-
Contenido
Introduccin 1
Leccin: Arquitectura de Active Directory 2
Leccin: Cmo funciona Active Directory 11
Leccin: Examen de Active Directory 21
Leccin: Procesos de diseo, planeamiento e implementacin de
Active Directory 31
Introduccin a las infraestructuras de Active Directory
-
2 Introduccin a las infraestructuras de Active Directory
Introduccin
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Este mdulo sirve de introduccin a la estructura lgica y fsica
del servicio de directorio Active Directory y su funcin como
servicio de directorio. Adems, presenta los complementos, las
herramientas de lnea de comandos y Microsoft Windows Script Host
que se pueden utilizar para administrar los componentes de Active
Directory y los procesos de diseo, planeamiento e implementacin de
Active Directory.
Despus de finalizar este mdulo, podr:
Describir la arquitectura de Active Directory. Describir cmo
funciona Active Directory. Utilizar complementos administrativos
para examinar los componentes de
Active Directory. Describir los procesos de diseo, planeamiento
e implementacin de Active
Directory.
Introduccin
Objetivos
-
Introduccin a las infraestructuras de Active Directory 3
Leccin: Arquitectura de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Active Directory consta de componentes que constituyen su
estructura lgica y fsica. Se deben planear las estructuras lgica y
fsica de Active Directory para que cumplan los requisitos de la
organizacin. Para administrar Active Directory, se debe comprender
el propsito de estos componentes y cmo utilizarlos.
Despus de finalizar esta leccin, podr:
Describir la funcin de Active Directory. Describir la estructura
lgica de Active Directory. Describir la estructura fsica de Active
Directory. Describir las funciones de maestro de operaciones.
Introduccin
Objetivos de la leccin
-
4 Introduccin a las infraestructuras de Active Directory
Qu funciones desempea Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Active Directory almacena informacin acerca de los usuarios,
equipos y recursos de red y permite el acceso a los recursos por
parte de usuarios y aplicaciones. Asimismo, proporciona una forma
coherente de asignar nombres, describir, localizar, obtener acceso,
administrar y proteger la informacin de estos recursos.
Active Directory proporciona las siguientes funciones:
Centralizar el control de los recursos de red. Al centralizar el
control de recursos como servidores, archivos compartidos e
impresoras, slo los usuarios autorizados pueden obtener acceso a
los recursos de Active Directory.
Centralizar y descentralizar la administracin de recursos. Los
administradores pueden administrar equipos cliente distribuidos,
servicios de red y aplicaciones desde una ubicacin central mediante
una interfaz de administracin coherente o pueden distribuir tareas
administrativas mediante la delegacin del control de los recursos a
otros administradores.
Almacenar objetos de forma segura en una estructura lgica.
Active Directory almacena todos los recursos como objetos en una
estructura lgica, jerrquica y segura.
Optimizar el trfico de red. La estructura fsica de Active
Directory permite utilizar el ancho de banda de red de forma ms
efectiva. Por ejemplo, garantiza que, cuando un usuario inicie una
sesin en la red, la autoridad de autenticacin ms cercana a l lo
autentique, reduciendo as la cantidad de trfico de red.
Introduccin
Funcin de Active Directory
-
Introduccin a las infraestructuras de Active Directory 5
Presentacin multimedia: Estructura lgica de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Para iniciar la presentacin, abrir el archivo media08_1.html que
se puede encontrar dentro del fichero media08.zip.
Al final de esta presentacin, podr:
Definir los elementos de la estructura lgica de Active
Directory. Comentar el propsito de estos elementos.
Active Directory proporciona un almacenamiento seguro de
informacin acerca de los objetos en su estructura lgica jerrquica.
Los objetos de Active Directory representan a los usuarios y los
recursos, como equipos e impresoras. Algunos objetos son
contenedores de otros objetos. Una vez que se ha comprendido el
propsito y la funcin de estos objetos, se pueden realizar diversas
tareas, entre las que se incluyen la instalacin, configuracin,
administracin y solucin de problemas de Active Directory.
La estructura lgica de Active Directory comprende los siguientes
componentes:
Objetos. Son los componentes ms bsicos de la estructura lgica.
Las clases de objetos son plantillas o planos tcnicos para los
tipos de objetos que se pueden crear en Active Directory. Cada
clase de objetos se define mediante un grupo de atributos, que
definen los posibles valores que se pueden asociar a un objeto.
Cada objeto posee una nica combinacin de valores de atributos.
Unidades organizativas. Se pueden utilizar estos objetos
contenedores para estructurar otros objetos de modo que admitan los
propsitos administrativos. Mediante la estructuracin de los objetos
por unidades organizativas, se facilita su localizacin y
administracin. Tambin se puede delegar la autoridad para
administrar una unidad organizativa. Las unidades organizativas
pueden estar anidadas en otras unidades organizativas, lo que
simplifica la administracin de objetos.
Ubicacin de los archivos
Objetivos
Puntos clave
-
6 Introduccin a las infraestructuras de Active Directory
Dominios. Se trata de las unidades funcionales centrales en la
estructura lgica de Active Directory que son un conjunto de objetos
definidos de forma administrativa y que comparten una base de
datos, directivas de seguridad y relaciones de confianza comunes
con otros dominios. Los dominios proporcionan las siguientes tres
funciones:
Un lmite administrativo para objetos Un medio de administracin
de la seguridad para recursos compartidos Una unidad de replicacin
para objetos
rboles de dominios. Los dominios que estn agrupados en
estructuras jerrquicas se denominan rboles de dominios. Al agregar
un segundo dominio a un rbol, se convierte en secundario del
dominio raz del rbol. El dominio al que est adjunto un dominio
secundario se denomina dominio primario. Un dominio secundario
puede tener a su vez su propio dominio secundario. El nombre de un
dominio secundario se combina con el nombre de su dominio primario
para formar su propio nombre nico de Sistema de nombres de dominio
(DNS, Domain Name System), como corp.nwtraders.msft. De esta forma,
el rbol dispone de un a espacio de nombres contiguo.
Bosques. Un bosque es una instancia completa de Active
Directory. Consta de uno o varios rboles. En un rbol de slo dos
niveles, que se recomienda para la mayora de las organizaciones,
todos los dominios secundarios se convierten en secundarios del
dominio raz de bosque para formar un rbol contiguo. El primer
dominio del bosque se denomina dominio raz de bosque. El nombre de
ese dominio se refiere al bosque, como por ejemplo nwtraders.msft.
De forma predeterminada, la informacin de Active Directory se
comparte slo dentro del bosque. De este modo, el bosque es un lmite
de seguridad para la informacin contenida en la instancia de Active
Directory.
-
Introduccin a las infraestructuras de Active Directory 7
Presentacin multimedia: Estructura fsica de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Para iniciar la presentacin, abrir el archivo media08_2.html que
se puede encontrar dentro del fichero media08.zip.
Al final de esta presentacin, podr:
Definir los elementos de la estructura fsica de Active
Directory. Comentar el propsito de estos elementos.
A diferencia de la estructura lgica, que se basa en requisitos
administrativos, la estructura fsica de Active Directory optimiza
el trfico de red mediante la determinacin del lugar y el momento en
que se produce la replicacin y el trfico de conexin. Para optimizar
el uso del ancho de banda de red de Active Directory, se debe
comprender la estructura fsica. Los elementos de la estructura
fsica de Active Directory son los siguientes:
Controladores de dominio. En estos equipos se ejecuta Microsoft
Windows Server 2003 o Microsoft Windows 2000 Server y Active
Directory. Cada controlador de dominio realiza funciones de
almacenamiento y replicacin. Un controlador de dominio slo puede
admitir un dominio. Para asegurarse de la disponibilidad continua
de Active Directory, cada dominio debe disponer de ms de un
controlador de dominio.
Ubicacin de los archivos
Objetivos
Puntos clave
-
8 Introduccin a las infraestructuras de Active Directory
Sitios de Active Directory. Estos sitios son grupos de equipos
conectados correctamente. Al establecer sitios, los controladores
de dominio de un nico sitio se comunican con frecuencia. Esta
comunicacin minimiza la latencia dentro del sitio, es decir, el
tiempo necesario para que un cambio realizado en un controlador de
dominio pueda replicarse en otros controladores de dominio. Se
pueden crear sitios para optimizar el uso del ancho de banda entre
los controladores de dominio que estn en ubicaciones
diferentes.
Para obtener ms informacin acerca de los sitios de Active
Directory, consulte el mdulo 7, Implementacin de sitios para
administrar la replicacin de Active Directory del curso 2196A:
Planeamiento, implementacin y mantenimiento de infraestructuras de
Active Directory en Microsoft Windows Server 2003.
Particiones de Active Directory. Cada controlador de dominio
contiene las siguientes particiones de Active Directory:
La particin del dominio contiene replicados de todos los objetos
de ese dominio. La particin del dominio slo puede replicarse en
otro controlador de dominio del mismo dominio.
La particin de configuracin contiene la topologa del bosque. La
topologa es un registro de todos los controladores de dominio y las
conexiones entre ellos en un bosque.
La particin del esquema contiene el esquema de todo el bosque.
Cada bosque tiene un esquema para que la definicin de las clases de
objetos sea coherente. Las particiones de configuracin y del
esquema pueden replicarse en los controladores de dominio del
bosque.
Las particiones de aplicaciones opcionales contienen objetos no
relacionados con la seguridad y utilizados por una o varias
aplicaciones. Las particiones de aplicaciones pueden replicarse en
controladores de dominio especificados del bosque.
Para obtener ms informacin acerca de las particiones de Active
Directory, consulte el mdulo 7, Implementacin de sitios para
administrar la replicacin de Active Directory del curso 2196A:
Planeamiento, implementacin y mantenimiento de infraestructuras de
Active Directory en Microsoft Windows Server 2003.
Nota
Nota
-
Introduccin a las infraestructuras de Active Directory 9
Qu son los maestros de operaciones
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Cuando se realiza un cambio en un dominio, el cambio puede
replicarse a travs de todos los controladores del dominio. Algunos
cambios, como los que se realizan en el esquema, pueden replicarse
en todos los dominios del bosque. Esta replicacin se denomina
replicacin de varios maestros.
Durante la replicacin de varios maestros, se puede producir un
conflicto de replicacin si las actualizaciones que la originan se
llevan a cabo simultneamente en el mismo atributo de objeto en dos
controladores de dominio. Para evitar conflictos de replicacin, se
puede utilizar la replicacin de maestro nico, que designa un
controlador de dominio como el nico controlador en el que se pueden
realizar cambios en determinados directorios. De este modo, los
cambios no se pueden producir en distintos lugares de la red al
mismo tiempo. Active Directory utiliza la replicacin de maestro
nico para cambios importantes, como la adicin de un nuevo dominio o
un cambio en el esquema de todo el bosque.
Las operaciones que utiliza la replicacin de maestro nico se
organizan conjuntamente en funciones especficas de un bosque o
dominio. Estas funciones se denominan funciones de maestro de
operaciones. Slo el controlador de dominio que posee una funcin de
maestro de operaciones determinada puede realizar cambios en el
directorio asociado. El controlador de dominio responsable de una
funcin concreta se denomina maestro de operaciones para dicha
funcin. Active Directory almacena la informacin acerca del
controlador de dominio que posee una funcin especfica.
Introduccin
Operaciones de maestro nico
Funciones de maestro de operaciones
-
10 Introduccin a las infraestructuras de Active Directory
Active Directory define cinco funciones de maestro de
operaciones, con una ubicacin predeterminada para cada una. Las
funciones de maestro de operaciones abarcan todo el bosque o todo
el dominio.
Funciones para todo el bosque. Estas funciones son nicas para un
bosque y son las siguientes:
Maestro de esquema. Controla todas las actualizaciones del
esquema. El esquema contiene una lista general de clases de objetos
y atributos utilizados para crear todos los objetos de Active
Directory como, por ejemplo, usuarios, equipos e impresoras.
Maestro de nombres de dominio. Controla la adicin o la
eliminacin de dominios del bosque. Slo el controlador de dominio
que posee la funcin de maestro de nombres de dominio puede agregar
un nuevo dominio al bosque.
Slo existe un maestro de esquema y un maestro de nombres de
dominio en todo el bosque.
Funciones para todo el dominio. Estas funciones son nicas para
cada dominio de un bosque y son las siguientes:
Emulador del controlador de dominio principal (PDC, Primary
domain controller). Funciona como un PDC de Microsoft Windows NT
que admite controladores de reserva (BDC, Backup domain controller)
que se ejecutan en Windows NT dentro de un dominio de modo mixto.
Este tipo de dominio dispone de controladores con Windows NT 4.0.
El emulador del PDC es el primer controlador de dominio que se crea
en un dominio nuevo.
Maestro de identificadores relativos. Al crear un objeto nuevo,
el controlador de dominio crea una nueva entidad principal de
seguridad que representa el objeto y le asigna un nico
identificador de seguridad (SID, security identifier). Este SID
consta de un SID de dominio, que es el mismo para todas las
entidades principales de seguridad creadas en el dominio, y un
identificador relativo (RID, relative identifier), que es nico para
cada entidad principal de seguridad creada en el dominio. El
maestro de RID asigna bloques de identificadores relativos a cada
controlador del dominio. A continuacin, el controlador de dominio
asigna un RID a los objetos creados a partir de su bloque asignado
de identificadores relativos.
-
Introduccin a las infraestructuras de Active Directory 11
Maestro de infraestructuras. Al desplazar objetos de un dominio
a otro, el maestro de infraestructuras actualiza las referencias a
objetos de su dominio que apuntan al objeto en el otro dominio. La
referencia al objeto contiene el identificador nico global (GUID,
globally unique identifier) del objeto, nombre completo y un SID.
Active Directory actualiza peridicamente el nombre completo y el
SID en la referencia al objeto para que se reflejen los cambios
realizados en el objeto real, como el desplazamiento dentro del
dominio o entre ellos y la eliminacin del objeto.
Cada dominio de un bosque dispone de su propio emulador del PDC,
maestro de RID y maestro de infraestructuras.
Para obtener ms informacin acerca de las funciones de maestro de
operaciones, consulte el mdulo 9, Administracin de los maestros de
operaciones, del curso 2196A: Planeamiento, implementacin y
mantenimiento de infraestructuras de Active Directory en Microsoft
Windows Server 2003.
Nota
-
12 Introduccin a las infraestructuras de Active Directory
Leccin: Cmo funciona Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
En esta leccin se presenta la funcin de Active Directory como
servicio de directorio. La comprensin del funcionamiento de Active
Directory facilitar la administracin de recursos y la solucin de
problemas con el acceso a los recursos.
Despus de finalizar esta leccin, podr:
Describir la funcin de Active Directory como servicio de
directorio. Definir el propsito del esquema de Active Directory y
cmo se utiliza. Definir el propsito del catlogo global. Determinar
el nombre completo y el nombre completo relativo de un objeto
de Active Directory. Describir cmo Active Directory permite que
se pueda iniciar sesin una
nica vez.
Introduccin
Objetivos de la leccin
-
Introduccin a las infraestructuras de Active Directory 13
Qu es un servicio de directorio
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Muchos usuarios y aplicaciones comparten los recursos en grandes
redes. Para permitir a los usuarios y aplicaciones obtener acceso a
estos recursos y a la informacin acerca de ellos, necesita una
forma coherente de asignar nombres, describir, localizar, obtener
acceso, administrar y proteger la informacin de estos recursos. Un
servicio de directorio realiza esta funcin.
Un servicio de directorio es un repositorio de informacin
estructurado sobre personas y recursos de una organizacin. En una
red de Windows Server 2003, el directorio de servicio es Active
Directory.
Active Directory dispone de las siguientes capacidades:
Permite a usuarios y aplicaciones obtener acceso a informacin
sobre objetos. Esta informacin se almacena en forma de valores de
atributos. Se pueden buscar objetos basndose en su clase,
atributos, valores de atributos, ubicacin dentro de la estructura
de Active Directory o cualquier combinacin de estos valores.
Clarifica la topologa de red fsica y los protocolos. De este
modo, un usuario de una red puede obtener acceso a cualquier
recurso, como una impresora, sin saber el lugar donde se encuentra
o el modo en que est conectado fsicamente a la red.
Introduccin
Qu es un servicio de directorio
Capacidades de Active Directory
-
14 Introduccin a las infraestructuras de Active Directory
Permite el almacenamiento de un gran nmero de objetos. Puesto
que se organiza en particiones, Active Directory se puede ampliar a
medida que la organizacin crece. Por ejemplo, un directorio se
puede ampliar de un solo servidor con varios cientos de objetos a
miles de servidores y millones de objetos.
Se puede ejecutar como un servicio del sistema no operativo.
Active Directory en modo de aplicacin (AD/AM) es una nueva
capacidad de Microsoft Active Directory que trata determinadas
situaciones de implementacin relacionadas con aplicaciones
habilitadas para directorios. AD/AM se ejecuta como un servicio del
sistema no operativo y, como tal, no requiere implementacin en un
controlador de dominio. La ejecucin como servicio del sistema no
operativo significa que se pueden ejecutar varias instancias de
AD/AM a la vez en un nico servidor y cada una de ellas se puede
configurar por separado.
Para obtener ms informacin acerca de AD/AM, consulte
Introduction to Active Directory in Application Mode (en ingls) en
http://www.microsoft.com/windowsserver2003/techinfo/overview/adam.mspx.
Nota
-
Introduccin a las infraestructuras de Active Directory 15
Qu es un esquema
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
El esquema de Active Directory define las clases de objetos, los
tipos de informacin sobre dichos objetos y la configuracin de
seguridad predeterminada para ellos que se puede almacenar en
Active Directory.
El esquema de Active Directory contiene las definiciones de
todos los objetos, como usuarios, equipos e impresoras, almacenadas
en Active Directory. En los controladores de dominio con Windows
Server 2003, slo existe un esquema para un bosque completo. De este
modo, todos los objetos creados en Active Directory ajustan a las
mismas reglas.
El esquema tiene dos tipos de definiciones: clases de objetos y
atributos. Las clases de objetos, como usuario, equipo e impresora,
describen los objetos de directorio que se pueden crear. Cada clase
de objeto es un conjunto de atributos.
Los atributos se definen independientemente de las clases de
objetos. Cada atributo se define slo una vez y se puede utilizar en
varias clases de objetos. Por ejemplo, el atributo Descripcin se
utiliza en muchas clases de objetos, pero se define slo una vez en
el esquema para garantizar la coherencia.
Se pueden crear nuevos tipos de objetos en Active Directory
mediante la ampliacin del esquema. Por ejemplo, para una aplicacin
de servidor de correo electrnico, se puede extender la clase de
usuario en Active Directory con nuevos atributos que almacenan
informacin adicional, como direcciones de correo electrnico de los
usuarios.
Para obtener ms informacin acerca de la extensin del esquema de
Active Directory, consulte Extending the Schema (en ingls) en la
referencia en lnea de MSDN Library.
Introduccin
Qu es el esquema de Active Directory
Esquema y extensibilidad de Active Directory
Nota
-
16 Introduccin a las infraestructuras de Active Directory
En los controladores de dominio de Windows Server 2003, se
pueden deshacer los cambios realizados en el esquema mediante su
desactivacin, lo que permite que las organizaciones saquen provecho
de las caractersticas de extensibilidad de Active Directory.
Tambin se puede volver a definir una clase o un atributo del
esquema. Por ejemplo, se puede cambiar la sintaxis de una cadena
Unicode de un atributo denominado Administrador de ventas por
Nombre completo.
Cambios en el esquema y desactivacin
-
Introduccin a las infraestructuras de Active Directory 17
Qu es el catlogo global
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Los recursos de Active Directory se pueden compartir en dominios
y bosques. La caracterstica de catlogo global en Active Directory
facilita al usuario la bsqueda de recursos en dominios y bosques.
Por ejemplo, si busca todas las impresoras de un bosque, un
servidor de catlogo global procesa la consulta en el catlogo global
y, a continuacin, devuelve los resultados. Sin un servidor de
catlogo global, esta consulta requerira una bsqueda en cada dominio
del bosque.
El catlogo global es un repositorio de informacin que contiene
un subconjunto de los atributos de todos los objetos de Active
Directory. Los miembros del grupo Administradores de esquema pueden
cambiar los atributos almacenados en el catlogo global, en funcin
de los requisitos de la organizacin. El catlogo global contiene los
siguientes elementos:
Los atributos utilizados con ms frecuencia en consultas, como el
nombre, apellido y nombre de inicio de sesin de un usuario.
La informacin necesaria para determinar la ubicacin de cualquier
objeto en el directorio.
Un subconjunto predeterminado de atributos para cada tipo de
objeto. Los permisos de acceso para cada objeto y atributo
almacenado en el
catlogo global. Si busca un objeto para el que no dispone de los
permisos adecuados para verlo, el objeto no aparecer en los
resultados de la bsqueda. Los permisos de acceso aseguran que los
usuarios slo puedan encontrar los objetos para los que se les ha
asignado acceso.
Un servidor de catlogo global es un controlador de dominio que
procesa de forma efectiva consultas dentro de un mismo bosque del
catlogo global. El primer controlador de dominio que se crea en
Active Directory se convierte automticamente en un servidor de
catlogo global. Se pueden configurar servidores de catlogo global
adicionales para equilibrar el trfico de la autenticacin de inicio
de sesin y consultas.
Introduccin
Qu es el catlogo global
Qu es un servidor de catlogo global
-
18 Introduccin a las infraestructuras de Active Directory
El catlogo global permite a los usuarios realizar dos
importantes funciones:
Buscar la informacin de Active Directory en cualquier lugar del
bosque, independientemente de la ubicacin de los datos.
Utilizar la informacin de pertenencia al grupo universal para
iniciar la sesin en la red.
Para obtener ms informacin acerca del catlogo global, consulte
el mdulo 8, Implementacin de la ubicacin de controladores de
dominio, en el curso 2196A: Planeamiento, implementacin y
mantenimiento de infraestructuras de Active Directory en Microsoft
Windows Server 2003.
Funciones del catlogo global
Nota
-
Introduccin a las infraestructuras de Active Directory 19
Qu son los nombres completos y los nombres completos
relativos
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Los equipos cliente utilizan el Protocolo ligero de acceso a
directorios (LDAP, Lightweight Directory Access Protocol) para
buscar y modificar objetos en una base de datos de Active
Directory. LDAP es un subconjunto de X.500, un estndar del sector
que define cmo estructurar directorios. LDAP utiliza la informacin
acerca de la estructura de un directorio para buscar objetos
individuales, cada uno de los cuales tiene un nombre nico.
LDAP utiliza un nombre que representa un objeto de Active
Directory mediante una serie de componentes que se relacionan con
la estructura lgica. Esta representacin, denominada el nombre
completo del objeto, identifica el dominio en el que el objeto est
ubicado y la ruta completa para llegar a l. Los nombres completos
deben ser nicos en un bosque de Active Directory.
El nombre completo relativo de un objeto nicamente identifica el
objeto en su contenedor. Dos objetos del mismo contenedor no pueden
tener el mismo nombre. El nombre completo relativo es siempre el
primer componente del nombre completo, pero puede que no siempre
sea un nombre comn.
Para un usuario llamado Cristina Martnez de la unidad
organizativa Sales en el dominio Contoso.msft, cada elemento de la
estructura lgica se representa con el nombre completo
siguiente:
CN=Cristina Martnez,OU=Sales,DC=contoso,DC=msft
CN es el nombre comn del objeto en su contenedor. OU es la
unidad organizativa que contiene el objeto. Puede haber ms de
un
valor de OU si el objeto reside en una unidad organizativa
anidada. DC es un componente de dominio, como com o msft. Siempre
hay por
lo menos dos componentes de dominio, pero es posible que existan
ms si el dominio es secundario.
Los componentes de dominio del nombre completo se basan en el
Sistema de nombres de dominio (DNS, Domain Name System).
Introduccin
Definicin
Ejemplo de un nombre completo
-
20 Introduccin a las infraestructuras de Active Directory
En el siguiente ejemplo, Sales es el nombre completo relativo de
una unidad organizativa que se representa mediante la siguiente
ruta de nombre de LDAP:
OU=Sales,DC=contoso,DC=msft
Ejemplo de un nombre completo relativo
-
Introduccin a las infraestructuras de Active Directory 21
Presentacin multimedia: Cmo permite Active Directory que se
pueda iniciar sesin una nica vez
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Para iniciar la presentacin, abrir el archivo media08_3.html que
se puede encontrar dentro del fichero media08.zip.
Al final de esta presentacin, podr:
Describir el proceso mediante el cual Active Directory permite
que se pueda iniciar sesin una nica vez.
Explicar la importante de iniciar sesin una nica vez.
Al permitir que se inicie sesin una nica vez, Active Directory
facilita al usuario los complejos procesos de autenticacin y
autorizacin. Los usuarios no necesitan administrar varios conjuntos
de credenciales.
Un inicio de sesin una nica vez consta de los siguientes
aspectos:
Autenticacin, que comprueba las credenciales del intento de
conexin. Autorizacin, que comprueba que el intento de conexin est
permitido.
Como ingeniero de sistemas, debe comprender cmo funcionan estos
procesos para optimizar y solucionar los problemas de la estructura
de Active Directory.
Ubicacin de los archivos
Objetivos
Puntos clave
-
22 Introduccin a las infraestructuras de Active Directory
Leccin: Examen de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Windows Server 2003 proporciona a los administradores las
herramientas de lnea de comandos y los complementos para
administrar Active Directory. En esta leccin se presentan estas
herramientas de lnea de comandos y estos complementos y se explica
cmo utilizarlos para examinar la estructura lgica y fsica de Active
Directory.
Despus de finalizar esta leccin, podr:
Explicar cmo est diseado Active Directory para permitir la
administracin centralizada y descentralizada.
Describir las herramientas de lnea de comandos y los
complementos administrativos comunes de Active Directory.
Examinar la estructura lgica y fsica de Active Directory.
Introduccin
Objetivos de la leccin
-
Introduccin a las infraestructuras de Active Directory 23
Administracin de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Mediante Active Directory, se puede administrar un gran nmero de
usuarios, equipos, impresoras y recursos de red desde una ubicacin
central, con herramientas y complementos administrativos en Windows
Server 2003. Active Directory tambin admite la administracin
descentralizada. Un administrador con la autoridad adecuada puede
delegar un conjunto de privilegios administrativos seleccionado a
otros usuarios o grupos de una organizacin.
Active Directory incluye varias caractersticas que admiten la
administracin centralizada:
Contiene informacin acerca de todos los objetos y sus atributos.
Los atributos contienen datos que describen el recurso que el
objeto identifica. Puesto que la informacin acerca de todos los
recursos de red se almacena en Active Directory, un administrador
puede administrar los recursos de forma centralizada.
Se puede consultar Active Directory mediante protocolos como
LDAP. Se puede localizar fcilmente la informacin acerca de objetos
mediante la bsqueda de atributos seleccionados del objeto,
utilizando herramientas que admitan el protocolo LDAP.
Se pueden organizar en unidades organizativas objetos que posean
requisitos administrativos y de seguridad similares. Las unidades
organizativas proporcionan varios niveles de autoridad
administrativa, de modo que se puede aplicar la configuracin de
directivas de grupo y delegar el control administrativo. Esta
delegacin simplifica la tarea de administracin de estos objetos y
permite estructurar Active Directory para que se ajuste a los
requisitos de la organizacin.
Se puede especificar la configuracin de directivas de grupo para
un sitio, un dominio o una unidad organizativa. Active Directory
impone esta configuracin de directivas de grupo a todos los
usuarios y equipos del contenedor.
Introduccin
Cmo admite Active Directory la administracin centralizada
-
24 Introduccin a las infraestructuras de Active Directory
Active Directory tambin admite la administracin descentralizada.
Se pueden asignar permisos y conceder derechos de usuario de formas
muy especficas. Por ejemplo, se pueden delegar privilegios
administrativos para determinados objetos a los equipos de ventas y
mercadotecnia de una organizacin.
Se puede delegar la asignacin de permisos en los siguientes
casos:
Para unidades organizativas especficas a distintos grupos
locales de dominio. Por ejemplo, se puede delegar el permiso
Control total para la unidad organizativa Sales.
Para modificar los atributos especficos de un objeto en una
unidad organizativa. Por ejemplo, se puede asignar el permiso para
cambiar el nombre, la direccin y el nmero de telfono y para
restablecer contraseas de un objeto de cuenta de usuario.
Para realizar la misma tarea, como restablecer contraseas, en
todas las unidades organizativas de un dominio.
Cmo admite Active Directory la administracin descentralizada
-
Introduccin a las infraestructuras de Active Directory 25
Herramientas y complementos administrativos de Active
Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Windows Server 2003 proporciona varias herramientas de lnea de
comandos y complementos para administrar Active Directory. Tambin
se puede administrar Active Directory mediante los objetos de
Active Directory Service Interface (ADSI) de las secuencias de
comandos de Microsoft Windows Script Host. ADSI es una sencilla
pero potente interfaz para la creacin de secuencias de comandos
reutilizables para administrar Active Directory.
En la siguiente tabla se describen algunos complementos
administrativos comunes para administrar Active Directory.
Complemento Descripcin Usuarios y equipos de Active
Directory
Complemento Microsoft Management Console (MMC) que se utiliza
para administrar y publicar informacin en Active Directory. Se
pueden administrar cuentas de usuario, grupos y cuentas de equipo,
agregar equipos a un dominio, administrar directivas de cuenta y
derechos de usuario y directivas de auditora.
Dominios y confianzas de Active Directory
MMC que se utiliza para administrar confianzas de dominio y de
bosque, agregar sufijos de nombre principal de usuario y cambiar
los niveles funcionales de dominio y bosque.
Sitios y servicios de Active Directory
MMC que se utiliza para administrar la replicacin de datos de
directorios.
Esquema de Active Directory
MMC que se utiliza para administrar el esquema. No est
disponible de forma predeterminada en el men Herramientas
administrativas. Se debe agregar manualmente.
Tambin se puede utilizar el Editor ADSI para ver, crear,
modificar y eliminar objetos en Active Directory. El Editor ADSI no
se instala de forma predeterminada. Para instalar el Editor ADSI,
instale las herramientas de soporte de Windows Server 2003 desde la
carpeta \Support\Tools del disco compacto del producto.
Introduccin
Complementos administrativos
Nota
-
26 Introduccin a las infraestructuras de Active Directory
Se pueden personalizar las consolas administrativas para que
coincidan con las tareas administrativas que se delegan a otros
administradores. Tambin se pueden combinar todas las consolas
necesarias para cada funcin administrativa en una nica consola.
En la siguiente tabla se describen algunas herramientas de lnea
de comandos comunes que se utilizan para administrar Active
Directory.
Herramienta Descripcin Dsadd Permite agregar objetos, como
equipos, usuarios, grupos, unidades organizativas y
contactos, a Active Directory.
Dsmod Permite modificar objetos, como equipos, servidores,
usuarios, grupos, unidades organizativas y contactos, en Active
Directory.
Dsquery Permite ejecutar consultas en Active Directory con los
criterios especificados. Puede realizar consultas sobre servidores,
equipos, grupos, usuarios, sitios, unidades organizativas y
particiones.
Dsmove Permite mover un solo objeto, dentro de un dominio, a una
nueva ubicacin de Active Directory o cambiar el nombre de un solo
objeto sin moverlo.
Dsrm Permite eliminar un objeto de Active Directory.
Dsget Permite mostrar los atributos seleccionados de un equipo,
contacto, grupo, unidad organizativa, servidor o usuario de Active
Directory.
Csvde Permite importar y exportar datos de Active Directory en
formato de texto separado por comas.
Ldifde Permite crear, modificar y eliminar objetos de Active
Directory. Tambin permite ampliar el esquema de Active Directory,
exportar informacin de usuarios y grupos a otras aplicaciones o
servicios y rellenar Active Directory con los datos de otros
servicios de directorio.
Para obtener ms informacin acerca de las herramientas de lnea de
comandos proporcionadas por Windows Server 2003, consulte
Administrar Active Directory desde la lnea de comandos en Centro de
ayuda y soporte tcnico.
Aunque Windows Server 2003 proporciona varios complementos y
herramientas de lnea de comandos para administrar Active Directory,
no son adecuados para realizar operaciones por lotes de cambios en
Active Directory que impliquen condiciones complejas. En estos
casos, puede realizar cambios ms rpidamente mediante secuencias de
comandos. Por ejemplo, puede cambiar el primer dgito del nmero de
la extensin telefnica de 3 a 5 y de 4 a 5 para todos los empleados
que se hayan trasladado al edificio 5.
Se pueden crear secuencias de comandos de Windows Script Host
que utilicen ADSI para realizar las siguientes tareas:
Recuperar informacin acerca de los objetos de Active Directory.
Agregar objetos a Active Directory. Modificar valores de atributos
para objetos de Active Directory. Eliminar objetos de Active
Directory. Extender el esquema de Active Directory.
ADSI utiliza el protocolo LDAP para comunicarse con Active
Directory.
Herramientas administrativas de lnea de comandos
Nota
Microsoft Windows Script Host
-
Introduccin a las infraestructuras de Active Directory 27
Cmo examinar Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Se puede ver la estructura fsica y lgica de Active Directory
mediante Usuarios y equipos de Active Directory, Sitios y servicios
de Active Directory y Dominios y confianzas de Active
Directory.
Para ver la estructura lgica y fsica de Active Directory, siga
los siguientes pasos:
1. Abra Usuario y equipos de Active Directory y examine las
unidades organizativas en Active Directory. Para ello, siga los
siguientes pasos: a. Haga clic en Inicio, seleccione Todos los
programas, Herramientas
administrativas y, a continuacin, haga clic en Usuarios y
equipos de Active Directory.
b. En el rbol de consola, expanda Usuarios y equipos de Active
Directory. c. En el rbol de consola, expanda el dominio cuyas
unidades organizativas
desea ver. d. Visualice la pgina Propiedades de cada contenedor
en el rbol de
consola. e. Determine el tipo de objeto mediante la informacin
de clase de objeto
en la ficha Objeto. La clase de objeto de las unidades
organizativas es Unidad organizativa.
2. Abra Dominios y confianzas de Active Directory para ver la
estructura lgica de Active Directory. Para ello, siga los
siguientes pasos: a. Haga clic en Inicio, seleccione Todos los
programas, Herramientas
administrativas y, a continuacin, haga clic en Dominios y
confianzas de Active Directory.
b. En el panel de la izquierda, expanda el nodo que representa
el dominio raz de bosque para ver los dominios que constituye la
estructura lgica de Active Directory.
Introduccin
Procedimiento
-
28 Introduccin a las infraestructuras de Active Directory
3. Abra Sitios y servicios de Active Directory para ver la
estructura fsica de Active Directory. Para ello, siga los
siguientes pasos: a. Haga clic en Inicio, seleccione Todos los
programas, Herramientas
administrativas y, a continuacin, haga clic en Sitios y
servicios de Active Directory.
b. En el rbol de consola, expanda Sites y, a continuacin, la
carpeta que representa el sitio para el que desea ver una lista de
servidores.
c. Haga clic en Servers para ver una lista de servidores en el
panel de la derecha.
Para obtener ms informacin acerca del examen de Active
Directory, consulte Cmo examinar Active Directory en el mdulo 1 de
los apndices del disco compacto Material del alumno.
Nota
-
Introduccin a las infraestructuras de Active Directory 29
Ejercicio: Examen de la estructura de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
En este ejercicio, examinar la estructura lgica y fsica de
Active Directory.
Hoy es su primer da como ingeniero de sistemas en Northwind
Traders. El administrador ha pedido un estudio de la estructura
lgica y fsica de Active Directory en Northwind Traders.
Examinar la estructura predeterminada de los objetos de Active
Directory mediante Usuarios y equipos de Active Directory
1. Inicie sesin como nwtradersx\NombreDeEquipoUser con la
contrasea P@ssw0rd
2. Instale el paquete de herramientas de administracin de
Windows Server 2003. Para ello, siga los siguientes pasos: a. Haga
clic en Inicio, haga clic con el botn secundario del mouse
(ratn)
en Smbolo del sistema y, a continuacin, haga clic en Ejecutar
como. b. En el cuadro de dilogo Ejecutar como, haga clic en El
siguiente
usuario, escriba un nombre de usuario de nwtraders\administrador
y una contrasea P@ssw0rd y, a continuacin, haga clic en
Aceptar.
c. Inserte el CD de Windows 2003 Server en la lectora de CD-ROM
d. En el smbolo del sistema, escriba CDROM:\i386\Adminpak.msi y,
a
continuacin, presione ENTRAR. (CDROM es el nombre de la unidad
lectora de CDs)
e. En el cuadro de dilogo Descarga de archivos, haga clic en
Abrir y, a continuacin, complete la instalacin.
f. Cierre la ventana de smbolo del sistema. 3. Abra Usuarios y
equipos de Active Directory. 4. Habilite Caractersticas
avanzadas.
Objetivos
Situacin de ejemplo
Ejercicio
-
30 Introduccin a las infraestructuras de Active Directory
5. Expanda nwtraders.msft y busque el objeto Locations. Qu es el
tipo de objeto?
_____________________________________________________________
_____________________________________________________________
6. Expanda Locations. Qu tipos de objetos contiene la carpeta?
_____________________________________________________________
_____________________________________________________________
7. Los objetos de la carpeta Locations representan las
ubicaciones geogrficas de una organizacin. Cada ubicacin contiene
tres objetos. Cul es el propsito de estos objetos?
_____________________________________________________________
_____________________________________________________________
8. Abra cualquiera de los contenedores que representan una
ubicacin y, a continuacin, abra el contenedor Users. Qu observa en
los objetos ubicados en este contenedor?
_____________________________________________________________
Examinar la estructura predeterminada de Active Directory
mediante Sitios y servicios de Active Directory
1. Abra Sitios y servicios de Active Directory. 2. Expanda
Sites, haga clic con el botn secundario en Nombre-
predeterminado-primer-sitio y, a continuacin, haga clic en
Propiedades.
-
Introduccin a las infraestructuras de Active Directory 31
3. En la ficha Seguridad, examine los permisos para el grupo
Admins. del dominio. Cules son los permisos?
____________________________________________________________
____________________________________________________________
4. Examine los permisos asignados al grupo Admins. del dominio
para el objeto Nombre-predeterminado-primer-sitio\Servers\London.
Qu observa?
____________________________________________________________
____________________________________________________________
Examinar la estructura predeterminada de Active Directory
mediante Dominios y confianzas de Active Directory
1. Abra Dominios y confianzas de Active Directory. 2. Expanda
nwtraders.msft y, a continuacin, examine las propiedades de
nwtraders.msft. Qu observa?
____________________________________________________________
3. Opte por administrar el dominio corp.nwtraders.msft. Qu
ocurre?
____________________________________________________________
-
32 Introduccin a las infraestructuras de Active Directory
Leccin: Procesos de diseo, planeamiento e implementacin de
Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
En esta leccin se proporciona informacin general de los procesos
de diseo, planeamiento e implementacin de Active Directory.
Despus de finalizar esta leccin, podr:
Diferenciar entre el diseo, el planeamiento y la implementacin
de Active Directory.
Describir las fases del proceso de diseo de Active Directory.
Describir las fases del proceso de planeamiento de Active
Directory. Describir las fases del proceso de implementacin de
Active Directory.
Introduccin
Objetivo de la leccin
-
Introduccin a las infraestructuras de Active Directory 33
Informacin general del diseo, planeamiento e implementacin de
Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
La implementacin de Active Directory se inicia con la creacin
del diseo de Active Directory. Puede utilizar el diseo para planear
la implementacin de Active Directory y, a continuacin, implementar
Active Directory.
Uno o varios arquitectos de sistemas crean el diseo de Active
Directory, de acuerdo con los requisitos empresariales de una
organizacin. Estos requisitos empresariales determinan las
especificaciones funcionales del diseo.
El plan de implementacin de Active Directory determina cmo se
implementa el diseo de Active Directory, de acuerdo con la
infraestructura de hardware de la organizacin. Por ejemplo, el
diseo de Active Directory puede especificar el nmero de
controladores de dominio para cada dominio basndose en una
configuracin de servidor especfica. Sin embargo, si esta
configuracin no est disponible, en la fase de planeamiento, se
puede alterar el nmero de servidores para cumplir los requisitos
empresariales de la organizacin.
Despus de implementar Active Directory, se debe administrar y
mantener para garantizar la disponibilidad, la fiabilidad y la
seguridad de la red. En este curso se describen las fases de
planeamiento e implementacin. El diseo detallado de Active
Directory no se incluye en este curso.
Durante la implementacin de Active Directory, los ingenieros de
sistemas deben realizar las siguientes acciones:
Crear la estructura de dominios y de bosques e implementar los
servidores. Crear la estructura de unidad organizativa. Crear las
cuentas de usuario y equipo. Crear los grupos de distribucin y
seguridad. Crear objetos de directiva de grupo (GPO, Group Policy
object) y, a
continuacin, aplicarlos a dominios, sitios y unidades
organizativas. Crear directivas de distribucin de software.
Introduccin
Diseo de Active Directory
Plan de implementacin de Active Directory
Implementacin de Active Directory
-
34 Introduccin a las infraestructuras de Active Directory
Proceso de diseo de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
El diseo de Active Directory supone varias tareas, que definen
los requisitos funcionales para un componente de una implementacin
de Active Directory.
El proceso de diseo de Active Directory incluye las siguientes
tareas:
Recopilacin de informacin organizativa. Esta primera tarea
define la necesidad del servicio de directorio y los requisitos
empresariales del proyecto. Entre los ejemplos de informacin
organizativa se incluye un perfil organizativo avanzado,
ubicaciones geogrficas de la organizacin, infraestructura tcnica y
de red y planes de cambios en la organizacin.
Anlisis de informacin organizativa. Analice la informacin
recopilada para evaluar su relevancia y valor para el proceso de
diseo. Determine la informacin ms importante y los componentes del
diseo de Active Directory a los que afectar la informacin. Debe
estar preparado para aplicar la informacin en todo el proceso de
diseo.
Anlisis de las opciones de diseo. Al analizar requisitos
empresariales especficos, varias opciones de diseo pueden
satisfacer los requisitos empresariales. Por ejemplo, se puede
cumplir un requisito administrativo con un diseo de dominios o una
estructura de unidad organizativa. Cada opcin seleccionada puede
afectar a otros componentes del diseo, por lo que debe existir
cierta flexibilidad en el enfoque del diseo en todo el proceso.
Introduccin
Tareas del proceso de diseo de Active Directory
-
Introduccin a las infraestructuras de Active Directory 35
Seleccin de un diseo. Desarrolle varios diseos de Active
Directory y, a continuacin, compare sus puntos fuertes y dbiles. Al
seleccionar un diseo, examine los requisitos empresariales
conflictivos y considere sus efectos en las opciones de diseo.
Puede que no haya un claro ganador entre las opciones de diseo.
Seleccione el diseo que cumpla la mayora de los requisitos
empresariales y represente la mejor opcin en general.
Perfeccionamiento del diseo. Probablemente tenga que cambiar la
primera versin del plan de diseo antes de la fase experimental de
la implementacin. El proceso de diseo es iterativo porque se deben
considerar demasiadas variables al disear una infraestructura de
Active Directory. Revise y perfeccione cada concepto de diseo
varias veces para adaptarlo a todos los requisitos
empresariales.
La salida de la fase de diseo de Active Directory incluye los
siguientes elementos:
Diseo de bosques y dominios. El diseo de bosques incluye
informacin como, por ejemplo, el nmero de bosques necesarios, las
directrices para crear confianzas y el nombre de dominio completo
(FQDN, fully qualified domain name) para el dominio raz de bosque
para cada bosque. En el diseo tambin se incluye la directiva de
control de cambios de bosque, que identifica los procesos de
propiedad y de aprobacin para los cambios de configuracin que
afectan a todo el bosque. Identifique quin es el responsable de
determinar la directiva de control de cambios de bosque para cada
bosque de la organizacin. Si hay varios bosques en el plan de
diseo, puede evaluar si las confianzas de bosque son necesarias
para compartir los recursos de red en los bosques. En el diseo de
dominios se indica el nmero de dominios necesarios en cada bosque,
los dominios que estarn en el dominio raz de bosque para cada
bosque y la jerarqua de dominios si existen varios dominios en el
diseo. En el diseo de dominios tambin se incluye el nombre DNS de
cada dominio y cualquier relacin de confianza entre dominios.
Diseo de unidades organizativas. Permite especificar cmo se
crearn las unidades organizativas para cada dominio del bosque.
Incluya una descripcin de la autoridad administrativa que se
aplicar a cada unidad organizativa y a la que se delegar dicha
autoridad. Finalmente, incluya la estrategia para aplicar
directivas de grupo a la estructura de unidades organizativas.
Diseo de sitios. Permite especificar el nmero y la ubicacin de
los sitios en la organizacin, los vnculos del sitio necesarios y el
costo de los vnculos.
Salida del proceso de diseo de Active Directory
-
36 Introduccin a las infraestructuras de Active Directory
Proceso de planeamiento de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
La salida del proceso de planeamiento es el plan de
implementacin de Active Directory. Este plan consta de varios
planes que definen los requisitos funcionales para un componente
especfico de una implementacin de Active Directory.
En un plan de Active Directory se incluyen los siguientes
componentes:
Estrategia de cuentas. Permite incluir informacin, como
directrices para nombres de cuentas y directivas de bloqueo, la
directiva de contraseas y las directrices para la configuracin de
seguridad de objetos.
Estrategia de auditora. Permite determinar cmo supervisar las
modificaciones en objetos de Active Directory.
Plan de implementacin de unidades organizativas. Permite definir
qu unidades organizativas crear y cmo crearlas. Por ejemplo, si el
diseo de unidades organizativas especifica que las unidades
organizativas se crearn de forma geogrfica y se organizarn por
unidad empresarial dentro de cada rea geogrfica, el plan de
implementacin de unidades organizativas define las unidades
organizativas que se van a implementar, como Sales, Human Resources
y Production. El plan tambin proporciona directrices para la
delegacin de autoridad.
Plan de directivas de grupo. Permite determinar quin crea,
vincula y administra los objetos de directiva de grupo y cmo se
implementar la directiva de grupo.
Plan de implementacin de sitios. Permite especificar los sitios,
vnculos a sitios y la programacin de vnculos. Tambin permite
especificar la programacin y el intervalo de replicacin y las
directrices para garantizar y configurar la replicacin entre
sitios.
Introduccin
Componentes de un plan de Active Directory
-
Introduccin a las infraestructuras de Active Directory 37
Plan de implementacin del software. Permite especificar cmo
utilizar las directivas de grupo para implementar un nuevo software
y las actualizaciones del software. Por ejemplo, se puede
especificar si las actualizaciones de software son obligatorias u
opcionales.
Plan de ubicacin de servidores. Permite especificar la ubicacin
de controladores de dominio, servidores de catlogo global,
servidores DNS integrados en Active Directory y maestros de
operaciones. Tambin permite especificar si se habilitar el
almacenamiento en cach de la pertenencia al grupo universal de
sitios que no dispongan de un servidor de catlogo global.
Una vez completado el plan de cada componente, combnelos para
formar el plan de implementacin de Active Directory completo.
-
38 Introduccin a las infraestructuras de Active Directory
Proceso de implementacin de Active Directory
******el uso por quienes no sean instructores no est autorizado
y resulta ilegal******
Una vez que el plan de implementacin de Active Directory est
disponible, se puede iniciar la implementacin de Active Directory
de acuerdo con el plan de diseo.
Realice las siguientes tareas al implementar Active
Directory:
Implementar la estructura de bosques, dominios y DNS. Cree el
dominio raz de bosque, rboles de dominios y dominios secundarios
que constituyan la jerarqua de bosques y dominios.
Crear unidades organizativas y grupos de seguridad. Cree la
estructura de unidades organizativas para cada dominio en cada
bosque, cree grupos de seguridad y delegue autoridad administrativa
a grupos administrativos de cada unidad organizativa.
Crear cuentas de usuario y equipo. Importe cuentas de usuario a
Active Directory.
Crear objetos de directiva de grupo. Cree GPO basados en la
estrategia de directivas de grupo y, a continuacin, vinclelos a
sitios, dominios y unidades organizativas.
Implementar sitios. Cree sitios segn el plan de sitios, cree
vnculos a sitios, configure la programacin de los vnculos a sitios
e implemente controladores de dominio, servidores de catlogo
global, servidores DNS y maestros de operaciones en los sitios.
Introduccin
Proceso de implementacin