Dominios 2003 server

UNIDAD DIDACTICA 2
1
DOMINIOS EN REDES WINDOWS

1. DEFINICIÓN DE DOMINIO Y
SERVICIO DE DIRECTORIO
2
 Un dominio de sistemas permite tener centralizada
la información administrativa de una red (cuentas de
usuarios, impresoras, directorios, etc.) y de seguridad,
en uno o varios servidores, facilitando su gestión.
 Windows Server utiliza el Concepto de directorio
para implementar un dominio de sistemas.
 Un directorio una estructura jerárquica que guarda
información sobre objetos en la red, implementada como
una gran base de datos.
 El Directorio Activo es el servicio de directorio de
una red de Windows 2000/2003/2008 Server.

1. DIRECTORIO ACTIVO
3
 El Directorio Activo es un servicio de red que
guarda información de los recursos de la red y permite
organizar, controlar y administrar de forma
centralizada el acceso a los recursos de la red.
 Al instalar el Directorio Activo en un equipo
Windows Server de nuestra red, se convierte en
servidor del dominio, o controlador de dominio.
 El resto de los equipos de la red actúan como
clientes del servicio de directorio, y reciben toda la
información almacenada en los controladores de dominio
(cuentas de usuario, grupo, equipo, etc.).

1. VENTAJAS DEL
DIRECTORIO ACTIVO
4
 Separa la estructura lógica de la organización
(dominios) de la estructura física (topología de red).
 Permite el acceso de los usuarios y las aplicaciones a
dichos recursos.
 Permite a los administradores crear políticas a nivel
de empresa, aplicar actualizaciones a una organización
completa, desplegar programas en múltiples
ordenadores, etc.
 Almacena información sobre una organización en una
base de datos central.

1. ESTRUCTURA DE UN
DIRECTORIO ACTIVO
5
 Dominio. Estructura fundamental. La menor
unidad constructiva para poder utilizar DA. Permite
agrupar todos los objetos que se administran de
forma estructurada y jerárquica.
 Unidad organizativa (UO). Es la unidad jerárquica
inferior del dominio, que puede estar compuesta por una
serie de objetos y/o por otras UO.
 Grupos. Conjunto de objetos del mismo tipo que se
utilizan fundamentalmente para la asignación de
derechos de acceso a los recursos.
 Objetos. Forman una representación de un recurso
de red, como pueden ser usuarios, impresoras,
ordenadores, unidades de almacenamiento, etc.

1. CARACTERÍSTICAS DEL
DIRECTORIO ACTIVO
6
 Los dominios de Windows Server utilizan los nombres
DNS para identificar a los equipos en la red. Se desechó
Netbios (protocolo propietario de Microsoft) para tal
utilidad.
 Cada dominio de Windows Server queda identificado
unívocamente mediante un nombre DNS, por ejemplo
local.com
 El nombre DNS siempre estará representado por un
sufijo (com, es, org, etc.) y el nombre propio del dominio
 Cada equipo basado en Windows Server que forme
parte de un dominio tiene un nombre DNS cuyo sufijo es
precisamente el nombre DNS de dicho dominio

1. ESTRUCTURA JERÁRQUICA
DE DOMINIOS
Subdominio II
Dominio Principal
Subdominio I
prueba.com
7
local2.prueba.comlocal1.prueba.com

1. FUNCIONALIDAD DE LOS
NOMBRES DNS EN EL D.A.
8
Resolución de nombres. DNS permite realizar la
resolución de nombres al convertir los nombres de host
(nombres de equipo) en direcciones IP.
Definición del espacio de nombres. El Directorio
Activo utiliza las convenciones de nomenclatura de DNS
para asignar nombre a los dominios.
Búsqueda de los componentes del Directorio
Activo. Para iniciar una sesión de red y utilizar los
recursos del Directorio Activo, el equipo que se conecta
al dominio debe encontrar primero un controlador de
dominio o servidor de catálogo global para procesar la
autentificación de inicio de sesión o la consulta

1. TÉRMINOS UTILIZADOS EN EL
DIRECTORIO ACTIVO
 Espacio de nombres y resolución de
nombres
 Árbol de dominio
 Bosque de dominio
9

1. ESPACIO DE NOMBRE Y
RESOLUCIÓN DE NOMBRES
10
Cada servicio de Directorio Activo es un espacio de
nombres.
La resolución de nombres relaciona objetos con sus
nombres.
Podemos entender un espacio de nombres como un
área delimitada en la cual un nombre puede ser resuelto.
La resolución de nombres es el proceso de traducción
de un nombre en un objeto o información que lo
representa. Los espacios de nombres serían prueba.com.

1. ÁRBOL
11
 Un árbol es un conjunto de uno o más dominios que
comparten un espacio de nombres contiguo. Si existe
más de un dominio, estos se disponen en estructuras de
árbol jerárquicas.
 El primer dominio creado es el dominio raíz del
primer árbol.
 Cuando se agrega un dominio a un árbol existente,
este pasa a ser un dominio secundario (o hijo). Un dominio
inmediatamente encima de otro dominio dentro del
mismo árbol de dominio es su padre. Todos los dominios
que tengan un dominio raíz común se dice que forman un
espacio de nombres contiguo.

1. BOSQUE
12
 Un bosque es un grupo de árboles que no comparten un
espacio de nombres contiguo, conectados a través de
relaciones de confianza bidireccionales y transitivas.
 Un dominio único constituye un árbol de un dominio, y
un árbol único constituye un bosque de un árbol.
 Aunque los diferentes árboles de un bosque no
comparten un espacio de nombres contiguo, el bosque
tiene siempre un único dominio raíz, llamado
precisamente dominio raíz del bosque, y dicho dominio
raíz será siempre el primer dominio creado por la
organización.

2. ESPECIFICACIONES DE DOMINIO
EN WINDOWS SERVER
Consideraciones iniciales previas a la instalación del
Directorio Activo. Necesitamos saber:
1) Si instalaremos el Activo directorio en un único
servidor o controlador de dominio de la red.
2) Si habrá más servidores o controladores de dominio
de la red además del nuestro, donde tengamos instalado
el directorio activo
3) El nombre del ordenador donde se instalará el
Directorio Activo.
4) Inicialmente el equipo con Windows 2003 server
pertenecerá a un grupo de trabajo, nombre que no tiene
mayor importancia si lo que queremos hacer es instalar el
Directorio Activo.
13

EN WINDOWS SERVER
Tenemos dos dominios independientes, cada uno con su estructura jerárquica.
14
Planificación de la estructura de dominios deseada, antes
de instalar el Directorio Activo.
Si sólo necesitamos 1 dominio. Un servidor controla
todo el sistema, teniendo o no dominios, o subdominios.
Si necesitamos más de un dominio. Son necesarios 2
controladores principales de dominio con sus
correspondientes subdominios.
dominioprincipal1.com dominioprincipal2.com

EN WINDOWS SERVER
15
 La estructura jerárquica de dominios se crea de arriba
hacia abajo: Primero se crea el dominio raíz del árbol
(dominioprincipal.com), y después el resto de subdominios
(subdomino1.dominioprincipal.com).
 Cuando instalamos el primer controlador de dominio en la
organización, se crea el dominio raíz del bosque, que contiene
la configuración y el esquema del bosque (compartido por
todos los dominios de la organización.
 Más adelante, se pueden agregar dominios como
subdominios de dicha raíz (árbol de dominios) o bien crear
otros dominios «hermanos» de la raíz (bosque de dominios),
debajo de los cuales podemos crear subdominios, y así
sucesivamente.

2. REQUISITOS PARA CREAR UN
DOMINIO EN WINDOWS SERVER
16
-Tener instalado un Windows Server
-Tener configurado manualmente un protocolo de red
TCP/IP.
-Presencia de un servidor de nombres DNS instalado y
configurado en la red.
-Disponer de más de 250 MB de espacio libre en disco y
por lo menos una partición debe estar formateada en
NTFS (no necesariamente donde está instalado el S.O.)
Tras el proceso de instalación podremos hacer que el
equipo se convierta en un controlador de dominio, para
ejecutar los servicios del Directorio Activo.

3. INSTALACIÓN D.A. EN UN
CONTROLADOR DE DOMINIO ÚNICO
Paso 1. Identificación de red del equipo. A través del
Panel de Control ir a: Propiedades de conexión de Área
Local/Propiedades Protocolo de Internet TCP/IP.
- Dirección IP: 192.168.1.1
-Máscara de subred: 255.255.255.0
-Puerta de enlace predeterminada:
Indicaremos la IP del router o
equipo proxy que nos proporciona el
acceso a Internet.
-Servidor DNS preferido: 127.0.0.1,
es decir, que apunte a sí mismo.
17

Paso 2. Identificación del equipo. Ir a: Propiedades de
Mi PC/Pestaña Nombre de Equipo. Haremos click en
Cambiar para introducir el nuevo nombre, sin espacios en
blanco ni caracteres especiales.
Introduciremos como nombre de
equipo SERVER2003.
Podemos comprobar que, por defecto,
nuestro equipo se encuentra en el
grupo de trabajo GRUPO_TRABAJO,
cuestión que no debe preocuparnos de
momento.
18

19
Paso 3. Credenciales del administrador de red. Es
necesario que el Administrador de este equipo tenga una
contraseña que cumpla los requisitos de seguridad:
8 caracteres, con mayúsculas, minúsculas y números
Esta contraseña será la misma para el resto de
administradores de equipos a integrar en el D.A.
Para gestionar la contraseña del Administrador, ir a:
Inicio/Herramientas administrativas/Administración de
equipos/Usuarios y grupos locales/Usuarios.
Buscaremos el usuario Administrador y seleccionaremos
Establecer contraseña.

Paso 4. Desinstalaremos los servicios previamente
instalados (IIS, Terminal Server)
Paso 5. Marcaremos la casilla que deshabilita la pantalla
de Tareas de configuración inicial y cerramos
20

Paso 6. Ejecutamos el comando dcpromo, que sirve para
promover o instalar el Directorio Activo en el equipo en
el que estamos. Aparecerá una pantalla en la que se
muestra el inicio del asistente de instalación.
21

Paso 7. Pulsaremos en Siguiente y aparecerá una
pantalla de advertencia que nos informa de
la compatibilidad del sistema operativo respecto de la
instalación del Directorio Activo.
22

Paso 8. Pulsaremos Siguiente y aparecerá la 1º pantalla
de configuración. Marcaremos la casilla “Controlador de
dominio para un dominio nuevo”, ya que no existe ningún
controlador principal de dominio todavía.
23

Paso 9. En la siguiente pantalla seleccionaremos la
opción “Dominio en un nuevo bosque”, lo cual es lógico, ya
que de momento no tenemos nada y lo primero que hay
que hacer es crear la estructura de dominio raíz, el árbol
al que pertenecerá el dominio y el bosque en el que se
integrará. Pulsamos Siguiente.
24

Paso 10. El servicio DNS es imprescindible para el D.A.
ya que las identificaciones y validaciones de usuarios se
realizan mediante la resolución de nombres DNS
(asociación nombres de los equipos con sus direcciones IP)
Si servidor no encontrado Si servidor ya instalado
25

Paso 11. Introducir el nombre completo de nuestro
dominio raíz, que es el primero del bosque, el cual
determinará el espacio de nombres para la gestión que
realicemos desde este momento con el dominio.
Este nombre completo tiene
que ser un nombre DNS con
sufijo incluido. Por ejemplo
principal.local.com, donde:
principal  nombre de
dominio raíz
local.com  como nombre del
bosque o espacio de nombres
26

Paso 12. Indicar el nombre NETBIOS del nuevo
dominio, árbol y bosque que estamos creando. Por
defecto será el nombre del dominio sin sufijo.
Este nombre se puede cambiar,
pero se recomienda no hacerlo ya
que es el que se utiliza para
cuestiones de compatibilidad con
clientes del dominio que tengan
instalados sistemas operativos
antiguos como Windows 98.
27

Paso 13. Introducir la ubicación de los archivos que
maneja el Directorio Activo. Por defecto, la ubicación
que propone Windows Server es C:WINNTNTDS,
que recomendamos no modificar.
Es imprescindible que el sistema
esté instalado sobre el sistema
de archivos NTFS, ya que, si no,
estos archivos no podrán
crearse y, por lo tanto, no
podremos dar de alta el dominio.
28

Paso 14. Indicar la ubicación de la carpeta SYSVOL,
que es donde se almacena la copia de seguridad del
servidor de los archivos públicos del dominio.
Dejaremos la ubicación por
defecto, a menos que no
tengamos instalado el sistema
de archivos NTFS en esa
ubicación, es decir,
C:WINNTSYSVOL.
29

Paso 15. La primera opción es para cuando tengamos un
Servidor NT 4.0 Server y los usuarios se estén validando
en él. Ó cuando tengamos clientes tipo Windows 98 o ME,
ya que utilizan validación NETBIOS. NT 4.0 Workstation,
2000/ XP/Vista, admiten autentificación DNS.
La segunda opción es sólo
para una red con equipos
Windows 2000, XP o Vista.
Esta es la opción
recomendable
30

Paso 16. Introducir la contraseña de administración del
modo de restauración del directorio activo, para que el
Administrador del equipo administre el Directorio Activo.
Se recomienda introducir la
misma clave del usuario
administrador, aunque el
mensaje diga lo contrario.
31

Paso 17. Pantalla resumen sobre lo que se va a realizar en
la instalación del Directorio Activo. Pulsaremos Siguiente
y comenzará la instalación y la configuración del
controlador de dominio en nuestro equipo.
32

Paso 18. Tras unos minutos el proceso habrá terminado y
nos pedirá que pulsemos Finalizar. Reiniciaremos el equipo
y ya tendremos preparado nuestro sistema como un
controlador de dominio del Directorio Activo para
gestionar de forma centralizada los recursos de red.
33

Paso 19. El primer cambio es la inclusión del nombre de
dominio en la pantalla de login. Haremos click en
Propiedades de MiPC y en la pestaña Nombre del equipo,
comprobaremos que nuestro equipo esté integrado en un
dominio.
34

Paso 20. En Administre su servidor podremos ver que
hemos instalado el controlador de dominio (Directorio
Activo) y El servido DNS.
35

4. ELIMINACIÓN DE UN
CONTROLADOR DE DOMINIO
36
Paso 0. Al desinstalar el Directorio Activo de nuestro
equipo controlador de dominio, ya no se ejecutaran los
servicios de directorio y perderemos toda la
configuración realizada hasta el momento: cuentas de
usuario, grupos, equipos, etc., es decir, los objetos
creados hasta el momento se eliminarán, ya que la base
de datos y el catálogo global que almacena toda la
información desaparecerá.

Paso 1. Para realizar la despromoción, procederemos de
forma similar a como realizábamos la promoción.
Iniciaremos sesión como Administrador del equipo y
ejecutaremos el comando dcpromo.
Se nos mostrará una pantalla
de inicio del asistente de
configuración del Directorio
Activo.
37

Paso 2. Aparecerá un pequeño cuadro de diálogo de
advertencia. Se nos indica que este controlador es un
servidor de catálogo global, es decir, que es el
controlador principal del dominio y que se utiliza para
que los usuarios se validen en él. Este mensaje indica la
peligrosidad del proceso.
38

Paso 3. Indicar si se trata del último controlador de
dominio. Como en nuestro caso el controlador es único, en
un bosque único, y no existen más bosques, podremos
realizar la operación.
Si nuestro dominio contase con
algún otro bosque, controladores
adicionales de dominio o con
subdominios, no marcaríamos esta
casilla para desinstalarlos.
Tendríamos que ir eliminando los
controladores de dominio en el
orden en que se fueron creando,
siendo el primero que instalamos el
último en desinstalar.
39

Paso 4. Aparece una pantalla con información sobre las
particiones en las que se ha replicado la base de datos
del Directorio Activo. Pulsamos Siguiente
40

Paso 5. Pantalla para confirmar la eliminación de la
información contenida en las particiones de la base de
datos. Es conveniente eliminarlas, siempre y cuando el
objetivo sea eliminar completamente los servicios de
directorio del equipo Windows Server.
Marcamos la casilla “Eliminar
todas las particiones...”.
Pulsamos Siguiente.
41

Paso 6. Solicitud de la contraseña del usuario
Administrador del equipo que utilizamos para la creación
del Directorio Activo. Pulsamos Siguiente
42

Paso 7. En las siguientes pantallas y se inicia el proceso
de despromoción.
43

Paso 8. Finaliza la eliminación del Directorio Activo y
reiniciamos el equipo
Sólo queda el servicio DNS
44

5. OBJETOS QUE ADMINISTRA
UN DOMINIO
45
El Directorio Activo es una base de datos jerárquica de
objetos que representan a las entidades o recursos que
pueden administrarse en una red de ordenadores.
En Windows Server la gestión de un dominio se realiza de
forma centralizada, administrando el Directorio Activo.
El directorio Activo nos permite crear y configurar los
objetos de red existentes en el dominio como:
 Usuarios Globales
 Grupos de usuarios
 Equipos
 Unidades Organizativas

5. USUARIOS GLOBALES
46
 Los usuarios que se gestionan en un Directorio Activo
son usuarios globales, y son reconocidos por todos los
equipos que forman parte de un dominio (en realidad, por
todos los ordenadores del bosque).
 Las cuentas de usuario globales representan una
cuenta única de usuario que se puede utilizar desde
cualquier ordenador integrado en el Dominio.
 Cuando una persona se conecta desde un ordenador
del dominio, utilizando para ello su cuenta de usuario
global, este ordenador realiza una consulta al Directorio
Activo. Este valida las credenciales del usuario y el
resultado de la validación es enviado al ordenador
cliente, concediendo o rechazando la conexión.

5. USUARIOS GLOBALES vs LOCALES
Los equipos en un grupo de trabajo necesitan disponer
de una cuenta de usuario local para poder trabajar en
ellos.
Los equipos pertenecientes a un dominio, además de
conocer a los usuarios globales del dominio, puedan tener
también sus propios usuarios locales.
Los usuarios locales de un equipo en dominio son
únicamente visibles en el equipo que han sido creados.
Cuando se accede al sistema utilizando una cuenta
local, dicha cuenta se valida contra la base de datos local
de ese ordenador.
 El usuario local no podrá acceder a recursos del
dominio, ya que allí no tiene cuenta
47

5. GRUPOS DE USUARIOS
48
Los grupos de usuario creados y almacenados en la
base de datos del Active Directory, son visibles desde
todos los equipos del dominio.
Implementan una agrupación de usuarios u objetos
para conceder permisos de utilización de recursos del
dominio.
El concepto de grupo evita tener que ir concediendo
los mismos privilegios a un nº determinado de equipos.
Si todos los usuarios estuvieran agrupados en un
mismo grupo, bastaría con conceder privilegios al grupo
sobre un recurso de red. De esta forma todos los
usuarios del grupo heredarán los privilegios del grupo.

5. GRUPOS DE USUARIOS
49
Los grupos de usuario creados y almacenados en la
base de datos del Active Directory, son visibles desde
todos los equipos del dominio.
Implementan una agrupación de usuarios u objetos
para conceder permisos de utilización de recursos del
dominio.
El concepto de grupo evita tener que ir concediendo
los mismos privilegios a un nº determinado de equipos.
Si todos los usuarios estuvieran agrupados en un
mismo grupo, bastaría con conceder privilegios al grupo
sobre un recurso de red. De esta forma todos los
usuarios del grupo heredarán los privilegios del grupo.

5. EQUIPOS
50
 La base de datos del Directorio Activo de un dominio,
también almacena información relativa a los equipos que
forman parte del dominio.
 Se almacena el nombre del ordenador y un
identificador único y privado que lo identifica
unívocamente y que solo conoce el controlador de
dominio.
 Gracias a esta identificación univoca, a cada equipo se
le pueden asignar permisos y derechos.

5. UNIDAD ORGANIZATIVA
51
Son objetos del directorio que, a su vez, pueden
contener otros objetos.
 Se utilizan fundamentalmente para:
Delegar la administración de sus objetos a
otros usuarios distintos del administrador del
dominio
Personalizar el comportamiento de los
usuarios y/o equipos mediante la aplicación de
directivas.

Dominios 2003 server

Más contenido relacionado

La actualidad más candente (15)

Destacado (19)

Similar a Dominios 2003 server (20)

Más de eduenlasiberia (16)

Último (20)

Dominios 2003 server