Para comprender cómo funciona un dominio de Windows Server, es fundamental distinguir entre la estructura lógica (cómo se organizan los objetos) y la estructura física (cómo están conectados los servidores).
Aquí tienes el desglose de los niveles, desde lo más macro hasta lo más micro:
1. El Bosque (Forest)
Es el contenedor de nivel superior en Active Directory. Define el límite de seguridad total.
- Concepto: Un bosque es una colección de uno o más dominios que comparten un esquema común (la definición de qué es un «usuario», «equipo», etc.) y un catálogo global.
- Punto clave: Si tienes dos bosques distintos, son totalmente independientes a menos que crees una relación de confianza explícita entre ellos.
2. El Árbol (Tree)
Un árbol es simplemente un grupo de dominios que comparten un espacio de nombres contiguo.
- Ejemplo: Si el dominio raíz es
empresa.com, los dominiosventas.empresa.comyrrhh.empresa.comforman un árbol porque todos terminan en.empresa.com. - Relación: Todos los dominios de un árbol confían automáticamente los unos en los únicos.
3. El Dominio (Domain)
Es la unidad básica de administración.
- Concepto: Un contenedor lógico para usuarios, equipos y grupos que comparten una base de datos común y políticas de seguridad (como la complejidad de las contraseñas).
- Límite administrativo: El administrador de un dominio tiene control total sobre los objetos de ese dominio, pero no necesariamente sobre otros dominios del mismo bosque (aunque en la práctica el administrador del «Dominio Raíz» del bosque suele tener el poder supremo).
4. La Unidad Organizativa (OU)
Es el contenedor dentro del dominio donde se «ordenan» los objetos.
- Concepto: Como vimos antes, sirven para organizar a los usuarios y equipos de forma lógica (por departamentos o ciudades) y son el nivel donde se vinculan las GPOs.
- Delegación: Permiten dar permisos específicos a un usuario sin hacerlo administrador total (ej. «Tú solo puedes resetear claves en la OU de Ventas»).
5. El Sitio (Site)
A diferencia de los anteriores, el Sitio es una estructura física, no lógica.
- Concepto: Un sitio representa una ubicación física (una oficina, un edificio) y se define por sus subredes IP.
- Función principal: Gestionar la Replicación y el inicio de sesión.
- Ayuda a que un usuario de la oficina de Madrid se autentique contra un servidor en Madrid y no contra uno en Tokio.
- Optimiza el ancho de banda: los servidores se replican la información entre sí siguiendo un horario para no saturar la conexión entre sedes.
