SOR-TEMA3-JAVI-2023

Tema 3: Servicios de directorios, dominios y relaciones de confianza

EMPEZAR

Índice

Servicio de directorio.

Servicio de directorio. Windows.

Unir clientes. Windows.

Perfiles de usuario.

Relaciones entre dominios.

1. Servicio de directorio.

Active Directory es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, ...). Consiste en una base de datos que contiene la información de todos los objetos (usuarios, equipos y otros dispositivos y servicios de la red de la empresa) existentes en una red u organización estructurada de manera jerárquica. Al tener la información centralizada, se permite una mejor gestión de los recursos y un mayor control de acceso sobre los usuarios por parte del administrador.

1. Servicio de directorio.

Antes de profundizar en el concepto de servicio de directorio, debemos conocer los siguientes conceptos básicos. 1.1 Objeto. Se utiliza como nombre genérico para referirnos a cualquiera de los componentes que forman parte del directorio, como una impresora o una carpeta compartida, pero también un usuario, un grupo, etc. Los objetos se organizan en tres categorías:

• Usuarios: identificados a través de un nombre (y, casi siempre, una contraseña), que pueden organizarse en grupos, para simplificar la administración.

1. Servicio de directorio.

• Recursos: que son los diferentes elementos a los que pueden acceder, o no, los usuarios según sus privilegios. Por ejemplo, carpetas compartidas, impresoras, etc.
• Servicios: que son las diferentes funciones a las que los usuarios pueden tener acceso. Por ejemplo, el correo electrónico.

Nota: Definición de usuario. Un usuario, desde un punto de vista informático, es un conjunto de permisos y de privilegios sobre determinados recursos. Por tanto, un usuario no tiene que ser, necesariamente, una persona.

1. Servicio de directorio.

Antes de profundizar en el concepto de servicio de directorio, debemos conocer los siguientes conceptos básicos. 1.2 Dominio. Es un conjunto de objetos en una misma red y bajo la misma base de datos de directorio. Un directorio activo puede tener uno o más dominios, cada uno de los cuales debe tener un controlador de dominio, que es un equipo con active directory instalado. Cada domino debe tener un nombre o DNS que lo identifica, y que servirá para denominar a los equipos de la red que pertenezcan a ese dominio. El dominio raíz será el que identifique al dominio, además de ser el sufijo para todos los equipos de la red.

1. Servicio de directorio.

1.3 Árbol de dominio. Un Árbol es una colección de dominios que dependen de una raíz común y se encuentra organizados con una determinada jerarquía. Dicha jerarquía también quedará representada por un espacio de nombres DNS común.

1. Servicio de directorio.

1.4 Bosque de árboles de dominios.Como ya hemos dicho, los dominios pueden estar organizados jerárquicamente en un árbol que comparte un espacio de nombres DNS común. A su vez, diferentes árboles pueden estar integrados en un bosque. Al tratarse de árboles diferentes, no compartirán el mismo espacio de nombres. Además, de esta forma podremos tener una relación de confianza transitiva, es decir, si un padre tiene confianza en su hijo y este tiene confianza en el suyo, entonces el abuelo tiene confianza en el nieto y viceversa. De esta forma todos los dominios de un bosquen confían unos de otros y los diferentes árboles podrán compartir recursos.

1. Servicio de directorio.

La estructura lógica del directorio activo posee una jerarquía que está determinada por los siguientes componentes en estricto orden: objetos, unidades organizativas, dominios, árboles y bosques.

1. Servicio de directorio.

1.5 Unidades Organizativas (UO). Una Unidad Organizativa es un contenedor de objetos que permite organizarlos en subconjuntos, dentro del dominio, siguiendo una jerarquía. De este modo, podremos establecer una estructura lógica que represente de forma adecuada nuestra organización y simplifique la administración. Las OUs contienen objetos del dominio, como cuentas de usuario, equipo y grupos, archivos e impresoras compartidas publicados en AD y otras unidades organizativas.

1. Servicio de directorio.

2. Servicio de directorio. Windows.

2.1. Sitio.Es un grupo de ordenadores que se encuentran relacionados, de una forma lógica, con una localización geográfica particular. En realidad, pueden encontrarse físicamente en ese lugar o, como mínimo, estar conectados, mediante un enlace permanente, con el ancho de banda adecuado.

2.2. Relaciones de confianza.En el contexto de Active Directory, las Relaciones de confianza son un método de comunicación seguro entre dominios, árboles y bosques. Las relaciones de confianza permiten a los usuarios de un dominio del Directorio Activo autenticarse en otro dominio del directorio.

2. Servicio de directorio. Windows.

Existen dos tipos de relaciones de confianza: unidireccionales y bidireccionales. Además, las relaciones de confianza pueden ser transitivas (A confía en B y B confía en C, luego A confía en C). 2.3 Esquema. Se utiliza la palabra Esquema para referirse a la estructura de la base de datos. En este sentido, utilizaremos la palabra atributo para referirnos a cada uno de los tipos de información almacenada. También suele emplearse una terminología orientada a objetos, donde la palabra Clase se referirá a un determinado tipo de objetos (con unas propiedades determinadas), mientras que un objeto determinado recibe el nombre de instancia. Por ejemplo, podríamos pensar que la clase usuario es una plantilla que definirá a cada uno de los usuarios (que serán instancias de la clase usuario).

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.Vamos al administrador del servidor y en el panel seleccionamos agregar roles y características.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.En tipo de instalación selecciona instalación basada en características o en roles. Selecciona el servidor de destino.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.En roles de servidor seleccionamos Servicios de dominio de Active directory. En características ya vienen marcadas las que son necesario instalar.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.Le damos a siguiente y a continuación a instalar. Responde afirmativamente cuando te pregunte si aceptas que se reinicia automáticamente, y comenza la instalación. Una vez instalado indica que hay que promover el servidor a controlador de dominio.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.A continuación haz clic en agregar un nuevo bosque, ya que vas a instalar un dominio totalmente independiente. Asigna el nombre que le quieras dar al dominio. Por ejemplo: miservidor.net.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.Elige el nivel funcional del bosque y del dominio. Además indica que instale el servidor DNS.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.Cuando te indique que no puedes crear una delegación de DNS, pulsa siguiente y ve a elegir el nombre de dominio NetBIOS y especifica las rutas de acceso a la base de datos de active directory, a los archivos de registro y a la carpeta SYSVOL.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.Si el servidor tiene una dirección IP dinámica, el sistema te avisará de ello y será conveniente configurar una dirección IP fija. Para ello ir a panel de control, centro de redes y recursos compartidos. Cuando finalices, se reiniciará el sistema y al entrar te mostrará el nombre del equipo del dominio raíz.

2. Servicio de directorio. Windows.

2.4 Instalación de Active Directory.Una vez que el equipo sea controlador de domino, los usuarios estándar que no pertenezcan al grupo de administradores no podrán iniciar sesión local en el servidor. Cuando el servidor sea controlador de dominio, las cuentas locales hay que gestionarlas también en usuarios y equipos de Active Directory.

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Es posible, que de forma extraordinaria, necesitemos desinstalar Active Directory, por ejemplo si queremos modificar las características hardware servidor, cuando modificamos los servicios que ofrece o porque vamos a ceder los servicios a otro equipo. Los pasos a seguir para realizar una desinstalación, en líneas generales son dos:

1. Degradar el controlador de dominios.
2. Desinstalar el servicio de Active Directory junto con los servicios que no vayamos a usar, como podría ser el caso del servicio DNS.

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory.

1. Degradar el controlador de dominios.

En este paso vamos a desactivar el controlador de dominios. Primero desplegamos el menú Administrar en el Administrador del servidor, abriendose la ventana del asistente para quitar roles y características.

Paso 1

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Dentro del Asistente para quitar roles y características, teniendo en cuenta lo que nos indica, en este caso le damos a siguiente.

Paso 2

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. A continuación seleccionamos el servidor sobre el que deseamos actuar y le damos a siguiente.

Paso 3

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. En la ventana de roles del servidor desmarcamos Servicios de dominio de Active Directory y sobre la ventana emergente le damos a Quitar características.

Paso 4

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. A continuación le damos a Disminuir el nivel de este controlador de dominio.

Paso 5

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Después seleccionamos en la ventana emergente Forzar la eliminación de este controlador de dominio y le damos a siguiente.

Paso 6

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Después seleccionamos en la ventana emergente Continuar con la eliminación y le damos a siguiente.

Paso 7

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Después seleccionamos en la ventana emergente Debemos seleccionar una nueva contraseña para el administrador y le damos a siguiente.

Paso 8

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. En este paso le damos directamente a Disminuir nivel para ralizar la acción. Mencionar que tenemos la opción de descargar el script para futuras acciones y agilizar el proceso.

Paso 9

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Se nos reinicia la máquina y observamos que ha desaparecido el dominio del sistema. Ya que antes nos aparecía como usuario: MISERVIDOR/Administrador

Paso 10

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. 2. Desinstalar el servicio de Active Directory junto con los servicios que no vayamos a usar, como podría ser el caso del servicio DNS.

Realizamos los pasos de igual forma que para la degradar el contolador de dominios, ya que hasta ahora no se ha desinstalado el Active Directory, y en este caso desmarcamos, en dos pasos, primero el Sevicio de dominio de Active Directory y después el Servicio DNS.

Paso 4

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. En la siguiente ventana no cambiamos nada y le damos a siguiente.

Paso 5

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Seleccionamos que Reinicie automáticamente y le damos a Quitar. Esperamos a que se reinicie e iniciamos sesión.

Paso 6

2. Servicio de directorio. Windows.

2.5 Desinstalación de Active Directory. Cuando iniciemos sesión, iniciamos el Administrador del servidor y le damos a Quitar roles y características. Veremos que el proceso continúa y nosotros le podremos dar a cerrar, tras el proceso, habrá desaparecido el rol de AD y el DNS.

Paso 7

2. Servicio de directorio. Windows.

2.6 Gestión de Unidades Organizativas (UO). Crear una unidad organizativa: para ello accede a herramientas administrativas y selecciona Usuarios y Equipos de Active Directory. A continuación haz clic derecho sobre el nombre del dominio en el que vas a crear la UO y selecciona nuevo->UO y ponle un nombre adecuado.

2. Servicio de directorio. Windows.

Mover objetos de una ubicación a otra: se pueden arrastrar los objetos de una unidad a otra o se puede utilizar la acción Mover (Ejemplo el grupo Alumnado_ASO, lo voy a mover a la unidad organizativa Grado_Superior).

2. Servicio de directorio. Windows.

Eliminar una unidad organizativa: No es frecuente eliminar la unidad organizativa, pero si se elimina también se eliminan todos los objetos que contiene. Para esta acción hay que acceder a herramientas administrativas -> Usuarios y Equipos de AD. A continuación accede a ver->Características Avanzadas.

2. Servicio de directorio. Windows.

Pulsa con el botón secundario del botón sobre la UO que vas a eliminar y después, en propiedades, en la pestaña objeto, desmarcas la casilla Proteger contra eliminación accidental y pulsa en aceptar. Por último, sitúate sobre la UO y elige eliminar (no olvides desmarcar de nuevo Características Avanzadas).

2. Servicio de directorio. Windows.

2.7 Administrar cuentas de usuario. Los usuarios de AD no serán usuarios locales, sino globales al dominio. Crear un usuario: situarse sobre la UO Users pulsar con el botón derecho->nuevo ->usuario. Rellena los datos y a continuación asignalé una contraseña.

2. Servicio de directorio. Windows.

Modificar los valores de las cuentas: una vez creada la cuenta podemos modificar los valores, situándonos sobre el usuario y pulsando en propiedades. Existen varias pestañas donde podemos modificar:

- Modificar valores generales de las cuentas. - Establecer horas de inicio de sesión. - Limitar los equipos desde los que un usuario puede iniciar sesión. - Averiguar de qué grupos es miembro un usuario. - Etc.

2. Servicio de directorio. Windows.

Otras operaciones que se pueden realizar y que son útiles son:

- Recuperar contraseñas. - Deshabilitar una cuenta de usuario. - Hacer que un usuario sea miembro de un grupo. - Copiar cuentas de usuario. - Eliminar una cuenta de usuario.

2. Servicio de directorio. Windows.

2.8 Gestión de cuentas de equipo. Los equipos son cuentas utilizadas para poder acceder a los servicios del directorio, de tal forma que las cuentas de usuario, para que puedan tener acceso, deben estar corriendo sobre un ordenador que tenga cuenta de equipo en AD. Crear cuentas de equipo: los ordenadores que pertenezcan al directorio activo deben tener su propia cuenta de equipo. Seleccionamos la UO, Computers y hacemos clic con el botón derecho, le damos a nuevo y por último a equipo.

2. Servicio de directorio. Windows.

Modificar cuentas de equipo: Al igual que con los usuarios, se pueden modificar los valores de las cuentas de equipo. Seleccionamos la UO de Computers y hacemos clic con el botón derecho sobre el equipo que queremos modificar, le damos a propiedades.

A veces, es necesario restablecer las cuentas de equipo porque existe una desincronización con la contraseña y el equipo cliente no puede conectar.

2. Servicio de directorio. Windows.

2.9 Administrar cuentas de grupo. Los grupos permiten administrar objetos del dominio de forma conjunta. Un grupo puede estar formado por cuentas de usuario, de equipo, contactos o, incluso, otros grupos. Los permisos se asignan a un grupo y los miembros del grupo obtienen dichos permisos. Los grupos de AD, según su ámbito, pueden ser:

• Grupos locales al dominio: afectan a todo el dominio, pero no es posible darles permisos para otros dominios del mismo bosque.
• Grupos globales: se definen en un dominio, no se replican a otros controladores de dominio, pero sí es posible otorgarles permisos para recursos de otros dominios.

2. Servicio de directorio. Windows.

• Grupos universales: se definen en un dominio, pero se replican a los dominos del bosque, es decir, vemos esos grupos desde cualquier dominio del bosque.

Crear cuentas de grupo: Users-> Nuevo -> Grupo. Rellenamos los datos y ponemos el ámbito de grupo, global para que sea compatible con otros dominios. En tipo de grupo se indica seguridad para asignar privilegios/restricciones a los recursos. Si seleccionáramos Distribución servirán para la gestión de correo electrónico.

2. Servicio de directorio. Windows.

Modificar los valores en las cuentas de grupo: sobre el grupo, botón derecho -> propiedades. En la ventana que se nos abre podremos, por ejemplo, elegir los usuarios, equipos o grupos que son miembros del grupo que estamos editando o delegar la administración de este grupo en otro usuario diferente.Añadir miembros a un grupo: Para añadir un nuevo miembro a un grupo, hay que abrir la ventana Propiedades de dicho grupo y elegir la solapa Miembros. Se pulsa en agregar, para poder seleccionar los usuarios, contactos, equipos, etc. Para buscar los elementos a seleccionar, pulsamos en opciones avanzadas y en la venta emergente hacemos clic en buscar ahora. Eliminar grupos: Sobre el grupo -> botón derecho -> eliminar.

3. Unir clientes. Windows.

1. Configurar la red en el equipo cliente, comprueba que los dos equipos se vean en la red. En el equipo cliente modifica la red para que el DNS sea la IP del servidor.

3. Unir clientes. Windows.

2. Propiedades del equipo, cambiar el nombre del equipo y unirlo al dominio.Si la cuenta existe previamente en el dominio, al unir el cliente se establecerá un vínculo entre ambos. Si no existe, se crea una nueva cuenta de equipo en ese instante.3. Se busca en la red el dominio especificado y si lo encuentra nos aparece la ventana para escribir el usuario y su contraseña 4. Nos indica nos hemos unido correctamente al dominio. 5. Nos pide reiniciar.

3. Unir clientes. Windows.

Servidor

Cliente

Nuestra cuenta de equipo cliente, está creada en el contenedor computers.

3. Unir clientes. Windows.

6. Iniciamos sesión en el servidor desde el cliente. 7. Si queremos volver a iniciar sesión en el PC de forma local, tendremos que poner "NOMBRE_DEL_PC\Usuario".

4. Perfiles de usuario.

El sistema operativo utiliza los perfiles de usuario para contener la configuración del entorno de trabajo de cada usuario en el equipo local. Entre otras cosas, se incluyen las preferencias en cuanto a la configuración del la pantalla, las conexiones de red, la configuración de impresoras, etc. Esta información se organiza en diferentes archivos que se crean en el momento que el usuario inicia sesión por primera vez.De esta forma, el sistema operativo consigue que varios usuarios puedan utilizar el mismo equipo, de modo que cada uno encuentre, al iniciar la sesión, el mismo entorno que dejó cuando cerró la sesión anterior. Además, los cambios efectuados por un usuario en la personalización de su entorno no afectará a ningún otro usuario del equipo.

4. Perfiles de usuario.

1. Tipos de perfiles de usuario.

• Perfil de usuario local: Se guarda en el disco duro local del equipo cliente, de modo que todas las modificaciones que se realicen serán específicas del ordenador en el que se han establecido.

• Perfil de usuario móvil: Los crea el administrador y se almacenan en una carpeta compartida por el servidor. Está asociada a la cuenta del dominio, de modo que estará disponible de forma independiente al ordenador concreto desde el que inicie sesión el usuario. Dado que el perfil se encuentra en el servidor, todos los cambios realizados en este también se guardan en el servidor.

4. Perfiles de usuario.

• Perfil de usuario obligatorio: son perfiles móviles de sólo lectura, ya que solamente los administradores del dominio pueden realizar cambios en estos perfiles. De esta forma, el administrador podrá definir configuraciones para usuarios o grupos, y estos no podrán cambiarlos.

2. Problema del perfil móvil. Cuando un usuario inicia o cierra sesión con un perfil móvil, se genera un flujo de información hacia el usuario y desde este hacia el servidor. Esta transferencia de datos continua entre el servidor y el cliente no sólo será percibida por el usuario como una pérdida de tiempo, sino que sobrecargará el tráfico de la red, lo que podrá repercutir sobre el rendimiento del resto de los usuarios.

4. Perfiles de usuario.

3. Crear un perfil móvil.Para crear un perfil móvil se deben seguir los siguientes pasos.

• Crear una carpeta en una ubicación coherente dentro del servidor que actúe como contenedora de los perfiles (p.e. Perfiles_moviles).

• Para la carpeta contenedora de perfiles (p.e. Perfiles_moviles), se ha de compartir (pestaña compartir) y cambiar los permisos (pestaña seguridad) tanto al administrador como al grupo de usuarios del dominio. Los permisos para compartir han de ser de lectura y escritura y para el acceso local (pestaña seguridad) han de ser de control total para los dos casos.

4. Perfiles de usuario.

3. Crear un perfil móvil.Para crear un perfil móvil se deben seguir los siguientes pasos.

• En la ventana de propiedades de la cuenta, hacemos clic sobre la solapa Perfil. En ella, debemos dar valor al cuadro de texto Ruta de acceso al perfil. El contenido seguirá el siguiente formato:

\\servidor\carpeta_compartida\nombre_usuario

• En nuestro caso, sustituyendo los valores anteriores por los adecuados para el servidor de ejemplo que estamos utilizando, nos quedaría algo como esto:

\\server-2019-a\Personal\Perfiles\%username% Observa que, en lugar de utilizar el nombre de usuario, hemos utilizado la variable de sistema %username%. En realidad, el resultado es el mismo, pero será muy útil cuando cambiemos el perfil de varios usuarios al mismo tiempo.

4. Perfiles de usuario.

Nombres de carpetas para perfil móvil.

4. Perfiles de usuario.

Los formatos de la ruta que debemos poner en el perfil deseado es el siguiente: \\servidor\carpeta_compartida\nombre_usuario \\servidor\carpeta_compartida\%username%

5. Relaciones entre dominios.

Una relación de confianza es una característica de Active Directory que facilita a los usuarios de un dominio tener acceso a los recursos de un dominio diferente. Dentro de este contexto, podemos decir que hay dos papeles diferenciados, el del dominio "confiador" (el que confía y de donde se prestan los recursos) y el dominio de confianza ( del que se confía y donde se autentican los usuarios).

Dirección de acceso

Dirección de confianza

Dominio B Usuarios

Dominio A Recursos

5. Relaciones entre dominios.

En una relación unidireccional, si la relación se ha establecido entre el dominio A (dominio de confianza) y el dominio B (dominio confiador), los usuarios que se autentiquen en el dominio A podrán tener acceso a los recursos del dominio B, mientras que los usuarios que se autentiquen en el dominio B no podrán acceder a los recursos del dominio A. Si la relación es bidireccional, ambos dominios confían el uno en el otro. Si una relación es transitiva, podríamos tener un dominio A que confiara en un dominio B a la vez que el dominio B confiara en el dominio C. De esta forma, los usuarios del dominio C podrían tener acceso a los recursos del dominio A (siempre que tengan los permisos adecuados).

5. Relaciones entre dominios.

Relación transitiva.

Importante: La cuenta de usuario que usemos para establecer o administrar una relación de confianza, debe ser miembro del grupo "administradores del dominio".

5. Relaciones entre dominios.

Objeto del dominio de confianza.Cada relación de confianza de un dominio se representa con un Objeto de Dominio de Confianza (TDO). Cada vez que se crea una relación, se crea un nuevo TDO único con todos sus atributos y se almacena en el contenedor de System del dominio. Como mínimo, los atributos incluidos en un TDO son:

• La transitividad.
• La direccionalidad.
• El nombre de los dominios.

5. Relaciones entre dominios.

Tipos de confianza. Confianza externa: son relaciones no transitivas, que pueden ser tanto unidireccionales como bidireccionales. Confianza de bosque: comparten recursos entre diferentes bosques. Son transitivas y pueden ser tanto bidireccionales como unidireccionales. Confianza directa: mejoran el tiempo que necesitan los usuarios para iniciar sesión entre dos dominios de árboles distintos, los cuales ya tienen confianza a través de otras relaciones transitivas. Confianza kerberos: permiten establece confiaza entre dominios de Windows y un dominio no Windows (p.e. máquinas Linux).

5. Relaciones entre dominios.

5. Relaciones entre dominios.

Roles que puede desempeñar un controlador de dominio. Controlador de dominio: es un ordenador que contiene la base de datos del directorio para un dominio. Tipos de controladores de dominio con Active Directory.

• Agregar un nuevo bosque: es cuando comenzamos a instalar un dominio y este actúa como raíz del bosque.

5. Relaciones entre dominios.

Roles que puede desempeñar un controlador de dominio.

• Agregar un nuevo dominio a un bosque existente: se corresponde con la instalación de un nuevo dominio dentro de un bosque existente, básicamente es crear un subdominio dentro de un bosque.
• Agregar un controlador de dominio a un dominio existente: cuando añadimos en la gestión de un dominio un nuevo servidor con su correspondiente controlador de dominio. Ofrece a la infraestructura características de tolerancia a fallos y balanceo de carga.

5. Relaciones entre dominios.

A modo de resumen para crear una relación de confianza, debemos realizar los siguientes pasos: 1) Crear un bosque en cada controlador de dominio.

• Configurar las características de red del nuevo equipo.
• Establecer un nombre adecuado al nuevo equipo, es decir al servidor (han de ser diferentes).
• Añadir el rol de servicios de dominio de Active Directory/promover dominio.

2) Configurar los servidores DNS de ambos árboles para conozcerse en la red.

• Agregar un nuevo reenviador condicional en cada bosque.

3) Establecer la relación de confianza.

• Agregar una relación de confianza que se nos requiera.

5. Relaciones entre dominios.

1) Crear un nuevo bosque. En este caso, como ya ha sido explicado anteriormente, no vamos a realizar los pasos para su desarrollo, sino que nos apoyaremos en las explicaciones previas.

2) Configurar los servidores DNS de ambos árboles para que se reconozcan en la red. Para realizar este paso, primero debemos, dentro del Administrador del servidor, le damos a Herramientas y DNS.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

Desplegamos el controlador de dominio y buscamos el contenedor de Reenviadores condicionales para pulsar con botón derecho y seleccionar Nuevo reenviador condicional.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

1. En el campo de Dominio DNS, ponemos el nombre del dominio con el que establecemos la confianza.
2. Indicamos la dirección IP del servidor del dominio a confiar y esperamos que nos reconozca el campo <FQDN de servidor>, poniendo automáquicamente ahí el nombre del servidor que tiene esa IP.
3. Si disponemos de más de un controlador de dominio, marcar la opción de Almacenar este reenviador condicionnal en Active Directory y replicarlo como sigue.

4. En la lista inferior, podemos dejar seleccionado el valor Todos los servidores DNS de este bosque.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

Repetir el proceso con el controlador del segundo dominio.

5. Por último debemos hacer ping desde cada controlador de dominio hacia el otro haciendo uso del nombre DNS. Si obtenemos ping, todo ha ido bien y ya tendríamos listo la configuración de los servidores DNS para que se reconozcan en la red.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

3) Establecer la relación de confianza. Comenzamos desde cualquer controlador de dominio. * Dentro del controlador del servidor nos dirigimos a Herramientas y pulsamos en Dominios y confianzas de Active Directory. * A continuación hacemos click derecho sobre el nombre del dominio y pulsamos en propiedades.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

* Ahora le damos a la solapa de Confianzas y pulsamos sobre Nueva confianza.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

* Dentro del asistente para nueva confianza debemos realizar los pasos que nos indica rellenando toda la información que se precisa. En la siguiente imagen y tras haber pasado algún paso inicial, debemos poner el nombre de NetBIOS o el nombre DNS.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

* A continuación debemos establecer el tipo de confianza. Como en este caso se trata de un dominio raíz de un bosque, podemos elegir entre crear una confianza externa y una de bosque, también nos podría preguntar por una de Keberos en el caso de ser un dominio con un controlador no procedente de Windows.* En el siguiente paso nos pide establecer la dirección de confianza, pudiendo decidirnos por bidireccional, unidireccional de entrada y unidireccional de salida.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

Bidireccional: ambos usuarios podrán autenticarse independientemente del bosque origen.Unidireccional de entrada: un usuario de un dominio del dominio/bosque origen puede autenticarse en el dominio con el que ha creado una confianza. Unidireccional de salida: un usuario de un dominio de donde se esté realizando la confianza podrá autenticarse en el dominio origen.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

*Una vez elegida la dirección de confianza, tenemos que establecer dónde queremos crear la relación de confianza para los dominios. Podemos elegir entre: Solo este dominio: crea la relación de confianza solo en el domino local. Ambos, este dominio y el dominio especificado: crea relaciones de confianza en el dominio local y en el dominio especificado. *A continuación ponemos las credenciales oportunas y le damos a siguiente. *En el siguiente paso nos pedirá que elijamos entre autenticación en todo el bosque o autenticación selectiva. Autenticación selectiva: un usuario autenticado de otro dominio no tendrá acceso a los recursos hasta que de forma individual se creen.

5.1. Relación de confianza con dominios de otros bosques en Windows Server.

Autenticación en todo el bosque: de forma automática, un usuario añade a los usuarios del dominio anfitrión a todos los recursos del bosque. * En el siguiente paso nos mostrará un resumen de la configuración realizada hasta el momento con el objetivo de poder corregir cualquier error, en caso contrario le damos a siguiente. * Llegando al final de los pasos, nos indica que ya ha sido creada la confianza y que le demos a siguiente para confirmar las confianzas y se hagan efectivas. * Los últimos pasos nos indica que confirmemos las confianzas elegidas (entrantes, salientes o ambas).

Muchas Gracias