Tags: Active Directory en Windows 2000 (Windows NT 5.0)
La palabra directorio es uno de esos términos que se emplean con exageración y cuyos significados son numerosos para muchas personas. En los directorios de las máquinas de escritorio hay lugares para almacenar y organizar archivos. En Internet, Four11 y Who Where? son directorios para encontrar a la gente. Para el administrador de redes, el directorio más importante es el que almacena información acerca de los usuarios, grupos, impresoras, archivos compartidos y otros recursos en la red del administrador. El directorio es el lugar donde vive el administrador de la red, que agrega usuarios y grupos nuevos y otorga y quita el acceso a los archivos.
El Active Directory de Microsoft es el nuevo directorio del Windows 2000 Server (Windows NT Server 5.0), que justamente desempeña ese papel. El Active Directory es un paso importante para Microsoft en el aspecto de que ahora maneja un directorio distribuido que debe funcionar mejor en una organización grande. Asimismo, Microsoft espera que el Active Directory se utilice no sólo para manejar el acceso a archivos o impresoras, sino para todas las aplicaciones de redes e infraestructura de una compañía.
Esto coloca a Microsoft Windows 2000 (Windows NT 5.0) en competencia directa con NetWare Directory Services (NDS). Si trabaja con NetWare y quiere hacerlo con Windows 2000 también, tendrá que elegir cuál será su servidor de directorio. Podría ejecutar Windows 2000 para otros propósitos, como su intranet.
¿Que es el Active Directory?
El Active Directory es la implementación por parte de Microsoft de un servicio de directorio jerárquico basado en objeto que se utiliza, sobre todo, para la administración de usuarios, grupos y otros recursos de Win NT. El Active Directory emplea dos estándares de Internet muy conocidos: Lightweight Directory Access Protocol (LDAP), como protocolo nativo para el acceso al directorio, y Do-main Name Service (DNS), como el servicio de localización por nombres.
El soporte para el LDAP (un protocolo estándar simplificdo de acceso al directorio que define cómo se tendrá acceso a la información en un directorio) significa que las aplicaciones fuera del anaque1 que utilizan el LDAP tienen acceso al Active Directory para buscar objetos almacenados en el directorio. La inclusión de un DNS nativo dinámico (el servicio de Internet que convierte los amigables nombres de humanos como www.google.com en las direcciones TCP/IP tan difíciles de recordar que utilizan las computadoras) por fortuna significa el fin de Windows Internet Naming Service (WINS), el ahora innecesario servicio de diagramas que convertía los nombres NetBIOS de Microsoft en nombres DNS.
En el Active Directory, los dominios aún son reyes y se utilizan como límites para la seguridad, la administración y la réplica. Los dominios se pueden organizar en árboles estrechamente relacinados con espacios de nombres contiguos, o en bosques de dominios independientes que dependen unos de otros.
Manos a la obra
La mejor forma de entender el Active Directory es diseñar su propio directorio de organización e implementar esta estructura con ayuda de las herramientas que se incluyen. La estructura de una unidad de organización (OU) jerárquica típica puede emplear primero regiones (digamos, Los Ángeles), y después áreas funcionales (digamos, contabilidad). Los grupos que manejan múltiples OU se pueden utilizar para asociar a las personas que tienen relaciones funcionales naturales (por ejemplo, las personas de contabilidad en distintas oficinas).
La herramienta principal que utilizará para trabajar con el directorio es el Active Directory Manager, con el que se agregan usuarios y grupos, se crean nuevas OU, se mueven los departamentos en todo el directorio y delegamos la administración de los grupos a varios administradores de redes. La adición de impresoras funciona bien, pero la adición de carpetas compartidas es un poco más difícil, pues hay que capturar los nombres de Universal Naming Convention (UNC). Sería preferible navegar para encontrar el recurso.
Active Directory en la empresa
Las grandes compañías agradecerán la capacidad del Active Directory para realizar réplicas en múltiples controladores de dominio en un solo dominio. Los Backup Domain Controllers (BDC), que encontrará en la arquitectura de Windows NT 4.0 (el predecesor de Windows 2000 o Windows NT 5.0), ya no existen. Las réplicas del Active Directory se pueden utilizar para dar tolerancia a las fallas y un mejor desempeño en las redes. Las réplicas se mantienen en sincronía entre sí mediante actualizaciones organizadas a través de Update Sequence Numbers (USN), y resuelven los conflictos al aceptar el cambio que tienen las etiquetas de tiempo más recientes.
Por lo regular, una compañía pequeña, o a veces una mediana, puede funcionar con un dominio, pero las más grandes necesitan varios dominios debido a que el tráfico que la réplica genera se actualiza entre las réplicas de los dominios.
Cambiar al Active Directory desde Windows NT 4 es muy sencillo, con un par de situaciones confusas por superar. Primero, debe actualizar su Windows NT 4 Primary Domain Controllers. Esto hará que se muevan todos sus usuarios y grupos hacia el Active Directory de Windows 2000; los Backup Domain Controllers se pueden den cambiar en un segundo paso.
Hay dos problemas en los que necesitará trabajar. Primero, mientras haya dominios de Windows NT 4 en su red, debe ejecutar Windows 2000 en lo que se conoce como modo combinado. Por desgracia, los modos combinados no permiten grupos anidados, una característica muy útil y casi necesaria para la organización efectiva de los grupos. En segundo lugar, los usuarios de Windows NT Workstation 4 y Windows 95 y 98 por el momento no tendrán acceso a la búsqueda del Active Directory (es probable que Microsoft solucione esto con actualizaciones para el paquete de servicios).
En las redes Windows NT extensas, la gente apreciará el nuevo modelo de réplica de dominios, pero los administradores de redes más pequeñas necesitarán invertir mucho tiempo en aprender las herramientas y técnicas nuevas a fin de aprovechar por completo los beneficios del Active Directory. Si Microsoft puede integrar las distintas herramientas administrativas y terminar una serie de herramientas integradas destinadas al usuario para cuando se introduzca Windows 2000 (Windows NT 5), habrá valido la pena esperar por el Active Directory.
