Contenido
1. ¿En qué consiste Active Directory?
2. Otros servicios de Active Directory
3. Active Directory Structure
4. Controladores de dominio
5. Sistema de nombres de dominio
6. Replicación
¿En qué consiste Active Directory?
Active Directory (AD) es un servicio de directorio para su uso en un entorno Windows Server. Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y dispositivos de red.
Active Directory es el servicio de directorio propietario de Microsoft para su uso en redes de dominio de Windows. Cuenta con funciones de autenticación y autorización y proporciona un framework para otros servicios similares. Básicamente, el directorio consiste en una base de datos LDAP que contiene objetos en red. Active Directory utiliza el sistema operativo Windows Server.
Cuando se habla sobre Active Directory, por lo general nos referimos a los servicios de dominio (Domain Services) de Active Directory, que proporcionan servicios integrados de autenticación y autorización a gran escala.
Antes de Windows 2000, el modelo de autenticación y autorización de Microsoft obligaba a dividir una red en dominios para luego vincularlos mediante un sistema de confianza de una y dos vías que resultaba complicado y, a veces, impredecible. Active Directory se presentó en Windows 2000 como una forma de proporcionar servicios de directorio a entornos más grandes y complejos.
Otros servicios de Active Directory
Con el tiempo, Microsoft ha agregado servicios adicionales bajo el estandarte de Active Directory.
Active Directory Lightweight Directory Services
Esta versión ligera de los servicios de dominio elimina cierta complejidad y algunas características avanzadas para ofrecer solo la funcionalidad básica del servicio de directorio sin controladores de dominio, bosques o dominios. Normalmente se utiliza en entornos de red individuales y pequeñas.
Active Directory Certificate Services
Los servicios de certificados ofrecen formas de certificación digital y admiten infraestructura de clave pública (PKI, por sus siglas en inglés). Este servicio puede almacenar, validar, crear y revocar las credenciales de clave pública utilizadas para el cifrado en lugar de generar claves de forma externa o local.
Active Directory Federation Services
Proporciona un servicio de autenticación y autorización de inicio de sesión único basado en la web para su uso principalmente entre organizaciones. De este modo, un contratista puede iniciar sesión en su propia red y tener autorización, al mismo tiempo, para acceder a la red del cliente.
Active Directory Rights Management Services
Se trata de un servicio de administración de derechos que rompe con el concepto de autorización como un simple modelo de permitir o denegar acceso y limita lo que puede hacer un usuario con archivos o documentos concretos. Los derechos y restricciones se adjuntan al documento, y no al usuario. Estos derechos se usan comúnmente para evitar la impresión, la copia o las capturas de pantalla de un documento.
Active Directory Structure
Una característica clave de la estructura de Active Directory es la autorización delegada y la replicación eficiente. Cada parte de la estructura organizativa de AD limita la autorización o la replicación dentro de esa subparte en particular.
Bosque
El bosque es el nivel más alto de la jerarquía de la organización, y se trata de un límite de seguridad dentro de la organización. Un bosque permite segregar la delegación de autoridad de forma acotada en un solo entorno. De este modo, podemos tener un administrador con derechos y permisos de acceso total, pero solo a un subconjunto específico de recursos. También es posible utilizar un solo bosque en la red. La información del bosque se almacena en todos los controladores de dominio de todos los dominios dentro del bosque.
Árbol
Un árbol es un grupo de dominios. Los dominios dentro de un árbol comparten el mismo espacio de nombre raíz, pero, a pesar de ello, los árboles no son límites de seguridad o replicación.
Dominios
Cada bosque contiene un dominio raíz. Se pueden usar dominios adicionales para crear más particiones dentro de un bosque. El propósito de un dominio es dividir el directorio en partes más pequeñas para poder controlar la replicación. Un dominio limita la replicación de Active Directory solo a los otros controladores de dominio que se encuentran en su interior. Por ejemplo: si tenemos dos oficinas, una Oakland y otra en Pittsburg, la primera no debe replicar los datos de AD de la segunda (y viceversa). De este modo, podemos ahorrar ancho de banda y limitar el daño causado a través de las brechas de seguridad.
Cada controlador de un dominio contiene una copia idéntica de la base de datos de Active Directory de ese dominio. De este modo se mantiene todo actualizado a través de la replicación constante.
A pesar de que los dominios se usaban en el modelo anterior, basado en Windows-NT, y aún proporcionan una barrera de seguridad, se recomienda que no sean solo los dominios los que se encarguen de controlar la replicación, sino que se empleen también las unidades organizativas (OU) para agrupar y limitar los permisos de seguridad.
Unidades organizativas (OU)
Una unidad organizativa permite agrupar la autoridad sobre un subconjunto de recursos de un dominio. Una OU proporciona un límite de seguridad para privilegios y autorización elevados, pero no limita la replicación de objetos de AD.
Las unidades organizativas se utilizan para delegar el control dentro de agrupaciones funcionales. Se deben usar las unidades organizativas para implementar y limitar la seguridad y los roles entre los grupos, mientras que los dominios deben usarse para controlar la replicación de Active Directory.
Controladores de dominio
Los controladores de dominio son servidores de Windows que contienen la base de datos de Active Directory y ejecutan funciones relacionadas con AD, como la autenticación y la autorización. Un controlador de dominio es cualquier servidor Windows que cuente con la función de controlador de dominio instalada.
Cada controlador de dominio almacena una copia de la base de datos de Active Directory, que contiene información sobre todos los objetos dentro del mismo dominio. Además, cada controlador de dominio almacena el esquema de todo el bosque, así como toda la información sobre el mismo. Un controlador de dominio no almacenará una copia de ningún esquema o información de bosque de un bosque diferente, aunque se encuentren en la misma red.
Funciones especializadas del controlador de dominio
Se usan roles especializados de controlador de dominio para realizar operaciones específicas que no están disponibles en los controladores de dominio estándar. Aunque estos roles maestros se asignan al primer controlador creado en cada bosque o dominio, un administrador puede reasignarlos manualmente.
Maestro de esquema
Solo existe un maestro de esquema por bosque. Contiene la copia maestra del esquema utilizado por todos los demás controladores de dominio. Tener una copia maestra garantiza que todos los objetos se definan de la misma manera.
Maestro de nombres de dominio
Solo existe un maestro de nombres de dominio por cada bosque, y su función es garantizar que todos los nombres de los objetos sean únicos y, cuando sea necesario, realizar referencias cruzadas de los objetos almacenados en otros directorios.
Maestro de infraestructura
Hay un maestro de infraestructura por dominio que mantiene la lista de objetos eliminados y rastrea las referencias de los objetos en otros dominios.
Maestro del identificador relativo
El maestro del identificador relativo rastrea la asignación y creación de identificadores de seguridad únicos (SID) en todo el dominio, y hay uno por dominio.
Emulador de controlador de dominio primario
Solo hay un emulador de controlador de dominio primario (PDC) por dominio. Está ahí para proporcionar compatibilidad con versiones anteriores de los antiguos sistemas de dominio basados en Windows NT, y responde a las solicitudes realizadas a un PDC como se esperaría que lo hiciera un PDC antiguo.
Almacén de datos
El almacén de datos se encarga del almacenamiento y la recuperación de la información en cualquier controlador de dominio. El almacén de datos se compone de tres capas. La capa inferior es la propia base de datos. La capa intermedia está compuesta por componentes de servicio, el agente del sistema de directorio (DSA), la capa de base de datos y el motor de almacenamiento extensible (ESE). En la capa superior se encuentra el servicio de almacenamiento de directorio, el LDAP (Lightweight Directory Access Protocol), la interfaz de replicación, la API de mensajería (MAPI) y el administrador de cuentas de seguridad (SAM).
Sistema de nombres de dominio
Aunque Active Directory contiene información de ubicación sobre los objetos almacenados en la base de datos, utiliza el sistema de nombres de dominio (DNS) para situar los controladores de dominio.
Dentro de Active Directory, cada dominio tiene un nombre de dominio DNS y cada ordenador que forma parte del dominio cuenta con un nombre DNS dentro del mismo.
Objetos
Todo lo que hay dentro de Active Directory se almacena en forma de objeto. También podría decirse que la clase es el “tipo” de un objeto dentro del esquema. Los atributos son los componentes del objeto, y están definidos por su propia clase.
Los objetos deben definirse dentro del esquema para que los datos puedan almacenarse en el directorio. Una vez definidos, los datos se almacenan dentro del directorio activo como objetos individuales. Cada objeto debe ser único y representar una sola cosa, como un usuario, un equipo o un grupo único de cosas (grupos de usuarios, por ejemplo).
Los dos principales tipos de objetos son recursos y principios de seguridad. A los principios de seguridad se les asignan identificadores de seguridad (SID), pero los recursos no.
Replicación
Active Directory utiliza diversos controladores de dominio por múltiples razones, incluido el equilibrio de carga y la tolerancia a fallos. Para que esto funcione, cada controlador de dominio debe disponer de una copia completa de la propia base de datos de Active Directory de su dominio. La replicación es el proceso que garantiza que cada controlador cuente con una copia actualizada de la base de datos.
La replicación está limitada por el dominio. Los controladores de dominio que se encuentran en dominios diferentes no se replican entre sí, incluso aunque estén dentro del mismo bosque. Si bien las versiones anteriores de Windows tenían diferentes tipos de controladores de dominio (principal y secundario), en Active Directory no existe tal cosa: todos los controladores de dominio son iguales. A veces puede existir cierta confusión por seguir usando en Active Directory el nombre de “controlador de dominio” que se empleaba en el antiguo sistema, basado en la confianza.
La replicación trabaja sobre un sistema de extracción, lo que significa que un controlador de dominio solicita o “extrae” la información de otro controlador de dominio en lugar de que cada uno de ellos envíe o “introduzca” datos en los demás. De forma predeterminada, los controladores de dominio solicitan datos de replicación cada 15 segundos. Ciertos eventos de alta seguridad, como bloquear una cuenta, activan un evento de replicación inmediata.
Solo se replican los cambios. Para garantizar la fidelidad en un sistema de múltiples maestros, cada controlador de dominio realiza un seguimiento de los cambios y solicita solo las actualizaciones que necesita desde la última replicación. Los cambios se replican a través de todo el dominio mediante un mecanismo de almacenamiento y reenvío, de modo que cualquier cambio se replica cuando se solicita, incluso si dicho cambio no se originó en el controlador de dominio que responde a la solicitud de replicación.
De ese modo se evita el exceso de tráfico, y se puede configurar para garantizar que cada controlador de dominio solicite sus datos de replicación al servidor más deseable. Por ejemplo, si una ubicación remota tiene dos conexiones a otros sitios con controladores de dominio, y una de ellas es rápida mientras que la otra es lenta, puede establecer un “coste” para cada conexión. Al hacerlo, la solicitud de replicación se realizará siempre a través de la conexión más rápida.
Referencias
FAQs
¿Qué es Active Directory y cómo está organizado? ›
Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y dispositivos de red.
¿Qué características y ventajas presenta el Active Directory? ›- Organización: permite crear grupos para facilitar la administración. ...
- Permisos: control desde un sólo punto de los permisos a los recursos de la red. ...
- Autenticación: cualquier usuario puede entrar en otro equipo de la red con su usuario y clave, y tendrá los permisos que le hayamos asignado.
Estructura básica del AD en redes Windows. Un Active Directory consta básicamente de tres componentes centrales: esquema, configuración y dominio. En el centro están los dominios, que contienen toda la información importante sobre los recursos informáticos y los usuarios y mapean la red.
¿Qué son los servicios Active Directory? ›Qué es Active Directory
Azure Active Directory es una herramienta de Microsoft muy útil para redes LAN. Su función es la de dar servicio desde un servidor a varios usuarios conectados a la red. Una de sus funciones más comunes es la de dar la posibilidad de imprimir en una impresora conectada a la misma red.
Los controladores de dominio proporcionan el almacenamiento físico para la base de datos de Servicios de dominio de Active Directory (AD DS), además de proporcionar los servicios y los datos que permiten a las empresas administrar eficazmente sus servidores, estaciones de trabajo, usuarios y aplicaciones.
¿Cómo se crea un directorio activo? ›Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory para iniciar la consola Usuarios y equipos de Active Directory. Haga clic en el nombre de dominio que creó y, a continuación, expanda el contenido.
¿Dónde se guarda la base de datos de Active Directory? ›En Windows (incluyendo Windows 2003 y Windows 2008), la base de datos de Active Directory generalmente se ubica en la carpeta %systemroot%\NTDS (como C:\Windows\NTDS) de un controlador de dominio. A pesar de que esta ubicación se utiliza de manera predeterminada, es configurable.
¿Qué es un atributo en Active Directory? ›El Editor de atributos de Active Directory es una herramienta gráfica incorporada para administrar las propiedades de los objetos de AD (usuarios, computadoras, grupos).
¿Qué beneficios tiene el Active? ›Descripción del producto
La fibra ayuda en la digestión, proporciona una sensación de saciedad para reducir tu apetito y, ayuda a producir bacterias digestivas beneficiosas. El estadounidense promedio está muy por debajo de la cantidad de fibra diaria recomendada de 28 gramos.
El DNS, o sistema de nombres de dominio, traduce los nombres de dominios aptos para lectura humana (por ejemplo, www.amazon.com) a direcciones IP aptas para lectura por parte de máquinas (por ejemplo, 192.0.2.44).
¿Cómo proteger el Active Directory? ›
Una forma de obtener la seguridad de Active Directory, sería escaneando continuamente sus directorios en busca de vulnerabilidades de seguridad, interceptando ciberataques en curso, y recuperándose rápidamente de ataques ransomware y otras emergencias de integridad de datos.
¿Cómo saber la dirección IP de un dominio? ›Para saber cuál es la dirección IP asociada a un dominio o página web, solamente hay que hacer una consulta a un servidor DNS, es decir, se va a averiguar la dirección IP del servidor donde se encuentra alojado ese dominio o página web. Podrás averiguar la dirección IP utilizando el comando nslookup y/o ping.
¿Qué es el Active Directory PDF? ›Es un servicio de directorio de Windows Server. Consiste en una Base de Datos jerárquica y distribuida. Nos sirve para administrar, proteger y organizar los recursos de la red y del equipo como usuarios, archivos, grupos, etc.
¿Qué se puede hacer con Active Directory? ›Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible.
¿Qué protocolo se utiliza para consultar Active Directory? ›| Protocolo de aplicación | Protocolo | Puertos |
|---|---|---|
| Catálogo global | TCP | 3268 |
| ICMP | Sin número de puerto | |
| Servidor del Protocolo ligero de acceso a directorios (LDAP) | TCP | 389 |
| Servidor LDAP | UDP | 389 |
- Inicie Server Manager.
- Pulse en Añadir roles y características.
- En la página Antes de empezar, pulse en Siguiente.
- Para el tipo de instalación, seleccione Instalación basada en rol o basada en características y pulse en Siguiente.
Para copiar cuentas de usuario
Para abrir Usuarios y equipos de Active Directory, haga clic en Inicio y en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Usuarios y equipos de Active Directory.
Como exportar usuarios de Active Directory
Abrimos una consola de PowerShell. Hay que tener en cuenta que esa orden funciona si la OU=Remotos está en la raíz del dominio. Si queremos sacar una OU que está dentro de otra debemos de hacerlo de atrás hacia adelante.
Cómo hacer una copia de seguridad de los objetos de AD usando ADManager Plus: Configure su dominio en la sección Backup Settings (ajustes de respaldo) de la pestaña Backup (respaldo). Haga clic en Back up Now (respaldar ahora) para hacer una copia de seguridad de todo su dominio.
¿Qué es atributo y dominio? ›Un dominio describe un conjunto de posibles valores para cierto atributo. Como un dominio restringe los valores del atributo, puede ser considerado como una restricción. Matemáticamente, atribuir un dominio a un atributo significa "todos los valores de este atributo deben de ser elementos del conjunto especificado".
¿Qué es la función de atributo? ›
Atributo indica cualidades del sujeto a través de un verbo atributivo /copulativo, ser, estar o parecer. Complementa a la vez al sujeto de la oración y al verbo copulativo. Ejemplos: Luis es mecánico. Julián está enfermo.
¿Cómo se configura un atributo? ›Definir atributos
En el formulario Atributos, haga clic en Nuevo para añadir un nuevo atributo. Especifique el nombre, el nombre descriptivo, la descripción y el texto de ayuda del atributo que desea mostrar al usuario. En el campo Tipo de atributo, seleccione el tipo de atributo que desea asignar al atributo.
Active Directory almacena información acerca de los objetos de una red y facilita su búsqueda y uso por parte de los usuarios y administradores. Active Directory usa un almacén de datos estructurado como base para una organización jerárquica lógica de la información del directorio.
¿Qué significa la dirección IP? ›«Dirección IP» significa «dirección del Protocolo de Internet». Este protocolo es un conjunto de reglas para la comunicación a través de Internet, ya sea el envío de correo electrónico, la transmisión de vídeo o la conexión a un sitio web. Una dirección IP identifica una red o dispositivo en Internet.
¿Qué significan las siglas DHCP? ›El Protocolo de configuración dinámica de host (DHCP) es un protocolo cliente/servidor que proporciona automáticamente un host de Protocolo de Internet (IP) con su dirección IP y otra información de configuración relacionada, como la máscara de subred y la puerta de enlace predeterminada.
¿Qué es una dirección IPv4? ›La dirección IPv4 es un número de 32 bits que identifica de forma exclusiva una interfaz de red en un sistema, tal como se explica en Aplicación de las direcciones IP a las interfaces de red. Una dirección IPv4 se escribe en dígitos decimales, y se divide en cuatro campos de 8 bits separados por puntos.
¿Cómo se organizan las cosas en un servidor de directorio? ›Los datos se organizan en una estructura terminantemente jerárquica que en ocasiones suele ser problemática. Para superar espacios de nombre profundos, algunos directorios desmontan la jerarquía del espacio de nombre del objeto en sus mecanismos de almacenaje para optimizar la navegación.
¿Cuáles son las unidades organizativas? ›Unidades organizativas
Una unidad organizativa es un elemento básico de una organización. Una organización se puede estructurar jerárquicamente de diferentes formas según clasificaciones distintas. Por ejemplo, algunas organizaciones están organizadas por una clasificación geográfica.
En Windows (incluyendo Windows 2003 y Windows 2008), la base de datos de Active Directory generalmente se ubica en la carpeta %systemroot%\NTDS (como C:\Windows\NTDS) de un controlador de dominio. A pesar de que esta ubicación se utiliza de manera predeterminada, es configurable.
¿Qué es LDAP y para qué sirve? ›Funcionamiento de LDAP. LDAP es un protocolo basado en la conexión entre cliente y servidor. En el servidor LDAP se almacenarán los datos relativos al directorio, el cual podrá usar una amplia variedad de bases de datos para este almacenamiento, llegando a ser de grandes dimensiones.
¿Qué es el Active Directory PDF? ›
Es un servicio de directorio de Windows Server. Consiste en una Base de Datos jerárquica y distribuida. Nos sirve para administrar, proteger y organizar los recursos de la red y del equipo como usuarios, archivos, grupos, etc.
¿Qué tipos de perfiles de usuario existen en AD? ›El Contenedor de usuarios en el Centro de administración de Active Directory contiene tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio.
¿Cuántas estructuras organizativas existen? ›En la actualidad, podemos dividir las estructuras organizativas primordiales en cinco, que son estas: Estructura funcional. Estructura jerárquica. Estructura lineal.
¿Qué es una OU en informatica? ›Las unidades organizativas (OU) son las entidades de Active Directory más fundamentales a las que se pueden vincular las políticas de grupo y delegar los privilegios administrativos.