|
Menú |
|
|
|
|
|
El Directorio Activo en Windows 2000 |
|
|
|
La característica más esperada de Windows 2000 (W2000) es el Directorio Activo (DA). (Para más información respecto a otras innovaciones de W2000, consulta el artículo anterior "Windows 2000: Visión general"). DA lleva la gestión de recursos de Windows NT en el ámbito de la gran empresa fuera de la edad de piedra: este servicio elimina los dominios maestros, los dominios de recursos, las cuentas de administrador de acceso total que ponen en peligro la seguridad de un dominio y las numerosas (tantas como N x (N-1) ) relaciones de confianza que había que establecer cada vez que se añadía un dominio nuevo. Para sacar el máximo provecho de DA, es necesario entender por qué es importante un servicio de directorio, cómo trabaja DA, qué características proporciona el servicio y cómo afrontar los problemas de migración.
Servicios de directorio Un servicio de directorios es un repositorio distribuido de información o punteros a información (usuarios, grupos, recursos, etc). Después de crear un repositorio de este tipo, es posible poner en marcha varias aplicaciones que lo utilicen. Es posible crear aplicaciones sencillas, como un servicio de directorio de información personal o aplicaciones complejas para gestionar un sistema operativo de red (NOS). Al igual que otros servicios de directorio como Novell Directory Services (NDS) o StreetTalk, de Banyan, el DA proporciona un directorio de objetos específicos para el sistema operativo de red que permiten manejar no sólo los usuarios y sus propiedades, sino también otra gran cantidad de prestaciones específicas de NT, como los volúmenes Dfs, GPO (Group Policy Objects u objetos de directiva de grupos) e infraestructura de claves públicas (Public Key Infraestructure o PKI). El tipo de objetos que puede contener un directorio es prácticamente ilimitado. Aun así. es necesario tener en cuenta consideraciones de rendimiento y replicación. El protocolo X.500, basado en la Organización Internacional para la Estandarización (ISO), es, probablemente, el estándar de servicios de directorio más ampliamente conocido. X.500 especifica un esquema por defecto que describe clases de objetos y sus atributos asociados. Los directorios basados en X.500 comparten diversas características. La más importante de los directorios basados en X.500 es la unidad organizacional (Organizational Unit u OU). La OU recibe el apelativo de "objeto contenedor" dentro de un directorio, debido a que la OU puede contener otros objetos (que pueden ser, a su vez, nodos finales u otros contenedores). Dado que los directorios basados en X.500 permiten crear objetos que pueden contener otros objetos, estos directorios permiten el uso de relaciones jerárquicas. Por tanto, es posible relaciones árboles de OU situando a cada árbol como subordinado del anterior. Esta potente posibilidad de DA permite delegar tareas de administración a un subconjunto de usuarios dentro de un dominio W2000. La OU proporciona un control granular de la delegación de la gestión de recursos. En W2000, la unidad de delegación es la OU, mientras que en NT 4.0, este papel lo cumple el dominio. Otra parte fundamental del servicio de directorio es el esquema, que define la estructura interna de un directorio. El esquema define las relaciones entre las clases de objetos. Cada clase de objeto tiene asociado un conjunto de atributos. Una clase llamada Persona podría tener un atributo llamado Nombre, lo que especificaría que los objetos de la clase Persona contienen información sobre su Nombre, por ejemplo. Adoptando un modelo orientado a objetos, las clases heredan otras clases, formando una jerarquía. El esquema del DA es extensible. Esto significa que es posible modificar el esquema para crear nuevas clases y nuevos atributos para las clases existentes. Infraestructura DA Cuando Microsoft desarrolló el DA, estaba obligada a proporcionar compatibilidad con entornos NT 4.0. Por tanto, muchos de los conceptos resultan familiares para alguien conocedor de este sistema operativo. Dominios. En W2000, las directivas de seguridad continúan vinculadas al dominio, y siguen existiendo grupos de Administradores de Dominio. Sin embargo, los dominios DA ya no utilizan el estándar de denominación NetBIOS de 15 caracteres. Aunque los dominios DA cuentan con un nombre NetBIOS para mantener la compatibilidad, los dispositivos W2000 reconocen a los dominios DA por sus nombres DNS. El servicio de nombres por defecto de W2000 es DNS, y todos los dominios DA cuentan con un dominio DNS para identificarlos (por ejemplo, miempresa.com). En NT 5.0, sólo es posible contar con una jerarquía de dos niveles entre dominios, ya que las relaciones de confianza no son transitivas. Supongamos, por ejemplo, que existen tres dominios NT 4.0 (A, B y C) y se desee que los dominios B y C confíen en A y que el dominio C confíe en B. Es posible crear un enlace de confianza entre B y A, y hacer lo mismo entre C y A, pero también es necesario crear el enlace explícito desde el dominio C hasta B. W2000 elimina esta restricción. Dado que Microsoft utiliza Kerberos 5 como protocolo de autentificación por defecto en W2000,. las relaciones de confianza pueden ser en dos sentidos y transitivas. Por tanto, es posible contar con varios niveles de jerarquía de dominios. El dominio A puede confiar en el dominio B, que, a su vez, confía en C., por ejemplo, y así en adelante. Árboles y bosques de dominios. Un árbol de dominios es un conjunto de dominios que confían entre sí y que pertenecen a un ámbito de denominación contiguo (es decir, un árbol de directorios en el que cada dominio es un subdirectorio de su dominio padre). |