Directorio activo.

Conceptos básicos: Estructura del directorio

activo y gestión de la herramienta usuarios y equipos. Los
permisos en los sistemas de archivos. Consulta al directorio
activo a través de la línea de comandos.

Directorio Activo

El directorio activo es una herramienta incluida en los sistemas operativos

Concepto:
de Microsoft, encaminados a la administración de servidores.
Directorio activo. Es una herramienta incluida en los sistemas operativos de Microsoft,
encaminados a la administración de servidores.

Sumario
 1 Características generales
 2 Estructura
 3 Funcionamiento
 4 Configuración
 5 Comandos utilizados para el directorio activo
 6 Fuente

Características generales
Esta tecnología permite gestionar los recursos de una Red, tratando estos como objetos,
con sus respectivos atributos, para esta gestión, la información de los objetos se guarda
en una especie de base de datos de forma jerárquica.
La forma de agruparlos es en árboles, que interactúan entre ellos para su
funcionamiento, dependiendo en los dominios donde los recursos estén ubicados,
dependiendo de ciertas relaciones de confianza; lo cual permite relaciones de objetos
que estén en árboles distintos.
Un directorio es una estructura jerárquica que almacena información acerca de los
objetos existentes en la red. Un servicio de directorio, como Active Directory®,
proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de
los administradores y los usuarios de la red. Por ejemplo, Active Directory almacena
información acerca de las cuentas de usuario (nombres, contraseñas, números de
teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a
esa información.

Estructura
El directorio activo trabaja bajo una serie de protocolos para la comunicación entre los
objetos que gestiona, tales como LDAP, DNS, DHCP, etc; a continuación una
referencia a los estándares más destacados:
· DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica
de ordenadores, que permite la administración desatendida de direcciones de red.
· DNS (Domain Name System). Servicio de nombres de dominio que permite la
administración de los nombres de ordenadores. Este servicio constituye el mecanismo
de asignación y resolución de nombres (traducción de nombres simbólicos a direcciones
IP) en Internet.
· SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que
permite disponer de un servicio de tiempo distribuido.
· LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de
acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y
modifican la información existente en el directorio.
· Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas.
· Certificados X.509. Estándar que permite distribuir información a través de la red de
una forma segura.
La organización de los objetos en una estructura jerárquica consiste de tres grandes
grupos: uno de recursos, donde podríamos encontrar todo el hardware como impresoras,
equipos de usuario etc.; otro grupo de servicios, como correo electrónico y el último
grupo que contiene toda la información necesaria de los usuarios de esa red.
Además de tener estos grupos, la estructura jerárquica, al basarse en objetos, puede
tener objetos que sean partes de otros objetos, donde los mas graden invocan a los
pequeños, y donde encontramos relaciones similares a las de los objetos de software,
como composición y agregación.
Esto es posible, gracias a la organización por medio de árboles, los cuales contiene los
objetos con relaciones mas fuertes, después los diferentes árboles se organizan en
“bosques”; “A su vez, los árboles pueden integrarse en un espacio común denominado
bosque. Para realizar un bosque es necesario crear dos o más árboles (que por lo tanto
no comparten el mismo nombre de zona DNS entre ellos) y establecer una relación de
"trust" o confianza entre ellos. De este modo los usuarios y recursos de los distintos
árboles serán visibles entre ellos, manteniendo cada estructura de árbol el propio Active
Directory.”
 Funcionamiento
A la larga toda la funcionalidad del los directorios activos, es la de manejar el acceso a
los diferentes dominios (árboles, bosques), por elementos de dominios diferentes,
usando los distintos niveles de confianza, según los permisos que se requieran, según la
situación.
Entre estas relaciones de confianza, tenemos las siguientes:
- Bidireccionales: Cuando un domino crea a otro, hay una relación padre-hijo, donde la
confianza para el acceso es mutua.
- Transitivas: Un dominio padre confía en todos los dominios hijos de sus hijos, y
viceversa, lo que da una confianza bidireccional a todos los niveles.
- De acceso directo: Si para la comunicación de dos dominios, los mensajes deben
pasar chequeos de confianza por los dominios intermedios de la ruta, esta relación de
confianza, hace que se omitan los nodos intermedios en la cuestiones de comprobación,
haciendo mas rápida la comunicación entre los dominós remotos.
- Relación de confianza externa: son relaciones unidireccionales entre árboles
distintos de dominios.
Al crear los dominios, las relaciones bidireccionales y transitivas están implícitas, y se
aplican automáticamente, mientras que las relaciones externas y de acceso directo deben
configurarse manualmente.

Configuración
Para realizar la configuración del Directorio activo en Windows 2003 server, debemos
contar con el programa de instalación que en este caso es [Link] el cual a través
de un wizard nos guiara por dicho proceso.
1. Como primer paso ejecutaremos el programa de instalación [Link], para ello
podemos ir a inicio -> programas -> ejecutar.

2. Después de ingresar al programa de instalación nos aparecerá una pantalla como la

que se muestra a continuación donde se presenta una descripción de la compatibilidad
de sistema operativo.
Damos siguiente para continuar con la instalación.
3. Después de realizar el paso numero 3 nos aparecerá una pantalla donde nos dará a
escoger el tipo de controlador de domino que se desea configurar, estas opciones son:
· Controlador de dominio para un dominio nuevo: Si no tenemos directorio activo
instalado en nuestra red y queremos crearlo tenemos que elegir esta opción.
· Controlador de dominio adicional para un dominio existente: Si queremos agregar
otro controlador de dominio a nuestra red debemos elegir esta opción.

Damos siguiente y continuamos con el proceso de instalación.

4. Para este caso como se selecciono la opción Controlador de dominio para un dominio
nuevo nos aparecerá una pantalla como la siguiente, donde contaremos con tres
opciones:
· Dominio en un nuevo bloque: Se selecciona esta opción si deseamos crear un nuevo
dominio.
· Dominio secundario en un árbol de dominios existente: Si deseamos crear
subdominios esta es la opción indicada.
· Árbol de dominios en un bosque existente: Si deseamos crear un dominio con otro
nombre diferente al que ya tenemos, claro que esto depende del tipo de dominio con el
que contemos inicialmente.
Damos continuar y seguimos con la instalación.
5. El siguiente paso es ingresar el nombre del dominio, donde nos aparece una pantalla
como se muestra a continuación.

Ingresamos el nombre del dominio y seleccionamos siguiente.

6. Luego de haber ingresado el nombre de dominio se nos solicitara el nombre de
dominio de NetBios. Este es el nombre con el que los usuarios de versiones anteriores
de Windows utilizaran para identificar el nuevo dominio.

7. Luego nos dará la opción de configurar la carpeta de la base de datos y del registro,
como se muestra a continuación.
8. Después nos dará la posibilidad de configurar el volumen del sistema compartido.
Esta es la carpeta que se compartirá y se replicara con los demás directorios activos, en
ella estarán también las políticas de dominio, script, entre otros.

9. Cuando configuremos el volumen del sistema compartido nos deberá aparecer una
pantalla como esta donde podremos configurar los permisos del directorio activo.

En caso que nos salga una pantalla como la siguiente se debe a que para que un
directorio activo funcione es necesario que nuestra red tengamos un DNS.
Si el asistente nos muestra error es que tenemos un problema con el DNS, ya sea porque
no se ha podido contactar con él o porque este no soporta las actualizaciones dinámicas
de DNS.
10. Después de realizar el paso No. 9 nos aparecerá la opción para configurar la
contraseña de administración del modo de restauración de servicios de directorio, la
cual será necesaria cuando tengamos algún problema con el directorio activo.
11. Finalmente nos aparecerá un resumen con la información ingresada en los pasos
anteriores donde se podrá verificar las opciones seleccionadas.
12. Al darle siguiente comenzara el proceso de creación del directorio activo, como se
muestra a continuación.

13. Cuando termine la creación del directorio activo tendremos la siguiente pantalla de
confirmación donde aseguramos que todo se ha realizado satisfactoriamente.
 Comandos utilizados para el
directorio activo
CSVDE: Importa y exporta datos de Active Directory en formato separado por comas.
Dsadd: Agrega usuarios, grupos, equipos, contactos y Unidades Organizativas a Active
Directory.
Dsmod: Modifica un objeto existente de un tipo específico del directorio. Los tipos de
objetos que pueden modificarse son: usuarios, grupos, equipos, servidores, contactos y
Unidades Organizativas.
Dsrm: Quita objetos del tipo especificado de Active Directory.
Dsmove: Cambia el nombre de un objeto sin moverlo del árbol de directorio o mueve
un objeto desde su ubicación actual del directorio a una nueva de un mismo y único
controlador de dominio. (Para efectuar movimientos entre dominios, utilice la
herramienta Movetree de la línea de comandos.)
Dsquery: Consulta y genera una lista de objetos del directorio según los criterios de
búsqueda especificados. Utilícela en un modo genérico para consultar cualquier tipo de
objeto o en modo especializado para consultar tipos de objetos seleccionados. Los tipos
de objetos específicos que pueden consultarse mediante este comando son: equipos,
contactos, subredes, grupos, Unidades Organizativas, sitios, servidores y usuarios.
Dsget: Muestra los atributos seleccionados de tipos de objeto específicos de Active
Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto: equipos,
contactos, subredes, grupos, Unidades Organizativas, servidores, sitios y usuarios.
LDIFDE: Crea, modifica y elimina objetos de directorio. Esta herramienta también
puede utilizarse para ampliar el esquema, para exportar información de usuario y grupos
de Active Directory a otras aplicaciones o servicios, y para llenar Active Directory con
datos de otros servicios de directorio.
Ntdsutil: Herramienta de administración general de Active Directory. Utilice Ntdsutil
para realizar el mantenimiento de la base de datos de Active Directory, administrar
operaciones de maestro único y quitar metadatos que hayan podido quedar tras quitar de
la red controladores de dominio sin haberlos desinstalado correctamente.”