Active Directory es el servicio de directorio de Microsoft
resulta indispensable en la gestión de la información en el seno de una
empresa.
Un bosque es una colección de uno 0 varios dominios de Active
Directory. EI primer dominio instalado en un bosque se denomina dominio raíz,
su nombre DNS se corresponde con el nombre del bosque. Un bosque contiene una
sola definición de la configuración de la red y una sola instancia del esquema
del directorio. No se replica ningún dato fuera del bosque: esto sirve como
frontera de seguridad.
EI dominio y el árbol
de dominio
Una árbol de dominio es un conjunto de dominios que
comparten un espacio de nombres contiguo. La relación entre los dominios de una
misma arborescencia es de tipo padre/hijo. Un dominio que disponga de un espacio
de nombres distinto forma parte de una arborescencia diferente. Un dominio
contiene, al menos, un controlador de dominio, aunque se recomienda tener dos.
La unidad
organizativa
Es un objeto contenedor que ofrece la posibilidad de
jerarquizar Active Directory. Los objetos se agrupan facilitando su
administración. También, delegar la administración de objetos contenidos en este contenedor.
Los objetos de active directory son:
- Usuario
- Grupo
- Equipo
- Unidad organizativa: contenedor que organiza objetos de manera jerárquica
- Impresora
- Carpeta compartida
Las particiones de Active Directory son:
- Partición de dominio: contiene la información de los objetos de un dominio.
- Partición de configuración: permite describir la topología del directorio.
- Partición de esquema: contiene todos los atributos y clases de todos los objetos que pueden crearse.
- Partición DNS: contiene las bases de datos de DNS.
Estas particiones se almacenan en la base de datos y esta
última se almacena en la carpeta
%systemroot% \NTDS.
Existen cinco roles FSMO en un bosque Active Directory. Dos
de los roles están presentes únicamente en uno de los controladores de dominio
del bosque, los otros tres se asignan a un controlador de dominio por dominio.
- Rol de maestro del esquema: sol un controlador de dominio en el bosque dispone de este rol. Actualizar el esquema únicamente en este servidor. Los demás controladores de dominio tienen un acceso de solo lectura
- Maestro de dominación del dominio cuando se agrega o elimina un dominio en el bosque, se contacta con este servidor con el objetivo de asegurar la coherencia en los nombres de los dominios. Solo un DC tiene este rol dentro del bosque.
- Maestro RID: un servidor de dominio posee este rol. Su función es alojar bloques de identificación relativos a los distintos controladores de dominio de su dominio. El RID se utiliza durante la creación de un objeto para crear el identificador de seguridad
- Maestro de infraestructura: supervisar los objetos de los demás dominios del bosque que son miembros del bosque de su dominio
- Maestro emulador PDC: creado por motivos de compatibilidad de aplicación. Permite emular un servidor PDC.
Un servidor de catálogo global es un controlador de dominio
que contiene una copia de los atributos de todos los objetos de Active
Directory de un bosque. Solo ciertos atributos se replican, esta elección se
realiza a nivel de atributo y no de c1ase.
Los dominios se dividen en sitios AD, los cuales representan
la topología física de la empresa
La replicación permite asegurar que cualquier modificación que
se realice sobre un controlador de dominio se transmite también a los demás
servidores responsables de la autentificación.
Existen, por tanto, dos tipos de replicación: intrasitio e
intersitio:
La replicación intrasitio permite replicar las
modificaciones de los controladores de dominio de un mismo sitio.
Tras una modificación en una de las particiones de Active Directory,
el servidor notifica a su primer servidor asociado al cambio, en una franja de
15 segundos. Los demás asociados se enteran tres segundos después. Estos
retardos en las notificaciones iniciales y posteriores permiten reducir el
tráfico de red. Tras la recepción de una notificación, se solicita la
modificación y se inicia un agente de replicación de directorio que realiza la
transferencia. Si no se realiza ninguna modificación, se ejecuta el método de
escrutinio.
Active Directory es un
servicio de directorio que permite referencia y organizar objetos tales
como cuentas de usuario, nombres de recursos compartidos, autorizaciones
mediante grupos de dominio, etc.
- El dominio es la unidad básica encargada de agrupar los objetos que comparten un mismo espacio de nombres
- Un árbol de dominios es la agrupación jerárquica de varios dominios que comparten un mismo espacio de nombres
- Un bosque trata de reagrupar varias arborescencias de dominio que tienen en común un catálogo global y que no comparten un espacio de nombres.
Punto de vista físico
hay cuatro elementos principales:
- Los controladores de dominio se encargan de almacenar el conjunto de los datos y de administrar las interacciones entre los usuarios y el dominio
- Cada controlador de dominio contiene a su vez particiones
- Los sitios active Directory ponen en evidencia la agrupación física de objetos de un mismo dominio. Debe asociar uno o varios controladores de dominio a un mismo sitio Active Directory si estos controladores de dominio se comunican con un enlace de red que tenga una buena velocidad de transferencia
- Los roles FSMO son un total de cinco en el seno de una infraestructura Active Directory. Estos roles deben estar contenidos en controladores de dominio y son necesarios para el correcto funcionamiento de un dominio de Active Directory