consultar a un controlador de dominio.
El catálogo global se crea automáticamente en el primer controlador de dominio del bosque. Puede agregar la funcionalidad del catálogo global a cualquier controlador de dominio o cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio.
El catálogo global cumple las siguientes funciones de directorio: Búsqueda de objetos El catálogo global permite a los usuarios buscar información de directorio para todos los dominios del bosque, independientemente de dónde estén almacenados los datos. Las búsquedas dentro del bosque se pueden realizar con la máxima velocidad y un mínimo tráfico de red.
Cuando busca personas o impresoras desde el menú Inicio, o selecciona la opción Directorio completo dentro de una consulta, está buscando en el Catálogo global. Después de ingresar una solicitud de búsqueda, la solicitud se enruta al puerto de catálogo global predeterminado 3268 para enviarse a un catálogo global para su resolución. Se proporciona autenticación basada en el nombre principal del usuario. El catálogo global puede resolver el nombre principal del usuario cuando el controlador de dominio de autenticación no sabe si una cuenta es legítima. Por ejemplo, si la cuenta del usuario está ubicada en el dominio ejemplo1.microsoft.com y el usuario decide iniciar sesión desde una computadora ubicada en ejemplo2.microsoft.com utilizando el nombre principal de usuario usuario1@ejemplo1.microsoft.com, entonces ejemplo2 .microsoft.com El controlador de dominio no podrá encontrar la cuenta del usuario y luego se comunicará con el servidor del catálogo global para completar todo el proceso de inicio de sesión. Proporciona información de membresía para grupos universales en un entorno multidominio. A diferencia de las membresías de grupos globales, que se almacenan en cada dominio, las membresías de grupos universales se almacenan únicamente en el catálogo global. Por ejemplo, cuando un usuario que pertenece a un grupo universal inicia sesión en un dominio configurado en el nivel funcional del dominio nativo de Windows 2000 o superior, el grupo global proporcionará a la cuenta de usuario información de pertenencia al grupo universal.
Si un catálogo global no está disponible cuando un usuario inicia sesión en un dominio que ejecuta Windows 2000 nativo o superior y el usuario ha iniciado sesión previamente en el dominio, la computadora usará credenciales almacenadas en caché para permitir que el usuario inicie sesión. Si el usuario no ha iniciado sesión en este dominio antes, el usuario solo podrá iniciar sesión en la computadora local.
Nota: Los miembros del grupo Administradores de dominio pueden iniciar sesión en la red incluso si el catálogo global no está disponible.
Búsqueda de información de directorio
Como se mencionó anteriormente, Active Directory está diseñado para proporcionar información sobre objetos de directorio a consultas de usuarios o aplicaciones. Los administradores y usuarios pueden buscar y encontrar directorios fácilmente utilizando el comando Buscar en el menú Inicio. Los programas cliente también pueden acceder a información en Active Directory mediante la interfaz de servicio Active Directory (ADSI).
El principal beneficio de Active Directory es su capacidad para almacenar información valiosa sobre los objetos de la red. Los usuarios de la red pueden utilizar la información sobre usuarios, computadoras, archivos e impresoras publicadas en Active Directory. Esta disponibilidad se puede controlar mediante los permisos de seguridad necesarios para ver la información.
El trabajo diario en la Web implica que los usuarios se comuniquen entre sí y se conecten y accedan a los recursos publicados. Estas tareas requieren encontrar nombres y direcciones para enviar correos electrónicos o conectarse a recursos compartidos. En este sentido, Active Directory es como una libreta de direcciones compartida dentro de la empresa. Por ejemplo, puede buscar usuarios por nombre, apellido, dirección de correo electrónico, ubicación de la oficina u otros atributos de la cuenta de usuario. Como se mencionó anteriormente, el proceso de búsqueda de información se optimiza mediante el uso de catálogos globales.
Herramientas de búsqueda eficientes
Los administradores pueden utilizar el cuadro de diálogo Buscar avanzado en el complemento Usuarios y equipos de Active Directory para realizar tareas administrativas de manera eficiente y personalizar y filtrar fácilmente los datos obtenidos de un directorio. . Además, los administradores pueden agregar rápidamente objetos al grupo y las consultas sin navegación ayudan a encontrar posibles miembros, minimizando el impacto en la red.
Replicación de Active Directory
La replicación proporciona disponibilidad, tolerancia a fallos, equilibrio de carga y ventajas de rendimiento para la información del directorio. Active Directory utiliza replicación multimaestro, lo que le permite actualizar el directorio en cualquier controlador de dominio, en lugar de en un controlador de dominio principal específico. El modo multimaestro tiene una mejor tolerancia a fallos porque se utilizan varios controladores de dominio y la replicación puede continuar incluso si un controlador de dominio deja de funcionar.
Los controladores de dominio pueden almacenar y replicar: Información del esquema. La información del esquema define los objetos que se pueden crear en el directorio y las propiedades que puede tener cada objeto. Esta información es común a todos los dominios del bosque. Los datos del esquema se replican en todos los controladores de dominio del bosque. Información de configuración. La información de configuración describe la estructura lógica de su implementación, incluida información como la estructura del dominio o la topología de replicación. Esta información es común a todos los dominios del bosque. Los datos de configuración se replican en todos los controladores de dominio del bosque. información del dominio. La información del dominio describe todos los objetos del dominio. Los datos son específicos de un dominio específico y no se distribuyen a ningún otro dominio. Para buscar información en un árbol o bosque de dominio completo, se mantiene en el catálogo global un subconjunto de los atributos de todos los objetos en todos los dominios. Los datos del dominio se replicarán en todos los controladores de dominio del dominio. Información de la aplicación. La información almacenada en la partición del directorio de la aplicación está destinada a satisfacer la necesidad del usuario de replicar esta información, pero esta información no es necesaria en todas las circunstancias. Los datos de la aplicación se pueden redirigir explícitamente a controladores de dominio administrativos específicos en el bosque para evitar tráfico de replicación innecesario. Alternativamente, puede configurar esta información para que se replique en todos los controladores de dominio del dominio.
El papel del sitio en el proceso de replicación
El sitio mejora la eficiencia de la copia de información del directorio. El esquema de directorio y la información de configuración se replican en todo el bosque, mientras que los datos del dominio se replican en todos los controladores de dominio del dominio y, en parte, en el catálogo global. Al reducir estratégicamente el tráfico de replicación, la presión de comunicación en la red se reducirá en consecuencia.
Los controladores de dominio utilizan el control de cambios de replicación y sitio para optimizar la replicación de las siguientes maneras: Al reevaluar las conexiones que se utilizan de vez en cuando, Active Directory siempre puede usar las conexiones de red más eficientes. Active Directory proporciona tolerancia a fallos mediante el uso de múltiples rutas para replicar los datos del directorio modificados. Dado que sólo es necesario copiar la información modificada, se minimiza la sobrecarga de copia.
Si una implementación no está organizada por sitio, el intercambio de información entre los controladores de dominio y los equipos cliente será caótico y desorganizado. Los sitios pueden mejorar la eficiencia de utilización de la red.
Active Directory replica la información del directorio dentro de un sitio con más frecuencia que entre sitios. De esta manera, los controladores de dominio con las mejores condiciones de conexión (que probablemente requieran información de directorio especial) se pueden replicar primero.
Los controladores de dominio de otros sitios pueden obtener toda la información del directorio modificada, pero la replican con menos frecuencia para ahorrar ancho de banda de la red. Además, debido a que los datos se comprimen cuando se replican entre sitios, el ancho de banda requerido para las operaciones de replicación se reduce aún más. Para lograr una replicación eficiente, el directorio se actualiza solo después de agregar o modificar la información del directorio.
Si las actualizaciones del directorio siempre se distribuyeran a todos los demás controladores de dominio del dominio, consumirían importantes recursos de red. Aunque puede agregar o configurar conexiones manualmente, o forzar la replicación a través de una conexión específica, la replicación aún puede pasar a través del Comprobador de coherencia del conocimiento de Active Directory según la información que proporcione en la herramienta de administración de sitios y servicios de Active Directory (KCC). optimizado automáticamente. El KCC es responsable de crear y mantener la topología de replicación de Active Directory. En particular, el KCC puede decidir cuándo replicar y con qué servidores debe replicar cada servidor.
Cliente de Active Directory
Utilizando el Cliente de Active Directory, muchas de las características de Active Directory de Windows 2000 Professional o Windows XP Professional se pueden usar para ejecutar Windows 95, Windows 98 y Windows NT. ? Computadoras con sistemas operativos 4.0 utilizan: Site Awareness. Puede iniciar sesión en el controlador de dominio más cercano al cliente en la red. Interfaz de servicio de Active Directory (ADSI). Puede usarlo para escribir scripts para Active Directory. ADSI también proporciona una API de programación pública para programadores de Active Directory. Cliente tolerante a fallas del sistema de archivos distribuido (DFS). Puede acceder a Windows 2000 y a los servidores que ejecutan la tolerancia a fallos DFS de Windows y los recursos compartidos de archivos de conmutación por error especificados en Active Directory. Autenticación NTLM versión 2. Puede utilizar las funciones de autenticación mejoradas en NT LanMan (NTLM) versión 2. Para obtener más información sobre cómo habilitar NTML versión 2, consulte el artículo Q239869 de Microsoft Knowledge Base, "Cómo habilitar la autenticación NTLM 2": /. Página de propiedades de la Libreta de direcciones de Windows (WAB) de Active Directory. Puede modificar propiedades en la página del objeto de usuario, como el número de teléfono y la dirección. Capacidades de búsqueda en Active Directory. Puede utilizar el botón Inicio para buscar impresoras y personas en Windows 2000 Server o dominios de Windows. Para obtener más información sobre la publicación de impresoras en Active Directory, consulte el artículo Q234619 de Microsoft Knowledge Base, "Publicar impresoras en Windows 2000 Active Directory": .
Windows 95 está disponible con Windows 2000 Professional y Windows XP Professional, algunas características que no están disponibles en el cliente Active Directory en Windows 98 y Windows NT 4.0, como: compatibilidad con Kerberos versión 5; compatibilidad con directiva de grupo o tecnología de administración IntelliMirror y nombre principal de servicio o autenticación mutua;
Puede aprovechar estas funciones adicionales actualizando a Windows 2000 Professional o Windows XP Professional. Para obtener más información, consulte: Actualización a Windows 2000 /windows2000/professional/howtobuy/upgrading/default.asp Centro de actualización de Windows XP Professional/windowsxp/pro/howtobuy/upgrading/default.asp.
Para. instale el cliente de Active Directory; consulte la página del cliente de Active Directory: /windows2000/server/evaluación/news/bulletins/adextension.asp
Características nuevas y mejoradas de Active Directory El resto de este documento técnico se resume en Active Directory. Directory en la familia de productos Windows Server 2003 tiene algunas características nuevas y mejoras en las siguientes áreas: Integración y productividad Rendimiento y escalabilidad Administración del sistema y administración de la configuración Funciones de políticas de grupo Mejoras de seguridad
Integración y productividad de Active Directory
Como medio principal para administrar identidades, objetos y relaciones empresariales, las interfaces (incluidas las interfaces de programación y las interfaces de usuario) en Active Directory se han mejorado para mejorar la eficiencia del trabajo de administración y las capacidades de integración de sistemas.
Haga que Active Directory sea más fácil de usar y administrar
Active Directory incluye muchas mejoras, como mejoras en el complemento MMC y los componentes de la herramienta de selección de objetos, etc., que hacen que Active Directory Más fácil de usar y administrar. El complemento MMC facilita la gestión de múltiples objetos. Los administradores pueden: Editar múltiples objetos de usuario. Seleccione y edite varias propiedades de objetos a la vez. Guardar consulta. Guarde y descargue consultas para los servicios de Active Directory para su uso posterior. Los resultados se pueden exportar en formato XML. Seleccione objetos rápidamente con el componente mejorado de la herramienta de selección de objetos. Este componente ha sido rediseñado y mejorado para mejorar el flujo de trabajo y la eficiencia en la búsqueda de objetos en catálogos grandes, al tiempo que proporciona una capacidad de consulta más flexible. Este componente está disponible para una variedad de interfaces de usuario y puede ser utilizado por desarrolladores externos.
Más funciones y mejoras de integración y productividad
Descripción de la función
Modificaciones en la interfaz de usuario de la lista de ACL La interfaz de usuario de ACL se ha mejorado para mejorar su facilidad de uso. Disponibilidad, así como herencia y permisos de objetos específicos.
Las mejoras de extensibilidad brindan a los administradores mejores capacidades de administración para software o dispositivos desarrollados por un proveedor de software independiente (ISV) o un fabricante de equipos originales (OEM) que aprovechan Active Directory, y cualquier clasificación de objetos se puede agregar como un. miembro del grupo.
Objetos de usuario de otros directorios LDAP Los objetos de usuario definidos en directorios LDAP usando la clase inetOrgPerson definida en RFC 2798 (como Novell y Netscape) se pueden definir usando la interfaz de usuario de Active Directory. Esta interfaz de usuario, que funciona con objetos de usuario de Active Directory, puede manejar objetos inetOrgPerson. Ahora, cualquier aplicación o cliente que necesite utilizar la clase inetOrgPerson puede lograr fácilmente su propósito.
Integración de Passport (a través de IIS) La autenticación de Passport ahora está disponible a través de Internet Information Services (IIS) 6.0 y permite que los objetos de usuario de Active Directory se asignen a sus correspondientes identificadores de Passport (si dichos identificadores existen). La Autoridad de Seguridad Local (LSA) creará un token para el usuario y IIS 6.0 lo configurará según la solicitud HTTP. Ahora, los usuarios de Internet con las correspondientes identidades de Passport pueden utilizar sus Passports para acceder a recursos tal como lo harían con sus credenciales de Active Directory.
Uso de Terminal Server con ADSI Las propiedades específicas para los usuarios de Terminal Server se pueden configurar mediante secuencias de comandos utilizando la interfaz de servicio de Active Directory (ADSI). Además de configurarse manualmente a través de directorios, las propiedades del usuario se pueden configurar mediante scripts. Una ventaja de esto es que la modificación por lotes o la modificación programática de atributos se puede implementar fácilmente a través de ADSI.
Proveedor WMI de monitoreo de confianza y replicación La clase de Instrumental de administración de Windows (WMI) monitorea si la información de Active Directory se replica exitosamente entre controladores de dominio. Debido a que muchos componentes de Windows 2000, como la replicación de Active Directory, dependen de la confianza mutua entre dominios, esta característica también proporciona un medio para monitorear si las relaciones de confianza funcionan correctamente. Los administradores o los equipos de operaciones pueden recibir alertas fácilmente cuando se producen problemas de replicación a través de WMI.
La cola de mensajes de lista de distribución de MSMQ (MSMQ) ahora admite el envío de mensajes a listas de distribución (Listas de distribución) que residen en Active Directory. Los usuarios de MSMQ pueden administrar fácilmente listas de distribución a través de Active Directory.
Rendimiento y escalabilidad de Active Directory
Los principales cambios se reflejan en la gestión de las operaciones de replicación y sincronización de la información de Active Directory en Windows Server 2003. Además, se han agregado nuevas funciones relacionadas con la instalación, la migración y el mantenimiento para hacer que Active Directory sea más flexible, sólido y eficiente.
Mejorar el rendimiento de las sucursales
Las implementaciones de sucursales suelen consistir en numerosas oficinas remotas, cada una con su propio controlador de dominio, pero normalmente a través de conexiones lentas. Manténgase conectado a un centro de conexión o de datos corporativo. . Windows Server 2003 acelera los inicios de sesión en las sucursales al no requerir más acceso a un servidor de catálogo global central cuando los usuarios inician sesión. Ahora, las organizaciones ya no necesitan implementar un servidor de catálogo global en sucursales ubicadas en ubicaciones con redes poco confiables.
En lugar de requerir que el usuario se comunique con el catálogo global cada vez que un usuario inicia sesión en el controlador de dominio, cuando la red esté disponible, el controlador de dominio se comunicará con el grupo universal de usuarios que iniciaron sesión previamente desde este sitio o desde un servidor de catálogo global fuera de línea. Las relaciones de membresía se almacenan en caché. Luego, al momento de iniciar sesión, los usuarios pueden iniciar sesión en la red sin que el controlador de dominio se comunique con el servidor del catálogo global, lo que reduce la necesidad de redes lentas o poco confiables. Esta mejora también proporciona más confiabilidad si el catálogo global falla y no puede manejar la solicitud de inicio de sesión de un usuario.
Otras funciones y mejoras de rendimiento
Descripción de la función
Deshabilitar la compresión del tráfico de replicación entre sitios Deshabilitar la replicación entre controladores de dominio en diferentes sitios El tráfico está comprimido. Puede reducir la carga de la CPU en los controladores de dominio, mejorando así el rendimiento cuando sea necesario.
Compatibilidad con servidores virtuales en clúster Los objetos de clúster ahora también se pueden definir como objetos de computadora.
Las aplicaciones compatibles con clústeres y Active Directory pueden asociar su propia información de configuración con un objeto bien definido.
Enlace LDAP simultáneo Para autenticar usuarios, puede implementar múltiples enlaces de Protocolo ligero de acceso a directorios (LDAP) en la misma conexión. Los desarrolladores de aplicaciones pueden aprovechar esta característica para mejorar en gran medida el rendimiento de los enlaces LDAP mientras autentican las solicitudes en Active Directory.
Prevención de sobrecarga del controlador de dominio si el dominio ya contiene una gran cantidad de miembros del dominio y estos miembros se han actualizado a Windows 2000 y Wind