Active Directory

La gestión del servicio de directorio Active Directory es una parte importante del proceso de administración de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propósito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del menú Inicio incluye algunos complementos, pero para el funcionamiento diario se deberán añadir otros manualmente mediante la función Agregar complemento de la MMC.

Algunas de las herramientas de administración de Active Directory son programas que se ejecutan cada día, mientras que otras solo son necesarias durante la instalación de Active Directory U ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administración de Active Directory son los siguientes:

Preparación de la instalación.

Para promover Windows 2000 Server a controlador de dominio, primero hay que completar todo el proceso de instalación del sistema operativo. Después del ultimo reinicio, hay que iniciar sesión en la maquina utilizando una cuenta de administrador.

Para alojar Active Directory, el servidor debe tener una partición NTFS 5. NTFS 5 es una versión actualizada del sistema de archivos introducido en el primer lanzamiento de Windows NT. Cuando se crean nuevas particiones NTFS durante una instalación de Windows 2000 o se actualizan las particiones NTFS existentes creadas con versiones anteriores de Windows NT, el sistema utiliza NTFS 5. Si se opta por instalar Windows 2000 en un sistema con solo particiones FAT, se debe convertir al menos una partición a NTFS antes de poder utilizar el Asistente para instalación de Active Directory. Esto se puede hacer utilizando la utilidad Convert.exe desde el símbolo del sistema o la pantalla Administración de discos del complemento Administración de equipos de MMC.

El ultimo requisito para instalar Active Directory es que el servidor tenga acceso a un servidor DNS. Active Directory utiliza el DNS para almacenar información sobre los controladores de dominio de la red. Los sistemas cliente localizan un controlador de dominio para la autenticación mediante el envío de una petición al servidor DNS identificado en sus configuraciones TCP/IP cliente. El servidor DNS que utiliza Active Directory ni necesita estar ejecutándose en el equipo que se va a convertir en un controlador de dominio, ni tiene que ejecutar el servicio DNS de Microsoft. Sin embargo, el servidor DNS que se utilice debe soportar el registro de recursos Localización de servicios definido en el documento RFC 2052 y el protocolo de Actualización dinámica definido en la RFC 2136.

Si no hay disponible en la red un servidor DNS que soporte las nuevas características, el asistente se ofrecerá a instalar y configurar Microsoft DNS Server en el sistema automáticamente. Se puede rechazar la oferta a instalar un servidor DNS en otro sistema, pero el nuevo servidor debe ser capaz de acceder al servidor DNS para poder instalar Active Directory y promover el sistema a controlador de dominio.

Instalación del primer controlador de dominio.

Siguiendo el patrón de un asistente estándar, la instalación de Active Directory en un servidor es una cuestión de responder a las solicitudes en una secuencia de pantallas. Windows 2000 incorpora vínculos al asistente en la página de Active Directory de la página principal de Configurar el servidor de Windows 2000. Esta página se muestra en el explorador Microsoft Internet Explorer automáticamente después de la instalación del SO. Esta página Web local esta diseñada para guiar al administrador a través de los procesos necesarios para configurar un nuevo servidor mediante preguntas al estilo de los asistentes y vínculos a las herramientas apropiadas para cada tarea.

Para instalar el Primer controlador deberemos seguir los siguientes pasos:

Figura 22-6. Inicio del asistente de instalación de Active Directory.

Para instalar el primer servidor Active Directory en la red, se selecciona la opción Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS.

En este caso hay que seleccionar Crear un nuevo bosque de árboles de dominios, porque el primer controlador de dominio Windows 2000 de la red será siempre un nuevo dominio, en un nuevo árbol, en un nuevo bosque. A medida que se instalen controladores de dominio adicionales, se pueden utilizar estas mismas opciones para crear otros bosques nuevos o para poblar el bosque existente con árboles y dominios adicionales.

Figura 22-10. Pantalla para la asignación de nombre NetBIOS.

Figura 22-11. Pantalla para la ubicación de la base de datos y del registro.

Figura 22-12. Pantalla para la ubicación del volumen del sistema.

Figura 22-13. Pantalla de instalación de Active Directory.

Objetos de Active Directory.

El cuadro de diálogo principal de Usuarios y equipos de Active Directory contiene muchos de los elementos estándar de las pantallas de la MMC. El árbol de la consola (a la izquierda) muestra un dominio Active Directory y los objetos contenedor dentro de una pantalla expandible. El panel de resultados (a la derecha) muestra los objetos del contenedor resaltado. El administrador incluye una barra de herramientas especializada que proporciona acceso instantáneo a las funciones más comúnmente utilizadas y una barra de descripción que proporciona información sobre el estado del administrador o sobre el objeto resaltado actualmente. El programa muestra las acciones que se pueden realizar sobre cada objeto en el menú Acción una vez que se han pulsado los objetos.

Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades físicas (equipos y usuarios), como las entidades lógicas (grupos y unidades organizativas).

Modificando el esquema que controla la estructura del servicio de directorio, se pueden crear nuevos tipos de objetos en Active Directory y modificar los atributos de los tipos existentes. 

Modo normal y modo avanzado.

De forma predeterminada, Usuarios y equipos de Active Directory opera en modo normal. El modo normal sólo muestra los objetos a los que los administradores accederán con mayor probabilidad durante una sesión de mantenimiento de Active Directory típica. Esto incluye las unidades organizativas que contienen los usuarios y grupos predefinidos creados durante la instalación de Active Directory y todos los objetos creados por los administradores después de la instalación. El modo normal también oculta ciertas pestañas de la ventana Propiedades de un objeto, incluyendo la pestaña Objeto y la pestaña Seguridad que se pueden utilizar para establecer permisos para el objeto.

Dominio: Objeto raíz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que está administrando actualmente el administrador.

Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lógicas de objetos equipo, usuario y grupo.

Usuario: Representa un usuario de la red y funciona como un almacén de información de identificación y autenticación.

Equipo: Representa un equipo de la red y proporciona la cuenta de máquina necesaria para que el sistema inicie sesión en el dominio.

Contacto: Representa un usuario externo al dominio para propósitos específicos como envío de correo electrónico; no proporciona las credenciales necesarias para iniciar sesión en el dominio.

Grupo: Objeto contenedor que representa una agrupación lógica de usuarios, equipos u otros grupos (o los tres) que es independiente de la estructura del árbol de Active Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y dominios.

Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un sistema Windows 2000.

Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida en un sistema Windows 2000.

Sin embargo, cuando se escoge Características avanzadas en el menú Ver del administrador, la pantalla cambia para incluir todos los objetos Active Directory del sistema que representan directivas, registros DNS y otros elementos del servicio de directorio, además del contenedor LostAndFound.

Figura 22-14. Vista del explorador de Active Directory.

Desde esta interfaz se puede consultar información sobre los objetos del sistema y controlar el acceso a ellos modificando los permisos asociados. Como el acceso a estos objetos no se requiere con frecuencia, se puede impedir que aparezcan dejando el administrador en modo normal. Sin embargo, cuando haya que modificar los permisos de los objetos estándar como unidades organizativas, usuarios y grupos, habrá que activar las Características avanzadas para acceder a la pestaña Seguridad de la ventana Propiedades de un objeto.

Cambio de dominio.

Se puede utilizar el complemento Usuarios y equipos de Active Directory para administrar cualquier dominio de la red. Para cambiar el dominio que se muestra en el administrador, hay que resaltar la raíz o el objeto dominio en el árbol de la consola y escoger Conectar con el dominio en el menú Acción. Esto muestra el cuadro de diálogo Conectar con el dominio, donde se puede introducir el nombre del dominio o buscar otro dominio.

Figura 22-15. Búsqueda de un dominio usando Active Directory.

En el menú Acción también se puede escoger Conectar con el controlador de dominio para acceder al dominio seleccionado utilizando un controlador de dominio especifico de la red. A menos que los controladores de dominio no estén sincronizados, la información debería ser la misma en todas las replicas, pero algunas veces puede ser útil seleccionar un controlador de dominio en una ubicación diferente para evitar una lenta o cara conexión WAN.

Filtros para simplificar la visualización.

Cuando se empieza a poblar Active Directory con nuevos objetos, puede crecer rápidamente a un tamaño difícil de manejar. Un elevado número de objetos en la pantalla puede dificultar la localización del objeto especifico que se necesita. Para evitar que se muestren temporalmente los objetos que no es necesario ver, se puede aplicar un filtro al complemento Usuarios y equipos de Active Directory basándose en los tipos de objetos o basándose en el contenido de atributos de objetos específicos.

Figura 22-16. Pantalla de opciones de filtro.

Cuando se escoge Opciones de filtro desde el menú Ver, aparece el cuadro de diálogo Opciones de filtro. Aquí se puede optar por mostrar todos los tipos de objetos, seleccionar tipos de objetos específicos a mostrar o crear un filtro personalizado basándose en los atributos de los objetos.

Cuando se selecciona la opción Crear filtro personalizado y se pulsa el botón Personalizar, se muestra un cuadro de diálogo Buscar Búsqueda personalizada. En este cuadro de diálogo se puede seleccionar un tipo de objeto, escoger un atributo de ese objeto y especificar un valor completo o parcial para ese atributo.

Búsqueda de objetos.

También se pueden buscar objetos específicos en todo Active Directory sin modificar lo que muestra el administrador. Si se selecciona el objeto dominio y se escoge Buscar en el menú Acción, se muestra el. cuadro de diálogo Buscar Usuarios, contactos y grupos, en el cual se puede especificar el tipo de objeto que se desea localizar, un dominio específico o todo el directorio y el nombre y descripción del objeto.

Figura 22-17. Pantalla de búsqueda de equipos.

El programa busca entonces en el CG que se creó automáticamente en el primer controlador del dominio para localizar el objeto deseado. El CG es un subconjunto de todo Active Directory que sólo contiene los atributos más comúnmente utilizados, lo que facilita la búsqueda de un objeto específico. Sin el CG, la tarea de buscar en una instalación Active Directory que incluye controladores de dominio en ubicaciones remotas podría requerir un extenso tráfico WAN que es tan lento como caro.

La pestaña Opciones avanzadas del cuadro de dialogo Buscar Usuarios, contactos y grupos utiliza la misma interfaz que la característica Filtro personalizado. De la misma forma, se pueden buscar objetos basándose en sus atributos. Si un atributo que se selecciona no es parte del CG, la búsqueda procederá inspeccionando el contenido real de los controladores de dominio de la red. En algunos casos, esto puede ralentizar considerablemente el proceso de búsqueda.

Creación de unidades organizativas.

El esquema del servicio de directorio establece qué objetos se pueden crear en un dominio Active Directory, dónde se pueden ubicar y qué atributos se permite que tengan. Usuarios y equipos de Active Directory solo permite crear objetos en las ubicaciones apropiadas para el tipo de objeto. Por ejemplo, no se puede crear un objeto unidad organizativa (OU) subordinada a un objeto usuario, pero un objeto usuario puede subordinarse a un objeto OU.

Sin embargo, las OU se pueden subordinar unas a otras y el número de capas de OU que se pueden crear en el dominio Active Directory es ilimitado. Para crear una OU hay que pulsar el objeto dominio u otra OU en el panel de ámbito o en el de resultados de Usuarios y equipos de Active Directory y escoger Nuevo en el menú Acción y seleccionar Unidad organizativa. también se puede pulsar el botón Crear un nuevo departamento en la barra de herramientas de Usuarios y equipos de Active Directory para conseguir el mismo efecto. después de especificar un nombre para el nuevo objeto en el cuadro de diálogo Nuevo objeto, el administrador crea un icono con el nombre apropiado y lo inserta en la pantalla de Usuarios y equipos de Active Directory.

Una vez que se ha creado una OU es posible poblarla con otros objetos, como usuarios, equipos, grupos y otras OU, o se pueden modificar sus atributos abriendo la ventana Propiedades desde el menú Acción.

Configuración de los objetos OU.

La ventana Propiedades de una OU consta de tres pestañas. La pestaña General y la pestaña Administrado por permiten especificar información sobre la OU como una frase descriptiva y una dirección para la ubicación del objeto, además de la identidad de la persona responsable de administrar la OU. La información que se incluye en estas pestañas depende del criterio utilizado para diseñar el Active Directory. Una OU puede estar asociada a un departamento particular dentro de una organización, una ubicación física como una habitación, una planta o un edificio, o incluso una sucursal en una ciudad o país particular.

Figura 22-18. Pantalla de Propiedades de controladores de dominio.

La pestaña Directiva de grupo es donde se crean y administran los vínculos a los objetos directiva de grupo de Active Directory. Los objetos directiva de grupo son colecciones de parámetros del sistema que controlan la apariencia y la funcionalidad de los clientes de la red. Cuando se aplican directivas de grupo a OU, dominios y sitios, todos los objetos contenidos en esas entidades heredan los parámetros del sistema. Las OU se pueden enlazar a múltiples objetos directiva de grupo en esta pestaña y, se pueden controlar las prioridades con que se aplican las directivas. Cuando se utilice el botón Modificar de la pestaña directiva de grupo para modificar un objeto directiva de grupo, Usuarios y equipos de Active Directory ejecuta el complemento MMC directiva de grupo.

Cuando se activan las Características avanzadas en el menú Ver de Usuarios y equipos de Active Directory, la ventana Propiedades de la OU también muestra la pestaña Objeto  y la pestaña Seguridad. La pestaña Objeto muestra la ruta de acceso completa al objeto en la jerarquía del dominio, las fechas y horas de su creación y última modificación y los números de secuencia de actualización de la creación y la última modificación.

Figura 22-19. Pantalla de Propiedades de controladores de dominio.

La pestaña Seguridad permite controlar el acceso al objeto asignando permisos a usuarios y grupos. Con la casilla de verificación Hacer posible que los permisos heredables se propaguen, también se puede controlar si el objeto hereda los permisos que han sido asignados a su objeto primario.

El botón Avanzada de la pestaña Seguridad proporciona acceso al cuadro de diálogo Configuración de control de acceso desde el que se puede controlar el acceso al objeto con un detalle mucho mayor. En el cuadro de diálogo Seguridad, se puede especificar si usuarios y grupos específicos tienen permiso para crear y eliminar objetos secundarios en la OU, pero esta pantalla permite especificar que tipos de objetos se pueden crear y eliminar.

Administración remota de equipos.

Usuarios y equipos de Active Directory proporciona acceso administrativo a equipos remotos representados por objetos en Active Directory. Cuando se pulsa un objeto equipo y se escoge Administrar en el menú Acción, el administrador abre el complemento MMC Administración de equipos con el equipo como foco. Con esta característica, se pueden leer los registros de sucesos del sistema remoto, manipular sus servicios y realizar cualquiera del resto de las tareas que proporciona el complemento administración de equipos.

Publicación de carpetas compartidas.

Los objetos carpeta compartida permiten publicar directorios de red compartidos en Active Directory, lo que permite a los usuarios acceder a ellos directamente explorando el Entorno de red del objeto. Esto elimina la necesidad de que los usuarios conozcan la ubicación exacta de la carpeta compartida. La creación de un objeto carpeta compartida no crea realmente el recurso compartido; hay que hacer esto manualmente en la pestaña Compartir de la ventana Propiedades de la unidad de disco o de la carpeta en la ventana del Explorador de Windows o en la ventana Mi PC. también se pueden crear objetos carpeta compartida para carpetas del Sistema de archivos distribuidos (DFS, Distributed File Sytem).

Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor en Usuarios y equipos de Active Directory, escoger Nuevo en el menú Acción y seleccionar Carpeta compartida. En el cuadro de dialogo Nuevo objeto, hay que especificar un nombre para el nuevo objeto a introducir la ruta de acceso UNC al recurso compartido. después de que el administrador cree el objeto, es posible configurarlo utilizando las pestañas de la ventana Propiedades del objeto. 

Los permisos que se establecen en la pestaña Seguridad de la ventana Propiedades de la carpeta compartida no controlan el acceso a la propia carpeta compartida, solo al objeto carpeta compartida. Para acceder a la carpeta por medio de Active Directory, un usuario debe tener permiso para acceder tanto al recurso compartido como al objeto. Lo mismo es cierto para un objeto impresora. 

Publicación de impresoras.

La creación de objetos impresora permite a los usuarios acceder a las impresoras a través de Active Directory prácticamente de la misma forma en que acceden a las carpetas compartidas. Un objeto impresora se crea como se haría con un objeto carpeta compartida, seleccionando un contenedor y escogiendo Nuevo\Impresora en el menú Acción y especificando la ruta de acceso UNC a la impresora compartida. El administrador crea entonces el objeto, combinando el nombre del sistema anfitrión y el del recurso compartido para formar el nombre del objeto.

Figura 22-20. Pantalla para la compartición de impresoras en red.

Traslado, cambio de nombre y eliminación de objetos.

Una vez que se han creado objetos en Active Directory, se puede utilizar Usuarios y equipos de Active Directory para remodelar el árbol en cualquier momento trasladando objetos a diferentes contenedores, cambiándoles el nombre y eliminándolos. El menú Acción de casi cualquier objeto Active Directory contiene un comando Mover, que abre un cuadro de diálogo en el que se puede buscar un contenedor donde situar el objeto. También se pueden seleccionar varios objetos manteniendo presionada la tecla CTRL mientras se pulsa en ellos con el ratón y moviéndolos conjuntamente al mismo contenedor.

Cuando se traslada un objeto contenedor a una nueva ubicación, se trasladan automáticamente todos los objetos incluidos en el contenedor al mismo tiempo y también se modifican las referencias a esos objetos en el resto de objetos de Active Directory. Si, por ejemplo, el Usuario X es un miembro del Grupo Y y se traslada la unidad organizativa que contiene el objeto usuario de X a una nueva ubicación, X sigue siendo miembro de Y, y la lista de miembros del Grupo Y se actualiza automáticamente para mostrar a X en su nueva ubicación. De la misma forma, cuando se cambia el nombre de un objeto utilizando el comando Cambiar nombre del menú Acción o pulsando sobre el objeto una vez, todas las referencias a ese objeto a lo largo de Active Directory Cambian para reflejar el nuevo nombre. Cuando se elimina un objeto contenedor, todos los objetos incluidos en el contenedor se eliminan también.