Compartir a través de


Usar el modelo de bosque de dominio organizativo

En el modelo de bosque de dominio organizativo, varios grupos autónomos poseen cada uno un dominio dentro de un bosque. Cada grupo controla la administración de servicios de nivel de dominio, lo que les permite administrar determinados aspectos de la administración de servicios de forma autónoma, mientras que el propietario del bosque controla la administración de servicios de nivel de bosque.

En la ilustración siguiente se muestra un modelo de bosque de dominio organizativo.

uso del modelo de bosque de dominio organizativo

Autonomía del servicio de nivel de dominio

El modelo de bosque de dominio organizativo permite la delegación de autoridad para la administración de servicios de nivel de dominio. En la tabla siguiente se enumeran los tipos de administración de servicios que se pueden controlar en el nivel de dominio.

Tipo de administración de servicios Tareas asociadas
Administración de operaciones de controlador de dominio - Creación y eliminación de controladores de dominio
- Supervisión del funcionamiento de los controladores de dominio
- Administración de servicios que se ejecutan en controladores de dominio
- Copia de seguridad y restauración del directorio
Configuración de los ajustes en todo el dominio - Creación de directivas de cuenta de usuario de dominio y dominio, como contraseña, Kerberos y directivas de bloqueo de cuentas
- Creación y aplicación de directiva de grupo en todo el dominio
Delegación de la administración de nivel de datos - Creación de unidades organizativas (OU) y delegación de administración
- Reparación de problemas en la estructura de la unidad organizativa que los propietarios de unidades organizativas no tienen suficientes derechos de acceso para corregir
Administración de confianzas externas - Establecimiento de relaciones de confianza con dominios fuera del bosque

Otros tipos de administración de servicios, como la administración de topologías de replicación o esquema, son responsabilidad del propietario del bosque.

Propietario del dominio

En un modelo de bosque de dominio organizativo, los propietarios de dominio son responsables de las tareas de administración de servicios de nivel de dominio. Los propietarios de dominio tienen autoridad sobre todo el dominio, así como el acceso a todos los demás dominios del bosque. Por este motivo, los propietarios del dominio deben ser personas de confianza seleccionadas por el propietario del bosque.

Delegue la administración de servicios de nivel de dominio a un propietario de dominio si se cumplen las condiciones siguientes:

  • Todos los grupos que participan en el bosque confían en el nuevo propietario del dominio y las prácticas de administración de servicios del nuevo dominio.

  • El nuevo propietario del dominio confía en el propietario del bosque y en todos los demás propietarios de dominio.

  • Todos los propietarios de dominio del bosque coinciden en que el nuevo propietario del dominio tiene directivas y prácticas de selección y administración del administrador de servicios que son iguales o más estrictas que las suyas.

  • Todos los propietarios de dominio del bosque aceptan que los controladores de dominio administrados por el nuevo propietario del dominio nuevo estén físicamente seguros.

Tenga en cuenta que si un propietario del bosque delega la administración de servicios de nivel de dominio a un propietario de dominio, es posible que otros grupos decidan no unirse a ese bosque si no confían en ese propietario del dominio.

Todos los propietarios de dominio deben tener en cuenta que, si alguna de estas condiciones cambia en el futuro, es posible que sea necesario mover los dominios de la organización a una implementación de varios bosques.

Nota

Otra manera de minimizar los riesgos de seguridad para un dominio de Active Directory de Windows Server 2008 consiste en emplear la separación de roles de administrador, lo que requiere la implementación de un controlador de dominio de solo lectura (RODC) en la infraestructura de Active Directory. Un RODC es un tipo de controlador de dominio nuevo en el sistema operativo Windows Server 2008 que hospeda particiones de solo lectura de la base de datos de Active Directory. Antes del lanzamiento de Windows Server 2008, cualquier trabajo de mantenimiento del servidor en un controlador de dominio debía ser realizado por un administrador de dominio. En Windows Server 2008, puede delegar permisos administrativos locales para un RODC a cualquier usuario de dominio sin conceder a ese usuario derechos administrativos para el dominio u otros controladores de dominio. Esto permite al usuario delegado iniciar sesión en un RODC y realizar trabajos de mantenimiento, como actualizar un controlador, en el servidor. Sin embargo, este usuario delegado no puede iniciar sesión en ningún otro controlador de dominio ni realizar ninguna otra tarea administrativa en el dominio. De este modo, se puede delegar en cualquier usuario de confianza la capacidad de administrar eficazmente el RODC sin poner en peligro la seguridad del resto del dominio. Para obtener más información sobre los RODC, consulte AD DS: controladores de dominio de solo lectura.