Exportar (0) Imprimir
Expandir todo

Identificación de los participantes en el proyecto de implementación

Actualizado: abril de 2008

Se aplica a: Windows Server 2008, Windows Server 2008 R2

El primer paso a la hora de establecer un proyecto de implementación para los Servicios de dominio de Active Directory (AD DS) consiste en configurar los equipos del proyecto de diseño e implementación que serán responsables de administrar las fases de diseño e implementación del ciclo de proyectos de Active Directory. Además, deben identificarse las personas y grupos que serán los propietarios del directorio y los responsables de mantenerlo una vez completada la implementación.

Definición de las funciones específicas del proyecto

Un paso importante a la hora de definir los equipos del proyecto es identificar a las personas que desempeñarán las funciones específicas del mismo. Entre ellas se incluyen el patrocinador ejecutivo, el arquitecto del proyecto y el administrador del proyecto. Estas personas son responsables de ejecutar el proyecto de implementación de Active Directory.

Una vez designados el administrador y el arquitecto del proyecto, éstos establecerán los canales de comunicación en toda la organización, crearán las programaciones del proyecto e identificarán a las personas que formarán parte de los equipos del proyecto, empezando por los diversos propietarios.

Patrocinador ejecutivo

Implementar una infraestructura como AD DS puede tener una amplia repercusión en la organización. Por este motivo, es importante contar con un patrocinador ejecutivo que entienda el valor comercial de la implementación, apoye el proyecto en el nivel ejecutivo y pueda ayudar a resolver conflictos en toda la organización.

Arquitecto del proyecto

Toda implementación de Active Directory requiere un arquitecto de proyectos que administre el diseño y el proceso de toma de decisiones de la implementación. El arquitecto aporta conocimientos técnicos que ayudan durante el proceso de diseño e implementación de AD DS.

noteNota
Si el personal de la organización no tiene experiencia en el diseño de directorios, puede que desee contratar a un asesor externo experto en el diseño e implementación de Active Directory.

Las responsabilidades del arquitecto del proyecto de Active Directory incluyen:

  • Ser propietario del diseño de Active Directory

  • Entender y registrar las razones que sustentan las decisiones clave del diseño

  • Asegurarse de que el diseño satisface las necesidades empresariales de la organización

  • Alcanzar el consenso entre los equipos de diseño, implementación y operaciones

  • Entender las necesidades de las aplicaciones integradas en AD DS

El diseño final de Active Directory debe reflejar una combinación de objetivos empresariales y decisiones técnicas. Por lo tanto, el arquitecto del proyecto debe revisar las decisiones de diseño para asegurarse de que se alinean con los objetivos empresariales.

Administrador del proyecto

Al administrador del proyecto facilita la cooperación entre las unidades empresariales y entre los grupos de administración de tecnología. Lo ideal es que el administrador del proyecto de implementación de Active Directory sea alguien de dentro de la organización que esté familiarizado tanto con las directivas operativas del grupo de TI como con los requisitos de diseño de los grupos que se están preparando para implementar AD DS. El administrador del proyecto supervisa todo el proyecto de implementación, empezando por el diseño y continuando por la implementación, y se asegura de que el proyecto se ajuste a la programación y se mantenga dentro del presupuesto. Entre las responsabilidades del administrador del proyecto se incluyen las siguientes:

  • Proporcionar la planificación básica del proyecto, como la programación y el presupuesto

  • Impulsar los progresos en el proyecto de diseño e implementación de Active Directory

  • Asegurarse de que las personas adecuadas participen en cada una de las fases del proceso de diseño

  • Servir como punto de contacto único para el proyecto de implementación de Active Directory

  • Establecer la comunicación entre los equipos de diseño, implementación y operaciones

  • Establecer y mantener la comunicación con el patrocinador ejecutivo en todo el proyecto de implementación

Determinación de los propietarios y administradores

Para los administradores, los propietarios en un proyecto de implementación de Active Directory son responsables de asegurarse de que las tareas de implementación se completan y de que las especificaciones de diseño de Active Directory satisfacen las necesidades de la organización. Los propietarios no necesariamente tendrán acceso directo a la infraestructura del directorio ni podrán manipularlo. Los administradores son las personas responsables de realizar las tareas de implementación necesarias. Los administradores tienen los permisos y el acceso de red necesarios para manipular el directorio y su infraestructura.

La función del propietario es estratégica y administrativa. Los propietarios son responsables de comunicar a los administradores las tareas necesarias para la implementación del diseño de Active Directory, como la creación de nuevos controladores de dominio dentro del bosque. Los administradores son responsables de implementar el diseño en la red conforme a las especificaciones de diseño.

En las organizaciones de gran tamaño, personas diferentes ocupan las funciones de propietario y administrador, mientras que en algunas organizaciones pequeñas, la misma persona actúa como propietaria y administradora al mismo tiempo.

Propietarios de datos y servicios

En la administración diaria de AD DS intervienen dos tipos de propietarios:

  • Propietarios de servicios, que son responsables de la planificación y el mantenimiento a largo plazo de la infraestructura de Active Directory y de garantizar que el directorio continúa funcionando y de que se mantienen los objetivos establecidos en los acuerdos de nivel de servicios.

  • Los propietarios de datos, que son responsables del mantenimiento de la información almacenada en el directorio. Ello incluye la administración de cuentas de equipo y usuario y la administración de recursos locales, como estaciones de trabajo y servidores miembro.

Es importante identificar con antelación a los propietarios de datos y servicios de Active Directory para que puedan participar en la mayor parte del proceso de diseño que sea posible. Puesto que los propietarios de datos y servicios son responsables del mantenimiento a largo plazo del directorio una vez que ha finalizado el proyecto de implementación, es importante que estas personas proporcionen información relativa a las necesidades organizativas y estén familiarizadas con los motivos y la forma en que se toman determinadas decisiones de diseño. Entre los propietarios de servicios se incluyen el propietario del bosque, el propietario del Sistema de nombres de dominio (DNS) de Active Directory y el propietario de la topología del sitio. Entre los propietarios de datos se incluye a los propietarios de la unidad organizativa (OU).

Administradores de datos y servicios

Dos tipos de administradores intervienen en el funcionamiento de AD DS: administradores de servicios y administradores de datos. Los administradores de servicios implementan las decisiones de la directiva tomadas por los propietarios de servicios y hacen cargo de las tareas diarias asociadas al mantenimiento de la infraestructura y el servicio del directorio. Ello incluye administrar los controladores de dominio que hospedan el servicio de directorio, administrar otros servicios de red como DNS necesarios para AD DS, controlar la configuración de las opciones de todo el bosque y garantizar que el directorio esté siempre disponible.

Los administradores de servicios son responsables también de completar las tareas continuas de implementación de Active Directory que son necesarias una vez que se ha completado el proceso inicial de implementación de Active Directory de Windows Server 2008. Por ejemplo, a medida que aumentan las demandas sobre el directorio, los administradores de servicios crean controladores de dominio adicionales y establecen o eliminan las relaciones de confianza entre los dominios, según sea necesario. Por este motivo, el equipo de implementación de Active Directory necesita incluir a administradores de servicios.

Hay que tener cuidado de asignar las funciones de administrador de servicios únicamente a personas de confianza dentro de la organización. Puesto que estas personas tienenla capacidad de modificar los archivos del sistema en los controladores de dominio, pueden modificar el comportamiento de AD DS. Es preciso asegurarse de que los administradores de servicios de la organización sean personas que estén familiarizadas con las directivas operativas y de seguridad vigentes en la red y que entiendan la necesidad de hacer que se cumplan.

Los administradores de datos son usuarios de un dominio responsables tanto de mantener los datos que se almacenan en AD DS, como cuentas de grupo y usuario, como de mantener los equipos miembros del dominio. Los administradores de datos controlan subconjuntos de objetos dentro del directorio y no tienen ningún control sobre la instalación o configuración del servicio de directorio.

De manera predeterminada no se proporcionan cuentas de administradores de datos. Una vez que el equipo de diseño determina cómo deben administrarse los recursos para la organización, los propietarios del dominio deben crear cuentas de administradores de datos y delegar en ellos los permisos correspondientes basándose en el conjunto de objetos de los que van a ser responsables los administradores.

Es mejor limitar el número de administradores de servicios de la organización al número mínimo necesario para garantizar que la infraestructura siga funcionando. La mayor parte del trabajo administrativo pueden llevarla a cabo los administradores de datos. Los administradores de servicios requieren un conjunto de destrezas mucho más amplio, ya que son responsables de mantener el directorio y la infraestructura que lo sustenta. Los administradores de datos sólo requieren las habilidades necesarias para administrar su parte del directorio. Dividir las asignaciones de trabajo de esta manera tiene como resultado un ahorro de costos para la organización, ya que sólo es preciso impartir formación a un número reducido de administradores para que haga funcionar y mantenga todo el directorio y su infraestructura.

Por ejemplo, un administrador de servicios necesita entender cómo agregar un dominio a un bosque. Ello incluye saber cómo instalar el software para convertir un servidor en un controlador de dominio y cómo manipular el entorno DNS para que el controlador de domino pueda combinarse sin problemas con el entorno de Active Directory. Un administrador de datos sólo necesita saber cómo administrar los datos específicos de los que son responsables, como la creación de nuevas cuentas de usuario para los empleados nuevos del departamento.

Implementar AD DS requiere la coordinación y la comunicación entre los diversos grupos involucrados en el funcionamiento de la infraestructura de red. Estos grupos deben designar a los propietarios de datos y servicios responsables de representar a los distintos grupos durante el proceso de diseño e implementación.

Una vez que ha finalizado el proyecto de implementación, estos propietarios de datos y servicios siguen siendo responsables de la parte de la infraestructura administrada por su grupo. En un entorno de Active Directory, estos propietarios son el propietario del bosque, el propietario de DNS para AD DS, el propietario de la topología del sitio y el propietario de la unidad organizativa (OU). Las funciones de estos propietarios de datos y servicios se explican en las siguientes secciones.

Propietario del bosque

El propietario del bosque suele ser un administrador jefe de tecnologías de la información (TI) de la organización que es responsable del proceso de implementación de Active Directory y de administrar, en última instancia, la prestación de los servicios dentro del bosque una vez finalizada la implementación. El propietario del bosque designa a las personas que desempeñarán las demás funciones de propietarios identificando al personal clave de la organización capaz de aportar la información necesaria sobre la infraestructura de la red y las necesidades administrativas. El propietario del bosque es responsable de lo siguiente:

  • Implementación del dominio raíz del bosque para crear el bosque

  • Implementación del primer controlador de dominio de cada dominio para crear los dominios necesarios para el bosque

  • Pertenencias de los grupos de administradores de servicios de todos los dominios del bosque

  • Creación del diseño de la estructura de la unidad organizativa para cada dominio del bosque

  • Delegación de la autoridad administrativa a los propietarios de la OU

  • Cambios en el esquema

  • Cambios en las opciones de configuración de todo el bosque

  • Implementación de determinadas opciones de directiva de la directiva de grupo, incluidas las directivas de cuenta de usuario de dominio como las directivas de bloqueo de cuenta y de contraseñas específicas.

  • Opciones de directiva de negocio que se aplican a los controladores de dominio

  • Cualquier otra configuración de directiva de grupo que se aplica en el nivel de dominio

El propietario del bosque tiene autoridad sobre todo el bosque. Es responsabilidad del propietario del bosque establecer las directivas de negocio y la directiva de grupo para seleccionar a las personas que serán administradores de servicios. El propietario del bosque es un propietario de servicios.

Propietario de DNS para AD DS

El propietario de DNS para AD DS es una persona que tiene un conocimiento profundo de la infraestructura de DNS y del espacio de nombres existentes de la organización.

El propietario de DNS para AD DS es responsable de lo siguiente:

  • Servir como enlace entre el equipo de diseño y el grupo de TI que posee actualmente la infraestructura de DNS

  • Proporcionar información sobre el espacio de nombres de DNS existente en la organización para ayudar a crear el nuevo espacio de nombres de Active Directory.

  • Trabajar con el equipo de implementación para garantizar que la nueva infraestructura de DNS se implemente conforme a las especificaciones del equipo de diseño y de que ésta está funcionando adecuadamente.

  • Administrar la infraestructura de DNS para AD DS, incluido el servicio Servidor DNS y los datos DNS

El propietario de DNS para AD DS es un propietario de servicios.

Propietario de la topología del sitio

El propietario de la topología del sitio está familiarizado con la estructura física de la red de la organización, incluida la asignación de subredes individuales, enrutadores y áreas de red que están conectadas mediante vínculos lentos. El propietario de la topología del sitio es responsable de lo siguiente:

  • Entender la topología de la red física y cómo afecta a AD DS

  • Entender cómo repercutirá la implementación de Active Directory en la red

  • Determinar los sitios lógicos de Active Directory que necesitan crearse

  • Actualizar los objetos del sitio para los controladores de dominio cuando se agrega, modifica o elimina una subred

  • Crear vínculos de sitio, puentes de vínculo a sitio y objetos de conexión manual

El propietario de la topología del sitio es un propietario de servicios.

Propietario de unidad organizativa (OU)

El propietario de la unidad organizativa (OU) es responsable de administrar los datos almacenados en el directorio. Esta persona necesita estar familiarizado con las directivas operativas y de seguridad vigentes en la red. Los propietarios de la unidad organizativa (OU) sólo pueden realizar las tareas que han delegado en ellos los administradores de servicios, y sólo pueden realizar dichas tareas en las unidades organizativas a las que están asignados. Entre las tareas que podrían asignarse al propietario de la OU se incluyen las siguientes:

  • Realizar todas las tareas de administración de cuentas dentro de sus unidades organizativas (OU) asignadas

  • Administrar estaciones de trabajo y servicios miembro que son miembros de sus unidades organizativas asignadas

  • Delegar la autoridad en los administradores locales dentro de sus unidades organizativas (OU) asignadas

El propietario de la unidad organizativa (OU) es un propietario de datos.

Creación de los equipos del proyecto

Los equipos de proyecto de Active Directory son grupos temporales responsables de completar las tareas de diseño e implementación de Active Directory. Cuando finaliza el proyecto de implementación de Active Directory, los propietarios asumen la responsabilidad del directorio y los equipos de proyecto pueden disolverse.

El tamaño de los equipos de proyecto varía dependiendo del tamaño de la organización. En las organizaciones pequeñas, una única persona puede abarcar varias áreas de responsabilidad en un equipo de proyecto y participar en diversas fases de la implementación. Las organizaciones de gran tamaño pueden requerir equipos más grandes con personas diferentes o incluso equipos distintos que abarquen las diversas áreas de responsabilidad. El tamaño de los equipos no es importante siempre que se asignen todas las áreas de responsabilidad y que los objetivos de diseño de la organización se satisfagan.

Identificación de los potenciales propietarios de bosque

Identifique los grupos de la organización que poseen y tienen el control de los recursos necesarios para proporcionar los servicios de directorio a los usuarios de la red. Estos grupos se consideran propietarios del bosque en potencia.

La separación entre la administración de datos y la de servicios en AD DS permite al grupo (o grupos) de TI de la infraestructura de una organización administrar el servicio de directorio mientras los administradores de cada grupo administran los datos que pertenecen a sus propios grupos. Los propietarios potenciales del bosque tienen la autoridad necesaria sobre la infraestructura de la red para implementar y dar soporte técnico a AD DS.

Para las organizaciones que tienen un grupo de TI de infraestructura centralizado, dicho grupo es generalmente el propietario del bosque y, por tanto, el propietario en potencia del bosque para cualquier implementación futura. Las organizaciones que contienen una serie de grupos de TI de infraestructura independientes tienen un número de propietarios potenciales del bosque. Si la organización ya tiene una infraestructura de Active Directory, los propietarios del bosque actuales son también los propietarios potenciales del bosque para nuevas implementaciones.

Seleccione uno de los propietarios potenciales del bosque para que actúe como propietario de cualquier bosque que esté considerando implementar. Estos propietarios potenciales del bosque son responsables de trabajar con el equipo de diseño para determinar si se implementará realmente o no su bosque o si hay algún curso de acción alternativo (como unirse a un bosque existente) con el que se haga un mejor uso de los recursos disponibles al tiempo que se satisfacen sus necesidades. El propietario (o propietarios) del bosque de la organización es miembro del equipo de diseño de Active Directory.

Creación de un equipo de diseño

El equipo de diseño de Active Directory es responsable de reunir toda la información necesaria para tomar decisiones acerca del diseño de la estructura lógica de Active Directory.

Entre las responsabilidades del equipo de diseño se incluyen las siguientes:

  • Determinar cuántos bosques y dominios se necesitan y qué relaciones habrá entre los bosques y los dominios

  • Trabajar con los propietarios de los datos para garantizar que el diseño satisface sus requisitos administrativos y de seguridad

  • Trabajar con los administradores de red actuales para garantizar que la infraestructura de red existente es compatible con el diseño y que éste no tendrá efectos adversos sobre las aplicaciones implementadas en la red.

  • Trabajar con los representantes del grupo de seguridad de la organización para garantizar que el diseño satisface las directivas de seguridad establecidas.

  • Diseñar estructuras de unidad organizativa (OU) que permitan niveles de protección apropiados y una adecuada delegación de autoridad a los propietarios de los datos.

  • Trabajar con el equipo de implementación para probar el diseño en un entorno de laboratorio a fin de garantizar que funciona conforme a lo planeado, así como para modificarlo en caso de que sea necesario solucionar cualquier problema que pudiera surgir.

  • Crear un diseño de topología de sitio que satisfaga los requisitos de replicación del bosque al tiempo que evita la sobrecarga del ancho de banda disponible. Para obtener más información sobre el diseño de la topología del sitio, consulte el tema que trata acerca del diseño de la topología del sitio de los Servicios de dominio de Active Directory en http://go.microsoft.com/fwlink/?LinkId=89026 (puede estar en inglés).

  • Trabajar con el equipo de implementación para garantizar que el diseño se implementa correctamente

Entre los miembros del equipo de diseño se incluyen:

  • Propietarios potenciales del bosque

  • Arquitecto del proyecto

  • Administrador del proyecto

  • Personas responsables de establecer y mantener las directivas de seguridad en la red

Durante el proceso de diseño de la estructura lógica, el equipo de diseño identifica a los demás propietarios. Estas personas deben empezar a participar en el proceso de diseño tan pronto como sean designadas. Una vez que el proyecto de implementación se entrega al equipo de implementación, el equipo de diseño es responsable de supervisar el proceso de implementación para garantizar que el diseño se implemente correctamente. El equipo de diseño también se encarga de realizar los cambios en el diseño conforme a los comentarios recibidos de las pruebas.

Creación de un equipo de implementación

El equipo de implementación de Active Directory es responsable de probar e implementar el diseño de la estructura lógica de Active Directory. Esto conlleva realizar las siguientes tareas:

  • Establecer un entorno de prueba que emule suficientemente el entorno de producción

  • Probar el diseño implementando la estructura de dominio y bosque propuesta en un entorno de laboratorio a fin de verificar que satisface los objetivos de cada uno de los propietarios de las funciones

  • Desarrollar y probar cualquiera de los escenarios de migración propuestos por el diseño en un entorno de laboratorio

  • Asegurarse de que los propietarios cierran la sesión en el proceso de comprobación para garantizar que se están comprobando las características de diseño correctas

  • Probar la operación de implementación en un entorno piloto

Una vez completadas las tareas de diseño y prueba, el equipo de implementación realiza las siguientes tareas:

  • Crea los bosques y dominios conforme al diseño de la estructura lógica de Active Directory

  • Crea los sitios y objetos de vínculo a sitios basándose en el diseño de la topología del sitio

  • Garantiza que la infraestructura de DNS se configure para admitir AD DS y que todos los espacios de nombres nuevos se integren en el espacio de nombres existente de la organización

Entre los miembros del equipo de implementación de Active Directory se incluyen:

  • Propietario del bosque

  • Propietario de DNS para AD DS

  • Propietario de la topología del sitio

  • Propietarios de unidad organizativa (OU)

El equipo de implementación trabaja con los administradores de datos y servicios durante la fase de implementación para garantizar que los miembros del equipo de operaciones están familiarizados con el nuevo diseño. Esto ayuda a garantizar que la transición de propiedad se realice con fluidez una vez completada la operación de implementación. Al término del proceso de implementación, la responsabilidad de mantener el nuevo entorno de Active Directory pasa al equipo de operaciones.

Documentar los equipos de diseño e implementación

Documente los nombres y la información de contacto de las personas que participarán en el diseño e implementación de AD DS. Identifique a las personas responsables de cada función dentro de los equipos de diseño e implementación. En principio, en esta lista se encuentran los propietarios potenciales del bosque, el administrador del proyecto y el arquitecto del proyecto. Cuando determine el número de bosques que desea implementar, puede que necesite crear nuevos equipos de diseño para bosques adicionales. Tenga en cuenta que tendrá que actualizar su documentación a medida que cambien los miembros del equipo y a medida que identifique a los distintos propietarios de Active Directory durante el proceso de diseño. Para ver una hoja de trabajo que le ayude a documentar los equipos de diseño e implementación para cada bosque, descargue Job_Aids_Designing_and_Deploying_Directory_and_Security_Services.zip de Job Aids del Kit de implementación de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkID=102558 (puede estar en inglés) y abra "Design and Deployment Team Information" (DSSLOGI_1.doc).

¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios

Adiciones de comunidad

AGREGAR
Mostrar:
© 2014 Microsoft