Guia Windows Server Conceptos Basicos
Guia Windows Server Conceptos Basicos
Guia Windows Server Conceptos Basicos
Directorio
Como ya hemos mencionado antes, un Directorio es un repositorio nico para la
informacin relativa a los usuarios y recursos de una organizacin. Active Directory es un
tipo de directorio y contiene informacin sobre las propiedades y la ubicacin de los
diferentes tipos de recursos dentro de la red. Usndolo, tanto los usuarios como los
administradores pueden encontrarlos con facilidad.
Una de las ventajas que ofrece Active Directory es que puede utilizar LDAP (Lightweight
Directory Access Protocol, en espaol, Protocolo Ligero de Acceso a Directorios), un
protocolo de acceso estndar que permitir la consulta de informacin contenida en el
directorio. Sin embargo, tambin puede utilizar ADSI (Active Directory Services Interface,
en espaol, Interfaces de Servicio de Active Directory), un conjunto de herramientas
ofrecidas por Microsoft, que tienen una interfaz orientada a objetos y que permiten el
acceso a caractersticas de Active Directory Domain Servicesque no estn soportadas
por LDAP.
Dominio
Un Dominio es una coleccin de objetos dentro del directorio que forman un subconjunto
administrativo. Pueden existir diferentes dominios dentro de un bosque, cada uno de ellos
con su propia coleccin de objetos y unidades organizativas.
Para poner nombre a los dominios se utiliza el protocolo DNS. Por este motivo, Active
Directorynecesita al menos un servidor DNS instalado en la red. Ms adelante, en este
mismo apartado, definiremos los conceptos de bosque y unidad organizativa.
Objeto
La palabra Objeto se utiliza como nombre genrico para referirnos a cualquiera de los
componentes que forman parte del directorio, como una impresora o una carpeta
compartida, pero tambin un usuario, un grupo, etc. Incluso podemos utilizar la
palabra objeto para referirnos a una unidad organizativa.
Cada objeto dispondr de una serie de caractersticas especficas (segn la clase a la que
pertenezca) y un nombre que permitir identificarlo de forma precisa.
o Definicin de usuario:
o Recursos: que son los diferentes elementos a los que pueden acceder, o no, los
Cuando instalamos Active Directory en un ordenador con Windows Server 2012 R2,
convertimos a ese ordenador en un Controlador de dominio .
Existen objetos que pueden contener a su vez otros objetos, como es el caso de
los grupos de usuarios y de las unidades organizativas.
Controlador de dominio
Un Controlador de dominio (domain controller) contiene la base de datos de objetos del
directorio para un determinado dominio, incluida la informacin relativa a la seguridad.
Adems, ser responsable de la autenticacin de objetos dentro de su mbito de control
(facilitarn la apertura y el cierre de sesin, las bsquedas en el directorio, etc.).
rboles
Un rbol es simplemente una coleccin de dominios que dependen de una raz comn y
se encuentra organizados como una determinada jerarqua. Dicha jerarqua tambin
quedar representada por un espacio de nombres DNS comn.
El objetivo de crear este tipo de estructura es fragmentar los datos del Directorio Activo,
replicando slo las partes necesarias y ahorrando ancho de banda en la red.
El dominio raz del bosque contiene el Esquema del bosque, que se compartir con el
resto de dominios que formen parte de dicho bosque (consultar el concepto
de Esquema ms adelante).
Unidad Organizativa
Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en
subconjuntos, dentro del dominio, siguiendo una jerarqua. De este modo, podremos
establecer una estructura lgica que represente de forma adecuada nuestra organizacin
y simplifique la administracin.
Tambin suele emplearse una terminologa orientada a objetos, donde la palabra Clase se
referir a un determinado tipo de objetos (con unas propiedades determinadas), mientras
que un objeto determinado recibe el nombre de instancia. Por ejemplo, podramos pensar
que la clase usuario es una plantilla que definir a cada uno de los usuarios (que sern
instancias de la clase usuario).
Sitio
Un Sitio es un grupo de ordenadores que se encuentran relacionados, de una forma
lgica, con una localizacin geogrfica particular.
Relaciones de confianza
En el contexto de Active Directory, las Relaciones de confianza son un mtodo de
comunicacin seguro entre dominios, rboles y bosques. Las relaciones de confianza
permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro dominio
del directorio.
Maestro de Operaciones
Cada cuenta creada en el dominio recibe un SID (Security ID) nico que no se reutiliza.
Un identificador del dominio (compartido por todas las cuentas del dominio)
Sin embargo, existe un conjunto especializado de tareas que deben estar centralizadas en
un controlador de dominioespecfico para evitar inconsistencias. Este controlador de
dominio especial recibe el nombre de Maestro de Operaciones o FSMO ( de Flexible
Single Master Operations).
Para entender la situacin, vamos a poner un ejemplo: Supongamos que
el administrador de un controlador de dominio realiza una modificacin en el esquema
del dominio al mismo tiempo que, un segundo administrador, desde un controlador
distinto, realiza una modificacin que resulta incompatible con la primera. Como podrs
imaginar, cuando se produzca la replicacin de la base de datos, estaremos en un aprieto.
Pues bien, para evitar este tipo de situaciones, slo uno de los controladores del dominio
podr realizar este tipo de cambios.
Las acciones (tambin llamadas roles) que slo pueden realizarse desde el Maestro de
operaciones son slo cinco y se incluyen en la siguiente tabla:
Adems, deberemos asignar privilegios para cada uno de ellos, de modo que podamos
establecer en qu medida y bajo qu condiciones podrn beneficiarse de los recursos de
la red.
Cuenta de usuario
Como ya comentbamos en el captulo anterior, una de las primeras ideas que deben
quedar claras cuando hablamos de cuentas de usuario es que no siempre representan a
personas concretas, sino que tambin pueden ser utilizadas como mecanismos de acceso
para determinados servicios o aplicaciones de la mquina local o, incluso, de un equipo
remoto.
En definitiva, una cuenta de usuario es un objeto que posibilita el acceso a los recursos
del dominio de dos modos diferentes:
o Por razones de seguridad, debes evitar que varios usuarios utilicen la misma
o Permite autorizar, o denegar, el acceso a los recursos del dominio, porque, una
vez que el usuario haya iniciado su sesin slo tendr acceso a los recursos para
Cuentas integradas
deshabilitarla).
recomienda, puede habilitarse, por ejemplo, para permitir el acceso a los usuarios
pendientes de satisfacer.
Por ltimo, es importante tener en cuenta que, aunque la cuenta Administrador est
deshabilitada, podr seguir usndose para acceder al controlador de dominio en modo
seguro.
Cuenta de equipo
Los sistemas de escritorioWindows que sean anteriores a XP no pueden disponer de
cuentas de equipo. El motivo es que estos sistemas carecen de caractersticas de
seguridad avanzadas.
Como ocurra con las cuentas de usuario, una cuenta de equipo sirve para autenticar a los
diferentes equipos que se conectan al dominio, permitiendo o denegando su acceso a los
diferentes recursos del dominio.
Del mismo modo que con las cuentas de usuario, las cuentas de equipo deben ser nicas
en el dominio.
Aunque una cuenta de equipo se puede crear de forma manual (como veremos ms
adelante), tambin se puede crear en el momento en el que el equipo se une al dominio.
Cuenta de grupo
Cuando una cuenta de usuario o de equipo est incluida en un grupo se dice que
esmiembro del grupo.
Un grupo es un conjunto de objetos del dominio que pueden administrarse como un todo.
Puede estar formado por cuentas de usuario, cuentas de equipo, contactos y otros
grupos.
derechos de usuario una sola vez y, ms tarde, agregar los usuarios a los que
o Crear listas de distribucin de correo electrnico: Slo se utilizan con los grupos
o mbito local: Entre sus miembros pueden encontrarse uno o varios de los
del propio dominio. Por ejemplo, los que necesiten acceder a una determinada
impresora.
o Los grupos de mbito globalson perfectos para contener objetos que se modifique
con frecuencia, debido a que, como no se replican fuera del dominio, no generan
mbito global: Slo pueden incluir otros grupos y cuentas que pertenezcan al
Los miembros de este tipo de grupos pueden tener permisos sobre los recursos de
cualquier dominio dentro del bosque. Sin embargo, estos grupos no se replican
cualquier dominio del bosque, a los que se les pueden asignar permisos sobre los
Tipos de grupos
equipo y grupos sobre los recursos compartidos. Con los grupos de seguridad
podemos:
o Asignar derechos de usuario a los grupos de seguridad del Directorio
cabo sus miembros dentro del dominio (o del bosque). Como veremos
niveles de acceso.
Grupos integrados
Como hemos mencionado antes, durante la instalacin del Directorio Activo se crean una
serie de grupos que podremos utilizar para simplificar la asignacin de derechos y
permisos a otras cuentas o grupos.
o 1
o Los grupos predeterminados incluidos en el contenedor Builtin tienen un mbito
local.
o
o Tambin en este caso tienes una tabla con un resumen de sus grupos:
o Tanto los grupos del contenedor Builtin como los del contenedor Users pueden
cambiarse libremente de contenedor, siempre que se mantengan dentro del mismo
dominio.
o Los grupos ubicados en estos contenedores se pueden mover a otros grupos o
unidades organizativas (OU) del dominio, pero no se pueden mover a otros
dominios.
o Debemos conocer los privilegios y derechos que ofrece cada grupo
predeterminado a sus miembros antes de asignarle una cuenta de usuario o
equipo.
o Lgicamente, la precaucin ser mayor cuanto ms elevadas sean las
capacidades del grupo en cuestin.