El Blog de Quilez

3.- CONCEPTOS

A esta superestructura que va a albergar todos los recursos de nuestra organización la vamos a llamar bosque (o bosque de dominios). Puede tener un único dominio o varios, según nuestras necesidades. El bosque se caracteriza por tener un esquema (que ahora veremos lo que es) común para todos los dominios del mismo, y gestiona las relaciones entre todos los componentes de cualquier dominio perteneciente al mismo.

El sistema más simple es el de un bosque compuesto por un dominio único. Realmente ésta es la situación más común, ya que gracias a la alta capacidad de organización de un dominio en el Directorio Activo, ha disminuido en gran manera la necesidad en las empresas de mantener dominios independientes para sus componentes.

Este primer dominio del bosque, que se crea al mismo tiempo que este último, es lo que llamaremos «Dominio Raíz del Bosque». Es un dominio más, similar a todos los que posteriormente podamos añadir al bosque, pero tiene dos diferencias fundamentales con el resto: la primera, que una vez creado ya no se puede eliminar mientras queden otros dominios en el bosque, y la segunda, que en éste dominio raíz se gestionan de forma única para todos los dominios del bosque el esquema común y la nomenclatura de todos los dominios del bosque (controla los nombres para evitar que en un momento dado pudiéramos crear un dominio con un nombre ya existente en el bosque).

El bosque está compuesto de objetos. Desde cada dominio definido en el bosque hasta el último usuario o impresora son objetos componentes de esta estructura. Cada uno de estos objetos tiene una serie de atributos, que definen las características de los mismos. Así, por ejemplo para un usuario determinado, le habremos definido un nombre, apellidos, teléfono y un sinfín de atributos más que le identificarán en bosque de forma única.

El esquema es una base de datos del Directorio Activo donde se definen los distintos tipos de objetos que podremos crear en el bosque. A cada uno de estos tipos le llamaremos «Clase», y en ella estarán definidos todos los atributos que luego rellenaremos con los datos propios que identifican al objeto. Por poner un ejemplo, en el esquema tenemos la clase «User», la cual tiene definidos, entre muchos otros, los atributos «Name» y «Phone». Cuando desde la herramienta adecuada decimos al sistema que cree una cuenta de usuario, el sistema crea en AD un objeto usuario basado en la clase «User», con espacio para albergar todos los atributos que lo identifican. En el momento de crear el usuario, rellenamos los datos de aquellos atributos que son obligatorios, y tanto entonces como en cualquier momento podemos ampliar la información rellenando aquellos que no lo son. El hecho de que el esquema sea común a todos los dominios del bosque hace que cuando creamos una cuenta de usuario en un dominio, ésta tiene exactamente los mismos atributos y con las mismas características que las creadas en cualquiera de los otros dominios.

El esquema es algo dinámico. Cuando creamos un bosque, por ejemplo, con un servidor 2003, este Sistema Operativo trae una determinada versión del esquema, por lo que los atributos de los objetos que creemos serán los que estén definidos en esa versión. Posteriormente podemos instalar en el bosque un software, como Exchange, que amplía el esquema para añadir clases completamente nuevas, y añade nuevos atributos a clases ya existentes (por ejemplo, para añadir atributos relacionados con el correo a la clase «User»). Una vez hecha esta modificación del esquema, los objetos nuevos y los creados con anterioridad pasarán a disponer de estos nuevos atributos, con lo que habremos aumentado la funcionalidad de nuestra organización.

Generalmente, cada nueva versión de sistema operativo servidor viene preparada con una versión nueva del esquema de AD, más completa que las anteriores, y siempre conteniendo todo lo anterior más lo nuevo. Cuando creamos un bosque nuevo con la última versión, su Directorio Activo tiene automáticamente el último esquema definido. Sin embargo, si a un bosque definido con el esquema de una versión determinada de Windows, por ejemplo Server 2003, queremos añadirle determinadas funcionalidades correspondientes a versiones más modernas (2003 R2 ó 2008), como que pueda albergar controladores de dominio con Server 2008, nos será preciso en primer lugar ampliar el esquema actual con la versión correspondiente a la última versión que necesitemos tener.

Una vez hemos creado el primer dominio, es posible añadir más dominios al bosque. Sin embargo, lo más importante en esto es realizar a priori una planificación exhaustiva de lo que necesitamos. Tan malo es crear un único dominio mal organizado como empezar a crear subdominios sin ton ni son, que luego complican en exceso la administración centralizada de los mismos.

El concepto que tenemos que tener más en cuenta a la hora de decidir nuestra estructura de dominios es el de la administración única de los objetos de los mismos. Y por única no quiero decir que la haga un solo administrador, pues se pueden delegar permisos de administración a partes del dominio, sino que se tiene una política de administración conjunta para todo el dominio (mismas políticas de contraseñas, administradores centrales del dominio, gestión de las políticas comunes y particulares, etc). Cuando realmente necesitamos tener independencia total, aunque manteniendo la pertenencia al bosque, es cuando crearemos dominios adicionales en el bosque.

Una vez hemos decidido una estructura de dominios en el bosque, vemos que la topología de los mismos es función de la nomenclatura que establezcamos. Partiendo siempre del nombre que hayamos dado al dominio raíz, en el ejemplo «gericom.es», si necesitamos mantener el mismo como sufijo de otros, hablaremos de subdominios (p.e. sevilla.gericom.es), o dominios padres e hijos. Entre todos los que cuelgan de un mismo padre forman lo que en AD se llama un árbol de dominios. En el caso de que queramos crear dominios con una nomenclatura que no esté ligada al dominio raíz, éstos formarán nuevos árboles de dominios (que pueden ser árboles de un único dominio) dentro del bosque.

Un primer detalle a tener en cuenta con esta estructura de dominios es que, dando los permisos adecuados, cualquier usuario de cualquier dominio puede acceder a cualquier recurso ofrecido en cualquiera de los dominios del bosque.

Fijémonos en el gráfico anterior, y en particular en los nombres dados a los dominios. La estructura de nombres coincide con el tipo de nomenclatura de dominios DNS. Aunque son cosas distintas, la estructura de nombres de dominio en el Directorio Activo está totalmente ligada a una estructura de dominios DNS del mismo nombre. De hecho, gran parte de las funcionalidades del Directorio Activo dependen totalmente del servicio DNS y su correcta configuración.

Por fin, en esta estructura podemos definir el dominio como un conjunto de equipos, usuarios y otros recursos que se administran como una entidad única. Debe disponer de al menos un servidor Windows que realice las funciones de Controlador de Dominio, que es un servidor que aloja los servicios correspondientes al Directorio Activo en el dominio.

Hasta ahora hemos hablado de una estructura lógica del bosque, en la que, por ahora, hemos organizado los recursos en una estructura de dominios, pero hay que notar que esta estructura no tiene absolutamente ninguna relación con la estructura física de nuestra red. Del mismo modo podemos tener objetos de un mismo dominio repartidos por múltiples redes, como elementos de distintos dominios dentro de la misma red, con todas las combinaciones que queramos.

Por ello, para reflejar en el AD la estructura física de nuestra red aparece el concepto de Sitio de AD. Un Sitio es un conjunto formado por una o varias subredes que estén unidos entre sí por enlaces de alta capacidad. Nos permitirán por un lado gestionar de forma eficiente las réplicas del AD entre los servidores del propio o distintos Sitios, y también permiten que el inicio de sesión de los usuarios se realice en controladores de dominio del propio Sitio del equipo del usuario de forma preferente.