Page 1

Guía paso a paso para la implementación de ADAM Microsoft Corporation Publicada: septiembre de 2005 Autor: Jim Groves Editor: Carolyn Eller

Resumen El servicio de directorio Active Directory® Application Mode (ADAM) de Microsoft® Windows Server™ 2003 R2 proporciona una completa integración de compatibilidad con directorios, seguridad, escalabilidad y compatibilidad nativa con el protocolo ligero de acceso a directorios (LDAP) para las aplicaciones habilitadas para el uso de directorios. ADAM es compatible con una serie de capacidades de LDAP destinadas a los profesionales de las tecnologías de la información (TI) y los programadores de aplicaciones. Con esta guía paso a paso, podrá instalar ADAM y ponerlo rápidamente en funcionamiento en Windows Server 2003 R2 para, de ese modo, explorar algunas de sus nuevas e importantes características.


La información contenida en este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos utilizados en los ejemplos son ficticios y no representan de ningún modo a ninguna compañía, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o acontecimiento real. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Ninguna parte de este documento puede ser reproducida, almacenada o introducida en un sistema de recuperación, o transmitida de ninguna forma, ni por ningún medio (ya sea electrónico, mecánico, por fotocopia, grabación, etc.) con ningún propósito, sin la previa autorización expresa por escrito de Microsoft Corporation, sin que ello suponga ninguna limitación a los derechos de propiedad industrial o intelectual. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual sobre el contenido de este documento. La entrega de este documento no le otorga ninguna licencia sobre dichas patentes, marcas, derechos de autor u otros derechos de propiedad industrial o intelectual, a menos que así se prevea en un contrato de licencia de Microsoft por escrito. © 2005 Microsoft Corporation. Reservados todos los derechos. Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT y Windows Server son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y en otros países. El resto de las marcas comerciales son propiedad de sus respectivos propietarios.


Contenido Guía paso a paso para la implementación de ADAM ........................................................... 5 Requisitos de ADAM................................................................................................................ 6 Instalar ADAM .......................................................................................................................... 7 Usar las herramientas de administración de ADAM............................................................ 18 Detener y reiniciar una instancia de ADAM...................................................................... 18 Usar la herramienta de administración Editor ADSI de ADAM ....................................... 19 Configurar la herramienta de administración del complemento Esquema de ADAM ... 24 Usar ADSchemaAnalyzer .................................................................................................. 26 Usar el Sincronizador de AD a ADAM .............................................................................. 28 Configurar datos de aplicaciones ......................................................................................... 30 Paso 1: agregar clases de usuario opcionales al esquema de ADAM........................... 30 Paso 2: extender el esquema de ADAM para que admita una aplicación ..................... 32 Paso 3: importar los datos de la aplicación a una instancia de ADAM .......................... 33 Usar una aplicación con ADAM ............................................................................................ 34 Consultar datos con la Libreta de direcciones de Windows............................................ 34 Administrar OU, grupos y usuarios en ADAM ..................................................................... 40 Paso 1: crear una OU ........................................................................................................ 41 Paso 2: crear un grupo....................................................................................................... 42 Paso 3: crear un usuario de ADAM................................................................................... 43 Paso 4: agregar un usuario a un grupo ............................................................................ 45 Deshabilitar y habilitar cuentas de usuario de ADAM...................................................... 48 Administrar particiones de directorio en ADAM ................................................................... 49 Conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe .............................. 49 Agregar una partición de directorio de aplicaciones ........................................................ 51 Eliminar una partición de directorio de aplicaciones........................................................ 53 Administrar la autorización en ADAM................................................................................... 56 Ver los permisos efectivos ................................................................................................. 56 Conceder permisos ............................................................................................................ 57 Denegar permisos .............................................................................................................. 58


Administrar la autenticación en ADAM ................................................................................. 61 Enlazar como entidad de seguridad de Windows ............................................................ 61 Establecer la contraseña de un usuario de ADAM .......................................................... 62 Enlazar como entidad de seguridad de ADAM ................................................................ 64 Enlazar mediante un objeto proxy de ADAM ................................................................... 64 Seguridad de enlaces y objetos proxy de ADAM ......................................................... 65 Crear y enlazar con un objeto proxy de ADAM ............................................................ 66 Demostrar las funciones de los objetos proxy de ADAM............................................. 68 Realizar una copia de seguridad y restaurar Active Directory Application Mode (ADAM)69 Realizar una copia de seguridad de una instancia de ADAM ......................................... 69 Quitar una instancia de ADAM .......................................................................................... 71 Restaurar una instancia de ADAM .................................................................................... 71 Administrar los conjuntos de configuración ......................................................................... 73 Instalar una réplica mediante el Asistente para instalación de Active Directory Application Mode (ADAM) .............................................................................................. 73 Instalar una réplica desde los medios utilizando la instalación desatendida ................. 75 Configurar la programación de replicación ....................................................................... 78 Provocar la replicación inmediata de una partición de directorio ................................... 80 Administrar ADAM mediante programación......................................................................... 80 Administrar ADAM mediante programación con secuencias de comandos de Visual Basic ................................................................................................................................ 81 Administrar ADAM mediante programación con la API System.DirectoryServices ...... 82 Administrar los objetos proxy de ADAM mediante programación .................................. 84


Guía paso a paso de ADAM

5

Guía paso a paso para la implementación de ADAM Este documento es una guía paso a paso para la implementación de Active Directory Application Mode (ADAM). El servicio de directorio Active Directory® de Microsoft® Windows® 2000 y Microsoft® Windows Server™ 2003 es el servicio de directorio de crecimiento más rápido para intranets y extranets, a causa de su completa integración de compatibilidad con directorios, seguridad, escalabilidad y compatibilidad con el protocolo ligero de acceso a directorios (LDAP). Active Directory en Windows Server 2003 se basa en esos principios ofreciendo una serie de nuevas capacidades LDAP destinadas a los profesionales de tecnologías de la información (TI) y a los programadores de aplicaciones. ADAM es una de esas nuevas capacidades. Las organizaciones, los fabricantes independientes de software (ISV) y los programadores que deseen integrar sus aplicaciones con un servicio de directorio ahora cuentan con una nueva capacidad en Active Directory que les ofrece multitud de ventajas. Con este documento, podrá instalar ADAM y ponerlo rápidamente en funcionamiento para, de ese modo, explorar algunas de sus nuevas e importantes características. Más concretamente, en este escenario llevará a cabos las siguientes tareas: 1. Configure el entorno de laboratorio, en el que instalará y configurará ADAM. 2. Instale ADAM. A continuación, podrá conocer sus características relacionadas con la adición y administración de datos: 1. Configure los datos de aplicaciones para utilizar ADAM con una aplicación. 2. Consulte y recupere los datos de la aplicación que ha importado a la instancia de ADAM. 3. Practique la creación y administración de unidades organizativas (OU), grupos y usuarios en ADAM. 4. Agregue y elimine manualmente una partición de directorio de aplicaciones. 5. Conceda y deniegue permisos de usuario. Finalmente, pondrá en práctica las tareas administrativas: 1. Enlace con una instancia de ADAM de varias formas.


Guía paso a paso de ADAM

6

2. Utilice las funciones básicas de ADAM, como iniciar y detener una instancia de ADAM. 3. Realice copias de seguridad, quite y restaure una instancia de ADAM. 4. Instale réplicas de ADAM. 5. Realice tareas de ADAM mediante programación. Nota Se recomienda que, en primer lugar, lleve a cabo los pasos indicados en esta guía en un entorno de laboratorio de pruebas. Las guías paso a paso no están diseñadas para ser utilizadas en la implementación de características de Windows Server sin la documentación correspondiente. Utilice esta guía con prudencia si la emplea como documento independiente.

Requisitos de ADAM Antes de empezar a utilizar los procedimientos de esta guía, asegúrese de que cumple los siguientes requisitos: 

Tenga disponible al menos un equipo de pruebas donde pueda instalar ADAM. Con objeto de seguir los ejercicios de esta guía, puede instalar ADAM en equipos que ejecuten cualquiera de los siguientes sistemas operativos: 

Windows Server 2003 R2 Standard Edition



Windows Server 2003 R2 Enterprise Edition



Windows Server 2003 R2 Datacenter Edition

El equipo debe disponer de 50 MB de espacio libre en disco. Nota También puede ejecutar ADAM en equipos con Windows XP y versiones anteriores de Windows Server 2003. La versión de ADAM que se ejecuta en esos sistemas operativos está disponible en "Windows Server 2003 Active Directory Application Mode" en el sitio Web de Microsoft (http://go.microsoft.com/fwlink?linkid=17797). 

Obtenga una copia de la descarga de ADAM, que incluye los archivos de laboratorio que usará en esta guía. Para este ejercicio, utilice sólo los archivos de laboratorio de la descarga, pero instale la aplicación ADAM propiamente dicha desde el CD de Windows Server 2003 R2. La descarga de ADAM está disponible en el Centro de


Guía paso a paso de ADAM

7

descarga de Microsoft (http://go.microsoft.com/fwlink?linkid=29359). Ejecute la descarga para extraer los archivos de laboratorio necesarios para los ejercicios de esta guía. 

Inicie sesión con la cuenta de administrador.



Para los ejercicios de esta guía, puede instalar instancias de ADAM de réplica en el primer equipo de pruebas o puede instalarlas en un segundo equipo si dispone de él.



Si ya ha instalado una versión anterior de ADAM, debe desinstalar del equipo la versión anterior antes de instalar la versión nueva de ADAM.

Instalar ADAM Puede instalar una instancia de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM) o mediante el proceso de instalación desatendida de ADAM. En el primer ejercicio, utilizará el Asistente para instalación de Active Directory Application Mode (ADAM) para instalar ADAM. En Administrar los conjuntos de configuración, se utiliza la instalación desatendida para instalar una réplica de ADAM. Nota Para instalar ADAM, debe iniciar sesión en el equipo utilizando una cuenta que pertenezca al grupo Administradores local. En este ejercicio, instalará ADAM en primer lugar y, a continuación, instalará una instancia de ADAM utilizando para ello el Asistente para instalación de Active Directory Application Mode (ADAM). Para instalar ADAM 1. Para instalar ADAM, inicie sesión como administrador, haga clic en Inicio, seleccione Panel de control y, a continuación, haga clic en Agregar o quitar programas. 2. Haga clic en Agregar o quitar componentes de Windows. 3. Active la casilla de verificación que se encuentra junto a Servicios de Active Directory y, a continuación, haga clic en Detalles. 4. Active la casilla de verificación que se encuentra junto a Active Directory Application Mode (ADAM), haga clic en Aceptar y, a continuación, en Siguiente. 5. Lea el mensaje que aparece. Según el contenido del mensaje, realice una de las


Guía paso a paso de ADAM

8

siguientes acciones: 

Si se muestra "El Asistente para componentes de Windows se ha completado satisfactoriamente", haga clic en Finalizar.



Si aparece un mensaje de error, anótelo, haga clic en Finalizar y, a continuación, examine los mensajes de sucesos de ADAM en el Visor de sucesos.

Para instalar una instancia de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM) 1. Para iniciar el Asistente para instalación de Active Directory Application Mode (ADAM), haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Crear una instancia de ADAM. La primera página del Asistente para instalación de Active Directory Application Mode (ADAM) tiene el siguiente aspecto:

2. En la página Asistente para instalación de Active Directory Application Mode (ADAM), haga clic en Siguiente.


Guía paso a paso de ADAM

9

3. En la página Opciones de instalación, debe seleccionar si desea instalar una única instancia de ADAM o unirse a un conjunto de configuración existente. Puesto que está instalando la primera instancia de ADAM, haga clic en Una instancia única (como se muestra en la ilustración) y, a continuación, haga clic en Siguiente. Más adelante, creará otras instancias de ADAM y las unirá al conjunto de configuración.

4. En la página Nombre de instancia, indique un nombre para la instancia de ADAM que está instalando. Este nombre se utiliza en el equipo local para identificar de forma única la instancia de ADAM. En este ejercicio, limítese a aceptar el nombre predeterminado de instance1 y, a continuación, haga clic en Siguiente.


Guía paso a paso de ADAM 10

5. En la página Puertos, especifique los puertos de comunicaciones que la instancia de ADAM utiliza para comunicarse. ADAM puede comunicarse usando los protocolos LDAP y SSL (Capa de sockets seguros). Por lo tanto, debe indicar un valor para cada puerto. En este ejercicio, acepte los valores predeterminados de 389 y 636 y, a continuación, haga clic en Siguiente.


Guía paso a paso de ADAM 11

Nota Si instala ADAM en un equipo en el que ya se use alguno de los puertos predeterminados, el Asistente para instalación de Active Directory Application Mode (ADAM) localiza automáticamente el primer puerto disponible, empezando a partir del 50000. Por ejemplo, Active Directory utiliza los puertos 389 y 636, además de los puertos 3268 y 3269 en servidores de catálogo global. Por lo tanto, si instala ADAM en un controlador de dominio, el Asistente para instalación de Active Directory Application Mode (ADAM) proporciona un valor de 50000 para el puerto LDAP y 50001 para el puerto SSL. 6. En la página Partición de directorio de aplicaciones, puede crear una partición de directorio de aplicaciones (o un contexto de nomenclatura) haciendo clic en Sí, crear una partición de directorio de aplicaciones. O bien puede hacer clic en No, no crear una partición de directorio de aplicaciones, en cuyo caso deberá crear una partición de directorio de aplicaciones manualmente tras la instalación. Para este ejercicio, haga clic en Sí, crear una partición de directorio de aplicaciones. Al crear una partición de directorio de aplicaciones, debe indicar un nombre completo


Guía paso a paso de ADAM 12 para la nueva partición. En este ejercicio, escriba o=Microsoft,c=US como nombre completo (según se muestra en la imagen) y, a continuación, haga clic en Siguiente.

Nota ADAM es compatible con nombres completos de estilo X.500 y de sistema de nombres de dominio (DNS) para particiones de directorio de nivel superior. 7. En la página Ubicaciones de archivo, puede ver y modificar los directorios de instalación de los archivos de datos y recuperación (registro) de ADAM. De manera predeterminada, los archivos de datos y recuperación de ADAM se instalan en %ProgramFiles%\Microsoft ADAM\nombreDeInstancia\data, donde nombreDeInstancia representa el nombre de la instancia de ADAM especificado en la página Nombre de instancia. En este ejercicio, haga clic en Siguiente para aceptar las ubicaciones de archivo predeterminadas.


Guía paso a paso de ADAM 13

Importante Cuando instale ADAM en un equipo que ejecuta Windows XP, debe instalar esos archivos en el mismo volumen lógico. Si instala ADAM en Windows Server 2003 y Windows Server 2003 R2 en un entorno de producción, se recomienda que instale los archivos en distintos discos físicos. Nota La instalación de ADAM instala los archivos de programa y las herramientas de administración en %windir%\ADAM. 8. En la página Selección de cuentas de servicio, debe seleccionar una cuenta que se utilizará como cuenta de servicio de ADAM. La cuenta que seleccione determina el contexto de seguridad en que se ejecuta la instancia de ADAM. A menos que instale ADAM en un controlador de dominio, el Asistente para instalación de Active Directory Application Mode (ADAM) utiliza de manera predeterminada la cuenta Servicio de red. En este ejercicio, haga clic en Siguiente para aceptar el valor predeterminado de Cuenta del servicio de red. O bien, si está instalando ADAM en un controlador de dominio, haga clic en Esta cuenta y seleccione la cuenta de


Guía paso a paso de ADAM 14 usuario de dominio que se utilizará como cuenta de servicio de ADAM.

Nota Puede cambiar la cuenta de servicio de ADAM después de instalar ADAM utilizando la herramienta de línea de comandos Dsmgmt. Si instala ADAM en un controlador de dominio, debe seleccionar una cuenta de usuario de dominio como cuenta de servicio de ADAM. 9. En la página Administradores de ADAM, debe seleccionar el usuario o el grupo que será el administrador predeterminado de la instancia de ADAM. El usuario o grupo que seleccione tendrá total control administrativo de la instancia de ADAM. De manera predeterminada, el Asistente para instalación de Active Directory Application Mode (ADAM) especifica el usuario que ha iniciado la sesión actual. Puede cambiar esta selección y usar cualquier grupo o cuenta local o de dominio de la red. En este ejercicio, haga clic en el valor predeterminado de Usuario con sesión iniciada y, a continuación, haga clic en Siguiente.


Guía paso a paso de ADAM 15

10. En la página Importación de archivos LDIF, puede importar dos archivos .ldf al esquema de ADAM que contienen definiciones de objeto de clase user. Importar esas definiciones de objeto de clase user es opcional. No obstante, esas definiciones de objeto son necesarias más adelantes en esta guía, así que es recomendable que las importe en este momento: a. Haga clic en Importar los archivos LDIF seleccionados para esta instancia de ADAM. b. Haga clic en MS-InetOrgPerson.LDF y, a continuación, haga clic en Agregar. c. Haga clic en MS-User.LDF y, a continuación, haga clic en Agregar. d. Haga clic en MS-UserProxy.LDF, haga clic en Agregar y, a continuación, en Siguiente.


Gu铆a paso a paso de ADAM 16

11. La p谩gina Listo para instalar le ofrece la oportunidad de revisar las selecciones que ha realizado para la instalaci贸n. Tras hacer clic en Siguiente, el Asistente para instalaci贸n de Active Directory Application Mode (ADAM) empieza a copiar archivos e instalar ADAM en el equipo.


Guía paso a paso de ADAM 17

12. Cuando el Asistente para instalación de Active Directory Application Mode (ADAM) termina de instalar ADAM, aparece el siguiente mensaje: “El Asistente para instalación de Active Directory Application Mode se finalizó correctamente.” Cuando aparezca la página Finalización del Asistente para instalación de Active Directory Application Mode (ADAM), haga clic en Finalizar para cerrar el asistente. Nota Si el Asistente para instalación de Active Directory Application Mode (ADAM) no finaliza correctamente, aparecerá un mensaje de error que describe la causa del error en la página Resumen. Si se produce un error en el Asistente para instalación de Active Directory Application Mode (ADAM) antes de la página Resumen, puede examinar los mensajes de error que aparezcan. Además, puede hacer clic en Inicio, Ejecutar y escribir uno de los siguientes comandos: %windir%\Debug\adamsetup.log %windir%\Debug\adamsetup_loader.log


Guía paso a paso de ADAM 18 Los archivos Adamsetup.log y Adamsetup_loader.log contienen información que le puede ayudar a solucionar la causa del error de instalación de ADAM.

Usar las herramientas de administración de ADAM La instancia de ADAM se ejecuta como un servicio de usuario estándar en lugar de como un servicio del sistema y puede detenerse e iniciarse desde el complemento Servicios de Microsoft Management Console (MMC). Además, ADAM incluye varias herramientas de administración para tareas generales de administración. En los siguientes ejercicios, llevará a cabo las siguientes operaciones: 

Usará el complemento Servicios para detener y reiniciar la instancia de ADAM.



Usará el Editor ADSI de ADAM (ADAM-adsiedit.msc) para examinar el directorio.



Configurará el complemento Esquema de ADAM.



Usará ADSchemaAnalyzer con el objetivo de crear un archivo que se pueda utilizar para extender un esquema con elementos de otro esquema.



Usará el Sincronizador de AD a ADAM para copiar datos desde Active Directory a una instancia de ADAM.

Detener y reiniciar una instancia de ADAM Para detener y reiniciar una instancia de ADAM utilizando el complemento Servicios 1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Servicios. 2. La instancia de ADAM que acaba de instalar aparece en el panel de detalles del complemento Servicios, junto con los demás servicios del equipo. Las instancias de ADAM aparecen en Servicios por su nombre que, en este caso, es instance1. Haga clic en la instancia de ADAM que ha instalado, según se muestra a continuación:


Guía paso a paso de ADAM 19

3. Para detener la instancia de ADAM, en el menú Acción, haga clic en Detener. 4. Una vez detenida la instancia de ADAM, en el menú Acción, haga clic en Iniciar para reiniciar la instancia de ADAM.

Usar la herramienta de administración Editor ADSI de ADAM La principal herramienta de administración de ADAM es el Editor ADSI de ADAM. En este ejercicio, utilizará el Editor ADSI de ADAM para enlazar, ver y examinar la instancia de ADAM. Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de ADAM 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Editor ADSI de ADAM. 2. En el árbol de la consola, haga clic en Editor ADSI de ADAM. El complemento


Guía paso a paso de ADAM 20 Editor ADSI de ADAM tiene el siguiente aspecto:

3. En el menú Acción, haga clic en Conectar a. Aparecerá el cuadro de diálogo Configuración de conexión. 4. En Nombre de conexión puede escribir una etiqueta con cuyo nombre aparecerá esta conexión en el árbol de la consola del Editor ADSI de ADAM. Para esta conexión, escriba: ADAM demo 5. En Nombre de servidor, escriba el nombre de host o DNS del equipo donde se esté ejecutando la instancia de ADAM. Nota Ya que en este ejercicio ADAM se ejecuta en el equipo local, puede utilizar localhost como nombre de servidor. 6. En Puerto, escriba el puerto de comunicaciones LDAP o SSL que use ADAM. O, como en este caso, acepte el valor predeterminado de 389. Nota Para que se muestren los números de puerto utilizados por las instancias de ADAM, haga clic en Inicio, seleccione Todos los programas, ADAM, haga clic en Símbolo del sistema de herramientas de ADAM y, en el símbolo del sistema, escriba: dsdbutil "list instances" quit 7. En Conectar al siguiente nodo, puede conectar con un contexto de nomenclatura conocido, como la partición de directorio de esquema o configuración, o bien puede especificar el nombre completo de una partición a la que desee conectarse. Para este ejercicio, haga clic en Nombre completo (DN) o contexto de nomenclatura, y escriba:


Guía paso a paso de ADAM 21 o=Microsoft,c=US Se trata del nombre completo de la partición de aplicación que ha creado durante la instalación. 8. En Conectar usando estas credenciales, haga clic en La cuenta del usuario con sesión iniciada. El cuadro de diálogo Configuración de conexión tendrá el siguiente aspecto:

9. Haga clic en Aceptar. El complemento Editor ADSI de ADAM tiene el siguiente aspecto:


Guía paso a paso de ADAM 22

10. En el árbol de la consola, haga doble clic en ADAM demo y, a continuación, haga doble clic en O=Microsoft,c=US. El complemento Editor ADSI de ADAM muestra ahora la partición del directorio de aplicaciones:

11. En el árbol de la consola, haga clic en cualquier contenedor para ver sus objetos. Por ejemplo, haga clic en CN=Roles. 12. Para abrir otra partición de directorio de la instancia de ADAM, en el árbol de la consola, haga clic en Editor ADSI de ADAM y, a continuación, en el menú Acción, haga clic en Conectar a. 13. Rellene el cuadro de diálogo Configuración de conexión como se muestra y, a continuación, haga clic en Aceptar.


Guía paso a paso de ADAM 23

El cuadro de diálogo Configuración de conexión tendrá el siguiente aspecto:

Ahora puede examinar el contenido de la partición del directorio de configuración de la instancia de ADAM.


Guía paso a paso de ADAM 24 14. Para cerrar el Editor ADSI de ADAM, en el menú Archivo haga clic en Salir.

Configurar la herramienta de administración del complemento Esquema de ADAM Puede utilizar otra herramienta de administración de ADAM, el complemento Esquema de ADAM, para administrar el esquema de ADAM. Si ha utilizado con anterioridad el complemento Esquema de Active Directory, el complemento Esquema de ADAM le resultará muy familiar. Para poder utilizar el complemento Esquema de ADAM, debe crear un archivo MMC para él, tal y como se describe en este procedimiento. Para crear un archivo MMC para el complemento Esquema de ADAM 1. Haga clic en Inicio y en Ejecutar, escriba mmc /a y, a continuación, haga clic en Aceptar. 2. En el menú Archivo, haga clic en Agregar o quitar complemento y, a continuación, en Agregar. 3. En Complementos independientes disponibles, haga clic en Esquema de ADAM, Agregar, Cerrar y, a continuación, en Aceptar. 4. Para guardar esta consola, en el menú Archivo, haga clic en Guardar. 5. En Nombre de archivo, escriba lo siguiente y, a continuación, haga clic en Guardar. %windir%\system32\adamschmmgmt.msc El complemento Esquema de ADAM tiene el siguiente aspecto:


Guía paso a paso de ADAM 25

6. Para conectarse a la instancia de ADAM mediante Esquema de ADAM, en el árbol de la consola haga clic con el botón secundario en Esquema de ADAM, haga clic en Cambiar el servidor ADAM y, a continuación, rellene el cuadro de diálogo como se indica a continuación:

7. Haga clic en Aceptar. El complemento Esquema de ADAM ahora tiene el siguiente


Guía paso a paso de ADAM 26 aspecto: Puede examinar y ver los atributos y clases del esquema de ADAM:

8. Para crear un acceso directo para el complemento Esquema de ADAM en el menú Inicio: a. Haga clic con el botón secundario en Inicio, haga clic en Abrir todos los usuarios, haga doble clic en la carpeta Programas y, a continuación, haga doble clic en la carpeta ADAM. b. En el menú Archivo, seleccione Nuevo y, a continuación, haga clic en Acceso directo. c. En el asistente Crear acceso directo, en Escriba la ubicación del elemento, escriba adamschmmgmt.msc y, a continuación, haga clic en Siguiente. d. En la página Seleccionar un título para el programa, en Escriba un nombre para este acceso directo, escriba Esquema de ADAM y, a continuación, haga clic en Finalizar.

Usar ADSchemaAnalyzer Puede utilizar ADSchemaAnalyzer para migrar el esquema de Active Directory a ADAM, de una instancia de ADAM a otra o de cualquier directorio compatible con LDAP a una instancia de ADAM. Puede utilizar ADSchemaAnalyzer para cargar un esquema de destino (origen), marcar los elementos que desee migrar y, a continuación, exportarlos al esquema de base de ADAM. También puede comparar los dos esquemas.


Guía paso a paso de ADAM 27 Importante Si utiliza ADSchemaAnalyzer para crear un archivo LDIF, debe cargar un esquema de destino y un esquema de base. En caso contrario, es posible que la herramienta ldifde no pueda utilizar el archivo LDIF resultante. Para crear un archivo LDIF con ADSchemaAnalyzer 1. Haga clic en Inicio, seleccione Todos los programas, ADAM, haga clic en Símbolo del sistema de herramientas de ADAM y, en el símbolo del sistema, escriba: adschemaanalyzer 2. Para cargar un esquema de destino, haga clic en Archivo y en Cargar esquema de destino y, a continuación, realice una de las siguientes operaciones: 

Para cargar el esquema de Active Directory de dominio como esquema de destino, en el cuadro de diálogo escriba su nombre de usuario, contraseña y dominio y, a continuación, haga clic en Aceptar.



Para cargar otro esquema (como el esquema de un bosque de Active Directory u otro directorio compatible con LDAP), en el cuadro de diálogo, escriba el nombre del servidor y el puerto del directorio que contenga el esquema de destino, escriba su nombre de usuario, contraseña y dominio según sea necesario y, a continuación, haga clic en Aceptar.

3. Para cargar el esquema de la instancia de ADAM como esquema de base, haga clic en Archivo, en Cargar esquema de base y, a continuación, en Servidor[:puerto], escriba el nombre del servidor y el puerto de la instancia de ADAM. 4. En el cuadro de diálogo, haga clic en Aceptar. 5. En el árbol resultante, marque todos los elementos que desee exportar al esquema de base haciendo clic con el botón secundario en el elemento y seleccionando una de las siguientes opciones: 

Automático marca automáticamente un elemento como incluido o excluido en la exportación. Si un elemento se marca como Automático (incluido), puede hacer clic con el botón secundario en ese elemento y, a continuación, hacer clic en ¿Por qué se incluye automático? para ver el árbol de dependencia inverso del elemento.



Incluido marca un elemento como incluido en la exportación.


Guía paso a paso de ADAM 28 ADSchemaAnalyzer marca todos los elementos relacionados, como superclases, auxClasses, contenidos obligatorios y opcionales, defaultObjectCategory y possSuperiors. ADSchemaAnalyzer incluye los conjuntos de propiedades para los atributos incluidos y vínculos hacia atrás para los vínculos. 

Excluido marca un elemento como no incluido en la exportación. Puede bloquear determinadas rutas en el gráfico de dependencias. Por ejemplo, es posible que desee importar domainDns pero no samAccountDomain (que es una auxClass de domainDns). Puede excluir un elemento completo, como la clase samAccountDomain, o puede excluir una relación. Por ejemplo, puede quitar la referencia auxClass de la clase domainDns. Si excluye una relación, todas las clases que hagan referencia a ese elemento seguirán incluyéndolo.



Presente significa que el elemento está presente en el servidor de destino. De manera predeterminada, la clase superior se marca como presente.

6. Para crear el archivo LDIF, haga clic en Archivo y, a continuación, haga clic en Crear archivo LDIF. Puede utilizar el comando ldifde en el símbolo del sistema de las herramientas de ADAM para importar los elementos del esquema de destino del archivo LDIF al esquema de base de ADAM. El comienzo del archivo LDIF contiene instrucciones detalladas para llevar a cabo esta tarea.

Usar el Sincronizador de AD a ADAM El Sincronizador de AD a ADAM es una herramienta de línea de comandos que sincroniza los datos de un bosque de Active Directory con un conjunto de configuración de una instancia de ADAM. Importante El Sincronizador de AD a ADAM no sincroniza contraseñas de usuario entre Active Directory y ADAM. Deben cumplirse dos requisitos para que el Sincronizador de AD a ADAM pueda sincronizar los datos: 

El esquema de la instancia de ADAM debe extenderse para que coincida con los objetos de esquema del bosque de Active Directory de Windows Server 2003.



El esquema de la instancia de ADAM debe extenderse para los objetos de esquema que necesita el Sincronizador de AD a ADAM.


Guía paso a paso de ADAM 29 Nota Debe utilizar la opción -t número_de_puerto con ldifde si la instancia de ADAM utiliza un puerto distinto del puerto predeterminado 389. Para utilizar el Sincronizador de AD a ADAM por primera vez 1. Haga clic en Inicio, seleccione Todos los programas, haga clic en ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM para abrir una ventana de comandos en el directorio de ADAM. 2. Para extender el esquema de ADAM de forma que coincida con los objetos de esquema predeterminados de Windows Server 2003 de Active Directory, en el símbolo del sistema escriba el siguiente comando en una sola línea y, a continuación, presione ENTRAR: ldifde -i -s localhost -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSchemaW2k3.ldf 3. Para extender el esquema de ADAM de forma que incluya los objetos de esquema que necesita el Sincronizador de AD a ADAM, en el símbolo del sistema escriba el siguiente comando en una sola línea y, a continuación, presione ENTRAR: ldifde -i -s localhost:389 -c CN=Configuration,DC=X #ConfigurationNamingContext -f MS-AdamSyncMetadata.ldf 4. Modifique el archivo de configuración MS-AdamSyncConf.xml con los parámetros apropiados. Importante No elimine los campos no utilizados del archivo. 5. Instale el archivo de configuración. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR: ADAMSync /install localhost:389 %windir%\ADAM\MS-AdamSyncConf.xml 6. Sincronice los datos del bosque de Active Directory al conjunto de configuración de ADAM. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR: ADAMSync /sync localhost:389 "o=microsoft,c=US" Utilice el Editor ADSI de ADAM para comprobar que los datos se han sincronizado.


Guía paso a paso de ADAM 30

Configurar datos de aplicaciones En la mayor parte de los casos, el esquema de ADAM se extiende con definiciones de atributos y clases de objetos para los tipos de datos que desea que almacene una aplicación. Igual que ocurre en Active Directory, el esquema de ADAM es extensible. Puede extender el esquema de ADAM mediante programación o con la herramienta de línea de comandos Ldifde.exe. En los siguientes ejercicios, llevará a cabo las siguientes operaciones: 

Paso 1: agregar clases de usuario opcionales al esquema de ADAM.



Paso 2: extender el esquema de ADAM para que admita una aplicación.



Paso 3: importar los datos de la aplicación a una instancia de ADAM. Nota Más adelante utilizará los datos de la aplicación que importe en estos ejercicios con la aplicación Libreta de direcciones de Windows.

Paso 1: agregar clases de usuario opcionales al esquema de ADAM Puede agregar las clases de usuario opcionales que se proporcionan con ADAM durante su instalación, o bien puede agregarlas manualmente utilizando la herramienta de línea de comandos Ldifde.exe. Si ha importado los archivos .ldf de definición de clase de usuario al ejecutar el Asistente para instalación de Active Directory Application Mode (ADAM), puede omitir este procedimiento. Para agregar manualmente clases de usuario opcionales al esquema de ADAM 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR: ldifde -i -f ms-inetorgperson.ldf -s nombreDeServidor:númeroDePuerto -k -j . -c "CN=Schema,CN=Configuration,DC=X" #schemaNamingContext donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Dado que la instancia de ADAM se está ejecutando en el equipo local, también puede utilizar localhost como nombre del equipo.


Guía paso a paso de ADAM 31 Nota Asegúrese de utilizar la versión de Ldifde.exe incluida en Windows Server 2003 R2 en lugar de la que acompañaba a la versión anterior de ADAM o a las herramientas de soporte de Windows. La ventana Símbolo del sistema de herramientas de ADAM debe tener un aspecto similar al que se muestra a continuación:

3. Escriba el siguiente comando y presione ENTRAR: ldifde -i -f ms-user.ldf -s nombreDeServidor:númeroDePuerto -k -j . -c "CN=Schema,CN=Configuration,DC=X" #schemaNamingContext La ventana Símbolo del sistema de herramientas de ADAM tiene ahora un aspecto similar al que se muestra a continuación:

Tras ejecutar estos comandos, el esquema de ADAM incluirá las clases de objeto de usuario de ADAM e inetOrgPerson. Puede comprobarlo viendo el esquema de ADAM con el complemento Esquema de ADAM.


Guía paso a paso de ADAM 32

Paso 2: extender el esquema de ADAM para que admita una aplicación En este ejercicio, extenderá el esquema de ADAM de nuevo agregando para ello una clase de objeto de contactos. Para lograrlo, volverá a utilizar la herramienta de línea de comandos ldifde. Para extender el esquema de ADAM 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR: ldifde -i -f unidad:\rutaDeAcceso\labs_demo\labs\contact.ldf snombreDeServidor:númeroDePuerto-k -j . -c "CN=Schema,CN=Configuration" #schemaNamingContext donde unidad:\rutaDeAcceso representa la ubicación donde ha guardado la descarga de ADAM y nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Dado que la instancia de ADAM se está ejecutando en el equipo local, también puede utilizar localhost como nombre del equipo. Nota Asegúrese de utilizar la copia de Ldifde.exe incluida en la versión ADAM en lugar de la que acompañaba a la versión anterior de ADAM o a las herramientas de soporte de Windows. Una vez ejecutado el comando, la ventana Símbolo del sistema de herramientas de ADAM tendrá el siguiente aspecto:


Guía paso a paso de ADAM 33 Ahora el esquema de ADAM también incluye la clase de objeto de contactos y está lista para recibir datos de aplicación.

Paso 3: importar los datos de la aplicación a una instancia de ADAM En este ejercicio, importará algunos datos de ejemplo a la instancia de ADAM utilizando la herramienta de línea de comandos ldifde. Estos datos se incluyen en la descarga de ADAM. Para importar los datos de la aplicación 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba lo siguiente: ldifde -i -f unidad:\rutaDeAcceso\labs_demo\labs\contactimport.ldf -s nombreDeServidor:númeroDePuerto-k -j . donde unidad:\rutaDeAcceso representa la ubicación donde se encuentran los archivos de ADAM y nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Nota Asegúrese de utilizar la copia de Ldifde.exe incluida en la versión ADAM en lugar de la que acompañaba a la versión anterior de ADAM o a las herramientas de soporte de Windows. Una vez ejecutado el comando, la ventana Símbolo del sistema de herramientas de ADAM tendrá el siguiente aspecto:


Guía paso a paso de ADAM 34 Nota Ldifde siempre indica el número de entradas importadas al directorio. En este caso, puede ver que ldifde muestra que contactimport.ldf contiene dos registros. Para obtener más información acerca de ldifde, escriba ldifde /? en el símbolo del sistema.

Usar una aplicación con ADAM En este ejercicio, utilizará la Libreta de direcciones de Windows, una aplicación basada en LDAP, para consultar y recuperar los datos de aplicación que ha importado a la instancia de ADAM.

Consultar datos con la Libreta de direcciones de Windows Para consultar datos con la Libreta de direcciones de Windows 1. Haga clic en Inicio y Ejecutar, escriba wab.exe y, a continuación, haga clic en Aceptar. 2. En el menú Herramientas, haga clic en Cuentas y, a continuación, en Agregar. Aparecerá el Asistente para la conexión a Internet. 3. En Servidor de directorio de Internet (LDAP), escriba localhost, haga clic en Siguiente dos veces y, a continuación, haga clic en Finalizar. 4. En el cuadro de diálogo Cuentas de Internet, en la ficha Servicio de directorio, haga doble clic en localhost, como se muestra a continuación:


Guía paso a paso de ADAM 35

5. Rellene la ficha General del cuadro de diálogo Propiedades de localhost como se muestra en la ilustración siguiente, utilizando la cuenta con la que ha iniciado la sesión actual en el equipo. Asegúrese de activar las casillas de verificación Este servidor requiere iniciar sesión e Iniciar sesión usando autenticación de contraseña segura.


Guía paso a paso de ADAM 36

6. Haga clic en la ficha Avanzadas y, a continuación, active la casilla de verificación Usar filtro de búsqueda simple. En Base de búsqueda, escriba o=Microsoft,c=UScomo se muestra a continuación y haga clic primero en Aceptar y después en Cerrar en el cuadro de diálogo Cuentas de Internet.


Guía paso a paso de ADAM 37

7. En la Libreta de direcciones de Windows, haga clic en Buscar personas en la barra de herramientas. En Buscar en, haga clic en localhost y, a continuación, en Nombre, escriba: kim El cuadro de diálogo Propiedades de localhost tendrá el siguiente aspecto:


Guía paso a paso de ADAM 38

8. Haga clic en Buscar ahora. La búsqueda debe devolver una entrada del directorio de ADAM, tal y como se muestra a continuación:


Guía paso a paso de ADAM 39

9. Haga doble clic en el nombre para ver los detalles de los resultados de la búsqueda. 10. En la ficha Organización, puede ver la relación jerárquica. Haga doble clic en el nombre del director para ver los detalles de contacto asociados, que serán similares a los siguientes:


Guía paso a paso de ADAM 40

Administrar OU, grupos y usuarios en ADAM ADAM suele usarse con frecuencia para almacenar información acerca de los usuarios, así como las organizaciones y grupos a los que pertenecen. En estos ejercicios, creará una unidad organizativa (OU) llamada “ADAM users” en la partición del directorio de aplicaciones o=Microsoft,c=US y agregará un grupo a ADAM llamado “ADAM testers”. También creará un usuario de ADAM llamado Mary Baker con una de las clases de objetos de usuario que importó anteriormente. Mediante el Editor ADSI de ADAM, realizará las siguientes acciones: 

Paso 1: crear una OU.



Paso 2: crear un grupo en la nueva OU.


Guía paso a paso de ADAM 41 

Paso 3: crear un usuario de ADAM.



Paso 4: agregar un usuario de ADAM al grupo ADAM users.

Además, aprenderá a habilitar y deshabilitar cuentas de usuario de ADAM.

Paso 1: crear una OU En este ejercicio, creará una OU. Para crear una OU 1. Si no está abierto, abra el Editor ADSI de ADAM y, a continuación, conéctese a la partición de directorio de aplicaciones o=Microsoft,c=US según se describe en el procedimiento "Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de ADAM" en Usar las herramientas de administración de ADAM. 2. En el árbol de consola, haga clic con el botón secundario en O=Microsoft,c=US, seleccione Nuevo y, a continuación, haga clic en Objeto. El cuadro de diálogo Crear objeto tendrá el siguiente aspecto:


Guía paso a paso de ADAM 42 3. En la lista Seleccione una clase, haga clic en organizationalUnit y, a continuación, en Siguiente. 4. En Valor, escriba ADAM users y, a continuación, haga clic en Siguiente. 5. En la página siguiente, puede hacer clic en Más atributos para editar más atributos del objeto que está creando. En este ejercicio, limítese a hacer clic en Finalizar. 6. En el árbol de la consola, haga doble clic en O=Microsoft,c=US. El complemento Editor ADSI de ADAM tiene el siguiente aspecto:

Paso 2: crear un grupo En este ejercicio, creará un grupo en la OU. Para crear un grupo en una OU 1. En el árbol de la consola, haga clic con el botón secundario en OU=ADAM Users, seleccione Nuevo y, a continuación, haga clic en Objeto. 2. En Seleccione una clase, haga clic en group y, a continuación, en Siguiente. 3. En Valor, escriba ADAM testers y, a continuación, haga clic en Siguiente. 4. En Valor, escriba 2147483650 (equivalente a 0x80000002 hexadecimal, que significa una cuenta de grupo), haga clic en Siguiente y, a continuación, haga clic en


Guía paso a paso de ADAM 43 Finalizar. Nota Para obtener más información acerca del atributo groupType, consulte "Group-Type" en el sitio Web de Microsoft (http://go.microsoft.com/fwlink?linkid=51093). El complemento Editor ADSI de ADAM tiene el siguiente aspecto:

Paso 3: crear un usuario de ADAM En este ejercicio, creará un usuario de ADAM en la OU ADAM Users y, a continuación, agregará el usuario al grupo ADAM Testers. Nota La nueva cuenta de usuario estará deshabilitada de manera predeterminada, ya que no tiene ninguna contraseña asociada. Para crear un usuario de ADAM 1. Si no está abierto, abra el Editor ADSI de ADAM. 2. Conéctese y enlace a la instancia de ADAM, según se describe en el procedimiento "Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de


Guía paso a paso de ADAM 44 ADAM" en Usar las herramientas de administración de ADAM. A continuación, en el árbol de la consola, haga doble clic en la instancia de ADAM. 3. Haga doble clic en la partición de directorio de aplicaciones O=Microsoft,c=US. 4. Haga clic con el botón secundario en el contenedor OU=ADAM Users que creó con anterioridad, seleccione Nuevo y, a continuación, haga clic en Objeto. 5. En Seleccione una clase, haga clic en user y, a continuación, en Siguiente. Nota Si no ha cerrado el Editor ADSI de ADAM antes de importar las definiciones de objeto de clase de usuario Adamuser.ldf, puede aparecer el siguiente mensaje de advertencia durante este paso: “Se ha pasado un nombre de directorio de ruta no válido.” 6. En Valor, escriba Mary Baker, como el nombre común (cn) del nuevo usuario, según se muestra en esta imagen, y después haga clic en Siguiente.

7. Haga clic en Finalizar. El complemento Editor ADSI de ADAM tiene el siguiente aspecto:


Guía paso a paso de ADAM 45

Paso 4: agregar un usuario a un grupo Puede agregar usuarios de ADAM y de Windows a los grupos de ADAM, según se describe en este ejercicio. En primer lugar, debe agregar a Mary Baker, el usuario que acaba de crear, al grupo ADAM testers. Para agregar un usuario a un grupo 1. En el panel de detalles del Editor ADSI de ADAM, haga clic con el botón secundario en CN=ADAM testers y, a continuación, haga clic en Propiedades. El cuadro de diálogo Propiedades de CN=ADAM testers tendrá el siguiente aspecto:


Guía paso a paso de ADAM 46

2. En Atributos, haga clic en Member y, a continuación, haga clic en Editar. 3. Haga clic en Agregar cuenta de ADAM, escriba lo siguiente como nombre completo y, a continuación, haga clic en Aceptar: CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US El cuadro de diálogo Nombre completo multivalor con editor de entidad principal de seguridad tendrá el siguiente aspecto:


Guía paso a paso de ADAM 47

4. También puede agregar usuarios de Windows a un grupo de ADAM. En el cuadro de diálogo Nombre completo multivalor con editor de entidad principal de seguridad, haga clic en Agregar cuenta de Windows. El cuadro de diálogo Seleccionar usuarios, equipos o grupos tiene el siguiente aspecto:

5. En el cuadro de diálogo Seleccionar usuarios, equipos o grupos, agregue un usuario de Windows desde su equipo o dominio al grupo ADAM testers. En Escriba


Guía paso a paso de ADAM 48 los nombres de objeto que desea seleccionar (ejemplos), escriba un nombre de cuenta utilizando el formato equipo\cuenta o dominio\cuenta. 6. Haga clic en Aceptar. El nuevo nombre de usuario aparecerá en el cuadro de diálogo Nombre completo multivalor con editor de entidad principal de seguridad como miembro del grupo. 7. Haga clic en Aceptar dos veces para volver al Editor ADSI de ADAM.

Deshabilitar y habilitar cuentas de usuario de ADAM Puede deshabilitar y habilitar las cuentas de usuario de ADAM utilizando el complemento Editor ADSI de ADAM. En este ejercicio, deshabilitará la cuenta de Mary Baker y la volverá a habilitar. Para habilitar o deshabilitar una cuenta de usuario de ADAM 1. En el Editor ADSI de ADAM, conéctese y enlace a una instancia de ADAM, tal y como se describe en el procedimiento "Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de ADAM" en Usar las herramientas de administración de ADAM. 2. En el árbol de la consola, haga doble clic en la partición de directorio de configuración O=Microsoft,c=US. 3. En el árbol de la consola, haga clic en el contenedor OU=ADAM Users. 4. En el panel de detalles, haga clic con el botón secundario en CN=Mary Baker y, a continuación, haga clic en Propiedades. 5. En Atributos, haga clic en msDS-UserAccountDisabled y, a continuación, en Editar. 6. Haga clic en True y, a continuación, haga clic en Aceptar. La cuenta de Mary Baker quedará deshabilitada. 7. Para habilitar la cuenta de Mary Baker, edite msDS-UserAccountDisabled de nuevo y, esta vez, asigne el valor False al atributo.


Guía paso a paso de ADAM 49

Administrar particiones de directorio en ADAM En los siguientes ejercicios, se familiarizará con otra herramienta de administración de ADAM, Ldp.exe. Ldp se instala como parte del conjunto de herramientas de administración de ADAM. En estos ejercicios, utilizará Ldp para conectarse y enlazar a una instancia de ADAM y, a continuación, utilizará Ldp para agregar manualmente, y más tarde eliminar, una partición de directorio de aplicaciones. (Recuerde que también puede crear una partición de directorio de aplicaciones utilizando el asistente para la instalación de ADAM.)

Conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe Para comenzar este ejercicio, se conectará y enlazará a su instancia de ADAM mediante Ldp.exe. Para conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba ldp y presione ENTRAR. 3. En el menú Connection, haga clic en Connect. 4. En Server, escriba el nombre de host o DNS del equipo que ejecuta ADAM. Cuando la instancia de ADAM se ejecuta localmente, también puede escribir localhost. 5. En Port, escriba el número del puerto de comunicaciones LDAP o SSL de la instancia de ADAM a la que desee conectarse y haga clic en Aceptar.


Guía paso a paso de ADAM 50 6. En el menú Connection, haga clic en Bind. 7. Realice una de estas acciones: 

Para enlazar utilizando las credenciales con las que inició sesión, haga clic en Bind as currently logged on user.



Para enlazar utilizando una cuenta de usuario de dominio, haga clic en Bind using credentials,escriba el nombre de usuario, la contraseña y el nombre de dominio (o el nombre del equipo, si está usando una cuenta de la estación de trabajo local) de la cuenta que está usando y haga clic en Aceptar.



Para enlazar usando sólo un nombre de usuario y una contraseña, haga clic en Simple bind, escriba el nombre de usuario y la contraseña de la cuenta que esté usando y haga clic en Aceptar.



Para enlazar utilizando un método avanzado (NTLM, DPA, negotiate o digest), haga clic en Advanced (método), haga clic en Advanced, en Method, seleccione el método que desee, defina las demás opciones según sea necesario y haga clic en Aceptar dos veces.

8. Cuando haya terminado de especificar las opciones de enlace, haga clic en Aceptar.


Guía paso a paso de ADAM 51

Agregar una partición de directorio de aplicaciones Ahora puede agregar una partición de directorio de aplicaciones. Para agregar una partición de directorio de aplicaciones utilizando Ldp.exe 1. En el menú Ldp Browse, haga clic en Add child. 2. En Dn, escriba cn=test,o=testpartition,c=us como nombre completo de la nueva partición de directorio de aplicaciones. 3. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter. 

En Attribute, escriba ObjectClass.



En Values, escriba container.

4. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter. 

En Attribute, escriba InstanceType.



En Values, escriba 5.

El cuadro de diálogo Add tendrá el siguiente aspecto:


Guía paso a paso de ADAM 52

5. Haga clic en Run. Una vez agregada la nueva partición de directorio de aplicaciones, aparece lo siguiente en el panel de detalles: ***Calling Add... ldap_add_s(ld, "cn=test,o=testpartition,c=us", [2] attrs) Added {cn=test,o=testpartition,c=us}.

6. Haga clic en Close. 7. Para actualizar Ldp y ver la nueva partición de directorio, debe desconectarse y volver a enlazar a la instancia de ADAM. En el menú Connection, haga clic en Disconnect. 8. Enlace a la instancia de ADAM tal y como lo hizo anteriormente. En el menú Connection, haga clic en Bind. 9. Para ver el árbol de directorios en Ldp, en el menú View, haga clic en Tree. 10. Para ver todas las particiones de directorio de la instancia de ADAM, deje BaseDN en blanco y haga clic en Aceptar. La ventana Ldp tendrá el siguiente aspecto:


Guía paso a paso de ADAM 53

11. Para ver la nueva partición de directorio y sus contenedores y objetos predeterminados, haga doble clic en CN=test,O=testpartition,C=US en el árbol de la consola. La ventana Ldp tendrá el siguiente aspecto:

Eliminar una partición de directorio de aplicaciones En este ejercicio, eliminará la partición de directorio de aplicaciones que ha creado.


Guía paso a paso de ADAM 54 Para eliminar una partición de directorio de aplicaciones utilizando Ldp.exe 1. En el árbol de la consola de Ldp, haga doble clic en la partición del directorio de configuración CN=Configuration,CN={GUID}, donde GUID es el identificador único asignado por ADAM. 2. Para ver los objetos de referencias cruzadas de las particiones de directorio de la instancia de ADAM, en el árbol de la consola haga doble clic en el contenedor de particiones CN=Partitions. La ventana Ldp tendrá el siguiente aspecto:

3. En el árbol de la consola, en el contenedor de particiones CN=Partitions, haga doble clic en el objeto de referencia cruzada para el que el valor de nCName (según se muestra en el panel de detalles) es igual a CN=test,O=testpartition,C=US, tal y como se puede ver a continuación : Nota Para borrar el panel de detalles de Ldp sin alterar el enlace o la conexión, en el menú Connection, haga clic en New.


Guía paso a paso de ADAM 55

4. Para eliminar este objeto de referencia cruzada (y, por tanto, el directorio de partición asociado), en el árbol de la consola, haga clic con el botón secundario en el objeto de referencia cruzada apropiado del contenedor de particiones, haga clic en Delete y, a continuación, en Aceptar. Precaución No es posible deshacer la eliminación de una partición después de hacer clic en Aceptar. Una vez eliminado el objeto de referencia cruzada, el panel de detalles tendrá una apariencia similar a la siguiente: ldap_delete_s(ld, "CN=56c5aea2-5cb1-450a-96f05622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835DCBBEE6E08B1}"); Deleted "CN=56c5aea2-5cb1-450a-96f05622cd949791,CN=Partitions,CN=Configuration,CN={90BF4692-0FF5-4410-8835DCBBEE6E08B1}"

Nota Para obtener más información acerca de Ldp, consulte la Ayuda de ADAM. Para abrir la Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Ayuda de ADAM.


Guía paso a paso de ADAM 56

Administrar la autorización en ADAM La autorización hace referencia al proceso de determinar a qué objetos de directorio tienen acceso los usuarios. Igual que ocurre en Active Directory, las listas de control de acceso (ACL) de cada objeto de directorio determinan qué usuarios tienen acceso a ese objeto. De manera predeterminada, las únicas ACL de ADAM se encuentran en el contenedor de nivel superior de cada partición de directorio. Todos los objetos de una partición de directorio determinada heredan esas ACL. Puede ver y modificar las ACL predeterminadas de ADAM, además de agregar más ACL, utilizando la herramienta de línea de comandos Dsacls.exe. En los siguientes ejercicios, se verán y modificarán las ACL de ADAM. Nota Puede tener aplicaciones habilitadas para el uso de directorios que implementen sus propios esquemas de autorización personalizados. Estas aplicaciones normalmente pasan por alto las ACL de los objetos de directorio de ADAM.

Ver los permisos efectivos En este ejercicio, se verán los permisos efectivos de la partición de directorio o=Microsoft,c=US. Para ver los permisos efectivos 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba lo siguiente y presione ENTRAR: dsacls \\nombreDeServidor:númeroDePuerto\O=Microsoft,C=US donde nombreDeServidor:númeroDePuerto es el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Este comando muestra todos los permisos que se encuentran establecidos en ese momento en el objeto de partición de directorio. El contenido de la pantalla debería ser similar al siguiente: Access list: Effective Permissions on this object are: Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} SPECIAL ACCESS READ PERMISSONS


Guía paso a paso de ADAM 57 LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} Replicating Directory Changes Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} Replication Synchronization Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} Manage Replication Topology Allow CN=Instances,CN=Roles,CN=Configuration,CN={C98CA450-AC25-4BC1-AC3CC3BEC88B335E} Replicating Directory Changes All Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL The command completed successfully

Conceder permisos En este ejercicio, se concederá el permiso Eliminar sobre el objeto de grupo ADAM testers a la cuenta de Mary Baker. Para conceder el permiso Eliminar 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM.


Guía paso a paso de ADAM 58 2. En el símbolo del sistema, escriba lo siguiente: dsacls “\\nombreDeServidor:númeroDePuerto\CN=ADAM testers,OU=ADAM users,O=Microsoft,C=US” /G “CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US”:SD;; donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM. Asegúrese de utilizar una G mayúscula al escribir el parámetro /G y emplee las comillas como se muestra. El contenido de la pantalla debería ser similar al siguiente: Access list: Effective Permissions on this object are: Allow CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent> Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent> The command completed successfully

Denegar permisos En este ejercicio, se denegará el permiso Eliminar al usuario que ha iniciado la sesión actual en el grupo ADAM testers. Este proceso consta de dos fases: 

Denegar los permisos de eliminación en el contenedor principal del grupo ADAM testers


Guía paso a paso de ADAM 59 

Denegar los permisos de eliminación en el grupo en sí Para denegar los permisos Eliminar en el contenedor principal de un grupo 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. Para denegar los permisos Eliminar, Eliminar secundario y Eliminar árbol en el contenedor principal del grupo ADAM testers, que es la OU ADAM users. En el símbolo del sistema, escriba lo siguiente: dsacls “\\nombreDeServidor:númeroDePuerto\OU=ADAM users,O=microsoft,C=US” /D dominio\administrador:SDDCDT;; donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM y dominio\administrador representa la cuenta con la que haya iniciado la sesión actual. Asegúrese de utilizar una D mayúscula al escribir el parámetro /D y emplee las comillas como se muestra.

El contenido de la pantalla debería ser similar al siguiente: Access list: Effective Permissions on this object are: Deny domain\account SPECIAL ACCESS DELETE DELETE CHILD DELETE TREE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent> Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent> The command completed successfully


Guía paso a paso de ADAM 60 Para denegar los permisos de eliminación en el grupo 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. Para denegar el permiso Eliminar en el grupo ADAM testers para el usuario que ha iniciado la sesión actual, escriba lo siguiente en el símbolo del sistema: dsacls “\\nombreDeServidor:númeroDePuerto\CN=ADAM testers,OU=ADAM users,O=microsoft,C=US” /D dominio\administrador:SDDCDT;; donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM y dominio\administrador representa la cuenta con la que haya iniciado la sesión actual. Asegúrese de utilizar una D mayúscula al escribir el parámetro /D y emplee las comillas como se muestra. El contenido de la pantalla debería ser similar al siguiente: Access list: Effective Permissions on this object are: Deny domain\account SPECIAL ACCESS DELETE Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent> Permissions inherited to subobjects are: Inherited to all subobjects Allow CN=Readers,CN=Roles,O=Microsoft,C=US SPECIAL ACCESS <Inherited from parent> READ PERMISSONS LIST CONTENTS READ PROPERTY LIST OBJECT Allow CN=Administrators,CN=Roles,O=Microsoft,C=US FULL CONTROL <Inherited from parent> The command completed successfully


Guía paso a paso de ADAM 61

Administrar la autenticación en ADAM Con ADAM, puede enlazar como entidad de seguridad de Windows, como entidad de seguridad de ADAM o mediante un objeto proxy de ADAM. En los siguientes ejercicios, llevará a cabo las siguientes operaciones: 

Llevará a cabo un enlace como entidad de seguridad de Windows.



Establecerá una contraseña para la cuenta de usuario de ADAM Mary Baker, que creó con anterioridad.



Llevará a cabo un enlace como entidad de seguridad de ADAM.



Llevará a cabo un enlace mediante un objeto proxy de ADAM.

Además, probará los permisos que establezca utilizando la herramienta de línea de comandos Dsacls.exe en los ejercicios de Administrar la autorización en ADAM.

Enlazar como entidad de seguridad de Windows En este ejercicio, enlazará con una instancia de ADAM como una entidad de seguridad de Windows y, a continuación, probará el enlace. Para enlazar como entidad de seguridad de Windows y probar el enlace 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Editor ADSI de ADAM. 2. Utilizando el Editor ADSI de ADAM, enlace con la instancia de ADAM utilizando la entidad de seguridad de Windows con la que haya iniciado sesión y conéctese con la partición de directorio O=Microsoft,c=US. 3. En el panel de detalles, examine el grupo ADAM testers en el que denegó el permiso Eliminar a la cuenta de Windows actual. 4. Haga clic con el botón secundario en el grupo ADAM testers y, a continuación, haga clic en Delete. Aparecerá el mensaje “Acceso denegado”, lo que confirma que el permiso Eliminar se ha denegado a la cuenta de Windows.


Guía paso a paso de ADAM 62

Establecer la contraseña de un usuario de ADAM Antes de iniciar sesión en la instancia de ADAM con la cuenta de usuario Mary Baker, debe establecer una contraseña para la cuenta. Nota Además de utilizar Ldp como se describe en este procedimiento, también puede utilizar el Editor ADSI de ADAM para establecer o modificar contraseñas: haga clic con el botón secundario en el objeto de directorio que representa la entidad de seguridad de ADAM en el Editor ADSI de ADAM y, a continuación, haga clic en Restablecer contraseña. Para establecer una contraseña en una cuenta de usuario de ADAM 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba ldp y presione ENTRAR. 3. En el menú Connection, haga clic en Connect y, a continuación, conéctese a la instancia de ADAM. 4. En el menú Options, haga clic en ConnectionOptions. 5. En Option Name, haga clic en LDAP_OPT_SIGN, escriba 1 en Value y, a continuación, haga clic en Set. 6. En Option Name, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Value, haga clic en Set y, a continuación, en Close. 7. En el menú Connection, haga clic en Bind y, a continuación, enlace con la instancia de ADAM. 8. En el menú View, haga clic en Tree, deje BaseDN en blanco y, a continuación, haga clic en Aceptar. 9. En el árbol de la consola, localice la partición de directorio O=Microsoft,C=US. Haga doble clic en O=Microsoft,C=US y, a continuación, haga doble clic en OU=ADAM Users,O=Microsoft,C=US. 10. Haga clic con el botón secundario en el objeto de usuario CN=Mary Baker y, a continuación, haga clic en Modify. Aparecerá el siguiente cuadro de diálogo:


Guía paso a paso de ADAM 63

11. En Attribute, escriba userpassword y, a continuación, en Values escriba una contraseña para la cuenta. 12. Haga clic en Enter y, a continuación, en Run. El panel de detalles de Ldp tendrá un aspecto similar al siguiente: ***Call Modify... ldap_modify_s(ld, 'CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US',[1] attrs); Modified "CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US".

Nota Cuando ADAM se ejecuta en un equipo con Windows Server 2003, obliga al cumplimiento de la directiva de contraseñas y la configuración de bloqueo de cuentas del equipo, unidad organizativa o dominio, dependiendo de cuál esté en vigor.


Guía paso a paso de ADAM 64

Enlazar como entidad de seguridad de ADAM En este ejercicio, enlazará con una instancia de ADAM como una entidad de seguridad de ADAM y, a continuación, probará el enlace. Para enlazar como entidad de seguridad de ADAM y probar el enlace 1. Utilizando Ldp, enlace con la instancia de ADAM utilizando CN=Mary Baker,OU=ADAM users,O=Microsoft,C=US como cuenta, junto con la contraseña que acaba de asignar a esta cuenta. 2. Para confirmar que ha iniciado sesión como Mary Baker y que el permiso Eliminar que concedió anteriormente está en vigor, en el árbol de la consola de Ldp, examine el grupo ADAM testers y elimínelo. Para eliminar el grupo ADAM testers, haga clic con el botón secundario en el objeto CN=ADAM testers y, a continuación, haga clic en Delete. Nota De manera predeterminada, los nuevos usuarios de ADAM (como Mary Baker) tienen acceso de lectura en el contenedor de nivel superior de una partición de directorio dada, un permiso que heredan todos los objetos de la partición. Pero, dado que ha asignado explícitamente el permiso Eliminar a Mary Baker en el objeto de grupo ADAM testers, la operación de eliminación se ha llevado a cabo correctamente. Para obtener más información acerca del control de acceso y los permisos predeterminados de ADAM, consulte la Ayuda de ADAM. Para ver la Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Ayuda de ADAM.

Enlazar mediante un objeto proxy de ADAM Además de enlazar como usuario de Windows o de ADAM, también puede enlazar con una instancia de ADAM mediante la redirección de enlace de ADAM. Si utiliza la redirección de enlace, ADAM puede aceptar y procesar las solicitudes de enlace con un objeto proxy de ADAM que contenga como uno de sus atributos el Id. de seguridad (SID) de una entidad de seguridad de Active Directory. Con ADAM, puede utilizar la redirección de enlace para proporcionar a los usuarios de Active Directory acceso a los datos de ADAM y Active Directory, utilizando las credenciales de dominio de Active Directory como inicio de sesión único (SSO). Además, puede utilizar los objetos proxy de


Guía paso a paso de ADAM 65 ADAM para almacenar datos de usuario específicos de una aplicación particular de ADAM y, al mismo tiempo, emplear Active Directory para almacenar datos de directorio usados de forma más general. La redirección de enlace permite a un usuario conectarse a ADAM mediante un enlace simple y mientras utiliza credenciales de Active Directory. Otros tipos de enlace con credenciales de Active Directory funcionan sin necesitar un proxy, al contrario que el enlace simple. Los enlaces de proxy sólo funcionan con los enlaces simples. Los archivos .ldf de ADAM, que puede importar al esquema de ADAM durante su instalación, contienen una definición de objeto para el objeto userProxy, que se puede utilizar para la redirección de enlace. Este objeto contiene atributos que incluyen un nombre completo y un SID. Si crea un objeto userProxy en ADAM (especificando un nombre completo que se usará para el enlace) y utiliza un SID válido de una cuenta de usuario de Active Directory, puede enlazar con ADAM utilizando la redirección de enlace. Para obtener más información acerca de la autenticación de ADAM, consulte la referencia técnica de "Active Directory Application Mode" en el sitio Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=51640). Para los siguientes ejercicios, se supone que ya ha importado las clases de usuario opcionales al esquema de ADAM.

Seguridad de enlaces y objetos proxy de ADAM De manera predeterminada, es necesaria una conexión SSL para enlazar con ADAM con redirección de enlace. SSL requiere la instalación y el uso de certificados en el equipo que ejecuta ADAM y en el que se conecta a ADAM como cliente. Si no tiene certificados instalados en el entorno de pruebas de ADAM, puede, como alternativa, deshabilitar el requisito de SSL, según se describe en el siguiente procedimiento. Nota Al deshabilitar el requisito de SSL para la redirección de enlace, la contraseña de la entidad de seguridad de Windows se pasa al equipo que ejecuta ADAM sin ser cifrada en primer lugar. Por lo tanto, sólo debería deshabilitar el requisito de SSL en un entorno de pruebas. Para deshabilitar el requisito de SSL para la redirección de enlace 1. Según se describe anteriormente en el procedimiento "Para enlazar, ver y examinar una instancia de ADAM utilizando el Editor ADSI de ADAM", conéctese y enlace con la instancia de ADAM utilizando el Editor ADSI de ADAM y, a continuación, en el árbol de la consola, examine el siguiente objeto contenedor


Guía paso a paso de ADAM 66 de la partición de configuración: CN=Directory Service,CN=Windows NT,CN=Services. 2. Haga clic con el botón secundario en CN=Directory Service y, a continuación, haga clic en Propiedades. 3. En Atributos, haga clic en msDS-Other-Settings y, a continuación, en Editar. 4. En Valores, haga clic en RequireSecureProxyBind=1 y, a continuación, en Quitar. 5. En Valor para agregar, escriba RequireSecureProxyBind=0, haga clic en Agregar y, a continuación, en Aceptar.

Crear y enlazar con un objeto proxy de ADAM En estos ejercicios, creará un objeto proxy para un usuario de Active Directory y enlazará con ADAM utilizando dicho objeto. Para enlazar con ADAM mediante un objeto proxy de ADAM 1. Según se describió anteriormente en el procedimiento "Para conectarse y enlazar a una instancia de ADAM utilizando Ldp.exe", conéctese y enlace con la instancia de ADAM utilizando Ldp y, a continuación, examine O=Microsoft,C=US. 2. En el menú Browse de Ldp, haga clic en Add child. 3. En Dn, escriba cn=testproxy,o=microsoft,c=us como nombre completo para el nuevo objeto userProxy que se creará en el contenedor O=Microsoft,C=US. 4. En Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter. 

En Attribute, escriba ObjectClass.



En Values, escriba userProxy.

5. De nuevo, en Edit Entry, escriba lo siguiente y, a continuación, haga clic en Enter: 

En Attribute, escriba objectSID.



En Values, escriba el SID válido de un usuario de Active Directory. El directorio \LABS_DEMO\LABS\bindredirect de la descarga de ADAM contiene dos comandos del paquete de herramientas de administración de Windows Server 2003, Dsquery.exe y Dsget.exe, que le ayudarán a recuperar el SID de un usuario de Active Directory. Puede ejecutar esos


Guía paso a paso de ADAM 67 comandos en un equipo con Windows Server 2003. Para recuperar el SID de un usuario de Active Directory con esos comandos, escriba lo siguiente (como un único comando) en el símbolo del sistema: dsquery user -samid dominio\cuenta | dsget user -sid donde dominio\cuenta representa el usuario cuyo SID desea recuperar. En este comando, el resultado de Dsquery se reenvía a Dsget. Puede recuperar el SID del usuario que ha iniciado la sesión actual en un equipo que ejecuta Windows Server 2003 escribiendo lo siguiente en el símbolo del sistema: whoami /user (Algunas versiones de whoami requieren la sintaxis whoami /user /sid.) 6. Haga clic en Run. De este modo se agregará el objeto userProxy con los atributos que ha especificado al almacén de directorios de ADAM. 7. Para desconectarse de la instancia de ADAM, en el menú Connection, haga clic en Disconnect. Ahora puede enlazar con la instancia de ADAM utilizando el objeto proxy de ADAM y la redirección de enlace. Para enlazar como un objeto proxy de ADAM mediante redirección de enlace 1. En el menú Connection, haga clic en Connect y, a continuación, conéctese a la instancia de ADAM en una conexión nueva. 2. En el menú Options, haga clic en ConnectionOptions. 3. En Option Name, haga clic en LDAP_OPT_SIGN, escriba 1 en Value y, a continuación, haga clic en Set. 4. En Option Name, haga clic en LDAP_OPT_ENCRYPT, escriba 1 en Value, haga clic en Set y, a continuación, en Close. 5. Para enlazar con la instancia de ADAM de nuevo mediante Ldp, en el menú Connection, haga clic en Bind. 6. En User, escriba: cn=testproxy,o=Microsoft,c=us Esto representa el objeto proxy que acaba de crear. 7. Asegúrese de que la opción Domain no esté seleccionada.


Guía paso a paso de ADAM 68 8. En Password, escriba la contraseña asociada con el usuario de Active Directory que especificó en el paso 5 del procedimiento anterior y, a continuación, haga clic en Aceptar.

Demostrar las funciones de los objetos proxy de ADAM De manera predeterminada, a un usuario de Windows que enlaza con una instancia de ADAM se le asigna su pertenencia solamente a los grupos de ADAM a los que se ha agregado explícitamente como miembro. Cuando un usuario enlaza con una instancia de ADAM mediante un objeto proxy, se le asigna su pertenencia al grupo de usuarios de todos los contextos de nomenclatura contenidos en la instancia de ADAM. Puede utilizar esta diferencia en las pertenencias a grupos para demostrar las diferencias funcionales entre enlazar con una instancia de ADAM como usuario de Windows y enlazar con una instancia de ADAM mediante un objeto proxy. En el siguiente ejercicio se demuestra esa diferencia. Para demostrar el enlace a ADAM mediante un objeto proxy 1. En la partición de directorio O=Microsoft,C=US, agregue el grupo de usuarios como miembro del grupo de lectores siguiendo las instrucciones generales para agregar miembros a grupos que puede encontrar en el procedimiento anterior "Para agregar un usuario a un grupo". 2. Enlace con la instancia de ADAM (utilizando Ldp o el Editor ADSI de ADAM) como usuario de Active Directory (que no sea el administrador de ADAM, que cuenta con acceso pleno a todas las particiones de manera predeterminada). 3. Intente leer algún objeto de la partición de directorio O=Microsoft,C=US. Este intento no debería poder llevarse a cabo, ya que el usuario de Active Directory no tiene acceso a la partición de manera predeterminada. 4. Enlace con la instancia de ADAM (utilizando Ldp o el Editor ADSI de ADAM) utilizando el objeto proxy que ha creado. 5. Intente leer algún objeto de la partición de directorio O=Microsoft,C=US. Esta vez, la operación debería realizarse correctamente, ya que a los usuarios que enlazan con una instancia de ADAM mediante un objeto proxy se les asigna automáticamente su pertenencia al grupo de usuarios. Además, puesto que ha agregado el grupo de usuarios al grupo de lectores en el paso 1 de este procedimiento, al enlazar con la instancia de ADAM mediante el objeto proxy es posible leer la partición.


Guía paso a paso de ADAM 69 Nota Para obtener más información acerca de la redirección de enlace, consulte la Ayuda de ADAM. Para ver la Ayuda de ADAM, haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Ayuda de ADAM. Para obtener información acerca de la administración de objetos proxy mediante programación, consulte Administrar ADAM mediante programación más adelante esta guía.

Realizar una copia de seguridad y restaurar Active Directory Application Mode (ADAM) En los siguientes ejercicios, realizará una copia de seguridad de la instancia de ADAM. A continuación, quitará ADAM por completo del equipo. Finalmente, restaurará la instancia de ADAM en el equipo.

Realizar una copia de seguridad de una instancia de ADAM En este ejercicio, realizará una copia de seguridad de la instancia de ADAM. Para realizar una copia de seguridad de una instancia de ADAM 1. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Copia de seguridad. 2. En el Asistente para copia de seguridad o restauración, haga clic en el vínculo Modo avanzado. 3. Haga clic en la ficha Copia de seguridad y, a continuación, en el menú Trabajo, haga clic en Nuevo. 4. Active la casilla de verificación que se encuentra a la izquierda de la carpeta de la instancia de ADAM que, de manera predeterminada, es %programfiles%\Microsoft\ADAM\instance1. 5. Para realizar una copia de seguridad de los archivos de ADAM en un archivo, haga


Guía paso a paso de ADAM 70 clic en Archivo en Destino de la copia de seguridad. (Si no tiene una unidad de cinta en el equipo, Archivo estará seleccionado de manera predeterminada.) A continuación, en Hacer copia de seguridad del medio o del archivo, escriba la ruta de acceso y el nombre del archivo de copia de seguridad (.bkf). El contenido de la pantalla debería ser similar al siguiente:

6. Haga clic en Iniciar y, a continuación, realice los cambios que desee en el cuadro de diálogo Información sobre el trabajo de copia de seguridad. 7. Si desea establecer opciones de copia de seguridad avanzadas, como la comprobación de datos o la compresión por hardware, en el cuadro de diálogo Información sobre el trabajo de copia de seguridad, haga clic en Opciones avanzadas. Cuando haya finalizado la selección de opciones avanzadas de copia de seguridad, haga clic en Aceptar. 8. Haga clic en Iniciar. Una vez completada la copia de seguridad, cierre la aplicación de copia de seguridad.


Guía paso a paso de ADAM 71

Quitar una instancia de ADAM Para simular la pérdida accidental de una instancia de ADAM, puede desinstalar la instancia de ADAM, con lo que se quitarán tanto los archivos de programa y como de datos de ADAM. Para desinstalar una instancia de ADAM 1. Haga clic en Inicio, seleccione Panel de control, haga clic en Agregar o quitar programas y, a continuación, haga clic en Instancia de Adam instance1. Si se trata del primer elemento de la lista, Instancia de Adam instance1 ya estará seleccionado. 2. Haga clic en Quitar y, a continuación, en Sí. A continuación, se quitará Active Directory Application Mode del equipo.

Restaurar una instancia de ADAM En este ejercicio, restaurará la instancia de ADAM a partir de la copia de seguridad que realizó en el ejercicio anterior. Para restaurar una instancia de ADAM 1. Cree una instancia de ADAM siguiendo los pasos de Instalar ADAM. Utilice la misma configuración que definió durante la primera instalación de ADAM pero, en este caso, no cree una partición de directorio de aplicaciones durante la instalación. Puede restaurar la partición de directorio de aplicaciones original a partir de la copia de seguridad. Por lo tanto, en la página Partición de directorio de aplicaciones del Asistente para instalación de Active Directory Application Mode (ADAM), haga clic en No, no crear una partición de directorio de aplicaciones. 2. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Copia de seguridad. 3. Haga clic en el vínculo Modo avanzado del Asistente para copia de seguridad o restauración. 4. Haga clic en la ficha Restaurar y administrar medios. Para seleccionar la instancia de ADAM que desea restaurar, en el panel de detalles, active la casilla de verificación que se encuentra a la izquierda de la carpeta instance1, según se muestra a continuación:


Guía paso a paso de ADAM 72

5. En Restaurar archivos en, haga clic en Ubicación original. 6. En el menú Herramientas, haga clic en Opciones, después en la ficha Restaurar, Reemplazar siempre el archivo en mi equipo y, por último, en Aceptar. 7. Haga clic en Iniciar. 8. Si aparece un mensaje solicitándole que reinicie el equipo, haga clic en Sí. 9. Una vez completada la restauración, cierre la aplicación Copia de seguridad. 10. Para confirmar que los datos de la instancia original de ADAM se han restaurado correctamente, utilice el Editor ADSI de ADAM para confirmar que la partición de directorio O=Microsoft,C=US se ha restaurado y que la unidad organizativa OU=ADAM Users y la cuenta de Mary Baker existen en la partición.


Guía paso a paso de ADAM 73

Administrar los conjuntos de configuración En los siguientes ejercicios, creará nuevas instancias de ADAM replicando para ello la instancia de ADAM existente. De este modo, también creará un conjunto de configuración de ADAM. Las instancias de ADAM de un conjunto de configuración replican una partición de esquema y una partición de configuración comunes y también pueden replicar particiones de directorio de aplicaciones (como O=Microsoft,C=US) entre ellas. En los siguientes ejercicios, instalará dos instancias de ADAM de réplica. Creará la primera instancia de réplica utilizando el Asistente para instalación de Active Directory Application Mode (ADAM). La segunda instancia de réplica la creará utilizando la instalación desatendida. A continuación, configurará la programación de replicación para el conjunto de configuración. Nota En un entorno de producción, las instancias de ADAM que pertenecen al mismo conjunto de configuración no pueden encontrarse en el mismo equipo. Puede tener varias instancias de ADAM ejecutándose en un equipo, pero deben pertenecer a distintos conjuntos de configuración. No obstante, a efectos de esta guía, si no dispone de un segundo equipo, puede instalar las instancias de ADAM de réplica en el primer equipo.

Instalar una réplica mediante el Asistente para instalación de Active Directory Application Mode (ADAM) Puede instalar una instancia de réplica de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM). Para instalar una instancia de réplica de ADAM utilizando el Asistente para instalación de Active Directory Application Mode (ADAM) 1. Inicie el Asistente para instalación de Active Directory Application Mode (ADAM) en el segundo equipo (si dispone de uno) o en el primero: haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Crear una instancia de ADAM. Siga los pasos del asistente hasta que llegue a la página


Guía paso a paso de ADAM 74 Opciones de instalación. 2. En la página Opciones de instalación, haga clic en Una réplica de una instancia existente y, a continuación, haga clic en Siguiente. 3. En la página Nombre de instancia, acepte el nombre predeterminado instance2 (o instance1, si instala ADAM en el segundo equipo) y, a continuación, haga clic en Siguiente. Nota Los nombres de instancia de ADAM sólo deben ser únicos en un equipo determinado. 4. En la página Puertos, acepte los valores predeterminados de 50000 y 50001 (si está realizando la instalación en el primer equipo) o 389 y 636 (si está usando el segundo equipo) y, a continuación, haga clic en Siguiente. 5. En la página Unirse a un conjunto de configuración, en Servidor, escriba el nombre de host o el nombre DNS del equipo donde se ha instalado la primera instancia de ADAM. A continuación, escriba el número de puerto LDAP que utiliza la primera instancia de ADAM (el 389 de manera predeterminada) y, a continuación, haga clic en Siguiente. Nota Debe utilizar un nombre de host o nombre DNS válido, en lugar de una dirección IP o el valor localhost, al especificar un servidor en la página Unirse a un conjunto de configuración del Asistente para instalación de Active Directory Application Mode (ADAM). 6. En la página Credenciales administrativas para el conjunto de configuración, haga clic en la cuenta utilizada como administrador de ADAM en la primera instancia de ADAM. 7. En la página Copiar particiones de directorio de aplicación, seleccione las particiones de directorio de aplicaciones que desee replicar en la nueva instancia de ADAM. (Las particiones de configuración y esquema se replicarán automáticamente.) Si desea seleccionar la partición de directorio O=Microsoft,C=US para replicarla, en Particiones disponibles, haga clic en O=Microsoft,C=US y, a continuación, haga clic en Agregar. El Asistente para instalación de Active Directory Application Mode (ADAM) tiene el siguiente aspecto:


Guía paso a paso de ADAM 75

8. Haga clic en Siguiente. 9. Acepte los valores predeterminados de las demás páginas del Asistente para instalación de Active Directory Application Mode (ADAM) haciendo clic en Siguiente en cada página y, a continuación, haga clic en Finalizar en la página Finalización del Asistente para instalación de Active Directory Application Mode (ADAM). 10. Una vez completada la instalación, utilice el Editor ADSI de ADAM para confirmar que la partición de directorio O=Microsoft,C=US se ha replicado en la segunda instancia de ADAM.

Instalar una réplica desde los medios utilizando la instalación desatendida Además de utilizar el Asistente para instalación de Active Directory Application Mode (ADAM), también puede instalar una réplica de una instancia de ADAM desde los medios. Para este tipo de instalación, debe utilizar una copia restaurada de una copia de seguridad de ADAM como medio y llevar a cabo una instalación desatendida.


Guía paso a paso de ADAM 76 En primer lugar, restaurará la copia de seguridad de la instancia de ADAM a una ubicación diferente de la original para no sobrescribir la primera instancia de ADAM. A continuación, creará un archivo de respuesta y llevará a cabo la instalación desatendida. Para instalar una réplica de una instancia de ADAM utilizando la instalación desatendida 1. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas del sistema y, a continuación, haga clic en Copia de seguridad. 2. Utilice la aplicación Copia de seguridad para restaurar la copia de seguridad de la instancia original de ADAM, tal y como hizo anteriormente. Sin embargo, en esta ocasión haga clic en Ubicación alternativa en Restaurar archivos en en lugar de Ubicación original y, a continuación, escriba o desplácese a la ruta de acceso de directorio alternativa en la que desee restaurar los archivos, como se muestra a continuación.

3. Tras restaurar los archivos de copia de seguridad, cree un archivo de respuesta para la instalación desatendida de ADAM. Un archivo de respuesta proporciona los valores para las opciones de instalación de ADAM (las mismas opciones que


Guía paso a paso de ADAM 77 aparecen en el Asistente para instalación de Active Directory Application Mode (ADAM)). Utilice un editor de texto para crear un archivo de texto llamado Answer.txt y, a continuación, agregue el siguiente contenido al archivo. Sustituya servername con el nombre de host o nombre DNS del equipo donde se ejecuta la primera instancia de ADAM. Sustituya C:\media_install\Program Files\Microsoft\ADAM\instance1\data por la ruta de acceso de la copia restaurada de la primera instancia de ADAM. [ADAMInstall] ; The following line specifies to install a replica ADAM instance. InstallType=Replica ; The following line specifies the name to be assigned to the new instance. InstanceName=instance3 ; The following lines specify the communication ports to use for LDAP and SSL. LocalLDAPPortToListenOn=50002 LocalSSLPortToListenOn=50003 ; The following lines specify the directory location of the restored files. ReplicationDataSourcePath=C:\media_install\Program Files\Microsoft\ADAM\instance1\data ReplicationLogSourcePath=C:\media _install\Program Files\Microsoft\ADAM\instance1\data ; The following lines specify a computer name and ADAM port of an ADAM instance in the ; configuration set you want to join ; Replace servername with the name of the computer on which your first ADAM ; instance is running SourceServer=servername SourceLDAPPort=389

4. Después de guardar el archivo Answer.txt, puede ejecutar la instalación desatendida. En el símbolo del sistema, escriba lo siguiente: unidad:\rutaDeAcceso\adamsetup /c:"adaminstall.exe /answer:unidad:\nombreDeRutaDeAcceso\answer.txt" donde el primer unidad:\rutaDeAcceso es la ubicación de la descarga de ADAM y el segundo unidad:\nombreDeRutaDeAcceso es la ubicación del archivo Answer.txt que ha creado. 5. Tras ejecutar este comando, puede confirmar mediante el complemento Servicios que la nueva instancia de ADAM se ha instalado y se está ejecutando.


Guía paso a paso de ADAM 78

Configurar la programación de replicación Ahora que dispone de varias instancias de ADAM unidas en un único conjunto de configuración, puede programar la replicación. La programación de replicación es opcional. Igual que ocurre en Active Directory, ADAM siempre ofrece una programación de replicación predeterminada. Para programar la replicación entre instancias de ADAM 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Editor ADSI de ADAM. 2. Conéctese y enlace a una de las instancias de ADAM. Nota Dado que todas las instancias de ADAM pertenecen al mismo conjunto de configuración, puede programar la replicación en cualquiera de ellas. 3. En el árbol de la consola, haga doble clic en la partición de configuración CN=Configuration,CN={GUID}, donde GUID es el identificador único asignado durante la instalación de ADAM. Haga doble clic en el contenedor de sitios, CN=Sites, y, a continuación, haga doble clic en el contenedor de sitios predeterminado, CN=Default-First-Site-Name. El complemento Editor ADSI de ADAM tiene el siguiente aspecto:


Guía paso a paso de ADAM 79 Nota De manera predeterminada, todas las instancias de ADAM que cree pertenecen a un único sitio, Default-First-Site-Name. En este ejercicio, todas las instancias de ADAM pertenecen a un único sitio. Por lo tanto, está programando la replicación sin salir de un sitio, lo que recibe el nombre de replicación dentro del sitio. Para obtener más información acerca de los sitios, los conjuntos de configuración y la replicación de ADAM, consulte la guía del administrador de Active Directory Application Mode. Para ver la guía del administrador de Active Directory Application Mode, haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Ayuda de ADAM. 4. En el panel de detalles, haga clic con el botón secundario en CN=NTDS Site Settings y, a continuación, haga clic en Programación. 5. En el cuadro de diálogo Programación, seleccione el bloque de tiempo que desea programar y haga clic en Ninguno, Una vez por hora, Dos veces por hora o Cuatro veces por hora como frecuencia de replicación y, a continuación, haga clic en Aceptar. El cuadro de diálogo Programación tendrá el siguiente aspecto:

Nota En el caso de la replicación dentro del sitio, las instancias de ADAM replican los cambios mediante las notificaciones de actualización. La programación


Guía paso a paso de ADAM 80 de la frecuencia de replicación sólo afecta a la replicación dentro del sitio cuando no se producen notificaciones de actualización en el tiempo especificado.

Provocar la replicación inmediata de una partición de directorio El Asistente para instalación de Active Directory Application Mode (ADAM) instala una versión de ADAM de Repadmin.exe, que cuenta con las mismas funciones que la versión de Active Directory de Repadmin.exe. Tal y como ocurre con Active Directory, puede provocar la sincronización inmediata de una partición de directorio con asociados de replicación utilizando Repadmin.exe, según se explica en este ejercicio. Para provocar la replicación inmediata de una partición de directorio utilizando Repadmin.exe 1. Haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Símbolo del sistema de herramientas de ADAM. 2. En el símbolo del sistema, escriba lo siguiente: repadmin /syncall localhost:389 o=Microsoft,c=us Nota Para obtener más información acerca de la sintaxis de repadmin, en el Símbolo del sistema de herramientas de ADAM, escriba repadmin /?.

Administrar ADAM mediante programación Mediante programación, puede llevar a cabo buena parte de las tareas que puede realizar manualmente con las herramientas de administración de ADAM. En la descarga de ADAM se incluyen varios fragmentos de código y secuencias de comandos de ejemplo que le ayudarán a empezar.


Guía paso a paso de ADAM 81

Administrar ADAM mediante programación con secuencias de comandos de Visual Basic El directorio \LABS_DEMO\LABS\VBScript de la descarga de ADAM incluye secuencias de comandos de ejemplo producidas en Microsoft® Visual Basic®, Scripting Edition (VBScript), para las siguientes operaciones comunes: 

Extender el esquema para incluir la clase de contactos. (Adamcontact.vbs)



Importar dos contactos. (AdamContactImport.vbs)

En las siguientes secuencias de comandos, se supone que Adamuser.ldf se importó en un ejercicio anterior: 

Agregar OU



Agregar usuario



Agregar grupo



Agregar usuario a grupo



Eliminar usuario



Obtener una lista de objetos específicos de una ruta de acceso (Filter_adam.vbs)



Enumerar usuarios y grupos



Establecer una contraseña

Por ejemplo, la secuencia de comandos para enumerar usuarios y grupos contiene el siguiente código: '************************************************** ' ' This script enumerates the users and groups in the passed in OU ' To run: cscript member_adam.vbs [OU] [Group] ' Examples: cscript member_adam.vbs ou=testou,c=us testuser ' '************************************************** set Args = Wscript.Arguments ouName = Args(0) ' If the application OU DN is "ou=adamou,c=us" and the server is "adamhost" and the port is 389. Then this parameter should be passed ' as follows: "LDAP://adamhost:389/ou=adamou,c=us" set ou = GetObject(ouName ) wscript.echo "Displaying Groups and Group membership..." & vbcrlf ou.Filter = Array("group") for each obj in ou


Guía paso a paso de ADAM 82 wscript.echo "Group : " & obj.Name for each member in obj.Members wscript.echo " |" wscript.echo " -- " & member.Name Next wscript.echo vbcrlf Next

Puede ejecutar cualquiera de estas secuencias de comandos desde el símbolo del sistema utilizando el comando cscript. (Para obtener ayuda sobre cscript, escriba cscript /? en el símbolo del sistema.) Cada secuencia de comandos requiere que se suministren los nombres completos del proveedor y del host junto con el especificador de puerto. Nota La secuencia de comandos Adamcontact.vbs sólo necesita que se suministren los parámetros nombreDeServidor:númeroDePuerto, ya que extiende el esquema. Puede abrir el archivo en el Bloc de notas para ver la sintaxis específica. (Si ejecuta una secuencia de comandos sin parámetros, aparecerá el siguiente mensaje de error: “El subíndice está fuera del intervalo.”) Por ejemplo, para ejecutar la secuencia de comandos Member_adam.vbs a fin de enumerar los usuarios y grupos de un objeto con el nombre completo O=Microsoft,C=US, escriba: cscript member_adam.vbs "LDAP://nombreDeServidor:númeroDePuerto /o=Microsoft,c=us" donde nombreDeServidor:númeroDePuerto representa el nombre del equipo y el puerto de comunicaciones LDAP de la instancia de ADAM.

Administrar ADAM mediante programación con la API System.DirectoryServices Para el siguiente ejercicio es necesario que tenga instalado Microsoft® Visual Studio® .NET. Para tener acceso a ADAM mediante la interfaz de programación de aplicaciones (API) System.DirectoryServices 1. Inicie Visual Studio .NET. 2. En el menú Archivo, haga clic en Nuevo y, a continuación, en Proyecto.


Guía paso a paso de ADAM 83 3. En Tipos de proyecto, haga clic en un tipo de proyecto (C#, VB.NET, etcétera). 4. En Plantillas, haga clic en una plantilla de proyecto (Consola, Windows, etcétera). 5. En Nombre, escriba un nombre para el proyecto. 6. Una vez creado el proyecto, haga clic en Agregar referencia en el menú Proyecto. 7. En la columna Nombre de componente, haga clic en System.DirectoryServices.dll, como se muestra a continuación.

8. Agregue la siguiente línea al principio del código: C#: using System.DirectoryServices; VB.NET: Imports System.DirectoryServices;

Nota No es obligatorio agregar el nombre del espacio de nombres, pero resulta


Guía paso a paso de ADAM 84 más sencillo que escribir un nombre largo. Por ejemplo, en lugar de System.DirectoryServices.DirectoryEntry, utilice DirectoryEntry. 9. Para leer un objeto de ADAM, agregue el siguiente código: int portNumber=1025; // put the correct port number here. String serverName="adam01"; // put the correct servername here. String partitionDir = "O=Fabrikam"; //put the correct partition distinguished name. DirectoryEntry ent = new DirectoryEntry("LDAP://"+serverName+":"+portNumber+"/"+partitionDir); Console.WriteLine("Hello World, {0}, with Guid {1}", ent.Name, ent.Guid);

Administrar los objetos proxy de ADAM mediante programación El directorio \LABS_DEMO\LABS\bindredirect de la descarga de ADAM incluye código de muestra para crear, rellenar y probar objetos proxy de ADAM. Además, el directorio incluye una versión compilada y lista para ejecutarse del código de ejemplo. Este código de ejemplo muestra la forma en la que puede automatizar la creación de objetos proxy y completa los pasos del procedimiento "Para enlazar con ADAM mediante un objeto proxy de ADAM" de Administrar la autenticación en ADAM. Nota Para obtener más información acerca de la redirección de enlace de ADAM, consulte la guía del administrador de Active Directory Application Mode. Para ver la guía del administrador de Active Directory Application Mode, haga clic en Inicio, seleccione Todos los programas, ADAM y, a continuación, haga clic en Ayuda de ADAM. El código de sampleBindRedirect.c realiza todas las siguientes operaciones mediante programación: 

Enlaza a una instancia de ADAM utilizando la cuenta de usuario de Windows que proporcione.



Lee el atributo tokenGroups del usuario de Windows para recuperar su SID.



Enlaza a una instancia de ADAM utilizando la cuenta de Administrador de ADAM que proporcione.



Con la cuenta de administrador de ADAM, crea un objeto userProxy para el usuario de Windows.



Agrega el grupo de usuarios de cualquier partición de directorio de aplicaciones dada al grupo de lectores de la misma partición.


Guía paso a paso de ADAM 85 

Enlaza a una instancia de ADAM como el usuario de Windows para demostrar que el usuario de Windows no puede leer la partición del directorio de aplicaciones.



Enlaza a una instancia de ADAM mediante el objeto proxy para demostrar que se puede leer la partición del directorio de aplicaciones.



Elimina el objeto userProxy.

Puede ejecutar la versión compilada de este código de ejemplo, BindRedirect.exe, para observar su funcionamiento. Para obtener ayuda sobre la forma de ejecutar el programa de ejemplo BindRedirect.exe, escriba bindredirect /? en el símbolo del sistema. Nota Este código de ejemplo se ejecuta con los siguientes requisitos: Para ejecutarse correctamente, debe haber disponibles conexiones SSL a ADAM (para lo que es necesario la instalación de certificados), o bien el atributo RequireSecureProxyBind del atributo msds-Other-Settings del objeto nTDsService debe tener un valor de 0. Para obtener más información, consulte "Seguridad de enlaces y objetos proxy de ADAM" en Administrar la autenticación en ADAM. No debe existir ningún objeto de entidad de seguridad externo en ADAM para el usuario de Windows que especifique. Cuando utilice un enlace y una conexión SSL, debe proporcionar el nombre DNS completo del equipo que ejecuta ADAM.

ADAM  

ADAM_Step-by-Step_Guide

Advertisement