DOMINIOS Y RELACIONES

La administración de una red local bajo Windows NT se basa en los dominios y relaciones de confianza.

La unidad básica de la administración centralizada y la seguridad en Windows NT Server es el dominio. Un dominio es un grupo de servidores que ejecutan Windows NT Server y que, en cierto modo, funcionan como un único sistema. Todos los servidores con Windows NT Server de un dominio utilizan el mismo conjunto de cuentas de usuario, por lo que sólo es necesario escribir una vez la información de una cuenta de usuario para que todos los servidores del dominio reconozcan dicha cuenta.

Dentro de los servidores de un dominio existen dos jerarquías: el servidor PDC (Primary Domain Controller) y los servidores BDC (Backup Domain Controller). Por cada dominio ha de haber un PDC y sólo uno, y posiblemente varios BDC. Cuando el administrador del dominio da de alta un nuevo usuario, lo hace sobre el PDC. Los datos sobre los usuarios se guardan en una base de datos llamada SAM, que la tiene cualquier servidor. El PDC se encarga de copiar esa base de datos de usuarios a todos los BDCs de su dominio de manera periódica. Con sólo dar de alta un usuario en el PDC, ese usuario automáticamente puede acceder a cualquier servidor del dominio y además usando el mismo nombre de usuario y la misma palabra de paso. Este proceso de copia periódica de la SAM se denomina replicación.

Los dominios de una red se relacionan mediante el concepto de Trust o Relación de Confianza. Se dice que un dominio A confía en otro B, o que hay establecida una relación de confianza desde A hacia B, cuando cualquier usuario autorizado en el dominio B puede entrar sin más en el dominio A. Esta relación de confianza son vínculos entre dominios, que permiten realizar una autenticación transparente, en virtud de la cual un usuario sólo poseerá una cuenta de usuario en un dominio pero podrá acceder a toda la red.

Un grupo local es un grupo de usuarios, de manera que cualquier usuario del grupo puede entrar y acceder a los recursos del servidor PDC del dominio al que pertenece el grupo. Un grupo local se define como perteneciente a un dominio.

Un grupo global es igual que el anterior excepto en que puede ser visto también por todos los dominios que confían en el dominio al que pertenece el grupo. La diferencia entre local y global es, pues, el ámbito de visibilidad. Si A confía en B, y definimos en B un grupo global, entonces ese grupo también se puede utilizar en A.

Dominios: unidades administrativas básicas.

La agrupación de computadoras en dominios proporciona dos grandes ventajas a los usuarios y administradores de la red. Lo que es más importante, los servidores de un dominio constituyen una unidad administrativa única que comparte la información de seguridad y de cuentas de usuario. Cada dominio posee una base de datos que contiene las cuentas de los usuarios y grupos, y las configuraciones del plande seguridad. Todos los servidores del dominio que funcionen como controlador principal de dominio o como controlador de reserva mantendrá una copia de esta base de datos.

La segunda ventaja de los dominios es la comodidad que brindan al usuario: cuando un usuario examine la red para buscar recursos disponibles, observará que está agrupada en dominios, en lugar de ver los servidores e impresoras de toda la red al mismo tiempo

Nota: No debe confundirse el concepto de dominio de Windows NT Server con los dominios del protocolo de red TCP/IP. Un dominio TCP/IP describe parte de la Internet TCP/IP y no tiene nada que ver con los dominios de Windows NT Server.

•Relaciones de confianza: vínculos entre dominios.
Estableciendo relaciones de confianza entre los dominios de la red, se permitirá que determinadas cuentas de usuario y grupos globales puedan utilizarse en dominios distintos de aquél en el que estén situadas dichas cuentas. Ello facilita en gran medida la administración, ya que cada cuenta de usuario tiene que crearse una sola vez para toda la red. Además, ofrece la posibilidad de acceder a cualquier computadora de la red y no únicamente a las computadoras de uno de los dominios.

Cuando se establezca una relación de confianza entre dominios, uno de los dominios (el dominio que confía) confiará en el otro (el dominio en el cual se confía). A partir de entonces, el dominio que confía reconocerá a todos los usuarios y cuentas de grupo globales del dominio en el cual se confía. Estas cuentas podrán utilizarse como se desee dentro del dominio que confía; podrán iniciar sesiones en estaciones de trabajo situadas en el dominio que confía, integrarse en grupos locales dentro de dicho dominio, y recibir permisos y derechos dentro de ese dominio.

Las relaciones de confianza pueden ser unidireccionales o bidireccionales. Una relación de confianza bidireccional es simplemente un par de relaciones unidireccionales, en virtud del cual cada dominio confía en el otro.

El requisito mínimo de un dominio es un servidor con Windows NT Server, que actúa como controlador principal de dominio y que almacena la copia principal de la base de datos de grupos y usuarios del dominio. Si se desea, un dominio puede incluir también otros servidores adicionales que actúen como controladores de reserva.

•Controlador principal de dominio.
El controlador principal de dominio de un dominio de Windows NT Server debe ser un servidor que ejecute Windows NT Server. Cualquier modificación a la base de datos de grupos y usuarios del dominio deberá realizarse en la base de datos que está almacenada en el controlador principal de dominio. El Administrador de usuarios para dominios no permite modificar directamente la base de datos de usuarios de un servidor de dominio que no sea el controlador principal de dominio.

•Controladores de reserva.
Los controladores de reserva que ejecuten Windows NT Server almacenarán también copias de la base de datos de cuentas del dominio. La base de datos de cuentas del dominio estará duplicada en todos los controladores de reserva del dominio.

Todos los controladores de reserva, además del controlador principal de dominio, podrán procesar las peticiones de inicio de sesión por parte de las cuentas de usuario del dominio. Cuando el dominio reciba una petición de inicio de sesión, el controlador principal de dominio o cualquier controlador de reserva podrá autentificar el intento de inicio de sesión. Es conveniente que en un dominio haya uno o varios controladores de reserva, además del controlador principal de dominio. Estos servidores adicionales proporcionan un mecanismo de seguridad: si el controlador principal de dominio no está disponible, un controlador de reserva podrá ser promovido al puesto de controlador principal de dominio, lo cual permitirá al dominio seguir funcionando. La existencia de varios controladores de dominio permite también distribuir la carga de trabajo relacionada con las peticiones de inicio de sesión, lo cual resulta especialmente útil en dominios con un gran número de cuentas de usuario.

i en un dominio hay varios servidores que ejecutan Windows NT Server, uno de ellos será el controlador principal de dominio. Debe configurar al menos otro servidor como controlador de reserva. Si el dominio tiene servidores situados en distintas ubicaciones físicas conectadas mediante un vínculo de red de área amplia (WAN), cada ubicación deberá tener al menos un controlador de reserva.

•Servidores.
Además de los controladores principales y de reserva de dominio, existe otro tipo de servidor que ejecuta Windows NT Server. Se trata de servidores designados como "servidores", no como controladores de dominio. Estos servidores pueden participar en un dominio, si bien no es necesario. Un servidor que participa en un dominio no consigue realmente una copia de la base de datos de usuarios del dominio, pero tiene acceso a todas las ventajas de la base de datos de usuarios y grupos del dominio.

Un servidor que no participa en ningún dominio sólo tiene su propia base de datos de usuarios y procesa por su cuenta las peticiones de inicio de sesión. No comparte la información sobre cuentas con ninguna otra computadora y no puede utilizar cuentas de ningún otro dominio.

Si es posible que el servidor se mueva a otro dominio en el futuro. Es más sencillo mover un servidor de un dominio a otro que mover un controlador de reserva de un dominio a otro.