Tal como hemos visto, el concepto intuitivo de dominio es el de la centralización de la información (y las labores) de administración de una red de ordenadores, de forma que la gestión de dichos ordenadores resulte más cómoda y eficiente. Windows 2000 implementa el concepto de dominio mediante un concepto más básico, el de directorio.
En el ámbito de las redes de ordenadores, un directorio (o almacén de datos) es una estructura jerárquica que almacena información sobre recursos (o de forma más general, objetos) en la red. El directorio se implementa normalmente como una base de datos optimizada para operaciones de lectura (soporta búsquedas de grandes cantidades de información) y con capacidades de exploración.
En concreto, el servicio de directorio que incorpora Windows 2000 se denomina Directorio Activo (Active Directory). El Directorio Activo es un servicio de red que almacena información acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red.
El Directorio Activo se ha implementado siguiendo una serie de estándares y protocolos existentes, ofreciendo interfaces de programación de aplicaciones que facilitan la comunicación con otros servicios de directorio. Entre ellos, se pueden encontrar los siguientes:
DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica de ordenadores, que permite la administración desatendida de direcciones de red.
DNS (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación y resolución de nombres (traducción de nombres simbólicos a direcciones IP) en Internet.
SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido.
LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y modifican la información existente en el directorio.
Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas..
Certificados X.509. Estándar que permite distribuir información a través de la red de una forma segura.
Desde el punto de vista del Directorio Activo, podemos ahora definir con más propiedad el concepto de dominio en Windows 2000: un dominio es un conjunto de equipos que comparten una base de datos de directorio común y que se identifica mediante un nombre de dominio DNS.
En una red de sistemas Windows 2000, un dominio define:
Límite de seguridad. El administrador de un dominio posee los permisos y derechos necesarios para administrar los recursos de ese dominio únicamente (a menos que se le hayan concedido de forma explícita en otros dominios). Es decir, el dominio marca los límites de la administración (y de la seguridad).
Unidad de replicación. Todos los controladores de dominio (DCs) de un dominio poseen una copia completa de la información de directorio de dicho dominio. Para ello, las actualizaciones de dicha información en cualquier controlador se replican de forma automática al resto.
Como se ha comentado arriba, Windows 2000 ha incorporado el esquema de nombrado DNS para nombrar a los dominios y para publicar los servicios que cada ordenador ofrece al resto dentro del dominio. Es más, existe una relación biunívoca entre un dominio Windows 2000 y un dominio DNS, independientemente de que el dominio Windows 2000 forme parte o no de Internet. Precisamente es mediante este esquema de nombrado DNS como mejor se entiende la jerarquía en la que el Directorio Activo permite organizar los dominios de una organización. Esto se explica a continuación.
Existen muchos casos en los que es interesante disponer de varios dominios de ordenadores Windows 2000 en la misma organización (distribución geográfica o departamental, distintas empresas, etc.). El Directorio Activo permite almacenar y organizar la información de directorio de varios dominios de forma que, aunque la administración de cada uno sea independiente, dicha información esté disponible para todos los dominios.
En concreto, los dominios de Windows 2000 se pueden organizar en dos unidades jerárquicas:
Arboles. Un árbol es una jerarquía de dominios que comparten un sufijo DNS. El dominio situado en la raíz del árbol se denomina principal y los posibles subdominios que se creen por debajo se denominan secundarios. Normalmente, al menos un controlador de dominio de un dominio principal es un servidor DNS.
Por ejemplo, si en la UPV se quisiera tener un dominio Windows 2000 por cada departamento, debería existir un dominio principal denominado upv.es (en este caso, la raíz del árbol) y tantos dominios secundarios como departamentos. En este caso, el dominio del departamento DSIC debería denominarse dsic.upv.es, ya que ese es el dominio DNS correspondiente a las máquinas del departamento. Si dentro del dominio del DSIC se quisieran crear subdominios Windows 2000, tendrían que crearse necesariamente los subdominios DNS correspondientes en el servidor DNS de la universidad.
Bosques. Pongámonos ahora en el caso de que no todos los dominios de una organización compartan el mismo sufijo DNS. En este caso, cada agrupación de dominios con el mismo sufijo DNS formarían un árbol. Según la organización del Directorio Activo, el conjunto de dichos árboles puede constituir una unidad jerárquica superior que se denomina (lógicamente) bosque.
La información del directorio es accesible para todo el bosque de dominios. De hecho, la parte fundamental del directorio (denominada esquema) que define los tipos de objetos y atributos que se pueden crear en el directorio es única para todo el bosque. Ello asegura que la información que se almacena en la parte del directorio de cada dominio del bosque es homogénea.
En resumen, cuando promocionamos un servidor Windows 2000 a controlador de dominio (mediante el asistente dcpromo, tenemos que decidir una de las siguientes opciones de instalación:
DC adicional de un dominio existente o de un dominio nuevo (creación de un dominio).
En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio de un arbol de dominios ya creado), o bien el dominio principal (raíz) de un nuevo arbol de dominios.
En este segundo caso, el dominio raíz puede ser de un bosque existente o de un nuevo bosque.
Por tanto, en una organización en donde aún no existen dominios, la creación del primer dominio será en realidad la creación de un nuevo bosque, con un solo árbol, cuya raíz es el dominio que queremos crear. A partir de ahí podemos añadir nuevos dominios como subdominios de la raíz dentro del mismo árbol (y así sucesivamente), o bien anexionar una raíz de un árbol de dominios nuevo al bosque.