Servicios de Active Directory y Windows 2000 o dominios de Windows Server 2003 (parte 2)

Seleccione idioma Seleccione idioma
Id. de artículo: 310997 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

La información de este artículo se proporciona en parte por: Microsoft Press.

En este artículo es la parte 2 de una serie de dos artículos que explican los servicios de Active Directory y dominios de Windows 2000 o Windows Server 2003. Para ver la parte 1, haga clic en el vínculo siguiente:
310996Servicios de Active Directory y Windows 2000 o dominios de Windows Server 2003 (parte 1)
En la parte 2 se tratan los temas siguientes:
  • Límites administrativos
    • Dominios
    • Unidades organizativas
  • Interacción de Active Directory
    • Emula a la jerarquía de dominio
    • Catalogar el dominio (el directorio de partición)
    • Partición del directorio
    • Obtener información acerca de objetos en otro dominio
      • El directorio de distribución
      • Replicar el directorio

    • Catalogar la empresa (catálogo global)
  • Conclusiones
Esta información es un extracto de la Libreta de Servicios de Active Directory para Microsoft Windows 2000 Technical Reference , capítulo 3: "Active Directory Services y Windows 2000 dominios". Obtenga más información sobre Active Directory Services for Microsoft Windows 2000 Technical Reference. Se ha actualizado para incluir información de Microsoft Windows Server 2003.

Más información

Límites administrativos

La reducción del número de relaciones de confianza que deben administrarse es una gran mejora en Windows 2000 y Windows Server 2003. Sin embargo, otra mejora enormemente era necesario y que tuve que hacer con los límites administrativos. En Microsoft Windows NT 4.0 y versiones anteriores, los administradores que necesitaban la capacidad de administrar subconjuntos de usuarios o grupos dentro de un determinado dominio de Windows NT tenían que ser dado todos permisos administrativos de todo el dominio. Incluso si sus derechos administrativos no deben haber distribuidos todo el dominio, los derechos que necesitan requiere que se conceden tales derechos de búsqueda. En Windows 2000 y Windows Server 2003, que ha cambiado con la llegada de unidades organizativas (OU).

Dominios

El dominio de Windows 2000 o Windows Server 2003 es un límite administrativo. Derechos administrativos no fluyen a través de los límites del dominio, ni hacer fluyen hacia abajo un árbol de dominio de Windows 2000 o Windows Server 2003. Por ejemplo, si tiene un árbol de dominio con los dominios A, B y C, donde A es el dominio primario de B y el dominio principal de C, usuarios con derechos administrativos en el dominio no tienen derechos administrativos en B, ni hacer a usuarios con derechos administrativos de dominio, éste tiene derechos administrativos en el dominio C. Para obtener derechos administrativos en un dominio dado, una autoridad superior debe concederles. Esto no significa, sin embargo, que un administrador no puede tener derechos administrativos en varios dominios; simplemente significa que deben definirse explícitamente todos los derechos.

Unidades organizativas

Unidades organizativas permiten a los administradores crear límites administrativos dentro de un dominio. Con unidades organizativas, los administradores pueden delegar tareas administrativas a los administradores de subordinadas sin conceder los privilegios administrativos búsquedas en todo el dominio.

Vamos a aclarar con un ejemplo de por qué unidades organizativas son tan útiles. Supongamos que el equipo de ventas dentro de su organización tiene su propio los administradores de red y recursos, tales como impresoras y servidores y fondos todos estos recursos de red con su propia cotización. Los administradores de red desde el equipo de ventas desean control sobre los recursos de ventas, las directivas y otros elementos administrativos dentro del grupo de ventas. Sin embargo, el equipo de ventas es parte del dominio corporativo.

Si fuera una red de Windows NT 4, los administradores de la unidad de ventas tendría que agregarse al grupo Administradores del dominio para obtener los privilegios administrativos que necesitan para administrar que las ventas forzar unidad. Dicha pertenencia al grupo Administradores de dominio de proporciona a los administradores de ventas control administrativo sobre todo el dominio corporativo (no sólo las ventas fuerza unidad). Tal control administrativo de búsqueda no es apropiado, pero es la única manera para proporcionar que las ventas forzar a los administradores con control administrativo sobre recursos y las directivas de la fuerza de ventas.

Con Windows 2000 o Windows Server 2003 y la llegada de las unidades organizativas, que cambiará. En una red Windows 2000 o Windows Server 2003, los administradores de red supervising pueden crear unidades organizativas, incluyendo una venta forzar OU, dentro de la estructura de dominio y, por lo tanto, establecer los límites administrativos nuevos y más limitados.

La solución podría ir algo así: crear una unidad organizativa para las ventas forzar la unidad y dar a los administradores de ventas privilegios administrativos completos, sólo los personal de ventas OU y no para cualquier otra área del dominio corporativo. Con la creación de unidades organizativas, pertenencia al grupo Administradores de dominio (que concede privilegios administrativos para todo el dominio, incluyendo sus unidades organizativas) puede restringirse a los administradores que tengan responsabilidades administrativas que abarcan todo el dominio. El resultado es una red más segura y better-run.

¿Qué ocurre si la organización debe tener unidades organizativas dentro de unidades organizativas? ¿Puede anidar unidades organizativas? La respuesta a esa pregunta es Sí. Para obtener más información, visite el siguiente sitio Web de Microsoft TechNet:
http://technet.microsoft.com/en-us/library/cc755332(WS.10).aspx

Interacción de Active Directory

¿Dónde encajan los servicios de Active Directory en todo esto? ¿Por qué es absolutamente necesario entender dominios y la estructura de dominios para entender los requisitos de diseño de servicios de Active Directory? Puesto que Active inextricably está vinculada a la estructura de dominio de su implementación Windows 2000 o Windows Server 2003.

Emula a la jerarquía de dominio

Como ya sabemos, dominios de Windows 2000 y Windows Server 2003 forman una jerarquía de dominio y una o más jerarquías de dominio pueden formar un bosque. El directorio, como una unidad completa, es simplemente la colección de todos los objetos del bosque. Para asegurarse de que podrían escalar servicios de Active Directory a millones de objetos en un único directorio, sin embargo, hay tenía que ser una estrategia para "dividir" el directorio en partes porque, en pocas palabras, un directorio sin particiones mammoth no se escala bien. La solución fue crear particiones en el directorio, habilitándolo para escalar bien y realizar también.

El esquema de partición de Active Directory emula a la jerarquía de dominio de Windows 2000 o Windows Server 2003. La unidad de partición para servicios de Active Directory, a continuación, es el dominio.

La emulación de la jerarquía de dominio consigue un número de objetivos:
  • Se garantiza la escalabilidad
  • Se maximiza el rendimiento
  • Se minimiza la carga de replicación
La siguiente sección explica detalladamente cómo el esquema de partición de Active Directory emula a la jerarquía de dominio, se garantiza la escalabilidad y rendimiento está maximizada, ¿por qué y cómo esta emulación de la estructura de dominios minimiza la carga de replicación.

Catalogar el dominio (la partición de directorio)

El objetivo principal de servicios de Active Directory es crear un catálogo de objetos que residen en el bosque. Por supuesto, el catálogo no resultar demasiado excesivamente útil si eran tan grande que resultó torpe y lento. Por ejemplo, imagine todos los amigos que puede realizar en un nieve--esquí viaje Si sólo tuviera un autocar escolar--pero intente paralelo aparcamiento ese bus escalada una montaña pasan con ese bus o aparcamiento en su garaje. Un mejor enfoque sería tener un convoy de coches, cada uno de los cuales podría llevar esquiadores que residían cercanas entre si. A continuación, haría evite la aumentan marcadamente painfully lento hasta el paso y encontró aparcamiento lugares dispersos sobre el aparcamiento. Lo mejor de todo, cada coche podría servicio los requisitos de principal de obtener de unos esquiadores, por lo tanto, obtener todos principal más rápido que si se cargan en el bus único.

Para tomar un poco más la comparación de bus, imagine que el problema que debería ejecutar en si ha realizado más amigos frenzied esquí. Si hay demasiados, no todos ellos cabía en el bus. En tal situación, tendría que obtener un bus completamente nuevo, mayor, podría ser incluso más complejo que antes. Y como están invitados más esquiadores, el tiempo tarda para obtener todos los usuarios domésticos después el esquí obtiene de ida y vuelta largo y más. En comparación, cuando se utilizan vehículos, simplemente tiene que agregar más coches para el convoy como invitar a amigos más; el resultado no es esencialmente molestias adicionales para cualquier esquiadores existentes ni cualquier tránsito adicional tiempo al obtener esquiadores principal. Servicios de Active Directory le ayuda a evitar que aparezcan en el bus sobrecargado. En su lugar, el directorio se divide en partes--igual convoy de coches--y las ventajas de un enfoque son similares en naturaleza las ventajas de utilizar un convoy pero mucho más alcance.

Partición del directorio

Para ayudarle a imagen cómo obtiene dividen los servicios de Active Directory del bosque, proporcionaré un ejemplo de un bosque simple. Figura 3-5 se ilustra el bosque de ejemplo y su árbol de dominio único.

Contraer esta imagenAmpliar esta imagen
Picture of the A,
		  B, C, D, E, and F domain hierarchy

Figura 3-5. La jerarquía de dominio A, B, C, D, E y F

El bosque consta de todos los dominios que se ilustra en la figura 3-5. Todo el directorio está formado por todos los objetos contenidos en todos los dominios del bosque. Sin embargo, para aumentar la escalabilidad y rendimiento, debe dividir el directorio en varios, la agregación de los cuales crea el directorio completo.

Recuerde que en Windows 2000 y Windows Server 2003, la unidad de partición es el dominio. Por lo tanto, cuando nos Echemos otro vistazo a nuestro ejemplo de jerarquía de dominio, se puede comparar la jerarquía de dominio lógico para la forma que el directorio está particionado. Figura 36 compara la jerarquía de dominio para el catálogo de directorio. Como puede ver el directorio es simplemente la agregación de partición de cada dominio.

Contraer esta imagenAmpliar esta imagen
 Picture of the
		  domain hierarchy/directory partition scheme relationship

Figura 3-6. La relación de esquema de partición de dominio jerarquía o directorio

Recuerde que los árboles no contiguos en el mismo bosque aún forman un directorio. No confunda árboles de bosques y no confunda el límite de la empresa (bosque) con la naturaleza contigua de un árbol de dominio determinado dentro del bosque (árbol). La mayoría de organizaciones, con suerte, podrá planear e implementar un único árbol--coincidir uno a un único espacio de nombres de ellos--que constituye su bosque completo. Es la implementación más fácil prever, administrar y mantener. Pero no siempre son ordenadas que las implementaciones y adquisiciones suceder, por lo que necesita recordar la siguiente ecuación lógica:
Un bosque = un esquema = un catálogo de directorio
Tenga en cuenta que un único dominio todavía constituye un bosque. Si está de suerte de poder diseñar sensibly la estructura de dominio de Windows 2000 o Windows Server 2003 como un único dominio, conseguir que su único dominio constituye el bosque. ¿Qué significa? Significa que el catálogo de directorio completo estará en una unidad sin particiones. (El dominio es la unidad de partición--un dominio = una partición.)

Quizás una de las ventajas más importantes de partición el catálogo de directorio tiene que ver con la escalabilidad del catálogo, específicamente en términos del efecto de agregar un dominio en el árbol de dominio, o incluso agregar otro árbol de dominio completo en el bosque. Agregar que un dominio o un árbol de dominios no agrega administrativa o carga de replicación para la jerarquía de dominio existente y la estructura administrativa. Debido a de la partición del directorio, y puesto que cada controlador de dominio en cualquier dominio determinado contiene sólo información de catálogo de directorio particular de su dominio, cuando se agrega un dominio o incluso un árbol de dominios del bosque, la red rendimiento y escalabilidad no se ven afectados. Cuando combina con las relaciones de confianza transitiva nuevo establecidas entre dominios en el mismo bosque, esta división de la información del directorio catálogo hace a escala para las implementaciones de empresa muy grande con Windows 2000 o servicios de Windows Server 2003 y Active Directory posibles.

Obtener información acerca de objetos en otro dominio

Con todo este hablar acerca de la partición del catálogo de directorio, quizá se pregunte cómo obtiene acceso información de partición de un dominio los usuarios de otro dominio. Después de todo, si los controladores de dominio en un dominio contienen información acerca de objetos sólo en su dominio, ¿qué sucede cuando los usuarios necesitan obtener información acerca de objetos que residen en otro dominio? Buena pregunta y, Afortunadamente, la respuesta es sencilla: Active Directory utiliza búsquedas DNS de los servicios y consultas para resolver las consultas, como Internet.

Aunque Servicios de Active Directory y Windows 2000 o Windows Server 2003 utiliza DNS para su servicio de búsqueda, ambos utilizan una especial servicio (SRV) registro (RR) entrada de recursos que designa una entrada DNS dada como un controlador de dominio. Los controladores de dominio, a su vez, determinar si son capaces de resolver una consulta, como sería el caso si la consulta sobre un objeto en su dominio local. Si no es posible, se hace referencia la solicitud a un controlador de dominio que se puede resolver la propia solicitud o puede señalar el controlador de dominio al servidor lógico siguiente a la que se debe realizar la solicitud. Finalmente, se encuentra el controlador de dominio puede resolver la consulta (o definitivamente no se encuentra), momento en que el cliente se hace referencia a ese servidor para continuar con el proceso de consulta.

Las consultas DNS se explican más detalladamente en el capítulo 6, "Servicios de Active Directory y DNS."

El directorio de distribución
El siguiente señala a clarificar es cómo se distribuye el directorio con particiones y cómo interactúa con el modelo de dominio Windows 2000 o Windows Server 2003. En Windows 2000 y Windows Server 2003, cada controlador de dominio en un dominio determinado contiene una copia de la partición de directorio para su dominio, habilitar cada controlador de dominio para localmente resolver consultas de información acerca de los objetos en el dominio al que pertenece.

Este enfoque de sentido ya que en muchos casos, los usuarios (o utilizan otras entidades que de servicios de Active Directory) utilizar más de los recursos de red de dominio local que hacen de los recursos ubicados en un dominio remoto. Distribuir una copia de la partición de dominio en cada controlador de dominio del dominio--y hacer que cada una de ellas copia de lectura y escritura--se consiguen las siguientes mejoras y las mejoras:
  • Aumentar el rendimiento porque cualquier controlador de dominio puede realizar búsquedas locales para los objetos que se encuentran en su dominio.
  • Aumenta la escalabilidad porque cada controlador de dominio contiene una copia maestra de lectura y escritura de la partición de directorio de catálogo.
  • Escalabilidad también aumenta porque no solo equipo es cargado con realizar todas las actualizaciones para el directorio.
Este enfoque es especialmente útiles cuando remoto sitios o sucursales forman parte de la topología de red. Al colocar un controlador de dominio (que, por definición, contiene una copia de la partición de directorio catálogo) en un sitio remoto, las consultas de usuario se pueden resolver localmente. Esto significa que se puede minimizar el uso de área extensa quizás costoso o limitado los recursos de red (WAN). La ventaja de colocar un controlador de dominio en un campus de sitio o sucursal remoto no está confinada a ahorros de WAN recursos porque, por supuesto, el rendimiento de consultas también se mejora haciendo que el controlador de dominio (y su partición de directorio catálogo) disponible en red de área local del sitio remoto (LAN).
Replicar el directorio
Puesto que cada controlador de dominio contiene una copia maestra modificable de la partición de Active Directory para su dominio, se pueden realizar cambios en cualquier controlador de dominio disponible partición del dominio. Cuando se realizan cambios en un controlador de dominio, debe ser una forma de obtener actualizaciones de cambio replicadas en otros controladores de dominio. Este proceso de distribuir información actualizada a adecuados los controladores de dominio se denomina replicación.

En Windows 2000 Y Windows Server 2003, la unidad de replicación es la partición de dominio. Sin embargo, sólo los cambios del nivel de atributo de un objeto determinado se replican a otros controladores de dominio, en lugar de objetos completos. El resultado es un ahorro significativo en el tráfico de replicación y cualquier tiempo operativamente necesario puede reducir el tráfico de red, la mejor solución.

Actualización de prioridad se determina mediante el uso de números de secuencia de actualización (USN). En lugar de comparar los valores para atributos de objeto, active servicios utiliza un número de ejecución--el USN--para determinar si es necesaria la replicación y si es así, qué objeto atributo necesidad de valores que se va a transmitir. Para obtener más información acerca de los USN, consulte la sección "Duplicación" en el capítulo 4, "Arquitectura de escalabilidad de Active Directory". Esta implementación de los USN es otra ventaja de tener el dominio como la unidad de partición; se limita el tráfico de replicación (que ya está limitado a los cambios de atributos) a los límites del dominio en el que los cambios realizados.

Catalogar la empresa (catálogo global)

Por último, debe haber alguna manera por servicios de Active Directory responder rápidamente a las consultas de usuario. Aunque muchas consultas de usuario relacionados con el dominio en la que pertenecen los usuarios, también existen muchas consultas que no son específico, dominio y en su lugar, se realizan en toda la empresa. Por ejemplo, correo electrónico las consultas de nombres. Un servicio de directorio realmente preparadas para la empresa y preocupados rendimiento debe poder dichas consultas frecuentes y globales de servicio sin generar tráfico de red excesiva y sin tener que pasar a través de varias referencias de consulta. La respuesta es un catálogo de directorio que contiene un subconjunto de atributos para cada objeto de la empresa. En efecto, debe ser un catálogo de atributos de objeto que son interesantes globalmente. Para Active Directory Servicios, que la respuesta es el catálogo global. El catálogo global consta de los atributos seleccionados de cada objeto de la empresa, lo que significa que los atributos seleccionados desde cada objeto en el bosque están disponibles para consultas de dominio local. Sólo cuando Microsoft crea un conjunto predeterminado de objetos en el esquema, los atributos predeterminados de cada objeto de esquema se etiquetan para su inclusión en el catálogo global. (Quizá nunca necesite modificar these pero puede.) La mayoría de los objetos tienen aproximadamente 15 atributos, y aproximadamente siete de esos atributos etiquetados para su inclusión en el catálogo global.

El catálogo global reside en controladores de dominio seleccionados dentro de cada dominio y servicios de las consultas que son específicas de las búsquedas globales. Cuando un usuario envía una consulta global basada en el atributo de un objeto y atributo del objeto que está etiquetado para su inclusión en el catálogo global, se puede resolver la consulta un controlador de dominio del dominio local que está configurado para conservar una copia del catálogo global. Puesto que hay al menos un controlador de dominio que aloja el catálogo global en cada dominio, se pueden realizar y resolverse rápidamente consultas dirigidas a búsquedas globales. Atributos incluidos en el catálogo global de forma predeterminada se eligieron porque no cambian muy a menudo, y que es la forma debe ser. Con información estática en el catálogo global disminuye el tráfico de replicación; después de todo, cuando cambia el atributo de un objeto de etiquetado para su inclusión en el catálogo global, ese cambio debe replicarse en todos los controladores de dominio de catálogo global a toda la empresa. Aparte de minimización del tráfico de replicación, información estática en general es más apropiado para búsquedas globales.

Conclusiones

Dominios de Windows 2000 o Windows Server 2003 y Active Directory servicios son dos lados de la misma moneda; dominios son límites administrativos, así como los límites de partición y replicación de Active Directory servicios. Sólo como Windows 2000 o Windows Server 2003 bosque es la estructura organizativa completo de dominios de Windows 2000 y Windows Server 2003, Windows 2000 o bosque de Windows Server 2003 es la estructura inclusive todo-objeto para los servicios de Active Directory, así como el marco de trabajo dentro del cual todos los objetos definidos por un único esquema. En resumen, la estructura de dominios es la estructura de servicios de Active Directory. Si no entiende dominios de Windows Server 2003 r de Windows 2000, no se entiende cómo funciona Servicios de Active Directory, que es por qué dominios han recibido tanta atención en este capítulo y esta parte de la Libreta de tienen.

Se consigue escalabilidad en Windows 2000 y Windows Server 2003 porque los dominios ya no requieren relaciones de confianza bidireccional exhaustiva; ahora confianzas se crea implícitamente y aumentadas a continuación, cuando un dominio de Windows 2000 o Windows Server 2003 debe interactuar con los dominios de nivel inferior o cuando deben establecerse confianzas con dominios del bosque externo. También se consigue escalabilidad porque la combinación de particiones de nivel de dominio de servicios de Active Directory minimiza el impacto de agregar dominios--mucho para que Servicios de Active Directory pueden escalar a redes tan grandes como Internet.

A pesar de la partición de servicios de Active Directory, Windows 2000 y el modelo de dominio de Windows Server 2003, se garantiza la cohesión de un entorno de red de Windows 2000 y Windows Server 2003 en virtud de catálogo global. Manteniendo atributos de objeto seleccionado en un catálogo que abarca toda la empresa, los atributos de objeto busca a menudo se pueden fácilmente accesibles, independientemente de dónde se origina la consulta o donde reside el objeto de destino en la organización.

Por supuesto, mantener todo el Windows 2000 o Windows Server 2003 dominio terminología recta puede resultar difícil, como obtener un conocimiento claro de por qué se crearon dichos contenedores organizativos y jerárquicos--, como bosques, dominios y unidades organizativas--en primer lugar. Puede ser útil si piensa en las siguientes asociaciones flexible entre los términos de dominio de Windows 2000 o Windows Server 2003 y cómo una organización grande puede aplicar la estructura a su entorno:
  • Límites de la empresa--bosques
  • Límites corporativos--árboles
  • Límites de división--dominios
  • Límites departamentales--unidades organizativas
Pero ¿qué ocurre si la organización no este aspecto? ¿Qué ocurre si no es una empresa o una corporación o no tiene límites departamentales? Si cualquiera de las respuestas reflejar sus ideas, no se preocupe; estas asociaciones sueltas son sólo directrices para dar una idea de cómo pueden cumplir el bosques, árboles, dominios y unidades organizativas los requisitos y la solicitudes de organizaciones grandes y pequeñas iguales. Es posible que no necesite unidades organizativas o quizá tiene sólo un dominio (que se puede determinar después de leer el capítulo 7, "Planeamiento de una implementación de Active Directory" derecha?). Independientemente, debe tener una cosa en cuenta durante todo el planeamiento, implementación y los procesos de administración.

Hazlo más sencillo.

Dominios, directorios y redes son lo suficientemente complejas en su propio sin la carga de demasiado complejo plan de implementación. ¿Puede trabajar con un dominio? ¿Puede trabajar con sólo unos OU? Gran--utilizar sólo un dominio y unidades organizativas unas. Obtendrá esta llamada para simplificar en toda la parte II de este libro porque funciona de la simplicidad: mantener las cosas simple y va ser fáciles de administrar, más fácil para administrar y los usuarios utilizar fácilmente. ¿Y después de todo, eso es el objetivo no es así?

Referencias

La información en este artículo es un extracto de la Libreta de Servicios de Active Directory para Microsoft Windows 2000 Technical Reference , publicado por Microsoft Press.

Contraer esta imagenAmpliar esta imagen

		  Picture of Active Directory Services for Microsoft Windows 2000 Technical
		  Reference book


Obtenga más información sobre Active Directory Services for Microsoft Windows 2000 Technical Reference

Para obtener más información acerca de esta publicación y otros títulos de Microsoft Press, consulte http://mspress.microsoft.com.

Propiedades

Id. de artículo: 310997 - Última revisión: jueves, 10 de septiembre de 2009 - Versión: 8.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbmt kbinfo KB310997 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 310997

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com