Introducción a los Servicios de dominio de Active Directory

 

Se aplica a: Windows Server 2012

All_Symbols_Cloud

¿Sabía que Microsoft Azure proporciona una funcionalidad similar en la nube? Obtenga más información sobre las soluciones de identidad de Microsoft Azure.

Crear una solución de identidad híbrida de Microsoft Azure:
- Implementar Windows Server Active Directory en máquinas virtuales de Azure.
- Más información sobre la solución de administración de identidades y accesos disponible con Microsoft Enterprise Mobility.
- Instalar un controlador de dominio de Active Directory de réplica en una red virtual de Azure.
- Administrar identidades para entornos híbridos de bosque único con la autenticación en la nube.
- Más información acerca de Azure Active Directory y la forma en que se puede integrar en la infraestructura existente de Active Directory.

Puede usar el rol de servidor de Servicios de dominio de Active Directory® (AD DS) para crear una infraestructura escalable, segura y administrable para la administración de usuarios y recursos, y proporcionar compatibilidad con aplicaciones habilitadas para el directorio, como Microsoft® Exchange Server.

Lo que resta de este tema contiene una introducción de alto nivel del rol de servidor de AD DS. Para obtener más información sobre las nuevas características de AD DS en Windows Server 2012, consulta Novedades de Servicios de dominio de Active Directory (AD DS).

AD DS proporciona una base de datos distribuida que almacena y administra información acerca de los recursos de red y datos específicos de las aplicaciones habilitadas para el uso de directorios. Un servidor que ejecuta AD DS se denomina controlador de dominio. Los administradores pueden usar AD DS para organizar los elementos de una red (por ejemplo, los usuarios, los equipos y otros dispositivos) en una estructura de contención jerárquica. La estructura de contención jerárquica incluye el bosque de Active Directory, los dominios del bosque y las unidades organizativas de cada dominio.

La organización de los elementos de la red en una estructura de contención jerárquica ofrece las siguientes ventajas:

  • El bosque actúa como un límite de seguridad para la organización y define el ámbito de autoridad de los administradores. De forma predeterminada, el bosque contiene un solo dominio llamado dominio raíz del bosque.

  • Se pueden crear dominios adicionales en el bosque para facilitar la partición de los datos de AD DS, lo que permite a las organizaciones replicar datos solo si es necesario. Esto permite que AD DS se ajuste de forma global en una red con un ancho de banda limitado. Además, un dominio de Active Directory es compatible con otras funciones clave relacionadas con la administración, incluidas la identidad de usuario, la autenticación y las relaciones de confianza en la red.

  • Las unidades organizativas simplifican la delegación de autoridad para facilitar la administración de un gran número de objetos. Mediante la delegación, los propietarios pueden transferir una autoridad total o limitada sobre los objetos a otros usuarios o grupos. La delegación es importante porque ayuda a distribuir la administración de un gran número de objetos para una serie de usuarios en quienes se confía para realizar tareas de administración.

La seguridad se integra con AD DS a través de la autenticación de inicio de sesión y el control de acceso a los recursos del directorio. Con un solo inicio de sesión de red, los administradores pueden administrar los datos de directorio y la organización a través de la red. Los usuarios de red autorizados también pueden usar un inicio de sesión de red único para tener acceso a cualquier punto de la red. La administración basada en directiva facilita la administración de incluso las redes más complejas.

Algunas características adicionales de AD DS son:

  • Un conjunto de reglas, el esquema, que define las clases de objetos y atributos incluidos en el directorio, las restricciones y límites de las instancias de estos objetos y el formato de sus nombres.

  • Un catálogo global que contiene información acerca de todos los objetos del directorio. Los usuarios y los administradores pueden usar el catálogo global para buscar información del directorio con independencia del dominio en que el directorio tiene los datos.

  • Un mecanismo de consulta e índice para poder publicar los objetos y sus propiedades, y buscar por usuarios o aplicaciones de red.

  • Un servicio de replicación que distribuye los datos de directorio en una red. Todos los controladores de dominio de escritura de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio del dominio. Cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio.

  • Roles de maestro de operaciones (llamadas también operaciones FSMO (Flexible Single Master Operations)). Los controladores de dominio que contienen los roles de maestro de operaciones se designan para realizar tareas específicas para garantizar la coherencia y eliminar las entradas en conflicto del directorio.

Requisitos para ejecutar los Servicios de dominio de Active Directory

¿Qué opciones de hardware, software o configuración son necesarias para ejecutar esta característica? ¿Cuáles son los requisitos previos par ejecutar el rol? ¿Este rol o característica requieren hardware especial?

Requisitos

Descripción

TCP/IP

Configure las direcciones del servidor DNS y TCP/IP correspondientes.

NTFS

Las unidades que almacenan la base de datos, los archivos de registro y la carpeta SYSVOL para los Servicios de dominio de Active Directory (AD DS) deben encontrarse en un volumen fijo local. SYSVOL debe estar ubicada en un volumen que esté formateado con el sistema de archivos NTFS. Por motivos de seguridad, los archivos de registro y la base de datos de Active Directory deben estar ubicados en un volumen que esté formateado con NTFS.

Credenciales

Para instalar un nuevo bosque de AD DS debe ser administrador local en el servidor. Para instalar un controlador de dominio adicional en un dominio existente debe ser miembro del grupo Admins. del dominio.

Infraestructura del Sistema de nombres de dominio (DNS)

Compruebe que la infraestructura de DNS está preparada. Cuando instale AD DS, puede incluir la instalación del servidor DNS, si es necesario.

Al crear un dominio nuevo, se crea automáticamente una delegación DNS durante el proceso de instalación. La creación de una delegación de DNS requiere credenciales de delegación con permisos para actualizar las zonas DNS primarias.

Para obtener más información, consulta la página del asistente para opciones de DNS.

Adprep

Para agregar el primer controlador de dominio que se ejecuta en Windows Server 2012 a un directorio de Active Directory existente, los comandos de adprep.exe se ejecutan automáticamente según la necesidad. Estos comandos tienen requisitos adicionales de credenciales y conectividad.

Para obtener más información, consulta Ejecutar Adprep.exe.

Controladores de dominio de solo lectura (RODC)

Requisitos adicionales para instalar RODC:

  • El nivel funcional de bosque debe ser Windows Server 2003 como mínimo

  • Debe haber instalado en el mismo dominio al menos un controlador de dominio de escritura que ejecute Windows Server 2008 o posterior.

Para obtener más información, consulta Requisitos previos para implementar un RODC.

Nota

Con la excepción del servidor DNS, los controladores de dominio no deben hospedar otros roles de servidor.

Ejecutar Servicios de dominio de Active Directory

¿Cómo se implementa y configura este rol utilizando Windows PowerShell?

Para obtener instrucciones paso a paso sobre cómo instalar y configurar AD DS mediante el módulo de implementación de AD DS para la interfaz de línea de comandos de Windows PowerShell®, consulta la guía de implementación de Servicios de dominio de Active Directory (http://go.microsoft.com/fwlink/?LinkId=222597).

¿Cómo se implementa y configura este rol en un entorno multiservidor?

AD DS es un servicio distribuido diseñado para ejecutarse varios controladores de dominio. Para obtener instrucciones paso a paso sobre cómo instalar y configurar AD DS en varios controladores de dominio, consulta la guía de implementación de Servicios de dominio de Active Directory (http://go.microsoft.com/fwlink/?LinkId=222597).

¿Cómo se puede ejecutar este rol en máquinas virtuales?

AD DS en Windows Server 2012 incluye medidas de seguridad para ejecutar en máquinas virtuales que garantizan la seguridad y la consistencia de entornos AD DS virtualizados. Para obtener más información sobre cómo ejecutar AD DS en máquinas virtuales, consulta Controladores de dominio en ejecución en Hyper-V (http://go.microsoft.com/fwlink/?LinkID=213293).

Consideraciones de seguridad para ejecutar este rol

Tras la instalación, AD DS está diseñado para ser seguro de manera predeterminada. Para obtener más información sobre la configuración de seguridad predeterminada de los controladores de dominio, los riesgos y el modo de operar estos controladores de forma segura, consulta la guía de procedimientos recomendados para proteger las instalaciones de Active Directory.

Consideraciones especiales para administrar este rol de forma remota

Para administrar AD DS de forma remota, instale las Herramientas de administración remota del servidor (RSAT). Existe una versión de 32 bits y otra de 64 bits de RSAT. Para obtener más información, consulta Herramientas de administración remota del servidor (http://go.microsoft.com/fwlink/?LinkId=222628).

Consideraciones especiales para administrar el rol con la opción de instalación Server Core

Se puede instalar AD DS en una instalación de Server Core o en un servidor con una interfaz de servidor básica y está recomienda en los casos en los que es ventajoso reducir la superficie de la instalación del sistema operativo, como para un rol de servidor dedicado en un centro de datos, para los invitados de virtualización o en los RODC de oficinas remotas. Desde Windows Server 2012, un controlador de dominio que se ejecuta en una instalación de Server Core se puede convertir en una instalación del servidor con una GUI (también conocida como una instalación completa) y viceversa.

Se admite la actualización desde una instalación de Server Core que se ejecute en una versión anterior de Windows Server, pero no se puede realizar una actualización directamente desde una instalación de Server Core de una versión anterior de Windows Server a una instalación de servidor con una GUI o directamente desde una instalación de servidor con una GUI a una instalación de Server Core. En este caso, necesitarás actualizar directamente al mismo tipo de instalación en Windows Server 2012 y después convertirlo en una instalación diferente después de la actualización según sea necesario.

Para obtener más información, consulta las Opciones de instalación de Windows Server.

Servicios de roles para Servicios de dominio de Active Directory

Administración de identidades para UNIX es un servicio de roles de AD DS que solo se puede instalar en controladores de dominio. Dos tecnologías de Administración de identidades para Unix (Servidor para NIS y Sincronización de contraseña) facilitan la integración de los equipos con Windows® en la empresa UNIX existente. Los administradores de AD DS pueden usar Servidor para NIS para administrar los dominios del Servicio de información de la red (NIS). La Sincronización de contraseña sincroniza automáticamente las contraseñas entre los sistemas operativos Windows y UNIX.

Tecnologías de servicio de roles

Descripción del servicio de rol

Servidor para NIS

Permite que un controlador de dominio de Active Directory basado en Microsoft Windows administre redes de Servicio de información de la red (NIS) de UNIX. Para obtener más información, consulta Introducción al Servidor para NIS (http://go.microsoft.com/fwlink/?LinkId=222677).

Sincronización de contraseña

Ayuda a integrar las redes de Windows y UNIX, ya que simplifica el proceso de mantenimiento de contraseñas seguras en ambos entornos. Para obtener más información, consulta Introducción a la sincronización de contraseñas (http://go.microsoft.com/fwlink/?LinkId=222676).

Referencias adicionales