Como se usa el complemento Dominios y confianzas de Active Directory

El complemento Dominios y confianzas de Active Directory proporciona una representación gráfica de todos los árboles de dominios que hay en el bosque. Al usar esta herramienta, un administrador puede administrar cada uno de los dominios del bosque, administrar relaciones de confianza entre dominios, configurar el modo de funcionamiento de cada dominio (modo nativo o mixto) y configurar los sufijos alternativos de Nombre principal del usuario (UPN) para el bosque.

Como se inicia el complemento Dominios y confianzas de Active Directory

Para iniciar el Complemento

1.-Haga clic en el botón Inicio, seleccione Todos los programas, Herramientas administrativas y, a continuación, haga clic en Dominios y confianzas de Active Directory. Aparece el complemento Dominios y confianzas de Active Directory.

El Nombre principal del usuario (UPN) proporciona un estilo de nomenclatura fácil de usar para que los usuarios inicien sesión en Active Directory. El estilo del UPN se basa en el estándar RFC 822 de Internet, al que también se hace referencia como dirección de correo. El sufijo UPN predeterminado es el nombre DNS del bosque, que es el nombre DNS del primer dominio del primer árbol del bosque. En ésta y en las demás guías detalladas de esta serie, el sufijo UPN predeterminado es contoso.com.

Puede agregar sufijos UPN alternativos, lo que aumenta la seguridad del inicio de sesión. También puede simplificar los nombres de inicio de sesión de usuario si utiliza un solo sufijo UPN para todos los usuarios. El sufijo UPN sólo se utiliza dentro del dominio de Windows Server 2003 y no es necesario que sea un nombre válido de dominio DNS.

Para agregar sufijos UPN adicionales

1.	Seleccione Dominios y confianzas de Active Directory en el panel superior izquierdo, haga clic con el botón secundario del mouse (ratón) en él y, a continuación, haga clic en Propiedades.
2.	Especifique cualquier sufijo UPN alternativo en el cuadro Sufijos UPN alternativos y haga clic en Agregar.
3.	Haga clic en Aceptar para cerrar la ventana.

Cambiar la funcionalidad de dominios y bosques

La funcionalidad de dominios y bosques, incluida en Active Directory de Windows Server 2003, proporciona un modo de habilitar las características de Active Directory para todo el dominio o todo el bosque dentro del entorno de red. Existen diferentes niveles de funcionalidad de dominios y de bosques, que dependen del entorno.

Si todos los controladores de dominio de su dominio o bosque ejecutan Windows Server 2003 y el nivel funcional está establecido en Windows Server 2003, estarán disponibles todas las características para todo el dominio y para todo el bosque. Cuando se incluyen controladores de dominio Windows NT^® 4.0 o Windows 2000 en el dominio o bosque con controladores de dominio que ejecutan Windows Server 2003, sólo está disponible un subconjunto de las características de Active Directory para todo el dominio y todo el bosque.

El concepto de habilitar funciones adicionales de Active Directory existe en Windows 2000 con modos mixtos y nativos. Los dominios de modo mixto puede contener controladores de dominio de reserva Windows NT 4.0 y no pueden utilizar las características de grupos de seguridad universal, anidación de grupos ni historial de Id. de seguridad (SID). Cuando el dominio está establecido en modo nativo, se pueden utilizar las características de grupos de seguridad universal, anidación de grupos e historial de SID. Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominio y bosque.

Una vez elevado el nivel funcional del dominio, los controladores de dominio que ejecutan sistemas operativos anteriores no podrán incluirse en el dominio. Por ejemplo, si eleva el nivel funcional del dominio a Windows Server 2003, los controladores de dominio que ejecutan Windows 2000 Server no se podrán agregar a dicho dominio.

La funcionalidad de dominio habilita características que afectan a todo el dominio y sólo a ese dominio. Existen cuatro niveles funcionales de dominio: Windows 2000 mixto (opción predeterminada), Windows 2000 nativo, Windows Server 2003 versión provisional y Windows Server 2003. De forma predeterminada, los dominios operan en el nivel funcional Windows 2000 mixto.

Para elevar la funcionalidad del dominio

1.	Haga clic con el botón secundario del mouse en el objeto de dominio (en el ejemplo, contoso.com) y, a continuación, haga clic en Elevar el nivel funcional del dominio.
2.	En la lista desplegable Seleccione un nivel funcional del dominio disponible, seleccione Windows Server 2003 y, a continuación, haga clic en Elevar.
3.	Haga clic en Aceptar en el mensaje de advertencia para elevar la funcionalidad del dominio. Haga clic de nuevo en Aceptar para finalizar el proceso.
4.	Cierre la ventana Dominios y confianzas de Active Directory.

Funcionamiento

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), este protocolo viene implementado de forma similar a una base de datos: Almacena en forma centralizada toda la información relativa a un dominio de autenticación.

La ventaja que presenta esto es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.

A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo unívoco:

• Los usuarios tendrán campo «nombre», campo «email», etcétera
• Las impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo "usuarios que pueden acceder", etc

Toda esta información queda almacenada en Active Directory replicándose de forma automática entre todos los servidores que controlan el acceso al dominio.

De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administración, los eventuales cambios serán visibles en todo el ámbito.

Active Directory es un implementación de servicio de directorio en una red distribuida centralizado que facilita el control, la administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos).

¿Qué es Active Directory?

Active Directory es un servicio de directorio que almacena información acerca de los objetos de una red que en forma muy ordenada las pone a disposición de todos los usuarios y administradores que pertenecen a esa red.

Ejemplo de estructura en Active Directory

¿Qué es un servicio de directorio?

Un servicio de directorio es un directorio de red que proporciona una única base de datos, lógica y coherente en el que almacenar información sobre la red y todos los recursos basados en la red - como usuarios, equipos, archivos, impresoras, aplicaciones, acciones, etc

Un servicio de directorio de ayuda a aliviar algunos de los gastos generales de gestión, proporcionando un punto único y consistente de la gestión.

También puede actuar como una autoridad central que puede autenticar de forma segura los recursos y gestionar las identidades y relaciones entre ellos.

Al tratarse de una autoridad central, los usuarios no necesitan mantener varias cuentas - un inicio de sesión único significa que su cuenta se autentica para todos los recursos a los que se les ha concedido acceso.