Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El primer paso para establecer un proyecto de implementación de Active Directory Domain Services (AD DS) es establecer los equipos de proyecto de diseño e implementación que serán responsables de administrar las fases de diseño e implementación del ciclo de proyecto de Active Directory. Además, debe identificar a los individuos y grupos que serán responsables de ser propietarios y mantener el directorio una vez completada la implementación.
Definir roles específicos del proyecto
Un paso importante para establecer los equipos de proyecto es identificar a las personas que poseerán roles específicos del proyecto. Entre ellos se incluyen el patrocinador ejecutivo, el arquitecto del proyecto y el administrador del proyecto. Estas personas son responsables de ejecutar el proyecto de implementación de Active Directory.
Tras designar al arquitecto y al administrador del proyecto, estas personas establecen canales de comunicación con toda la organización, programan el calendario del proyecto e identifican a las personas que serán miembros de los equipos del proyecto, empezando por los distintos propietarios.
Patrocinador ejecutivo
La implementación de una infraestructura como AD DS puede tener un amplio impacto en una organización. Por este motivo, es importante tener un patrocinador ejecutivo que reconozca el valor empresarial de la implementación, apoye el proyecto a nivel ejecutivo y pueda ayudar a resolver conflictos a lo largo de la organización.
Arquitecto de proyecto
Cada proyecto de implementación de Active Directory requiere un arquitecto de proyecto que administre el proceso de toma de decisiones de diseño e implementación de Active Directory. El arquitecto proporciona conocimientos técnicos para ayudar con el proceso de diseño e implementación de AD DS.
Nota
Si ningún personal existente de su organización tiene experiencia en diseño de directorios, podría interesarle contratar a un consultor externo que sea experto en diseño e implementación de Active Directory.
Las responsabilidades del arquitecto de proyecto de Active Directory incluyen:
Ser propietario del diseño de Active Directory
Reconocer y mantener un registro de las justificaciones para decisiones clave de diseño
Garantizar que el diseño satisface las necesidades empresariales de la organización
Establecer un consenso entre los equipos de diseño, implementación y operaciones
Reconocer las necesidades de las aplicaciones integradas en AD DS
El diseño final de Active Directory debe reflejar una combinación de objetivos empresariales y decisiones técnicas. Por lo tanto, el arquitecto de proyecto debe revisar las decisiones de diseño para asegurarse de que se corresponden con los objetivos empresariales.
Jefe de proyecto
El administrador de proyecto facilita la cooperación entre unidades de negocio y entre grupos de administración de tecnología. Lo idóneo es que el administrador del proyecto de implementación de Active Directory sea alguien de la organización que esté familiarizado tanto con las directivas operativas del grupo de TI como con los requisitos de diseño de los grupos que se preparan para implementar AD DS. El administrador de proyecto supervisa todo el proyecto de implementación, empezando por el diseño y a lo largo del resto de la implementación, y se asegura de que se cumplan los plazos y el presupuesto del proyecto. Las responsabilidades del administrador de proyecto incluyen:
Proporcionar la planificación básica del proyecto, como el calendario y el presupuesto
Impulsar el progreso del proyecto de diseño e implementación de Active Directory
Asegurarse de que las personas que participan en cada parte del proceso de diseño sean las adecuadas
Servir como punto de contacto único para el proyecto de implementación de Active Directory
Establecer un canal de comunicación entre los equipos de diseño, implementación y operaciones
Establecer y mantener la comunicación con el patrocinador ejecutivo a lo largo del proyecto de implementación
Establecer propietarios y administradores
En un proyecto de implementación de Active Directory, la administración responsabiliza a las personas propietarias para que se aseguren de que las tareas de implementación se completan y que las especificaciones de diseño de Active Directory satisfacen las necesidades de la organización. Los propietarios no tienen por qué disponer de acceso a la infraestructura de directorios ni manipularla directamente. Los administradores son las personas responsables de completar las tareas de implementación necesarias. Los administradores tienen el acceso a la red y los permisos necesarios para manipular el directorio y su infraestructura.
El rol del propietario es estratégico y administrativo. Los propietarios son responsables de comunicar a los administradores las tareas necesarias para la implementación del diseño de Active Directory, como la creación de nuevos controladores de dominio dentro del bosque. Los administradores son responsables de implementar el diseño en la red según las especificaciones de diseño.
En organizaciones grandes, los roles de propietario y administrador se les asignan a diferentes personas; sin embargo, en algunas pequeñas organizaciones, la misma persona puede actuar como propietaria y administradora al mismo tiempo.
Propietarios de servicios y de datos
Dos tipos de propietarios participan en la administración diaria de AD DS:
- Los propietarios de servicios son responsables de planear y mantener a largo plazo la infraestructura de Active Directory y asegurarse de que el directorio sigue funcionando y que se mantienen los objetivos establecidos en los contratos a nivel de servicio.
- Los propietarios de datos son responsables del mantenimiento de la información almacenada en el directorio. Esto incluye la administración de cuentas de usuario y de equipo y la administración de recursos locales, como servidores miembro y estaciones de trabajo.
Es importante identificar pronto a los propietarios de servicios y de datos de Active Directory para que puedan participar lo máximo posible en todo el proceso de diseño. Dado que los propietarios de servicios y de datos son responsables del mantenimiento a largo plazo del directorio una vez finalizado el proyecto de implementación, es importante que estas personas proporcionen información sobre las necesidades organizativas y estén familiarizadas con cómo y por qué se toman determinadas decisiones de diseño. Los propietarios de servicios incluyen el propietario de bosque, el propietario del servicio de nombres de dominio (DNS) de Active Directory y el propietario de la topología de sitio. Los propietarios de datos incluyen propietarios de unidades organizativas (OU).
Administradores de servicios y de datos
Dos tipos de administradores participan en el funcionamiento de AD DS: administradores de servicios y administradores de datos. Los administradores de servicios implementan decisiones de directivas tomadas por los propietarios de servicios y controlan las tareas diarias asociadas con el mantenimiento del servicio e infraestructura del directorio. Esto incluye administrar los controladores de dominio que hospedan el servicio de directorio; administrar otros servicios de red, como los DNS necesarios para AD DS; controlar la configuración de las opciones de todo el bosque y garantizar que el directorio esté siempre disponible.
Los administradores de servicios también son responsables de completar las tareas de implementación continuas de Active Directory que sean necesarias una vez completado el proceso inicial de implementación de Windows Server 2008 Active Directory. Por ejemplo, a medida que aumentan las demandas del directorio, los administradores de servicios crean controladores de dominio adicionales y establecen o quitan confianzas entre dominios, según sea necesario. Por este motivo, el equipo de implementación de Active Directory debe incluir administradores de servicios.
Debe ser precavido y asignar roles de administrador de servicios solo a usuarios de confianza de la organización. Dado que estas personas tienen la capacidad de modificar los archivos del sistema en controladores de dominio, pueden cambiar el comportamiento de AD DS. Debe asegurarse de que los administradores de servicios de su organización sean personas que estén familiarizados con las directivas operativas y de seguridad que están establecidas en su red, y que reconozcan la necesidad de aplicar dichas directivas.
Los administradores de datos son usuarios de un dominio que son responsables de mantener tanto los datos almacenados en AD DS como las cuentas de usuario y grupo, y de mantener equipos que sean miembros de su dominio. Los administradores de datos controlan subconjuntos de objetos dentro del directorio y no tienen control sobre la instalación o configuración del servicio de directorio.
Las cuentas de administrador de datos no se proporcionan de forma predeterminada. Después de que el equipo de diseño determine cómo se administrarán los recursos en la organización, los propietarios de dominio deben crear cuentas de administrador de datos y delegarles los permisos adecuados en función del conjunto de objetos del que los administradores sean responsables.
Lo mejor es limitar el número de administradores de servicios de la organización al número mínimo necesario para asegurarse de que la infraestructura sigue funcionando. Los administradores de datos pueden completar la mayoría del trabajo administrativo. Los administradores de servicios requieren un conjunto de aptitudes mucho más amplio porque son responsables de mantener el directorio y la infraestructura que lo contiene. Los administradores de datos solo requieren las aptitudes necesarias para administrar su parte del directorio. Al dividir la asignaciones del trabajo de esta manera se ahorra en gastos de la organización, ya que solo es necesario formar a un pequeño número de administradores para que operen y mantengan todo el directorio y su infraestructura.
Por ejemplo, un administrador de servicios debe reconocer cómo agregar un dominio a un bosque. Esto incluye cómo instalar el software para convertir un servidor en un controlador de dominio y cómo manipular el entorno DNS para que el controlador de dominio se pueda combinar sin problemas con el entorno de Active Directory. Un administrador de datos solo debe saber cómo administrar los datos específicos de los que es responsable, como la creación de cuentas de usuario para los nuevos empleados de su departamento.
La implementación de AD DS requiere coordinación y comunicación entre muchos grupos diferentes que participan en el funcionamiento de la infraestructura de red. Estos grupos deben designar propietarios de servicios y de datos que sean responsables de representar a los distintos grupos durante el proceso de diseño e implementación.
Una vez completado el proyecto de implementación, estos propietarios de servicios y de datos seguirán siendo responsables de la parte de la infraestructura que su grupo administre. En un entorno de Active Directory, estos propietarios son el propietario de bosque, el propietario del DNS de AD DS, el propietario de la topología de sitio y el propietario de unidad organizativa. Los roles de estos propietarios de servicios y de datos se explican en las siguientes secciones.
Propietario de bosque
El propietario de bosque suele ser un administrador sénior de tecnología de la información (TI) de la organización, responsable del proceso de implementación de Active Directory y, en última instancia, responsable de mantener la prestación de servicios en el bosque una vez completada la implementación. El propietario de bosque asigna personas que ocupen los demás roles de propiedad mediante la identificación del personal clave dentro de la organización que pueda proporcionar la información necesaria sobre la infraestructura de red y las necesidades administrativas. Las responsabilidades del propietario de bosque incluyen:
Implementar el dominio raíz del bosque para crearlo
Implementar el primer controlador de dominio de cada dominio para crear los que sean necesarios para el bosque
Administrar la pertenencia de los grupos de administradores de servicios en todos los dominios del bosque
Crear el diseño de la estructura de las unidades organizativas de cada dominio del bosque
Delegar autoridad administrativa a los propietarios de unidades organizativas
Realizar cambios en el esquema
Realizar cambios en las opciones de configuración de todo el bosque
Implementar determinadas configuraciones de directiva de grupo, incluidas directivas de cuenta de usuario de dominio como las de personalización avanzada de contraseñas y bloqueo de cuentas
Configurar directivas empresariales que se apliquen a los controladores de dominio
Configurar otras opciones de directiva de grupo que se apliquen a nivel de dominio
El propietario de bosque tiene autoridad sobre todo el bosque. Es responsabilidad del propietario de bosque establecer directivas de grupo y empresariales y seleccionar a las personas que serán administradoras de servicios. El propietario de bosque es un propietario de servicios.
Propietario del DNS de AD DS
El propietario del DNS de AD DS es una persona con un reconocimiento exhaustivo de la infraestructura de DNS el espacio de nombres existentes de la organización.
Las responsabilidades del propietario del DNS de AD DS incluyen:
Actuar como enlace entre el equipo de diseño y el grupo de TI propietario de la infraestructura de DNS
Proporcionar información sobre el espacio de nombres DNS existente de la organización para ayudar a crear el nuevo espacio de nombres de Active Directory
Trabajar con el equipo de implementación para asegurarse de que la nueva infraestructura de DNS se implementa según las especificaciones del equipo de diseño y que funciona correctamente
Administrar la infraestructura del DNS de AD DS, incluidos el servicio del servidor de DNS y los datos de DNS
El propietario del DNS de AD DS es un propietario de servicios.
Propietario de la topología de sitio
El propietario de la topología de sitio está familiarizado con la estructura física de la red de la organización, lo cual incluye la asignación de subredes individuales, enrutadores y áreas de red conectadas mediante vínculos de baja velocidad. Las responsabilidades del propietario de la topología de sitio incluyen:
Reconocer la topología física de la red y cómo afecta a AD DS
Reconocer cómo afectará a la red la implementación de Active Directory
Determinar los sitios lógicos de Active Directory que deben crearse
Actualizar objetos de sitio de los controladores de dominio cuando se agrega, modifica o quita una subred
Crear vínculos a sitio, puentes de vínculos a sitio y objetos de conexión manual
El propietario de la topología de sitio es un propietario de servicios.
Propietario de unidad organizativa
El propietario de unidad organizativa es responsable de administrar los datos almacenados en el directorio. Esta persona debe estar familiarizada con las directivas operativas y de seguridad que estén en vigor en la red. Los propietarios de unidad organizativa solo pueden realizar las tareas que los administradores de servicios les hayan delegado, y solo las pueden realizar unidades organizativas a las que estén asignados. Las tareas que se pueden asignar a un propietario de unidad organizativa incluyen:
Realizar todas las tareas de administración de cuentas dentro de su unidad organizativa asignada
Administrar estaciones de trabajo y servidores miembro que sean miembros de su unidad organizativa asignada
Delegar autoridad a administradores locales dentro de su unidad organizativa asignada
El propietario de unidad organizativa es un propietario de datos.
Crear equipos de proyecto
Los equipos de proyecto de Active Directory son grupos temporales responsables de completar las tareas de diseño e implementación de Active Directory. Una vez completado el proyecto de implementación de Active Directory, los propietarios asumen la responsabilidad del directorio y los equipos de proyecto se pueden disolver.
El tamaño de los equipos de proyecto varía según el tamaño de la organización. En pequeñas organizaciones, una sola persona puede hacerse cargo de varias áreas de responsabilidad en un equipo de proyecto y participar en más de una fase de la implementación. Las organizaciones grandes pueden requerir equipos más grandes en los que diferentes personas o incluso equipos abarquen las distintas áreas de responsabilidad. El tamaño de los equipos no importa, siempre que se asignen todas las áreas de responsabilidad y se cumplan los objetivos de diseño de la organización.
Identificar posibles propietarios de bosque
Identifique los grupos de su organización que controlen y sean propietarios de los recursos necesarios para proporcionar servicios de directorio a los usuarios de la red. Estos grupos se consideran posibles propietarios de bosque.
La separación de la administración de datos y de servicios en AD DS permite que el grupo (o grupos) de TI de la infraestructura de una organización administre el servicio de directorio, mientras que los administradores locales de cada grupo administran los datos que pertenecen a sus propios grupos. Los posibles propietarios de bosque tienen la autoridad necesaria sobre la infraestructura de red para implementar y ofrecer soporte para AD DS.
En el caso de las organizaciones con un único grupo de TI de infraestructura centralizado, el grupo de TI suele ser el propietario de bosque y, por lo tanto, el posible propietario de bosque para cualquier implementación futura. Las organizaciones que incluyen varios grupos de TI de infraestructura independientes tienen varios posibles propietarios de bosque. Si la organización ya tiene una infraestructura de Active Directory establecida, los propietarios de bosque actuales también son posibles propietarios de bosque para nuevas implementaciones.
Seleccione uno de los posibles propietarios de bosque para que actúe como propietario de cada bosque que esté considerando implementar. Estos posibles propietarios de bosque son responsables de trabajar con el equipo de diseño para determinar si es adecuado que su bosque se implemente o si un curso alternativo de acción (como unirse a otro bosque existente) sería un mejor uso de los recursos disponibles que siga cumpliendo sus necesidades. El propietario de bosque (o propietarios) de la organización son miembros del equipo de diseño de Active Directory.
Establecer un equipo de diseño
El equipo de diseño de Active Directory es responsable de recopilar toda la información necesaria para tomar decisiones sobre el diseño de la estructura lógica de Active Directory.
Las responsabilidades del equipo de diseño incluyen:
Determinar cuántos bosques y dominios son necesarios y cuáles son las relaciones entre ellos
Trabajar con propietarios de datos para garantizar que el diseño cumple sus requisitos administrativos y de seguridad
Trabajar con los administradores de red actuales para asegurarse de que la infraestructura de red actual es compatible con el diseño y que este no afectará negativamente a las aplicaciones existentes implementadas en la red
Trabajar con representantes del grupo de seguridad de la organización para garantizar que el diseño cumple las directivas de seguridad establecidas
Diseño de estructuras de unidad organizativa que permitan unos niveles adecuados de protección y delegación de autoridad a los propietarios de datos
Trabajar con el equipo de implementación para probar el diseño en un entorno de laboratorio para asegurarse de que funciona según lo previsto y modificar el diseño según sea necesario para solucionar los problemas que se produzcan
Crear un diseño de topología de sitio que cumpla los requisitos de replicación del bosque, a la vez que impida la sobrecarga del ancho de banda disponible. Para obtener más información sobre el diseño de la topología de sitio, consulte Diseño de la topología de sitio en Windows Server 2008 AD DS.
Trabajar con el equipo de implementación para garantizar que el diseño se implementa correctamente
El equipo de diseño incluye los siguientes miembros:
Posibles propietarios de bosque
Arquitecto de proyecto
Jefe de proyecto
Personas responsables de establecer y mantener directivas de seguridad en la red
Durante el proceso de diseño de la estructura lógica, el equipo de diseño identifica a los demás propietarios. Estas personas deben empezar a participar en el proceso de diseño tan pronto como se identifiquen. Después de entregar el proyecto de implementación al equipo de implementación, el equipo de diseño es responsable de supervisar el proceso de implementación para garantizar que el diseño se implementa correctamente. El equipo de diseño también realiza cambios en el diseño en función de lo observado en las pruebas.
Establecer un equipo de implementación
El equipo de implementación de Active Directory es responsable de probar e implementar el diseño de la estructura lógica de Active Directory. Esto incluye las siguientes tareas:
Establecer un entorno de prueba que emule adecuadamente el entorno de producción
Probar el diseño mediante la implementación del bosque y estructura de dominio propuestos en un entorno de laboratorio para comprobar que cumple los objetivos de cada propietario de rol
Desarrollar y probar cualquier escenario de migración propuesto por el diseño en un entorno de laboratorio
Asegurarse de que cada propietario apruebe el proceso de prueba para garantizar que se están probando las características de diseño correctas
Probar la operación de implementación en un entorno piloto
Una vez completadas las tareas de diseño y pruebas, el equipo de implementación realiza las siguientes tareas:
Crear los bosques y dominios según el diseño de la estructura lógica de Active Directory
Crear los sitios y los objetos de vínculo a sitio según sea necesario en función del diseño de la topología del sitio
Garantizar que la infraestructura DNS esté configurada para ser compatible con AD DS y que los nuevos espacios de nombres se integren en el espacio de nombres existente de la organización
El equipo de implementación de Active Directory incluye los siguientes miembros:
Propietario de bosque
Propietario del DNS de AD DS
Propietario de la topología de sitio
Propietarios de unidad organizativa
El equipo de implementación trabaja con los administradores de servicios y de datos durante la fase de implementación para asegurarse de que los miembros del equipo de operaciones estén familiarizados con el nuevo diseño. Esto ayuda a garantizar una transición de propiedad fluida cuando se complete la operación de implementación. Al finalizar el proceso de implementación, la responsabilidad de mantener el nuevo entorno de Active Directory pasa al equipo de operaciones.
Documentar los equipos de diseño e implementación
Documente los nombres y la información de contacto de las personas que participarán en el diseño e implementación de AD DS. Identifique quién será responsable de cada rol en los equipos de diseño e implementación. Inicialmente, esta lista incluye los posibles propietarios de bosque, el administrador de proyecto y el arquitecto de proyecto. Al determinar el número de bosques que implementará, es posible que tenga que crear nuevos equipos de diseño para bosques adicionales. Tenga en cuenta que tendrá que actualizar la documentación a medida que cambian las pertenencias al equipo y a medida que identifique los distintos propietarios de Active Directory durante el proceso de diseño. Si necesita una hoja de cálculo que le ayude a documentar los equipos de diseño e implementación de cada bosque, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip desde lasayudas de trabajo para el kit de implementación de Windows Server 2003 y abra "Información de los equipos de diseño e implementación" (DSSLOGI_1.doc).