Propiedades de Dominios y confianza de Active Directory
Si pulsamos la raíz de Dominios y confianza de Active Directory, desde el menú Ver podemos acceder a Propiedades donde podemos especificar los sufijos UPN con los que podemos acceder iniciar sesión.
Un UPN es un nombre simplificado que los usuarios pueden proporcionar cuando inician sesión en Active Directory.
El nombre utiliza el formato estándar de direcciones de correo electrónico que consiste en un nombre de usuario prefijo y un nombre de dominio sufijo, separados por un signo @, como se define en la RFC 822 (por ejemplo, usuario@dominio.com).
Los UPNs proporcionan a los usuarios de la red un formato de nombre de inicio de sesión unificado que los aísla de la jerarquía de dominios de Active Directory y de la necesidad de especificar el complejo nombre LDAP para sus objetos usuario cuando inician sesión.
De forma predeterminada, el sufijo del UPN de los usuarios de un bosque en particular es el nombre del primer dominio creado en el primer árbol del bosque, también llamado el hombre DNS del bosque.
Por medio del Administrador de Dominios y confianzas de Active Directory se pueden especificar sufijos UPN adicionales que los usuarios pueden emplear en lugar del hombre DNS del bosque cuando inicien sesión.
Para hacer esto, hay que seleccionar el objeto raíz en el árbol de la consola de la pantalla principal de Dominios y confianzas de Active Directory, y escoger Propiedades en el menú Acción.
En la pestaña Sufijos UPN, hay que pulsar el botón Agregar para especificar sufijos adicionales. Estos sufijos se aplican en todo el bosque y están disponibles para cualquier usuario de cualquier dominio de cualquier árbol de ese bosque.
Pestaña General
La pestaña General de Propiedades de Dominios y confianzas de Active Directory muestra el nombre NetBIOS con el cual conocen los clientes de nivel inferior al dominio y permite especificar una descripción para ese dominio.
Esta pestaña también muestra el modo de operación actual del dominio y permite cambiarlo.
De forma predeterminada, los controladores de dominio recién instalados operan en modo mixto, lo que significa que se pueden utilizar BDC Windows NT como controladores de dominio en un dominio Windows 2000.
De esta forma, se puede actualizar un dominio Windows NT existente a Windows 2000 de forma gradual actualizando primero el PDC Windows NT a Windows 2000.
Después se puede utilizar Active Directory para almacenar información sobre el dominio y modificar el directorio utilizando los complementos de Active Directory incluidos en Windows 2000 Server.
Cuando Windows 2000 Server opera en modo mixto, los BDCs Windows NT son controladores de dominio completamente funcionales en el dominio Active Directory, capaces de realizar réplica con múltiples maestros al igual que los controladores de dominio Windows 2000.
El único inconveniente de utilizar el modo mixto es que no se pueden aprovechar las ventajas de las características avanzadas de agrupación de Windows 2000, como la posibilidad de anidar grupos y crear grupos con miembros en dominios diferentes.
Una vez que se ha completado la actualización a Windows 2000 de todos los BDC Windows NT del dominio, se puede cambiar el equipo a modo nativo, lo que activa estas capacidades de agrupación.
Sin embargo, una vez que se ha cambiado el modo de operación del dominio de mixto a nativo, no se puede cambiar de nuevo sin reinstalar Active Directory.
Hay que asegurarse de que no se necesitaran más los controladores de dominio Windows NT de la red antes de hacer esta modificación.
Pestaña Confía
La relación de confianza entre dominios se gestiona desde la pestaña Confía de la ventana Propiedades de un dominio.
Cuando se establece una relación de confianza entre dos dominios, los usuarios de un dominio pueden acceder a recursos ubicados en otro dominio en que se confíe.
Un árbol de dominios Active Directory es una colección de dominios que no sólo comparten el mismo esquema, la configuración y el espacio de nombres, sino que también están conectados por medio de relaciones de confianza.
Windows 2000 soporta dos tipos de relaciones de confianza: las confianzas explicitas y de un sentido utilizadas por Windows NT, y las confianzas transitivas y jerárquicas proporcionadas por el protocolo de seguridad Kerberos en los dominios Active Directory.
Las relaciones de confianza de Windows NT sólo funcionan en un sentido.
Un administrador debe crear explícitamente las confianzas en ambos sentidos para lograr una relación mutua entre los dominios
.
Active Directory crea automáticamente relaciones de confianza Kerberos en todos los dominios de un árbol; estas se aplican en ambos sentidos y son transitivas.
Una relación de confianza transitiva es aquella que se propaga a través de la jerarquía del árbol. La creación de cada nuevo dominio en un árbol incluye el establecimiento de las relaciones de confianza con el resto de dominios del árbol, lo que permite a los usuarios acceder a recursos en cualquiera de los dominios del árbol (asumiendo que tienen los permisos apropiados) sin que un administrador tenga que configurarlo manualmente.
Para proporcionar acceso al dominio a usuarios de otro árbol o para conceder acceso a otro árbol a los usuarios del dominio, se pueden establecer relaciones de confianza manualmente pulsando uno de los botones Agregar de la pestaña Confía y especificando el nombre NetBIOS de un dominio.
Estas relaciones son en un solo sentido; hay que establecer una confianza para cada dominio para crear una confianza bidireccional.
Dependiendo de la naturaleza del dominio que confía o en el que se confía, la relación podrá o no ser transitiva.
Se puede establecer una relación de confianza transitiva con dominios Windows 2000 en otro árbol, pero las relaciones con dominios Windows NT no pueden ser transitivas.
Para establecer una relación de confianza con otro dominio, hay que especificar el nombre del dominio en el cuadro de diálogo Agregar un dominio de confianza y proporcionar una contraseña.
Para completar el proceso, un administrador del otro dominio debe especificar el nombre de este dominio en el cuadro de diálogo Agregar un dominio que confía y proporcionar la misma contraseña.
Ambos dominios deben dar su aprobación antes de que los sistemas puedan establecer la relación de confianza.
Pestaña Administrado por
La tercera pestaña de la ventana Propiedades de un dominio, identifica al individuo que es el administrador designado para el dominio.
Esta pestaña proporciona información de contacto sobre el administrador derivada de la cuenta de usuario asociada en Active Directory.
Se puede cambiar el administrador pulsando el botón Cambiar y seleccionando otra cuenta de usuario desde la pantalla de Active Directory que se muestra.
