io de un dominio determinado pueden recibir cambios y replicarlos en los demás con troladores del dominio. Cada dominio de Active Directory se identifica mediante un sistema de nombres de dominio (DNS) y necesita uno o más controladores de domin io. Si la red necesita más de un dominio, se pueden crear varios fácilmente. Uno o más dominios que comparten un esquema y un catálogo global comunes se denomina n bosque. El primer dominio de un bosque se conoce como dominio raíz del bosque. P ara obtener más información acerca de los bosques, vea Crear un nuevo bosque. Si var ios dominios del bosque tienen nombres de dominio DNS contiguos, la estructura s e denomina árbol de dominios. Para obtener más información, vea Nomenclatura de Active Directory y Crear un nuevo árbol de dominios. Un único dominio puede abarcar varias ubicaciones físicas o sitios y contener millon es de objetos. La estructura de sitios y la estructura de dominios son independi entes y flexibles. Un único dominio puede abarcar varias ubicaciones geográficas y u n único sitio puede incluir usuarios y equipos que pertenecen a múltiples dominios. Para obtener más información, vea Información general de sitios. Un dominio ofrece las siguientes ventajas: Organizar objetos. No es necesario crear dominios independientes sólo para reflejar la organización de la compañía en divisiones y departamentos. Para este propósito, puede utilizar unidade s organizativas dentro de un dominio. Al utilizar unidades organizativas es más fáci l administrar las cuentas y los recursos del dominio. Podrá asignar configuracione s de Directiva de grupo a esas unidades organizativas y colocar en ellas usuario s, grupos y equipos. Al utilizar un solo dominio se simplifican mucho las tareas administrativas. Para obtener más información, vea Unidades organizativas. Publicar recursos e información acerca de los objetos del dominio. Un dominio sólo almacena información acerca de los objetos ubicados en ese dominio. Por lo tanto, al crear varios dominios, se divide o segmenta el directorio para atender mejor a un conjunto dispar de usuarios. Si se utilizan varios dominios, puede cambiar el tamaño del servicio de directorios de Active Directory para ajust arlo a sus necesidades de publicación y administración del directorio. Para obtener más información, vea Publicar recursos. Aplicar un objeto de Directiva de grupo al dominio consolida la administración de los recursos y de la seguridad. Un dominio define un ámbito o una unidad de directiva. Un objeto de Directiva de g rupo (GPO) establece cómo tener acceso, configurar y utilizar los recursos del dom inio. Estas directivas se aplican sólo en el dominio, no en varios dominios. Para obtener más información acerca de la aplicación de GPO, vea Directiva de grupo. Delegar la autoridad elimina la necesidad de tener varios administradores con au toridad administrativa global. Al usar la autoridad delegada junto con los objetos de Directiva de grupo y las pertenencias a grupos, se pueden asignar derechos y permisos a un administrador para administrar objetos en todo un dominio o bien en una o varias unidades orga nizativas del dominio. Para obtener más información acerca de cómo delegar el control administrativo, vea Delegar la administración. Las directivas y la configuración de seguridad (como los derechos de usuario y las directivas de contraseña) no pueden pasar de un dominio a otro. Cada dominio mantiene sus propias directivas de seguridad y relaciones de confia nza con el resto de los dominios. No obstante, el bosque constituye el límite fina l de seguridad. Para obtener más información, vea Crear un nuevo bosque. Cada dominio almacena solamente la información acerca de los objetos ubicados en e l dominio. Al crear particiones en el directorio de esa manera, Active Directory puede ampl iarse y llegar a contener una gran cantidad de objetos. Crear un dominio Un dominio se crea al generar el primer controlador del dominio. Para hacerlo, i nstale Active Directory en un servidor miembro que ejecute Windows Server 2003 c on el Asistente para instalación de Active Directory. El Asistente utiliza la info rmación que se le ha proporcionado para crear el controlador de dominio y el domin io dentro de la estructura de dominios existente en la organización. En función de l a estructura de dominios existente, el nuevo dominio podría ser el primer dominio de un bosque nuevo, el primer dominio de un nuevo árbol de dominios o un dominio s ecundario de un árbol de dominios ya existente. Para obtener más información, vea Crea r un nuevo bosque, Crear un nuevo árbol de dominios y Crear un nuevo dominio secun dario. Un controlador de dominio proporciona servicios de directorio de Active Director y a usuarios y equipos de red, almacena datos de directorio y administra las ope raciones entre usuarios y dominios, incluidos los procesos de inicio de sesión, la autenticación y las búsquedas en el directorio. Cada dominio debe tener al menos un controlador de dominio. Para obtener más información, vea Controladores de dominio. Después de crear el primer controlador de un dominio, puede crear controladores de dominio adicionales en un dominio existente para la tolerancia a errores y cons eguir una elevada disponibilidad del directorio. Para obtener más información, vea C rear controladores de dominio adicionales. Planear múltiples dominios Algunas de las razones por las que se debe crear más de un dominio son las siguien tes: Requisitos de contraseñas distintos en los diversos departamentos y divisiones Número muy grande de objetos Administración descentralizada de la red Mayor control de la replicación Aunque el uso de un único dominio en toda una red tiene varias ventajas, hay ocasi ones en que puede ser aconsejable crear uno o más dominios en la organización para s atisfacer nuevas necesidades de escalabilidad, seguridad o replicación. Es conveni ente conocer cómo se replican los datos de directorios entre los controladores de dominio para poder planear mejor el número de dominios que necesita la organización. Para obtener más información acerca de la replicación, vea Cómo funciona la replicación. Quitar un dominio Si desea quitar un dominio, primero debe quitar Active Directory de todos los co ntroladores de dominio asociados con dicho dominio. Después de quitar Active Direc tory del último controlador de dominio, el dominio se quita del bosque y se elimin a toda la información de dicho dominio. El dominio sólo se puede quitar del bosque s i no contiene dominios secundarios. Si se trata del último dominio del bosque, al quitarlo también se eliminará el bosque. Para obtener más información acerca de cómo quitar un dominio, vea Para quitar un domi nio. Precaución Al quitar un dominio se pierden de forma permanente los datos contenidos en ese dominio. Esto implica todas las cuentas de usuario, grupo y equipo. Antes de quitar Active Directory de un controlador de dominio, primero debe quit ar todas las particiones de directorio de aplicaciones que existan en el control ador de dominio. Para obtener más información, vea Particiones de directorio de apli caciones y Para crear o eliminar una partición de directorio de aplicaciones. Relaciones de confianza entre dominios Las relaciones de confianza se crean automáticamente entre dominios adyacentes (do minio principal y secundario), cuando se crea un dominio en Active Directory. En un bosque, se crea automáticamente una relación de confianza entre el dominio raíz de l bosque y el dominio de raíz de cualquier árbol o dominio secundario, que esté subord inado al dominio raíz del bosque. Dado que estas relaciones de confianza son trans itivas, los usuarios y los equipos pueden autenticarse en cualquier dominio del bosque. Para obtener más información acerca de las relaciones de confianza, vea Tran sitividad de confianza. Al actualizar un dominio de Windows NT a un dominio de Windows Server 2003, la r elación de confianza unidireccional existente entre ese dominio y el resto permane ce intacta. Esto incluye todas las confianzas con el resto de dominios de Window s NT. Si crea un nuevo dominio de Windows Server 2003 y desea establecer relacio nes de confianza con cualquier dominio de Windows NT, deberá crear confianzas exte rnas con esos dominios. Para obtener más información acerca de las confianzas extern as, vea Cuándo crear una confianza externa.