Cuando se emplea tiempo en analizar la estructura y necesidades de la organización y en determinar la mejor forma de trasladar esos requisitos al nuevo espacio de nombres, se obtiene como recompensa unos costes de soporte reducidos, una flexibilidad mejorada y una menor reorganización posterior. Es importante comprender que la planificación del espacio de nombres de una organización o compañía grande o incluso de tamaño medio es un proceso iterativo.
Para planificar cómo debería quedar la estructura de espacios de nombres y dominios, es necesario analizar la organización y tratar de comprender sus necesidades de denominación fundamentales. Este proceso requiere una profunda comprensión del tipo de organización que se trata y quiénes son los actores, además de algunas conjeturas razonables acerca de adónde se dirigirá la organización en el futuro.
Como primer paso, es necesario entender las diferencias entre los dos tipos
básicos de espacios de nombres -árboles y bosques- para decidir cómo se adaptan
a la organización. 
Se pueden cambiar los modelos después y no sin tener impacto
sobre la totalidad de los nombres utilizados, por lo que se debe emplear algún
tiempo para asegurarse de la comprensión de lo que realmente necesita la
organización. Lo que la organización necesita puede ser diferente de lo que se
piensa que quiere.
El espacio de nombres en árbol es un espacio de nombres único y contiguo, donde cada nombre del espacio de nombres desciende directamente de un único nombre raíz. Este sencillo tipo de diseño de denominación es apropiado para una organización esencialmente cohesiva que tiene un único nombre bajo el cual puede haber muchas divisiones diferentes y diversos negocios. Muchos pequeños o medianos negocios encajarán bien en este modelo. Incluso negocios muy grandes pueden ajustarse cómodamente a una estructura en árbol si la organización está bastante centralizada y se la conoce por un único nombre.
Como se puede observar en la figura, con un espacio de nombres estructurado
en árbol, cada rama del árbol tiene un nombre que desciende directamente de la
raíz del árbol.
Este convenio facilita el encontrar cualquier hoja o rama del
árbol rastreando la estructura de su nombre.
Un espacio de nombres en bosque es una colección de árboles esencialmente iguales, sin una única raíz en el espacio de nombres. El espacio de nombres en árbol es apropiado para una organización que tenga múltiples líneas de negocio, cada una con su propio nombre independiente e identificable. Generalmente serán grandes empresas, especialmente aquellas que hayan crecido por medio de adquisiciones. Por lo general no disponen de un grupo de sistemas de información único y central que gestiona toda la organización, y cada división tiene normalmente una identidad e infraestructura esencialmente independiente.
Tanto si se va a tener un único árbol o un bosque de árboles como espacio de nombres global, es necesario tomar algunas decisiones sobre cómo se llamarán las distintas ramas del árbol. Ésta podría ser con facilidad una de las decisiones más difíciles y políticamente delicadas que se tendrán que tomar al diseñar toda la estructura de denominación.
Existen esencialmente dos tipos de convenios de denominación: organizativo y geográfico. Ambos tienen sus defensores, y existe un argumento para cada elección. No se debe olvidar que la gente puede volverse muy sensible de forma asombrosa sobre la manera de llamar a su división o departamento y sobre su peso relativo en la organización.
Por medio de un convenio de denominación organizativa se podría modelar el espacio de nombres de la misma forma que está estructurada la organización. Así, la raíz del árbol podría ser dominio.com, con un primer nivel que consista en admin.dominio.com, finanzas.dominio.com, rrhh.dominio.com, etc.
Algunas de las ventajas e inconvenientes del convenio de denominación organizativo son:
Por medio de un convenio de denominación geográfico se podría modelar el espacio de nombres sobre las divisiones geográficas de la organización. Por ejemplo, con la misma raíz dominio.com, se podría tener un primer nivel que consista en corp.dominio.com, nortam.dominio.com, europa.dominio.com, africa.dominio.com, etc. Bajo este primer nivel, podría desglosarse cada entrada en los países o estados/provincias individuales, dependiendo del tamaño y complejidad de la organización.
Los sitios, una nueva estructura de Windows 2000 proporcionada por Active Directory, se pueden utilizar para reducir o eliminar el problema de la implementación de la estructura de denominación organizativa con divisiones que tienen múltiples ubicaciones. Una compañía puede crear un sitio para cada isla de computadoras con conexión LAN. Por ejemplo, la oficina principal podría ser un sitio, y una sucursal otro sitio. Cualquier dominio que abarque más de un sitio ajusta automáticamente sus parámetros de réplica para optimizar el uso del lento enlace WAN entre los sitios. Los clientes también se dirigen de forma automática a los controladores locales de dominio para solicitar servicios, disminuyendo así el uso de los enlaces WAN.
Algunas de las ventajas e inconvenientes del convenio de denominación geográfica son:
Los sitios son útiles para optimizar el uso de los lentos enlaces WAN en redes que utilizan un convenio de denominación geográfico. Aunque generalmente no existen dominios que abarquen múltiples sitios en redes que utilizan el convenio de denominación geográfico, el uso de sitios optimiza mucho más el uso de enlaces WAN al ajustar la réplica entre dominios de Active Directory.
Por último, se puede optar por utilizar una mezcla de los convenios de denominación organizativo y geográfico, especialmente en un espacio de nombres en bosque donde distintas culturas empresariales han crecido y tienen sus propias agendas. El truco, por supuesto, es que esto puede producir mucha confusión y volver más costosa cualquier tarea de soporte, ya que no existe consistencia en la forma de hacer las cosas. Al crear los primeros espacios de nombres de Active Directory en Windows 2000, se debería considerar la realización de todos los esfuerzos para racionalizar la estructura, puesto que facilitará todo el trabajo de soporte posterior.
Incluso si se emplea un convenio de denominación puramente geográfico a lo largo de toda la organización, es posible que resulte ventajoso crear departamentos o dominios en el nivel inferior del árbol porque los grupos que trabajan en áreas similares o en proyectos relacionados tienden a necesitar acceder a los recursos de naturaleza similar. Las necesidades de la planta de fabricación suelen ser diferentes de la de contabilidad, por poner un ejemplo. Estas necesidades comunes pueden identificar las áreas naturales de soporte y control administrativo.
Una segunda decisión que se debe tomar es si se desea que el espacio de nombres utilizado internamente sea el mismo que el que se presenta al mundo exterior. Se podría pensar que los nombres deberían ser los mismos, pero en realidad puede haber razones de peso para optar por espacios de nombres internos y externos diferentes.
Si se tiene un único espacio de nombres, las máquinas tienen los mismos nombres en la red interna y en Internet. En otras palabras, se obtiene un único nombre de la autoridad de registro en Internet correspondiente y se mantiene un único espacio de nombres DNS, aunque sólo un subconjunto de los nombres será visible desde fuera de la compañía.
Si se utiliza el mismo nombre en los espacios de nombres interno y externo, se debe asegurar que la capacidad de resolver nombres desde fuera de la compañía se limita a máquinas fuera del cortafuego que se suponen que son visibles externamente. Hay que asegurarse de que ningún servidor de Active Directory resida fuera del cortafuego. Sin embargo, también es necesario asegurarse de que las máquinas internas puedan resolver nombres y acceder a recursos en ambos lados del cortafuego.
Algunas de las ventajas e inconvenientes de utilizar el mismo espacio de nombres de forma interna y externa son:
Si se establecen espacios de nombres interno y externo distintos, la presencia pública debería ser dominio.com, mientras que internamente se podría usar dom.com. Todos los recursos que residen fuera de la red de la compañía podrían tener nombres que terminen en dominio.com, como www.dominio.com. Sin embargo, dentro de la red de la compañía, se podría utilizar un espacio de nombres independiente que tuviera dom.com como raíz.
Una consideración que conviene recordar en este escenario: es conveniente registrar tanto el nombre público como el privado con la autoridad de nombres de Internet correspondiente. Se puede pensar que no es necesario preocuparse sobre el nombre que es sólo interno si no se tiene intención de exponerlo en Internet. Sin embargo, lo que se está haciendo realmente es asegurarse de que nadie más utilice el mismo nombre, lo que podría causar problemas de resolución a los clientes internos.
Algunas de las ventajas e inconvenientes de utilizar distintos espacios de nombres de forma interna y externa son
Una vez que se ha establecido todo el diseño del espacio de nombres, es necesario diseñar la estructura de dominios que le dé soporte. Cada rama del espacio de nombres se divide bien en un dominio, bien en una unidad organizativa (OU, Organizational Unit). El que una rama sea un dominio o una OU dependerá de múltiples consideraciones, incluyendo la necesidad de réplica, política de seguridad, disponibilidad de recursos, calidad de la conexión, etc.
Los árboles de red de Windows 2000 están formados por dominios y unidades organizativas. Cada uno proporciona fronteras administrativas entre las ramas del árbol, pero tienen implicaciones y requisitos de recursos diferentes.
La unidad principal de Active Directory de Windows 2000 es el dominio, al igual que en Windows NT 3.x y Windows NT 4. Todos los objetos de la red forman parte de un dominio, y la política de seguridad es uniforme a lo largo de un dominio. A diferencia de Windows NT, la seguridad de Windows 2000 se basa en la versión 5 de Kerberos, y las relaciones de confianza son transitivas. En las relaciones transitivas, si un dominio A confía en un dominio B y un dominio B confía en un dominio C, entonces el dominio A también confía en el dominio C.
Se pueden establecer relaciones de confianza unidireccionales al estilo de Windows NT 4. Y aún más importante, las relaciones entre los dominios Windows 2000 y los dominios Windows NT heredados se basan en las relaciones de confianza unidireccionales no transitivas inherentes a Windows NT. Es esencial considerar estas relaciones al planificar la estructura de dominios.
Con Windows 2000, los conceptos de controlador de dominio principal y controlador de reserva de dominios han desaparecido. Los controladores de dominio (DC, Domain Controller) de Windows 2000 están basados en múltiples maestros y parejos. Cada controlador de un dominio tiene la misma autoridad sobre el dominio, y si el controlador cae, los demás continúan administrando y autenticando el dominio. Cualquier DC puede originar un cambio en el dominio y propagarlo después a los demás DC del dominio.
El dominio es también la unidad de réplica. Los cambios en un dominio se replican a lo largo del mismo, incluso cuando el dominio abarca múltiples sitios o ubicaciones. Esta capacidad permite a los controladores de dominio de sitios distantes originar cambios en el dominio y tener los cambios replicados a lo largo del dominio.
Aunque los derechos de acceso son transitivos a ambos lados de las fronteras entre dominios, los derechos administrativos están limitados, de forma predeterminada, al dominio. Esto permite conceder derechos administrativos a un usuario clave en un dominio concreto sin tener que preocuparse de comprometer toda la seguridad de la organización, dado que los derechos administrativos terminan en la frontera del dominio, a no ser que se concedan de forma explícita en otros dominios.
El concepto de OU es nuevo en Windows 2000. Tiene algunas de las características de un dominio, pero sin la sobrecarga de recursos. Una OU está contenida en un dominio y actúa como contenedor de objetos de servicios de directorio. Forma una rama del espacio de nombres contiguo, y puede contener a su vez otras OU. Así, el dominio corp.dominio.com puede contener otros dominios, como finanzas.corp.dominio.com, y también puede contener OU, como hr.corp.dominio.com. La OU proporciona una frontera administrativa conveniente, y los derechos y privilegios para la administración se pueden conceder a los usuarios en una OU sin comprometer al resto del dominio. Sin embargo, una OU no requiere un controlador de dominio independiente ni está implicada en la réplica.
La analogía más cercana a una OU en el modelo de dominios de Windows NT es el dominio de recursos, pero sin la sobrecarga del controlador de dominio que se requería bajo Windows NT. En los casos en los que no se necesita una política de seguridad independiente para un contenedor administrativo dado, la OU proporciona una frontera apropiada que consume pocos recursos. Por otra parte, una OU se puede convertir, si es necesario, en un dominio.
Una vez que se ha diseñado el espacio de nombres y todos los involucrados se han registrado en él, se puede empezar a diseñar e implementar la estructura de dominios. El diseño de la estructura de dominios se corresponderá con el diseño del espacio de nombres, si bien se puede tomar la decisión de que ciertas fronteras del espacio de nombres requieran sólo OU, no dominios completos. La decisión entre una unidad organizativa y un dominio debería basarse en si es necesaria una política de seguridad independiente para las entidades en los límites del espacio de nombres. Si un límite concreto del espacio de nombres no requiere una política de seguridad diferente de la de su padre, probablemente una OU resultará una división apropiada, ya que requiere menos recursos para su implementación. Como se menciona anteriormente, se puede convertir fácilmente una OU en un dominio más adelante si resulta necesario.
Si se va a crear un espacio de nombres único y contiguo y, por lo tanto, una estructura de dominios puramente en árbol, se deseará crear los dominios en orden jerárquico, comenzando por la parte superior del árbol. El primer dominio será el dominio raíz y tendrá, por lo general, o todos los usuarios en él (para modelos pequeños con un único dominio) o ningún usuario en absoluto (si se utiliza un dominio estructural como dominio raíz). Para los que estén familiarizados con los modelos de dominios de Windows NT 4, este patrón se corresponde aproximadamente con el modelo de dominio «maestro único», con una importante diferencia. Los usuarios no necesitan (y muy menudo no deberían) residir en un único dominio maestro, sino que deberían residir en el lugar real que les corresponde en la estructura de dominios.
A medida que se ramifica el árbol del espacio de nombres, se crearán dominios o unidades organizativas para cada rama del árbol. La decisión sobre si crear una OU o un DC dependerá del modelo de seguridad, la calidad de la conexión a la ubicación y variedad de otros factores, incluyendo las consideraciones políticas de la planificación original del espacio de nombres. Si se tiene alguna duda en algún punto, basta con crear una OU, que se puede actualizar fácilmente a un dominio más tarde.
La estructura de bosque de árboles se utiliza a menudo para adaptarse a un espacio de nombres existente que no es contiguo y no se puede hacer contiguo de forma sencilla. Al final habrá múltiples dominios raíz, todos al mismo nivel. Bajo cada uno de esos dominios raíz se tendrá un espacio de nombres contiguo para ese árbol. Cada rama del espacio de nombres será bien un dominio (con el requisito que conlleva de uno o más controladores de dominio) o una unidad organizativa. Generalmente se creará cada árbol de arriba a abajo, y cada rama del árbol tendrá automáticamente una relación de confianza transitiva con las otras ramas del árbol.
Los árboles del bosque compartirán los mismos esquemas, configuración y Catálogo global, con relaciones de confianza transitivas Kerberos, entre todos los miembros del bosque. La jerarquía de confianza dentro de cada árbol seguirá la jerarquía de denominación. Sin embargo, la jerarquía de confianza en el bosque considerado como un todo seguirá el orden en el que los árboles se unan al bosque. Este hecho es trasparente a los usuarios pero puede ser modificado por el administrador para mejorar la gestión y otros aspectos relacionados.
Dentro de cada dominio, los requisitos, la política y la configuración de seguridad son consistentes. Si se necesita modificar los requisitos y la política de seguridad para una subunidad dentro de un dominio, será necesario crear esa subunidad como otro dominio, no como OU. Conviene recordar esta limitación al planificar el espacio de nombres al completo: será necesario tener una rama independiente del espacio de nombres para poder tener una política de seguridad independiente.
La política de seguridad incluye:
Muchas de estas cosas podrán mantenerse constantes a lo largo de toda la organización, pero puede haber ciertas áreas que requieran una seguridad significativamente mayor que la que se necesita en el resto de la organización. Si es así, conviene planificar que las áreas que requieren precauciones extra se encuentren en un dominio independiente para que su seguridad más restrictiva no se imponga a toda la organización.
En las situaciones donde no es necesario crear dominios independientes por motivos de seguridad pero se quiere mantener un nivel independiente en el espacio de nombres, se creará una OU independiente. De este modo, se podría tener un dominio llamado nortam.dominio.com que se quisiera dividir en unidades de negocio dentro de la región. Se podrían crear dominios de ventas, soporte, educación, recursos humanos, producción y finanzas independientes bajo nortam.dominio.com. Sin embargo, la sobrecarga de los dominios independientes (y sus controladores necesarios) para cada una de esas unidades no es necesaria, especialmente si todas ellas comparten una única política de seguridad. Así que basta con crear una OU para cada una de ellas. Si más adelante se decide actualizar a dominio alguna de ellas, se puede hacer fácilmente.
Las unidades organizativas establecen fronteras útiles para propósitos administrativos. Se pueden delegar varias tareas y privilegios administrativos al administrador de una OU específica, liberando al administrador del dominio y proporcionando a la OU el control local de sus propios recursos.
Cuando la organización es suficientemente compleja, o simplemente suficientemente grande, como para tener que crear múltiples dominios, se debería emplear tiempo extra planificando exactamente cómo implementarlos. El tiempo empleado en la interfaz de primer plano se ahorrará a la hora de la instalación.
Conviene recuperar la estructura de dominios planificada y compararla con el espacio de nombres planificado (o existente). Hay que decidir qué debe ser simplemente un dominio y qué puede ser sin problemas una OU. Se deben identificar los servidores que serán los controladores de dominio. No hay que olvidar que los conceptos de controlador de dominio principal y controlador de reserva de dominios ya no existen. Todos los servidores dentro de un dominio tienen el mismo peso e importancia. Las modificaciones hechas a cualquier controlador de dominio se propagan al resto de controladores dentro del dominio. Si se realizan cambios simultáneos en múltiples controladores, Active Directory utilizará los números de actualización secuenciales y las marcas temporales de los cambios para resolver cualquier conflicto.
Al planificar un espacio de nombres contiguo y, por lo tanto, una estructura con un único árbol, se tendrá que crear inicialmente el dominio raíz del espacio de nombres. En este espacio de nombres se crearán las cuentas administrativas principales, pero es mejor dejar la creación del resto de las cuentas para más tarde. Las cuentas de usuarios y máquinas deberían residir en las hojas del árbol donde van a realizar la mayoría de su trabajo. Esto es lo contrario que en Windows NT donde, si había múltiples dominios, a menudo era necesario crear todas las cuentas de usuario en el nivel más alto del dominio a causa de la naturaleza de las relaciones de confianza.
Si se está migrando desde un entorno Windows NT existente, se tendrán los usuarios en un dominio único o multimaestro. Se puede mantener esta disposición y puede ser la forma más sencilla de migrar desde un entorno existente.
Si se tiene un entorno donde ya hay múltiples dominios raíz, o donde no existe un espacio de nombres contiguo, será necesario crear un bosque en lugar de un entorno con un único árbol. El primer paso es examinar lenta y concienzudamente los espacios de nombres no contiguos. Ahora es el momento de hacerlo. Fusionarlos después será mucho más complicado.
Si se decide que simplemente no hay forma de obtener un único espacio de nombres contiguo, lo que implica que será necesario crear un bosque, se debería decidir dónde residirá exactamente la raíz de cada árbol del bosque. Hay que pensar en las ubicaciones físicas de los potenciales controladores de dominio, la disposición de la red, el ancho de banda de cada sitio y la existencia actual de dominios y controladores Windows NT 4. Una vez que se tiene un buen mapa físico y lógico de la red, se está en disposición de planificar la estrategia de dominios.
Primero se deben crear los dominios del nivel raíz y después comenzar a construir los árboles. No es un requisito absoluto, si se pasa por alto algún árbol o algo cambia, se puede volver atrás y añadir otro árbol al bosque. Sin embargo, generalmente conviene crear primero las raíces, aunque sólo sea por mantener las cosas alineadas y las relaciones de confianza de árbol a árbol en orden.
Una vez que se ha creado la raíz de un árbol, no existe una forma sencilla de cambiarle el nombre o borrarla, por lo que no conviene apresurarse a la hora de crear la estructura de dominios. Una planificación en detalle puede evitar grandes dolores de cabeza en el futuro.