 La Universidad Inter Americana de Puerto Rico implementó Active Directory para brindar más servicios a través de su red informática. El Director de Sistemas, Reinaldo Medina y sus tres colegas realizaron un trabajo impresionante en el campus de Bayamón de la Universidad Inter Americana en Puerto Rico. El equipo de cuatro personas administraba con éxito la red del campus que da servicio a más de 5.500 estudiantes, miembros de la facultad y empleados administrativos. Además, supervisaron la migración exitosa desde Novell al sistema operativo Windows NT Server 4.0 como parte del movimiento institucional hacia un nuevo campus, con un valor de US$ 42 millones. Sin embargo, persistían los problemas. La estructura de dominio único de la red no siempre permitía que los administradores manejaran la seguridad de la manera más efectiva. Por ejemplo, los estudiantes maliciosos que lograban acceder a las PCs del personal o de los profesores podían utilizarlas para ganar acceso a información restringida. Mantener un rastreo separado de los diferentes grupos de usuarios dentro del mismo directorio era desafiante y requería prefijos arcanos anexados a los nombres de los usuarios. Los registros sobrecargados, que llevaban más información de la que podían manejar, estaban produciendo paros y dañando el sistema. Además, el campus remoto de la Facultad de aeronáutica era difícil de administrar de manera remota, forzando a que un técnico realizara viajes muy largos en una ciudad llena de tráfico. Los profesionales de informática de la facultad consideraron dividir el dominio único de la red en tres dominios por separado. Esto podría resolver muchos de los problemas existentes en cuanto a seguridad y rendimiento, pero triplicaría la carga de administración. Tenía que haber una forma mejor. Active Directory: la mejor manera Medina y sus colegas descubrieron que había una mejor manera cuando asistieron el año pasado al Programa de adoptadores tempranos de Windows 2000. Específicamente, les impresionó una función clave nueva en Windows 2000: el servicio de Active Directory. “Active Directory fue un elemento esencial para nuestra decisión de adoptar Windows 2000. Nos dio una alternativa mucho más intuitiva que la opción de dividir nuestros dominios”, explicó Medina. El servicio Active Directory del sistema operativo Windows 2000 amplía las funciones de los servicios de directorio anteriores basadas en Windows, con nuevas funciones mejoradas que facilitan la navegación y administración de grandes cantidades de información. Los colegios y las universidades pueden administrar transparentemente las relaciones entre los recursos de red distribuidos, lo cual ayuda a que las redes sean más fáciles de usar y menos costosas de administrar. Esto se debe a que Active Directory es muy escalable, organiza los objetos de manera jerárquica para correlacionarlos con las estructuras organizacionales, permite la delegación de autoridad, y administra automáticamente las relaciones de confianza. Estas funciones permiten que las organizaciones simplifiquen la administración, fortalezcan su seguridad y amplíen la interoperabilidad. Crear una jerarquía intuitiva Con base en los beneficios de Active Server, Medina y sus colegas decidieron migrar a Windows 2000. Una de las primeras tareas era decidir sobre la jerarquía informática para la nueva red. Debido a que Active Directory utiliza un enfoque flexible orientado a objetos, fue muy fácil para Medina y su equipo crear una jerarquía de dominio único que reflejara muy de cerca la estructura real de la institución. Establecieron tres grupos organizacionales: Administración, Facultad y Estudiantes, subdivididos a su vez en áreas operativas para Decanos, Departamentos académicos y diferentes departamentos de servicios a estudiantes, entre otros. La capacidad de anidar contenedores organizacionales uno dentro de otro, facilitó esta subdivisión. También permitió al personal crear dos sitios separados dentro de un solo dominio, uno para el campus principal y otro para la Facultad de aeronáutica que se encuentra en una ubicación remota. Los dos sitios mejoraron en gran medida el uso de ancho de banda de la línea T1 entre los dos campus, al tiempo que mantuvieron los beneficios de coordinación que se obtienen de un dominio único. Los objetos que representan a usuarios, recursos de la red y otros elementos, se podían colocar dentro de contenedores cuando fuera adecuado. Así, la antigua estructura de nombres tan confusa se pudo abandonar al fin. Por otro lado, en lugar de colocar “S9” antes de las iniciales de cada estudiante para distinguir la lista de estudiantes de la lista de miembros de la facultad, todos los usuarios se podían identificar simplemente con sus nombres: la inicial del nombre y el apellido. “Esta fue una manera natural de diseñar el dominio. Veíamos la necesidad de este tipo de estructura cuando migramos a Windows NT. Ahora la tenemos”, afirma. Preparación para la migración En noviembre, los administradores de la red consultaron a Intech, un Microsoft Certified Partner, para confirmar y depurar la estructura propuesta de Active Directory, así como el plan de migración de la red. Medina y sus colegas decidieron incrementar la configuración mínima de PC de 32 MB a 64 MB para mejorar el rendimiento. Así, Intech pudo revisar la compatibilidad de software de terceros y confirmarla con el nuevo software. El sistema de correo electrónico de los estudiantes de la universidad denominado IMAIL, fue uno de los muchos paquetes independientes que pudieron trabajar sin problemas con los servicios de directorio basados en estándares de Active Directory, al igual que LDAP, para recuperar y utilizar las cuentas de usuario de Active Directory.
Microsoft adoptó explícitamente esta arquitectura basada en estándares, incluyendo estándares tales como LDAP, para promover la interoperabilidad. Una vez terminada el planeamiento y la revisión, los administradores empezaron la migración. Trabajando grupo por grupo, movieron las diferentes secciones compartidas del servidor de archivos en cada oficina y departamento académico hacia el nuevo dominio basado en Windows 2000. Teniendo la imagen de la estación de trabajo de Windows 2000, completa con Microsoft Office 2000 y todas las aplicaciones relevantes, en la red y disponible para ser copiada y descargada en cada estación de trabajo, la migración se manejó de manera suave e invisible para los usuarios. Una vez migrados al nuevo dominio la facultad y el personal, los administradores contemplaron la migración del grupo de usuarios más grande: más de 5.000 estudiantes. La creación manual de cada cuenta de usuario podría requerir 10 minutos por usuario, o meses de tiempo del personal que los administradores simplemente no tenían. Afortunadamente, no tuvieron que incurrir en ese tipo de gasto. Por el contrario, Visual Basic Scripting Edition (VBScript) automatizó el proceso, completando rápida y eficientemente la creación de cuentas. Mejor administración, menor TCO Con la migración hacia Microsoft Windows 2000 y el uso completo del servicio Active Directory, Medina y su equipo ya pueden ver claramente los beneficios. “Active Directory nos permite organizar la estructura del dominio de una manera lógica e intuitiva, de manera que podemos administrar fácilmente todos los objetos dentro de nuestra red desde un solo punto”, manifestó. “Esto reduce de manera significativa el costo total de propiedad.” Por ejemplo, Medina indica los beneficios de TCO que se obtendrán al delegar tareas específicas de administración de la red a los usuarios autorizados en el campus de la Facultad de aeronáutica. Al eliminar la necesidad de que estos empleados tan ocupados realicen viajes frecuentes al campus remoto, Medina conserva a su personal enfocado en agregar mayor valor a la infraestructura informática. Y esos beneficios se multiplicarán a medida que el personal de informática delegue las tareas administrativas a usuarios administrativos en el campus principal; por ejemplo, permitiendo que el personal de la biblioteca administre sus propias impresoras y otros recursos de la red. Mejorar la seguridad Active Directory también mejora en gran medida la seguridad de la red en todo el campus. Debido a que cuenta con un personal de informática limitado, la universidad depende de los estudiantes para ayudar en la administración de la red, por lo cual se les otorgan las mismas contraseñas administrativas que al personal profesional. Con la capacidad de delegar derechos administrativos específicos a estudiantes específicos, el personal de informática puede asegurar las contraseñas, reduciendo la oportunidad de que un estudiante tenga más acceso a la red que el otorgado. Por ejemplo, los administradores de informática por primera vez pueden limitar la autoridad administrativa de un estudiante trabajador a la unión de estudiantes, o sólo permitir modificar, sin poder eliminar, las cuentas de usuario. Ajustar el control con las políticas de grupo Las Políticas de grupo de Active Directory son otra función clave con la cual Medina espera obtener beneficios para la universidad. Las Políticas de grupo permiten que los administradores definan y controlen el estado de las computadoras o usuarios en una organización. Las Políticas de grupo se pueden establecer para los sitios, las unidades organizacionales o los dominios enteros. Medina y sus colegas ya han instituido diferentes políticas para los administradores, los miembros de la facultad y los estudiantes, por ejemplo, permitiendo que los estudiantes vean la red pero no puedan alterar los contenidos de los discos duros locales. Con las Políticas de grupo, la universidad puede evitar que los estudiantes descarguen software no deseado desde el Internet; ejecutar software que no está aprobado y se encuentra en redes ajenas, o cambiar sus configuraciones locales. Como resultado, Medina espera ahorrar una cantidad importante de tiempo que anteriormente se invertía en restaurar las configuraciones e imágenes de las estaciones de trabajo del campus. Incluso cuando se haya completado la migración, Medina espera continuar incrementando los beneficios que obtiene la universidad de Active Directory. Por ejemplo, al migrar a Microsoft Exchange Server 2000 en el futuro, permitirá que el sistema de mensajes y colaboración acceda directamente a la base de datos de Active Directory, para ofrecer más beneficios poderosos que mejoran la productividad de los usuarios.
| 