DominiosLos dominios son unidades de replicación.

Todos los controladores de domin

io de un dominio determinado pueden recibir cambios y replicarlos en los demás con
troladores del dominio. Cada dominio de Active Directory se identifica mediante
un sistema de nombres de dominio (DNS) y necesita uno o más controladores de domin
io. Si la red necesita más de un dominio, se pueden crear varios fácilmente.
Uno o más dominios que comparten un esquema y un catálogo global comunes se denomina
n bosque. El primer dominio de un bosque se conoce como dominio raíz del bosque. P
ara obtener más información acerca de los bosques, vea Crear un nuevo bosque. Si var
ios dominios del bosque tienen nombres de dominio DNS contiguos, la estructura s
e denomina árbol de dominios. Para obtener más información, vea Nomenclatura de Active
Directory y Crear un nuevo árbol de dominios.
Un único dominio puede abarcar varias ubicaciones físicas o sitios y contener millon
es de objetos. La estructura de sitios y la estructura de dominios son independi
entes y flexibles. Un único dominio puede abarcar varias ubicaciones geográficas y u
n único sitio puede incluir usuarios y equipos que pertenecen a múltiples dominios.
Para obtener más información, vea Información general de sitios.
Un dominio ofrece las siguientes ventajas:
Organizar objetos.
No es necesario crear dominios independientes sólo para reflejar la organización de
la compañía en divisiones y departamentos. Para este propósito, puede utilizar unidade
s organizativas dentro de un dominio. Al utilizar unidades organizativas es más fáci
l administrar las cuentas y los recursos del dominio. Podrá asignar configuracione
s de Directiva de grupo a esas unidades organizativas y colocar en ellas usuario
s, grupos y equipos. Al utilizar un solo dominio se simplifican mucho las tareas
administrativas. Para obtener más información, vea Unidades organizativas.
Publicar recursos e información acerca de los objetos del dominio.
Un dominio sólo almacena información acerca de los objetos ubicados en ese dominio.
Por lo tanto, al crear varios dominios, se divide o segmenta el directorio para
atender mejor a un conjunto dispar de usuarios. Si se utilizan varios dominios,
puede cambiar el tamaño del servicio de directorios de Active Directory para ajust
arlo a sus necesidades de publicación y administración del directorio. Para obtener
más información, vea Publicar recursos.
Aplicar un objeto de Directiva de grupo al dominio consolida la administración de
los recursos y de la seguridad.
Un dominio define un ámbito o una unidad de directiva. Un objeto de Directiva de g
rupo (GPO) establece cómo tener acceso, configurar y utilizar los recursos del dom
inio. Estas directivas se aplican sólo en el dominio, no en varios dominios. Para
obtener más información acerca de la aplicación de GPO, vea Directiva de grupo.
Delegar la autoridad elimina la necesidad de tener varios administradores con au
toridad administrativa global.
Al usar la autoridad delegada junto con los objetos de Directiva de grupo y las
pertenencias a grupos, se pueden asignar derechos y permisos a un administrador
para administrar objetos en todo un dominio o bien en una o varias unidades orga
nizativas del dominio. Para obtener más información acerca de cómo delegar el control
administrativo, vea Delegar la administración.
Las directivas y la configuración de seguridad (como los derechos de usuario y las
directivas de contraseña) no pueden pasar de un dominio a otro.
Cada dominio mantiene sus propias directivas de seguridad y relaciones de confia
nza con el resto de los dominios. No obstante, el bosque constituye el límite fina
l de seguridad. Para obtener más información, vea Crear un nuevo bosque.
Cada dominio almacena solamente la información acerca de los objetos ubicados en e
l dominio.
Al crear particiones en el directorio de esa manera, Active Directory puede ampl
iarse y llegar a contener una gran cantidad de objetos.
Crear un dominio
Un dominio se crea al generar el primer controlador del dominio. Para hacerlo, i
nstale Active Directory en un servidor miembro que ejecute Windows Server 2003 c
on el Asistente para instalación de Active Directory. El Asistente utiliza la info
rmación que se le ha proporcionado para crear el controlador de dominio y el domin
io dentro de la estructura de dominios existente en la organización. En función de l
a estructura de dominios existente, el nuevo dominio podría ser el primer dominio
de un bosque nuevo, el primer dominio de un nuevo árbol de dominios o un dominio s
ecundario de un árbol de dominios ya existente. Para obtener más información, vea Crea
r un nuevo bosque, Crear un nuevo árbol de dominios y Crear un nuevo dominio secun
dario.
Un controlador de dominio proporciona servicios de directorio de Active Director
y a usuarios y equipos de red, almacena datos de directorio y administra las ope
raciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la
autenticación y las búsquedas en el directorio. Cada dominio debe tener al menos un
controlador de dominio. Para obtener más información, vea Controladores de dominio.
Después de crear el primer controlador de un dominio, puede crear controladores de
dominio adicionales en un dominio existente para la tolerancia a errores y cons
eguir una elevada disponibilidad del directorio. Para obtener más información, vea C
rear controladores de dominio adicionales.
Planear múltiples dominios
Algunas de las razones por las que se debe crear más de un dominio son las siguien
tes:
Requisitos de contraseñas distintos en los diversos departamentos y divisiones
Número muy grande de objetos
Administración descentralizada de la red
Mayor control de la replicación
Aunque el uso de un único dominio en toda una red tiene varias ventajas, hay ocasi
ones en que puede ser aconsejable crear uno o más dominios en la organización para s
atisfacer nuevas necesidades de escalabilidad, seguridad o replicación. Es conveni
ente conocer cómo se replican los datos de directorios entre los controladores de
dominio para poder planear mejor el número de dominios que necesita la organización.
Para obtener más información acerca de la replicación, vea Cómo funciona la replicación.
Quitar un dominio
Si desea quitar un dominio, primero debe quitar Active Directory de todos los co
ntroladores de dominio asociados con dicho dominio. Después de quitar Active Direc
tory del último controlador de dominio, el dominio se quita del bosque y se elimin
a toda la información de dicho dominio. El dominio sólo se puede quitar del bosque s
i no contiene dominios secundarios. Si se trata del último dominio del bosque, al
quitarlo también se eliminará el bosque.
Para obtener más información acerca de cómo quitar un dominio, vea Para quitar un domi
nio.
Precaución
Al quitar un dominio se pierden de forma permanente los datos contenidos en ese
dominio. Esto implica todas las cuentas de usuario, grupo y equipo.
Antes de quitar Active Directory de un controlador de dominio, primero debe quit
ar todas las particiones de directorio de aplicaciones que existan en el control
ador de dominio. Para obtener más información, vea Particiones de directorio de apli
caciones y Para crear o eliminar una partición de directorio de aplicaciones.
Relaciones de confianza entre dominios
Las relaciones de confianza se crean automáticamente entre dominios adyacentes (do
minio principal y secundario), cuando se crea un dominio en Active Directory. En
un bosque, se crea automáticamente una relación de confianza entre el dominio raíz de
l bosque y el dominio de raíz de cualquier árbol o dominio secundario, que esté subord
inado al dominio raíz del bosque. Dado que estas relaciones de confianza son trans
itivas, los usuarios y los equipos pueden autenticarse en cualquier dominio del
bosque. Para obtener más información acerca de las relaciones de confianza, vea Tran
sitividad de confianza.
Al actualizar un dominio de Windows NT a un dominio de Windows Server 2003, la r
elación de confianza unidireccional existente entre ese dominio y el resto permane
ce intacta. Esto incluye todas las confianzas con el resto de dominios de Window
s NT. Si crea un nuevo dominio de Windows Server 2003 y desea establecer relacio
nes de confianza con cualquier dominio de Windows NT, deberá crear confianzas exte
rnas con esos dominios. Para obtener más información acerca de las confianzas extern
as, vea Cuándo crear una confianza externa.