Active Directory (AD)

ACTIVE DIRECTORY (AD)

Servicios de Directorio
Un directorio es una fuente de
información usada para almacenar
información acerca de todos los
objetos de la red. De la misma forma
que un directorio telefónico almacena
información de todos los usuarios, el
directorio de una red almacena
información sobre los usuarios y otros
usuarios de la red. Debido a que las
redes se han vuelto grandes y
complejas, tanto usuarios como
administradores necesitan saber el
nombre de los objetos y la forma de
acceder a ellos.
Los servicios de directorios proporcionan:

• Información univoca de todos los objetos de la

red.

• Acceso fácil y universal.

• Administración centralizada.
 Directory Active(AD)
Proporciona servicios para poder administrar y
ubicar numerosos objetos en redes publicas y
privadas tales como usuarios, grupos,
impresoras, servidores, aplicaciones, base de
datos etc.
El Active Directory es el componente de
Windows Server que proporciona servicios de
directorio, es seguro, distribuido, particionado
y replicado. Está diseñado para trabajar en
redes de cualquier tamaño. Este servicio
incluye nuevas características que hacen más
fácil la navegación entre los objetos de la red y
una administración más eficiente de los
recursos de la red, ahorrando tiempo entre
usuarios y administradores. A si mismo, no
limita la formación de espacio de nombres
contiguos a partir de dominios y directorios
discontinuos. Sin embargo, puede ser
ventajoso formar arboles contiguos que
correspondan con el espacio de nombres, de
tal manera que la estructura de nombre siga
de la misma lógica que el espacio de nombres.
 Objeto
Es un único conjunto de atributos que
representa a una entidad concreta, tal como
un usuario, un grupo, una impresora, o una
aplicación. Los atributos contienen
información que describe a la entidad
representada mediante un objeto en el
directorio. Por ejemplo, los atributos de un
usuario son su nombre de usuario, su nombre
completo, su dirección de correo, su cargo, su
dirección, etc. Los objeto se identifican por
sus nombres y pueden ser de dos tipos:
• Nombre completo y absoluto DN
(Distinguished Name).
• Nombre relativo RDN (Relative
Distinguished Name)
Nombre completo y absoluto DN
(Distinguished Name):
Identifica el dominio que contiene al objeto y
la ruta completa para llegar al objeto dentro
de la jerarquía del directorio. Un típico
nombre absoluto DN es:
/O=pe/DC=com/DC=alfa/CN=Usuarios/CN=Ma
rco Flores.
Este DN identifica al objeto usuario «Marco
Flores » en el dominio <alfa.com.pe.>
Nombre relativo RDN ( Relative Distinguished
Name ): Es la parte del nombre que es un
atributo del propio objeto. Por ejemplo, el
RDN del objeto usuario Marco Flores es
CN=Marco Flores, mientras que el RDN del
objeto padre es CN=Usuarios
Un directorio soporta consultas mediante
atributos, de modo que un objeto puede ser
encontrado aun cuando el DN es desconocido
o ha cambiado. Para simplificar la búsqueda
de objetos en el directorio, el esquema define
dos propiedades útiles para todos los objetos:
• Un identificador único global GUID
(Globally Unique Identifier).
• Nombre de usuario principal UPN (User
Principal Name).
Identificador único global GUID (Globally
Unique Identifier):
un numero exclusivo que garantiza su unicidad
y que es asignado al objeto en el momento de
su creación. El GUID se mantiene inalterable
aun cuando el objeto es renombrado o
movido a otro contenedor. es un número de
16 bytes (128 bits). Por tanto, el número de
posibles UUID es de unos 3,4 × 1038. En su
forma canónica un UUID se expresa mediante
32 dígitos hexadecimales divididos en cinco
grupos separados por guiones de la forma 8-4-
4-4-12 lo que da un total de 36 caracteres (32
dígitos y 4 guiones). Por ejemplo:
550e8400-e29b-41d4-a716-446655440000
Nombre de usuario principal UPN (User
principal Name): los principales de seguridad
(Security Principals), usuarios y grupos
responsables de la seguridad usan el UPN
como nombre más amigable, el cual es más
corto que el DN y más fácil de recordar. El UPN
es compuesto de un nombre más corto que el
DN y más fácil de recordar. El UPN es
compuesto de un nombre corto para el
usuario y el nombre DNS del árbol de dominio
donde el usuario existe, por ejemplo, el
usuario Marco Flores en el árbol alfa.com.pe
tendrá un UPN como mflores@alfa.com.pe.
Un objeto puede ser un objeto contenedor u
objeto terminal ,este ultimo es también
conocido como objeto hoja. Un objeto
terminal no puede contener otros objetos.
Unicidad de nombres: Los nombres DN son
únicos para cada objeto. El directorio activo de
Windows Server no permite dos objetos con el
mismo nombre relativo RDN bajo el mismo
contenedor padre. Esto se logra de dos
maneras: primero, no se permite dos
nombres iguales en el mismo contenedor, y
cada objeto es representado por un
identificador único GUID generado mediante
un algoritmo que garantiza su unicidad.
Contenedor: Un contenedor es un objeto que
puede contener otros objetos. Del mismo
modo que una carpeta puede contener
archivos, un contenedor de un directorio
puede contener objetos del mismo directorio.
El tipo más común de objeto contenedor es
una unidad organizativa.
Esquema: El esquema es el conjunto de tipos
de objetos que puede almacenar un
directorio. En el esquema se definen las clases
y atributos de los objetos que podemos tener
en el directorio, si se requiere almacenar un
nuevo tipo de objeto será necesario modificar
el esquema.
Los objetos del esquema pueden ser
protegidos por Listas de Control de Acceso
(ACL), de modo que solo los usuarios
autorizados puedan modificar el esquema.
Componentes Lógicos
Dominio: Es un grupo de ordenadores bajo
una administración común que comparte una
lista común de usuarios y recursos. En un
dominio se pueden encontrar a los
controladores de dominio(DC, domain
controller), a los servidores miembros (MS,
Member Server) y a los clientes(C, client).
Es una unidad administrativa dentro de una
red de ordenadores. Tiene sus propias
políticas seguridad y relaciones de confianza
con otros dominios. En el directorio activo un
dominio puede abarcar más de una ubicación
física mediante enlaces WAN y mediante VPN.
Arbol: Un árbol es una estructura jerárquica
de objetos, los objetos pueden ser objetos
contenedores y objetos terminales. Un árbol
muestra como los objetos se encuentran
interrelacionados o la ruta desde un objeto a
otro objeto. Un árbol de dominios es una
colección de uno o más dominios que
comparten un espacio de nombre contiguo.
Por ejemplo si el primer dominio se llama
contoso.com y tiene un subdominio, este sería
subdominio.contoso.com.
En un bosque de Active Directory pueden
existir múltiples árboles de dominio.
Los arboles pueden ser vistos de dos formas:
Vista de relaciones de confianza: Muestra los
dominios y sus relaciones de confianza.
Vista de espacio de nombres: Muestra el
espacio de nombres y permite determinar el
nombre completo de un objeto siguiendo la
ruta dentro del espacio de nombres del árbol
de dominio.
Bosque: Un bosque es un conjunto de árboles
que no forman un espacio de nombres
contiguo. Todos los arboles en un bosque
comparten un esquema, una configuración y
un catalogo global. Todos los arboles de un
bosque confían en los otros mediante
relaciones de confianza(transitivas y
jerárquicas) basadas en Kerberos.
Los arboles en un bosque forman una
jerarquía para los propósitos de la relación de
confianza Kerberos, y el nombre del bosque es
del primer árbol creado.
Al utilizar bosques y arboles de dominio, se
obtiene la flexibilidad que ofrecen los sistemas
de espacios de nombres contiguos. Esto puede
ser útil, por ejemplo, en el caso de compañías
que tienen divisiones independientes que
necesitan conservar sus propios nombres DNS.
Todos los dominios de un Bosque comparten
las siguientes características:
• Relaciones de confianza entre los
dominios.
• Relaciones de confianza transitivas entre
los arboles de dominio.
• Un esquema común.
• Información de configuración común.
• Un catalogo global común.
Unidades organizativas : Una unidad
organizativa es la unidad más pequeña a la
que se puede asignar configuraciones
mediante un objeto directiva de grupo o en la
que se puede delegar la administración.
Un objeto Directiva de grupo asociado a una
unidad organizativa define la configuración
que se aplica a los equipos o usuarios cuando
se inicializan.
Componentes Físicos
Sitio: Es una ubicación en la red que contiene
los servidores del Active Directory. Es definido
como una o más subredes TCP/IP.
Esta definición permite a los administradores
configurar de manera fácil y rápida el acceso al
Active Directory y la topología de replicación
para tomar ventaja de la red física.
Cuando un usuario inicia sesión, el cliente
Active Directory busca los servidores de Active
Directory en el mismo sitio del usuario. Esto es
realizado fácilmente debido a que la estación
del usuario ya conoce en que subred TCP/IP se
encuentra la subred TCP/IP se encuentra y la
subred se corresponde directamente con el
sitio de Active Directory.
Controlador de Dominio: Un controlador de
dominio (DC) es un equipo que usa Windows
Server y tiene instalado el Active Directory. Los
controladores de dominio almacenan datos
del directorio y administran las interacciones
entre el usuario y el dominio, como los
procesos de inicio de sesión, la autenticación y
las búsquedas de directorios.
Roles de los equipos
del Dominio
Controlador de Dominio: Contienen la base
de datos de todos los objetos del Active
Directory. Un dominio se crea cuando se
instaura el primer controlador de dominio de
dicho dominio.
En un dominio puede existir mas de un
controlador de dominio, lo cual es
recomendable si en caso ocurriese alguna
falla. Asimismo, para reducir el trafico en los
enlaces WAN, se recomienda instalar un
controlador de dominio en cada sitio.
Servidores Miembros (MS): Son servidores
que se hacen miembros de un dominio con la
finalidad de proporcionar servicios al dominio
sin la obligación de mantener la lista de
usuarios. Es recomendable que IIS, Exchange
Server y SQL Server se configuren como
servidores miembros.
Los servidores miembros proporcionan
recursos y servicios al dominio.
Clientes (C): Son equipos con algunos de los
sistemas operativos de cliente de Windows
que requieren los recursos y servicios del
dominio.
Catalogo Global(GC)

Es un deposito de información que contiene

un subconjunto de atributos para todos los
objetos de Active Directory. De forma
predeterminada, los atributos que se
almacenan en el catalogo global son los que se
utilizan con más frecuencia en las consultas,
como el nombre, el apellido y el nombre de
inicio de sesión de un usuario. El catalogo
global contiene información necesaria para
determinar la ubicación de cualquier objeto
del directorio.
Un servidor de catalogo global es un
controlador de dominio que procesa las
consultas al catalogo global y almacena una
copia de las mismas. El primer controlador de
dominio que se crea en Active Directory es un
servidor de catalogo global. Puede configurar
controladores de dominio adicionales para
que sean servidores de catalogo global con el
fin de equilibrar el trafico de autenticación de
inicio de sesión y la transferencia de consultas.
El catalogo global cumple dos funciones:

• Permite que un usuario inicie sesión desde

cualquier ubicación de la red.
• Permite que un usuario busque
información del directorio en todo el
bosque, independientemente de la
ubicación de los datos.
Niveles funcionales

El nivel funcional de dominio o de bosque

define las versiones de Windows server de los
controladores de dominio y las características
disponibles. Generalmente, a mayor nivel
funcional, mayores características disponibles.
El máximo nivel funcional que se puede
alcanzar está dado por la versión de Windows
server de los controladores de dominio. No
influye la versión de los servidores miembros
del dominio ni de los clientes de red.
El máximo nivel funcional de bosque que se
puede alcanzar esta dado por el nivel
funcional de los dominios que lo integran.
Active Directory y DNS

Está basado, en gran parte a su

funcionamiento, en el sistema de nombres de
dominio DNS (Domain Name System).
Actice Directory usa DNS como servicio de
ubicación.
La integración entre DNS y Active Directory
significa que el Active Directory encaja
naturalmente en entornos de internet e
intranet, los clientes pueden encontrar los
servidores de forma rápida y fácil.
Una red empresarial puede conectar
servidores de Active Directory directamente a
internet para facilitar una comunicación
segura a través del comercio electrónico entre
clientes y socios de negocio.
Acceso al Active Directory

Se realiza mediante protocolos que definen el

formato de los mensajes y la interacción entre
clientes y servidores. varias interfaces de
programación de aplicaciones definen se
proporcionan a los desarrolladores para el
acceso a esos protocolos (LDAP,MAPI-RPC,X-
500).
Administración de cuentas
De Usuario
Cuando se tiene una red basada en dominio,
la administración de usuarios cambia debido
al Active Directory.
Los usuarios son representados mediante un
objeto usuario que contiene propiedades
adicionales a las que tenia en un grupo de
trabajo. Se puede ingresar datos como
numero de teléfonos, dirección, dirección
electrónica, pagina web, etc.
Administración de Grupos
A medida que los usuarios y recursos de una
red aumentan, la carga de tareas
administrativas se hace mayor. La estrategia
mas recomendada para reducir la carga
administrativa es crear grupos y usar estos
grupos en la asignación de permisos.
Un grupo de un conjunto de usuarios, equipos,
contactos y otros grupos. También pueden
utilizarse los grupos para enviar mensajes de
correo electrónico a múltiples usuarios.
Cuando se envía un mensaje de correo
electrónico al grupo, se envía a cada uno de
sus integrantes. En Windows Server existen
dos tipos de grupos:
• Grupos de seguridad.
• Grupos de Administración.
Grupos de Seguridad: Los grupos de seguridad
se utilizan para asignar derechos y permisos a
los grupos. Los derechos determinan que
pueden hacer los integrantes de un grupo de
seguridad en un dominio o bosque, y los
permisos determinan a que recursos de la red
tienen acceso los integrantes del grupo.
Los grupos de seguridad tienen toda la
funcionalidad de los grupos de distribución.
Grupos de Distribución: Se utilizan con
aplicaciones de correo electrónico ,como
Exchange Server para enviar mensajes de
correo electrónico a grupos de usuario. El
propósito principal de este tipo de grupo es
reunir objetos relacionados, más no conceder
permisos por lo que no tienen SID. Aunque los
grupos de seguridad tienen toda la
funcionalidad de los grupos de distribución,
estos siguen siendo necesarios ya que algunas
aplicaciones solo pueden utilizar grupos de
distribución.
 Ámbitos de Grupo
El ámbito de grupo determina:

• Los dominios desde los que se puede

agregar miembros al grupo.
• Los dominios en los que puede utilizarse el
grupo para conceder permisos.
• Los dominios en los que puede anidarse el
grupo dentro de otros grupos.

Un grupo de seguridad o de distribución

puede tener uno de tres ámbitos posibles.
Ámbito Local: Puede asignar permisos para
recursos ubicados en el equipo en el que se ha
creado el grupo local. Cree grupos locales para
limitar la capacidad de acceso de los usuarios
y grupos locales a los recursos de la red
cuando no desee crear grupos de dominio.
Es importante distinguir entre grupo local y un
grupo de dominio local. Un grupo local es un
conjunto de cuentas de usuario o grupos de
dominio creado en un servidor miembro o en
un servidor independiente.
Un grupo de dominio local es un grupo de
seguridad o de distribución que puede
contener grupos universales, grupos globales
o grupos de dominio local de su propio
dominio y cuentas de cualquier dominio del
bosque.
Ámbito de Dominio Local: Los grupos con
ámbito de dominio local ayudan a definir y
administrar el acceso a los recursos de un solo
dominio. Es posible asignar permisos para los
recursos ubicados en el mismo dominio que el
grupo local. Puede colocar todos los grupos
globales que deban compartir los mismo
recursos en el grupo de dominio local
adecuado.
Ámbito Global: una ventaja de utilizar el
ámbito global es que las cuentas de un grupo
que contiene pueden modificarse
frecuentemente sin generar trafico de
replicación en el catalogo global. Esta ventaja
proviene de el hecho de que los grupos
globales no se replican fuera de su propio
dominio. Los grupos de ámbito global pueden
utilizarse para administrar objetos de
directorio que requieran mantenimiento
diario, como las cuentas de usuario y de
equipo. Por ejemplo, puede utilizar un grupo
global para organizar los usuarios que
comparten las mismas tareas y tienen
requisitos de acceso a la red similares.
Ámbito Universal: Los grupos con ámbito
universal pueden utilizarse para consolidar
grupos que abarcan más de un dominio. Para
ello agregue las cuentas a grupos de ámbito
global y anide estos grupos en otros que
tengan ámbito universal. Con esta estrategia,
los cambios en la pertenencia a los grupos con
ámbito global no afectarán a los grupos con
ámbito universal.
La pertenencia a un grupo con ámbito
universal no debe de cambiar con frecuencia,
ya que tales cambios provocan que se replique
toda la información de pertenencia del grupo
en todos los catálogos globales del bosque.
 Grupos Anidados
El anidamiento permite agregar un grupo
como integrante de otro grupo. Los grupos se
anidan para consolidar las cuentas integrantes
y reducir el trafico de replicación.
El diseño de la red debe reducir el
anidamiento a solo un nivel. Un solo nivel de
anidamiento es lo más efectivo, ya que el
seguimiento de los permisos se hace más
complejo cuando existen varios niveles.
Así mismo, la solución de problemas es mas
difícil cuando hay que trazar los permisos a lo
largo de múltiples niveles de anidamiento. Por
ello debe documentar la pertenencia a grupos
para hacer un seguimiento de los permisos.
Es posible anidar distintos tipos de integrantes
en un grupo, dependiendo de su ámbito.
Grupos Predeterminados
Grupos predeterminados en los servidores
miembros: en los servidores miembros, la
carpeta grupos de la herramienta
administración de equipos muestra todos los
grupos locales integrados predeterminados y
todos los grupos creados posteriormente. Los
grupos locales predeterminados se crean
automáticamente al instalar Windows Server.
Los grupos locales pueden contener cuentas
de usuario locales, cuentas de usuario de
dominio, cuentas de equipos y grupos
globales.
Grupos predeterminados en Active Directory:
Son grupos de seguridad que se crean
automáticamente al instalar un dominio de
Active Directory. Puede utilizar estos grupos
predefinidos para administrar los recursos
compartidos y delegar funciones
administrativas especificas que afecten a todo
el dominio. Los grupos operadores de cuentas
y operadores de servidor son ejemplos de
grupos predeterminados que se instalan con
Active Directory. Otros grupos son
controladores de dominio e invitados de
dominio.
Uso de los Grupos
Predeterminados
Los grupos predeterminados ayudan a
controlar el acceso a los recursos compartidos
y delegar funciones administrativas especificas
que afecten a todo el dominio. Muchos grupos
predeterminados reciben automáticamente
un conjunto de derechos de usuario que
autoriza a sus integrantes a realizar acciones
especificas en un dominio, como iniciar
sesiones en un sistema local o crear copias de
seguridad de archivos y carpetas.
Solo debe de agregar un usuario a un grupo
predeterminado si realmente desea concederle:
• Todos los derechos de usuario asignados a ese
grupo.
• Todos los permisos asignados a ese grupo
predeterminado para todos los recursos
compartidos asociados al mismo.

En caso contrario debe crear un nuevo grupo de

seguridad y asignarle únicamente los derechos de
usuario o permisos que el usuario requiere.
Como recomendación de seguridad, los integrantes de
los grupos de seguridad predeterminados con amplio
acceso administrativo no deben iniciar sesiones
interactivas con credenciales administrativas. En lugar
de ello los usuarios que tengan este nivel de acceso
deben de iniciar la sesión con una cuenta no
administrativa y utilizar “ejecutar como”.
 Efecto de los grupos en
el rendimiento de la Red
Cuando un usuario inicia una sesión, el
controlador de dominio determina a que
grupo pertenece el usuario. Windows Server
crea un testigo de seguridad y lo asigna al
usuario. El testigo de seguridad incluye el ID
de la cuenta de usuario y el ID de todos los
grupos de seguridad a los que pertenece el
usuario.
La pertenencia a grupos puede afectar al
rendimiento de la red a través de los
siguientes:
• Los efectos en el inicio de una sesión.
• La replicación de grupos de ámbito
universal.
• El ancho de banda de la red.
RELACIONES DE CONFIANZA
Entornos con Múltiples
Dominios
Son frecuentes en las redes de organizaciones
de mayor tamaño. los componentes lógicos
del Active Directory permiten reflejar la
distribución jerárquica, geografía o
departamental de tales organizaciones.
Active Directory permite almacenar y
organizar la información del directorio de las
redes con múltiples dominios permitiendo que
la información se encuentre disponible para
todos, mientras que garantiza una
administración independiente para cada
dominio.
Cuando se crea un primer dominio, en realidad
también se crea un árbol y un bosque; estos
permiten que otros dominios se hagan parte
de la misma infraestructura de dominios. Ese
primer dominio resulta ser el “dominio Raíz de
árbol” y “dominio Raíz de bosque”.
Cuando se crea un segundo dominio, se tiene
la opción de hacerlo en nuevo bosque o en un
bosque existente. Si se hace en un nuevo
bosque, se crea una nueva infraestructura de
dominio que no tiene relación alguna con el
bosque anterior, a menos que se cree de
manera una relación de manera manual.
Si se hace en un bosque existente, se tiene la
opción de hacerlo en un árbol existente o en
un nuevo árbol, en cualquiera de los dos casos
Active Directory crea una “relación de
confianza”.
Modelos jerárquicos
de confianza
Jerarquía basada en la función: Considera solo
las funciones de negocio de la organización sin
considerar la ubicación geográfica o los limites
de las áreas administrativas. Sus
características son:
• No se ve afectados por las
reorganizaciones.
• Puede requerir niveles adicionales para
acomodar la administración de objetos
terminales, tales como: usuarios,
impresoras, servidores y otros recursos de
la red.
• Pueden afectar a la replicación.
Jerarquía basada en la ubicación: si la red está
centralizada y la administración de la red está
distribuida geográficamente, es recomendable
utilizar una jerarquía basada en la ubicación.
Sus características son:
No se ve afectada por las reorganizaciones
Se adapta a fusiones y expansiones con otras
organizaciones
Aprovecha la capacidad de la red y se adapta a
la topología de la red física de la organización
Puede comprometer la seguridad de los
dominios secundarios.
Jerarquía basada en la organización :
considera los departamentos o divisiones de la
organización.
Si la estructura de Active Directory se ha
creado para reflejar la estructura organizativa,
puede ser difícil delegar la autoridad
administrativa; ya que los objetos de Active
Directory pueden no estar agrupados de modo
que faciliten la delegación de dicha autoridad.
El diseño debe de acomodarse al
administrador, no al usuario.
Jerarquía híbrida : una jerarquía basada
primero en la ubicación y después en la
organización, o en cualquier otra combinación
de estructuras se denomina jerarquía híbrida.
Combina las ventajas de los distintos tipos
para satisfacer los requisitos de la
organización. Sus características son:
• Se adecua al crecimiento geográfico o de
las diferentes áreas administrativas
• Crea limites de administración definidos
en función de las áreas administrativas.
• Requiere de la cooperación entre los
administradores para asegurar la
finalización de las tareas administrativas
que afectan a distintas áreas
administrativas.
Relaciones de Confianza
Es una relación entre dos dominios del Active
Directory que permite que los usuarios de un
dominio sean reconocidos por los controladores
de dominio del otro dominio. Todos los dominios
de un bosque están relacionados mediante
relaciones de confianza creadas
automáticamente. Los arboles de dominio
pueden ser vistos de dos formas: mediante las
relaciones de confianza entre dominios y
mediante el espacio de nombres de un árbol de
dominios.
Vista de relaciones de confianza : es una vista de
un árbol de dominios donde aparecen los
dominios y sus relaciones de confianza.
Vista de espacio de nombres: Es una vista de un
árbol de dominios donde aparece el espacio de
nombres. En esta vista es posible determinar el
nombre completo de un objeto siguiendo la ruta
dentro del espacio de nombres del árbol de
dominio.
 Tipos De
Relaciones de Confianza
Según su transitividad: pueden ser transitivas o
intransitivas.

Según su dirección: pueden ser unidireccionales o

bidireccionales.

Según su creación: pueden ser implícitas o

explicitas.
Según su transitividad

Relación de confianza transitiva: En una relación

de confianza transitiva, si un dominio A confía en
otro B, y este confía en un tercero C, entonces, de
forma automática, A confía en C.
Relación de confianza no transitiva: En las
relaciones no transitivas, la confianza entre A y C
tendría que añadirse explícitamente.
Según su dirección

Relación de confianza bidireccional: si la relación

de confianza es unidireccional, los usuarios del
dominio A (de confianza) pueden utilizarlos
recursos del dominio B (que confía) y viceversa.
Relación de confianza unidireccional: si la
relación de confianza es unidireccional, los
usuarios del dominio A (de confianza) pueden
utilizarlos recursos del dominio B (que confía) ,
pero no al revés.
 Según su creación
Los tipos de relación de confianza que se crean de
manera implícita:

Relación de confianza de raíz árbol: Relaciona los

dominios raíz de los arboles que pertenecen a un
mismo bosque, es transitiva y bidireccional.

Relación de confianza primario-secundario:

Relaciona un dominio con su subdominio, es
transitiva y bidireccional.
Los tipos de relación de confianza que se crean de
manera explicita son :

Relación de confianza de acceso directo:

Relaciona dos dominios ya relacionados con el
propósito de mejorar la velocidad de
autenticación, es transitiva y unidireccional.
Relación de confianza externa: Relaciona dos
dominios donde uno o los dos dominios usan el
nivel funcional de dominio Windows 2000 mixto,
es unidireccional e intransitiva.
Relación de confianza de Bosque: Relaciona los
dominios raíz de sendos bosques que usan por lo
menos el nivel funcional de dominio Windows
server 2003, es unidireccional y transitiva.
Relación de confianza de territorio: Relaciona un
dominio Windows server con un territorio
kerberos que no sea Windows, es unidireccional y
puede ser transitiva o intransitiva.
DIRECTIVAS DE GRUPO
Directivas de Grupo
Permiten administrar equipos y usuarios de
manera individual o de forma centralizada en un
dominio. En una red con las directivas de grupo
apropiadas, la administración de cada usuario y la
configuración de cada ordenador se reducen
notablemente. Toda la configuración es
especificada, impuesta y actualizada usando los
objetos directivas de grupo GPO (Group Policy
Object).Cada equipo con Windows Server tiene
una GPO local independientemente de la forma
en que participa de la red donde únicamente las
directivas de seguridad se encuentran
configuradas.
Algunos ejemplos de directivas son:
• Deshabilitar el navegador de internet.
• Quitar el menú “ejecutar” del inicio.
• Prohibir el acceso a configuración de PC y a
Panel de control.
Cada directiva tiene 3 estados:
No configurada: es el estado por defecto,la
directiva no se encuentra configurada y la
configuración resultante la determinara una
directiva de orden superior.
Habilitada: la directiva se encuentra configurada y
tendrá efecto, equivale a “si” o “si tiene efecto”.
Deshabilitada: La directiva se encuentra
configurada para no tener efecto, equivale a “no”
o “no tiene efecto”.
El objeto de directiva de grupo: Un objeto de
directiva de grupo GPO (Group Policy Object) es
un objeto que contiene una o más directivas y
consta de dos componentes:
Un objeto en el Active Directory.
Una carpeta que contiene una colección de
archivos en el SYSVOL del controlador de dominio.
Los sgtes objetos contenedores pueden tener un
GPO vinculado:

• El sitio
• El dominio
• La unidad Organizativa

Una unidad organizativa a diferencia de un grupo

, es el objeto mas pequeño que ´puede tener
vinculado un objeto GPO vinculado.
Las directivas establecidas por un GPO no solo se
establecen en la configuración inicial, si no que se
refrescan regularmente y siempre sobrescriben
la configuración hecha por un usuario o una
secuencia de comandos. Cuando se crea una GPO
y se le vincula a un objeto contenedor todos los
usuarios y equipos contenidos en el objeto
contenedor serán afectados por las directivas
configuradas en el GPO.
Objetos GPO predeterminados: cuando se
instala el Active Directory, se crean los siguientes
GPO predeterminados:
Default Domain Policy: este GPO es asociado al
dominio incluyendo a los controladores de
dominio.
Default Domain Controllers Policy: este GPO es
asociado a la unidad organizativa Domain
Controllers y afecta solo a los controladores de
dominio.

Es recomendable no modificar los objetos GPO

predeterminados. Si necesita establecer algunas
directivas, cree un nuevo objeto GPO y defina allí
las directivas.
Jerarquía de los GPO
Los GPO se aplican jerárquicamente:
GPO local: cada equipo con windows server tiene
un GPO local almacenado localmente.
GPO de sitio: se aplica a todos los dominios del
sitio. Los sitios pueden tener vinculados uno o
más objetos GPO y se aplican en el orden
establecido.
GPO de dominio: se aplica dominio por dominio,
un dominio hijo no hereda las directivas del
dominio padre. Los dominios pueden tener
vinculados uno o más objetos GPO y se aplican en
el orden establecido.
GPO de unidad organizativa: se aplican a las
unidades organizativas, una unidad organizativa
secundaria hereda las directivas de la unidad
organizativa primaria.
Herencia: determina la directiva efectiva para los
usuarios y equipos de una unidad organizativa,
como el conjunto de directiva heredado de los
contenedores primarios. Las reglas que se aplican
a la herencia son: si una directiva esta configurada
(habilitada o deshabilitada ) en el GPO de una
unidad organizativa primaria y la misma directiva
no está configurada (no configurada) en el GPO
de la unidad organizativa secundaria, la directiva
efectiva en la unidad organizativa secundaria es la
heredada de la unidad organizativa primaria.
Si una directiva esta configurada (habilitada o
deshabilitada ) en el GPO de una unidad
organizativa primaria y la misma directiva es
configurada en el GPO de la unidad organizativa
secundaria, la directiva efectiva es la definida en
la unidad organizativa secundaria que sobrescribe
a la directiva heredada. Si una directiva no está
configurada (No configurada) en el GPO de una
unidad organizativa primaria, la unidad
organizativa secundaria no tiene nada que
heredar.
 Procesamiento
de Directivas
• Al iniciar la red se inician los servicios de
RPCSS (Remote Procedure Call System
Service) y MUP (Mutiple Universal Naming
Convention Provider).
• Una lista de objetos GPO es creada para el
equipo, dependiendo si es controlador de
dominio y de su ubicación en el active
directory.
• Se procesan las directivas de configuración
del ordenador en el siguiente orden: GPO
local, GPO del sitio, GPO del dominio y GPO
de la unidad organizativa.
• Se ejecuta la secuencia de comandos (script)
para el encendido que dispone de 10
minutos.
• Al presionar <CTRL> + <ALT> + <DEL>
comienza le inicio de sesión.
• se procesan las directivas de configuración
del usuario en el siguiente orden: GPO local,
GPO del sitio. GPO del dominio y GPO de la
unidad organizacional.
• Se ejecuta la secuencia de comandos (script)
para el encendido que dispone de 10
minutos.
• Aparece la interfaz del usuario tal como lo
prescriben las directivas de grupo.

Bloqueo de Herencia: es una propiedad de un

objeto contenedor que evita que la directivas de
la GPO de los objetos contenedores primarios se
propaguen sobre dicho objeto contenedor.
Procesamiento de Bucle invertido: esta
propiedad permite modificar la forma de obtener
la lista de GPO que afecta a la configuración de un
usuario. En lugar de determinar la configuración
del usuario usando las directiva en el nodo
configuración de usuario de GPO aplicable al
usuario, la configuración del usuario es
determinada por las directivas del nodo
configuración de usuario del GPO aplicable al
ordenador. Esta directiva se encuentra en
configuración de equipo > Directivas>Plantilla
administrativas > Sistema > Directiva de grupo en
el editor de directivas de grupo.
Use esta directiva en equipos que tienen un uso
especifico en lugares públicos (cabinas, aulas,
laboratorios), donde deben modificar la
configuración de usuario según el equipo que se
use.
Herramientas para la administración de
directivas de grupo : para crear un GPO local use
el editor de directivas de grupo que le permite
administrar todos los GPO de manera
centralizada, para determinar el efecto de la
directivas use el complemento conjunto
resultante de directivas.
Por defecto solo los miembros de los grupos
Administradores, Administradores del dominio,
Administradores de empresas y propietarios del
creador de directivas de grupo pueden crear,
editar y asociar objetos GPO a un contenedor.
DIRECTORIO ACTIVO