Novedades de Active Directory

Active Directory introduce características nuevas importantes que aseguran que es una de las estructuras de directorios más flexibles actualmente en el mercado. A medida que las aplicaciones compatibles con directorios aumentan su prevalencia, las organizaciones pueden utilizar las capacidades de Active Directory para administrar los entornos de red empresariales más complicados. Desde los centros de datos de Internet a las grandes empresas distribuidas en sucursales, las mejoras que proporciona Windows Server 2003 simplifican la administración y aumentan el rendimiento y la eficacia, lo que lo convierte en una solución muy versátil.

Active Directory ha sido mejorado para reducir el coste total de la propiedad (TCO) y el funcionamiento dentro de la empresa. Las nuevas características y mejoras han sido proporcionadas a todos los niveles del producto para ampliar la versatilidad, simplificar la administración e incrementar la confiabilidad.

Ahora es más fácil migrar a Active Directory a través de diversas mejoras que han sido realizadas en la herramienta de migración de Active Directory (ADMT). ADMT 2.0 permite ahora la migración de contraseñas de Microsoft Windows NT® 4.0 a Windows 2000 y Windows Server 2003 o desde dominios de Windows 2000 a dominios de Windows Server 2003.

Esta característica es compatible con el cambio del Sistema de nombres de dominio (DNS) y/o los nombres de NetBIOS en dominios existentes en un bosque, de manera que el bosque resultante todavía esté "bien formado". Los administradores tienen una mayor flexibilidad para cambiar la estructura de Active Directory tras su implementación. Las decisiones acerca del diseño ahora son reversibles, lo cual beneficia a las organizaciones que puedan estar involucradas en una fusión o en una reestructuración importante.

Se ha mejorado la flexibilidad de Active Directory para permitir la desactivación de definiciones de atributos y clases en el esquema de Active Directory. Los atributos y las clases pueden volver a definirse si ha habido un error en la definición original.

Active Directory en modo de aplicación (AD/AM) es una nueva capacidad de Active Directory que controla determinadas situaciones de implementación relacionadas con aplicaciones compatibles con directorios. AD/AM se ejecuta como un servicio que no es un sistema operativo y, como tal, no requiere implementación en un controlador de dominio. La ejecución como servicio que no es un sistema operativo significa que las instancias múltiples de AD/AM pueden ejecutarse de forma simultánea en un único servidor, siendo cada instancia configurable de forma independiente. Nota: AD/AM se publicará como componente independiente con Windows Server 2003.

Junto con Windows Server 2003, Microsoft publica una solución de administración de la Directiva de grupo que unifica la administración de la Directiva de grupo. La Consola de administración de directivas de grupo (GPMC) de Microsoft proporciona una única solución para administrar todas las tareas relacionadas con la Directiva de grupo. La GPMC permite que los administradores administren la Directiva de grupo para diversos dominios y sitios dentro de un bosque determinado, todo ello en una interfaz de usuario (UI) simplificada con compatibilidad para arrastrar y soltar. Entre las funciones destacables están las funciones nuevas como la copia de seguridad, la restauración, la importación, la copia y la elaboración de informes de objetos de Directiva de grupo (GPO). Estas operaciones permiten la creación de secuencias de comandos, lo cual permite a los administradores personalizar y automatizar la administración. Juntas, estas ventajas hacen que la Directiva de grupo sea mucho más sencilla de utilizar y ayudan a administrar la empresa de una manera más rentable.

Como principal medio para administrar relaciones, objetos e identidades empresariales, las interfaces mejoradas aumentan la eficacia de la administración y las capacidades de integración. Los complementos de Microsoft Management Console (MMC) incluyen ahora capacidades de arrastrar y soltar, selección de objetos múltiples y la posibilidad de guardar consultas y volver a utilizarlas. Ahora, los administradores pueden modificar objetos múltiples de usuario de forma simultánea, restablecer los permisos de las listas de control de acceso (ACL) al valor predeterminado, mostrar permisos efectivos de una entidad principal de seguridad e indicar el elemento primario del que se heredó el permiso.

La autenticación entre bosques permite la obtención de un acceso seguro a los recursos cuando la cuenta del usuario esté en un bosque y la cuenta del equipo esté en otro bosque. Esta característica permite que los usuarios puedan obtener un acceso seguro a los recursos de otros bosques, utilizando Kerberos o NTLM, sin tener que sacrificar las ventajas administrativas y del inicio de sesión único de tener solamente un Id. de usuario y una contraseña que se mantiene en el bosque inicial del usuario.

La autorización entre bosques facilita a los administradores la selección de usuarios y grupos de bosques de confianza para su inclusión en grupos locales o ACL. Esta característica mantiene la integridad de los límites de seguridad del bosque y permite a la vez la confianza entre bosques. Permite que el bosque que otorga la confianza haga cumplir las limitaciones sobre aquello que los identificadores de seguridad (SID) aceptarán cuando los usuarios de los bosques que reciben la confianza intenten obtener acceso a los recursos protegidos.

La característica de relación entre certificaciones del cliente de Windows Server 2003 se ha mejorado habilitando la capacidad de establecer relaciones entre certificaciones a nivel departamental y a nivel global. Por ejemplo, ahora WinLogon podrá buscar relaciones entre certificaciones y descargarlas en el almacén de confianza de la empresa. A medida que se cree una cadena, se descargarán todas las relaciones entre certificados.

Si los bosques de Active Directory están en modo de relación entre bosques con confianza bidireccional, el Servicio de autenticación de Internet/Servicio de usuario de acceso telefónico de autenticación remota (IAS/RADIUS) puede autenticar la cuenta del usuario en el otro bosque con esta característica. Esto proporciona a los administradores la capacidad de integrar fácilmente nuevos bosques con servicios IAS/RADIUS ya existentes en su bosque.

El administrador de credenciales proporciona un almacén seguro de credenciales de usuario, incluyendo contraseñas y certificados X.509. Esto proporcionará un inicio de sesión único coherente para los usuarios, incluidos los usuarios móviles. Por ejemplo, cuando un usuario obtiene acceso a una aplicación de línea de negocio dentro de la red de su empresa, el primero intento de obtención de acceso a la aplicación requiere la autenticación, y se le solicita al usuario que proporcione una credencial. Después de que el usuario proporcione este credencial, se le asociará con la aplicación solicitante. Cuando vuelva a obtener acceso a la aplicación, la credencial guardada volverá a utilizarse sin solicitar ninguna información al usuario.

Las directivas de restricción de software controlan la necesidad de regular el software desconocido o no confiable. Con las directivas de restricción de software, puede proteger su entorno informático de software no confiable, identificando y especificando el software que se permite ejecutar. Puede definir un nivel de seguridad predeterminado de no restringido o no permitido para un objeto de Directiva de grupo (GPO), de tal forma que se permita o no que el software se ejecute de forma predeterminada. Puede hacer excepciones a este nivel de seguridad predeterminado, mediante la creación de normas para software específico.

Las sucursales con controladores de dominio pueden proporcionar inicios de sesión del usuario a través de credenciales en la caché sin ponerse primero en contacto con el catálogo global, mejorando la solidez y el rendimiento del sistema a través de redes de área extensa (WAN) no confiables. La pérdida de conectividad entre una sucursal y un catálogo global ya no afecta a la posibilidad de inicio de sesión de los usuarios de las sucursales. Puede proporcionarse soporte técnico de una forma más eficaz a las sucursales y se reduce el consumo de ancho de banda a través de vínculos de WAN.

A medida que se agregan, modifican o suprimen miembros de un grupo, únicamente se replican las modificaciones, una ventaja que reduce la carga en ancho de banda de red y uso del procesador. Esto elimina en gran manera la posibilidad de perder actualizaciones durante las actualizaciones simultáneas.

No es necesario que alguna información de directorio sea de libre disponibilidad. Esta característica proporciona la capacidad de alojar datos en Active Directory sin que ello afecte de forma significativa al rendimiento de la red, proporcionando control sobre el ámbito de replicación y la ubicación de las réplicas.

En lugar de replicar una copia completa de la base de datos de Active Directory a través de la red, esta característica permite a un administrador buscar el origen de la replicación inicial a partir de archivos creados al realizar una copia de seguridad de un controlador de dominio o de un servidor de catálogo global existente.

Active Directory incluye diversas características nuevas que aumentan la confiabilidad, como la supervisión de estado, que permite que los administradores verifiquen las replicaciones entre controladores de dominio, la replicación de catálogo global mejorada y un generador de topología entre sitios (ISTG) que realiza un escalado mejor mediante la compatibilidad con bosques con un mayor número de sitios que Windows 2000.