Introducción al concepto de dominio

La administración de una red local bajo Windows NT se basa en los dominios y relaciones de confianza, auténticas pesadillas para el administrador novato. Intentemos aclarar estos conceptos.

Un dominio es un conjunto de ordenadores (servidores + estaciones de trabajo) que comparten características comunes en cuanto a accesos. Un usuario registrado en un dominio con un nombre de usuario y una palabra de paso, automáticamente es capaz de acceder a todos los servidores de dicho dominio utilizando el mismo nombre y la misma palabra de paso.

Dentro de los servidores de un dominio existen dos jerarquías: el servidor PDC (Primary Domain Controller) y los servidores BDC (Backup Domain Controller). Por cada dominio ha de haber un PDC y sólo uno, y posiblemente varios BDC. Cuando el administrador del dominio da de alta un nuevo usuario, lo hace sobre el PDC. Los datos sobre los usuarios se guardan en una base de datos llamada SAM, que la tiene cualquier servidor. El PDC se encarga de copiar esa base de datos de usuarios a todos los BDCs de su dominio de manera periódica. Notemos la liberación de trabajo que esto supone para un administrador de red. Con sólo dar de alta un usuario en el PDC, ese usuario automáticamente puede acceder a cualquier servidor del dominio y además usando el mismo nombre de usuario y la misma palabra de paso. Este proceso de copia periódica de la SAM se denomina replicación.

Windows NT Server viene preparado con los protocolos adecuados para soportar diversos tipos de clientes: MS-DOS, Windows para Trabajo en Grupo, OS/2, Windows 95 ...

Ahora que tenemos la idea intuitiva de lo que es un dominio, pasemos a ver cómo se relacionan los dominios de una red mediante el concepto de Trust o Relación de Confianza.

Se dice que un dominio A confía en otro B, o que hay establecida una relación de confianza desde A hacia B, cuando cualquier usuario autorizado en el dominio B puede entrar sin más en el dominio A.

Un grupo local es un grupo de usuarios, de manera que cualquier usuario del grupo puede entrar y acceder a los recursos del servidor PDC del dominio al que pertenece el grupo. Un grupo local se define como perteneciente a un dominio.

Un grupo global es igual que el anterior excepto en que puede ser visto también por todos los dominios que confían en el dominio al que pertenece el grupo. La diferencia entre local y global es, pues, el ámbito de visibilidad. Si A confía en B, y definimos en B un grupo global, entonces ese grupo también se puede utilizar en A.

Como hemos dicho al principio, el dominio sirve para administrar de una manera lógica los recursos, servidores y estaciones de una red fácilmente.

Por ejemplo, supongamos una facultad en la que hay departamentos. En cada departamento hay servidores, estaciones y recursos (discos duros e impresoras) . Podemos crear un dominio por departamento. En cada departamento, elegiremos un servidor como PDC donde se dan de alta los usuarios de ese departamento.
Nos damos cuenta de que en un departamento A nos interesa tener tres tipos de grupos: los Administradores, los Profesores y los Becarios, cada uno con diferentes permisos en cuanto a accesibilidad. Creamos en principio tres grupos locales al dominio. A la hora de dar de alta un nuevo usuario en el departamento, basta meterlo en el grupo correspondiente para que tenga los permisos por defecto de ese grupo. Si queremos que tenga algún permiso especial, también se lo podemos dar. Supongamos que el administrador da de alta a un profesor, Baltasar González, en el grupo local Profesores con nombre de usuario balgon.
El PDC copia la SAM en los restantes BDCs del departamento A, de manera que el profesor Baltasar pueda hacer logon en cualquier servidor de su departamento usando su nombre de usuario balgon y el mismo password.

Supongamos que nos interesa que el departamento A pueda utilizar los recursos del departamento B. Entonces podemos hacer lo siguiente:

Creamos un grupo global en el PDC de A. En ese grupo global meteremos todos los usuarios de A que van a acceder a B. Ahora establecemos un trust desde B hacia A, de manera que B confía en A, y por tanto ve el grupo global definido en A. Por último, en el dominio B damos al grupo global los permisos necesarios para que acceda a los recursos de B, o mejor lo incluimos en el grupo local más adecuado.

Lo anterior es sólo una manera de gestionar la organización de la facultad, pero hay más posibilidades. Podemos tener un dominio único y definir un grupo local por departamento, por ejemplo.

Una organización distinta sería la del dominio master. Supongamos que tenemos un dominio donde almacenamos todas las cuentas de los usuarios de la red (dominio master). En él definimos varios grupos globales, por ejemplo uno por departamento. Creamos ahora tantos dominios como departamentos hay, y hacemos que todos esos dominios confíen en el master. Ahora, en el dominio del departamento X creamos un grupo local donde meteremos todos los globales del master cuoys usuarios nos interese que accedan a los recursos de las máquinas de X. Por tanto, en el dominio X bastará dar permisos de acceso al grupo local definido, y automáticamente heredarán esos permisos los usuarios de los globales metidos en ese local. Un mismo grupo global puede estar metido en varios locales de varios dominios. Repetiremos esta operación para cada departamento. Esto da lugar a una administración centralizada.

Otro modelo es el de múltiples masters. Un dominio en general puede albergar hasta 15000 cuentas de usuario. Cuando necesitamos más, podemos definir varios masters. Entre los masters definiremos relaciones de confianza en ambos sentidos (por ejemplo, si tenemos dos masters M1 y M2, haremos que M1 confíe en M2 y M2 confíe en M1). Si ahora hacemos que todos los restantes dominios confíen en M1 y en M2, habremos conseguido lo mismo que en el modelo de master único pero ampliando el número de cuentas de usuario hasta 30000.

Para terminar me gustaría señalar la diferencia de los dominios con los grupos de trabajo de Windows para trabajo en grupo. Un grupo de trabajo es un conjunto de ordenadores en el que cada uno puede funcionar tanto como cliente como servidor, o ambos a la vez. El administrador tiene la responsabilidad de mantener la base de datos de usuarios en cada ordenador del grupo. Además, un usuario de un ordenador podría fácilmente trastear con él y echar abajo los servicios.