 El servicio Active Directory® proporciona la capacidad de establecer un único inicio de sesión y un repositorio central de información para toda su infraestructura, lo que simplifica ampliamente la administración de usuarios y equipos y proporciona una obtención de acceso superior a los recursos en red. Este artículo proporciona una introducción a las ventajas, características nuevas y mejoras de Active Directory en Windows Server 2003.
VentajasLas mejoras en Active Directory proporcionan ventajas estratégicas clave para las empresas grandes y medianas y permiten una productividad mayor al administrador y a los usuarios. Ampliando las bases establecidas en Windows 2000, Windows Server 2003 mejora la versatilidad, la capacidad de administración y la confiabilidad de Active Directory. Las organizaciones pueden beneficiarse de reducciones de costos adicionales a la vez que aumentan la eficacia en compartir y administrar los diversos elementos de la empresa. |
| Mayor flexibilidad | Active Directory introduce características nuevas importantes que aseguran que es una de las estructuras de directorios más flexibles actualmente en el mercado. A medida que las aplicaciones compatibles con directorios aumentan su prevalencia, las organizaciones pueden utilizar las capacidades de Active Directory para administrar los entornos de red empresariales más complicados. Desde los centros de datos de Internet a las grandes empresas distribuidas en sucursales, las mejoras que proporciona Windows Server 2003 simplifican la administración y aumentan el rendimiento y la eficacia, lo que lo convierte en una solución muy versátil. | | Costo total de la propiedad reducido | Active Directory ha sido mejorado para reducir el costo total de la propiedad (TCO) y el funcionamiento dentro de la empresa. Las nuevas características y mejoras han sido proporcionadas a todos los niveles del producto para ampliar la versatilidad, simplificar la administración e incrementar la confiabilidad. |
Mejoras y características nuevasWindows Server 2003 aporta diversas mejoras a Active Directory y posibilita que su uso sea aun más versátil, confiable y económico. Específicamente, Active Directory en Windows Server 2003 proporciona: - Una implementación y administración más sencilla.
- Mayor seguridad.
- Mejoras en el rendimiento y la confiabilidad.
Una implementación y administración más sencilla
Windows Server 2003 mejora la posibilidad de que el administrador configure y administre de forma eficaz Active Directory incluso en grandes empresas con diversos bosques, dominios y sitios. Las herramientas mejoradas de migración y administración, junto con la posibilidad de renombrar dominios de Active Directory, hacen que la implementación de Active Directory sea significativamente más sencilla que la primera vez que se introdujo el servicio de directorio en Windows 2000 Server. Las mejores herramientas proporcionan capacidades de arrastrar y soltar, selección de objetos múltiples y la posibilidad de guardar consultas y volver a utilizarlas. Es más, las mejoras en la Directiva de grupo facilitan y hacen que sea más eficaz la administración de grupos de usuarios y equipos en un entorno de Active Directory. |
| ADMT versión 2.0 | Ahora es más fácil migrar a Active Directory a través de diversas mejoras que han sido realizadas en la herramienta de migración de Active Directory (ADMT). ADMT 2.0 permite ahora la migración de contraseñas de Microsoft Windows NT® 4.0 a Windows 2000 y Windows Server 2003 o desde dominios de Windows 2000 a dominios de Windows Server 2003. | | Cambio de nombre del dominio | Esta característica es compatible con el cambio del Sistema de nombres de dominio (DNS) y/o los nombres de NetBIOS en dominios existentes en un bosque, de manera que el bosque resultante todavía esté "bien formado". Los administradores tienen una mayor flexibilidad para cambiar la estructura de Active Directory tras su implementación. Las decisiones acerca del diseño ahora son reversibles, lo cual beneficia a las organizaciones que puedan estar involucradas en una fusión o en una reestructuración importante. | | Redefinir esquemas | Se ha mejorado la flexibilidad de Active Directory para permitir la desactivación de definiciones de atributos y clases en el esquema de Active Directory. Los atributos y las clases pueden volver a definirse si ha habido un error en la definición original. | | AD/AM | Active Directory en modo de aplicación (AD/AM) es una nueva capacidad de Active Directory que controla determinadas situaciones de implementación relacionadas con aplicaciones compatibles con directorios. AD/AM se ejecuta como un servicio que no es un sistema operativo y, como tal, no requiere implementación en un controlador de dominio. La ejecución como servicio que no es un sistema operativo significa que las instancias múltiples de AD/AM pueden ejecutarse de forma simultánea en un único servidor, siendo cada instancia configurable de forma independiente. Nota: AD/AM se publicará como componente independiente con Windows Server 2003. | | Mejoras de la Directiva de grupo | Junto con Windows Server 2003, Microsoft publica una solución de administración de la Directiva de grupo que unifica la administración de la Directiva de grupo. La Consola de administración de directivas de grupo (GPMC) de Microsoft proporciona una única solución para administrar todas las tareas relacionadas con la Directiva de grupo. La GPMC permite que los administradores administren la Directiva de grupo para diversos dominios y sitios dentro de un bosque determinado, todo ello en una interfaz de usuario (UI) simplificada con compatibilidad para arrastrar y soltar. Entre las funciones destacables están las funciones nuevas como la copia de seguridad, la restauración, la importación, la copia y la elaboración de informes de objetos de Directiva de grupo (GPO). Estas operaciones permiten la creación de secuencias de comandos, lo cual permite a los administradores personalizar y automatizar la administración. Juntas, estas ventajas hacen que la Directiva de grupo sea mucho más sencilla de utilizar y ayudan a administrar la empresa de una manera más rentable. | | Interfaz de usuario mejorada | Como principal medio para administrar relaciones, objetos e identidades empresariales, las interfaces mejoradas aumentan la eficacia de la administración y las capacidades de integración. Los complementos de Microsoft Management Console (MMC) incluyen ahora capacidades de arrastrar y soltar, selección de objetos múltiples y la posibilidad de guardar consultas y volver a utilizarlas. Ahora, los administradores pueden modificar objetos múltiples de usuario de forma simultánea, restablecer los permisos de las listas de control de acceso (ACL) al valor predeterminado, mostrar permisos efectivos de una entidad principal de seguridad e indicar el elemento primario del que se heredó el permiso. |
Mayor seguridad
Las características de seguridad adicionales facilitan la administración de las diversas relaciones de confianza entre bosques y entre dominios. Las relaciones de confianza entre bosques proporcionan un nuevo tipo de confianza de Windows para administrar la relación de seguridad entre dos bosques, con lo que se simplifica enormemente la autenticación y la administración de seguridad entre bosques. Los usuarios pueden obtener un acceso seguro a los recursos de otros bosques sin tener que sacrificar las ventajas administrativas y del inicio de sesión único de tener solamente un Id. de usuario y una contraseña que se mantienen en el bosque inicial del usuario. Esto proporciona la flexibilidad de contar con la necesidad de que algunas divisiones o áreas tengan su propio bosque y continuar manteniendo las ventajas de Active Directory. Además, un nuevo administrador de credenciales proporciona un almacén seguro de credenciales del usuario y certificados X.509. Las directivas de restricción de software permiten que los administradores eviten que se instalen programas no deseados en equipos a lo largo de la red. |
| Autenticación entre bosques | La autenticación entre bosques permite la obtención de un acceso seguro a los recursos cuando la cuenta del usuario esté en un bosque y la cuenta del equipo esté en otro bosque. Esta característica permite que los usuarios puedan obtener un acceso seguro a los recursos de otros bosques, utilizando Kerberos o NTLM, sin tener que sacrificar las ventajas administrativas y del inicio de sesión único de tener solamente un Id. de usuario y una contraseña que se mantiene en el bosque inicial del usuario. | | Autorización entre bosques | La autorización entre bosques facilita a los administradores la selección de usuarios y grupos de bosques de confianza para su inclusión en grupos locales o ACL. Esta característica mantiene la integridad de los límites de seguridad del bosque y permite a la vez la confianza entre bosques. Permite que el bosque que otorga la confianza haga cumplir las limitaciones sobre aquello que los identificadores de seguridad (SID) aceptarán cuando los usuarios de los bosques que reciben la confianza intenten obtener acceso a los recursos protegidos. | | Mejoras entre certificaciones | La característica de relación entre certificaciones del cliente de Windows Server 2003 se ha mejorado habilitando la capacidad de establecer relaciones entre certificaciones a nivel departamental y a nivel global. Por ejemplo, ahora WinLogon podrá buscar relaciones entre certificaciones y descargarlas en el almacén de confianza de la empresa. A medida que se cree una cadena, se descargarán todas las relaciones entre certificados. | | IAS y la autenticación entre bosques | Si los bosques de Active Directory están en modo de relación entre bosques con confianza bidireccional, el Servicio de autenticación de Internet/Servicio de usuario de acceso telefónico de autenticación remota (IAS/RADIUS) puede autenticar la cuenta del usuario en el otro bosque con esta característica. Esto proporciona a los administradores la capacidad de integrar fácilmente nuevos bosques con servicios IAS/RADIUS ya existentes en su bosque. | | Administrador de credenciales | El administrador de credenciales proporciona un almacén seguro de credenciales de usuario, incluyendo contraseñas y certificados X.509. Esto proporcionará un inicio de sesión único coherente para los usuarios, incluidos los usuarios móviles. Por ejemplo, cuando un usuario obtiene acceso a una aplicación de línea de negocio dentro de la red de su empresa, el primero intento de obtención de acceso a la aplicación requiere la autenticación, y se le solicita al usuario que proporcione una credencial. Después de que el usuario proporcione este credencial, se le asociará con la aplicación solicitante. Cuando vuelva a obtener acceso a la aplicación, la credencial guardada volverá a utilizarse sin solicitar ninguna información al usuario. | | Directivas de restricción de software | Las directivas de restricción de software controlan la necesidad de regular el software desconocido o no confiable. Con las directivas de restricción de software, puede proteger su entorno informático de software no confiable, identificando y especificando el software que se permite ejecutar. Puede definir un nivel de seguridad predeterminado de no restringido o no permitido para un objeto de Directiva de grupo (GPO), de tal forma que se permita o no que el software se ejecute de forma predeterminada. Puede hacer excepciones a este nivel de seguridad predeterminado, mediante la creación de normas para software específico. |
Mejoras en el rendimiento y la confiabilidad
Windows Server 2003 administra con más eficacia la replicación y sincronización de la información de Active Directory. Los administradores pueden controlar mejor los tipos de información que se replican o sincronizan entre controladores de dominio que estén dentro de un dominio o entre dominios. Además, Active Directory proporciona más características para seleccionar de forma inteligente solamente la información modificada que debe replicarse; es decir, ya no es necesaria la actualización de porciones completas de código del directorio. |
| Inicio de sesión más sencillo para las oficinas remotas | Las sucursales con controladores de dominio pueden proporcionar inicios de sesión del usuario a través de credenciales en la caché sin ponerse primero en contacto con el catálogo global, mejorando la solidez y el rendimiento del sistema a través de redes de área extensa (WAN) no confiables. La pérdida de conectividad entre una sucursal y un catálogo global ya no afecta a la posibilidad de inicio de sesión de los usuarios de las sucursales. Puede proporcionarse soporte técnico de una forma más eficaz a las sucursales y se reduce el consumo de ancho de banda a través de vínculos de WAN. | | Mejoras en la replicación de pertenencia a grupos | A medida que se agregan, modifican o suprimen miembros de un grupo, únicamente se replican las modificaciones, una ventaja que reduce la carga en ancho de banda de red y uso del procesador. Esto elimina en gran manera la posibilidad de perder actualizaciones durante las actualizaciones simultáneas. | | Particiones de directorio de aplicaciones | No es necesario que alguna información de directorio sea de libre disponibilidad. Esta característica proporciona la capacidad de alojar datos en Active Directory sin que ello afecte de forma significativa al rendimiento de la red, proporcionando control sobre el ámbito de replicación y la ubicación de las réplicas. | | Instalar réplicas desde medios | En lugar de replicar una copia completa de la base de datos de Active Directory a través de la red, esta característica permite a un administrador buscar el origen de la replicación inicial a partir de archivos creados al realizar una copia de seguridad de un controlador de dominio o de un servidor de catálogo global existente. | | Mejoras de confiabilidad | Active Directory incluye diversas características nuevas que aumentan la confiabilidad, como la supervisión de estado, que permite que los administradores verifiquen las replicaciones entre controladores de dominio, la replicación de catálogo global mejorada y un generador de topología entre sitios (ISTG) que realiza un escalado mejor mediante la compatibilidad con bosques con un mayor número de sitios que Windows 2000. |
|
|
