Active
Directory es un directorio implementado en los sistemas operativos desde
Windows 2000 Server. Con el tiempo se le han aportado muchas mejoras.
Conceptos importantes sobre Active
Directory:
v El bosque:
es una colección de uno 0 varios dominios de Active Directory. EI primer
dominio instalado en un bosque se denomina dominio raíz, su nombre DNS se
corresponde con el nombre del bosque. Un bosque contiene una sola definición de
la configuración de la red y una sola instancia del esquema del directorio. No
se replica ningún dato fuera del bosque: esto sirve como frontera de seguridad.
v EI dominio y la arborescencia de
dominio: Una arborescencia de dominio es un conjunto de dominios
que comparten un espacio de nombres contiguo. La relación entre los dominios de
una misma arborescencia es de tipo padre/hijo. Un dominio que disponga de un
espacio de nombres distinto formara parte de una arborescencia diferente.
El dominio representa un límite de seguridad y los usuarios se definen por
dominio. Un dominio contiene, al menos, un controlador de dominio, aunque se
recomienda tener dos. Un servidor con el rol de controlador de dominio tiene la
responsabilidad de realizar la identificación dentro del dominio de AD.
v Unidad organizativa es
un objeto contenedor que ofrece la posibilidad de jerarquizar Active Directory.
Los objetos se agrupan, de este modo, mediante la aplicación de GPO,
facilitando su administración.
v Los
objetos: Es posible encontrar
distintos tipos de objeto en Active Directory:
o Usuario:
permite autentificar los usuarios físicos que abren una sesión en el dominio.
Se les asocia derechos y permisos a su cuenta con el objetivo de permitir el
acceso a un recurso.
o
Grupo:
permite agrupar distintos objetos que tienen el mismo nivel de acceso sobre un
recurso. La administración de permisos resulta mucho más sencilla utilizando
grupos.
o
Equipo:
permite autentificar los puestos físicos conectados al dominio. Se le asocian
derechos y permisos con el objetivo de permitir el acceso a un recurso.
o
Unidad
organizativa: contenedor que permite organizar objetos
de manera jerárquica. Es posible aplicarle una 0 varias estrategias de grupo.
o
Impresora:
es posible publicar una impresora compartida en Active Directory. Esta
acción simplifica la búsqueda e instalación para el usuario.
o
Carpeta
compartida: como con las impresoras, es posible publicar
carpetas compartidas en AD.
v Particiones de Active Directory:
utiliza cuatro tipos de particiones de directorio, las cuales se comparten entre
los controladores de dominio.
o
Particiones
de dominio
o
Particiones
de configuración
o
Particiones
de Esquema
o
Particiones
DNS
Estas particiones se almacenan en la base de datos y
esta última se almacena en la carpeta %systemroot%\NTDS.
v Los maestro de operaciones FSMO: Existen
cinco roles FSMO en un bosque Active Directory. Dos de los roles están
presentes únicamente en uno de los controladores de dominio del bosque, los
otros tres se asignan a un controlador de dominio por dominio.
o Rol
maestro del esquema: solo un controlador de dominio en el
bosque dispone de este rol. Los demás controladores de dominio tienen un acceso de
solo lectura.
o
Maestro
de denominación del dominio: cuando se agrega o
elimina un dominio en el bosque, se contacta con este servidor con el objetivo
de asegurar la coherencia en los nombres de los dominios. Solo un DC tiene este
rol dentro del bosque.
o Maestro
RID:
un servidor por dominio posee este rol. Tiene como función alojar bloques de identificación
relativos (RID) a los distintos controladores de dominio de su dominio. EI RID
se utiliza durante la creación de un objeto para crear el SID (identificador de
seguridad). Este último se construye asociando el RID al identificador de dominio.
o Maestro
de infraestructura: tiene como responsabilidad supervisar
los objetos de los demás dominios del bosque que son miembros del bosque de su
dominio.
o Maestro
emulador POC: este rol se ha creado por motivos de
compatibilidad de aplicación.
v Catalogo Global:
es un controlador de dominio que contiene una copia de los atributos de todos
los objetos de Active Directory de un bosque. Solo ciertos atributos se
replican, esta elección se realiza a nivel de atributo y no de c1ase.
v Los sitios AD:
Los dominios se dividen en sitios AD, los cuales representan la topología
física de la empresa. Si la conectividad de red en este sitio se considera como
buena, hablaremos de replicación intransitivo.
v Replicación intrasitio y replicación
intersitio: La replicación permite asegurar que
cualquier modificación que se realice sobre un controlador de dominio se
transmite también a los demás servidores responsables de la autentificación.
Mediante
estas rutas de replicación, la topología se crea automáticamente. Esta última
asegura la verificación de la coherencia de los datos. De este modo, la
topología permite tener una continuidad a nivel de la replicación incluso en
caso de que falle algún controlador de dominio. Permite, también, asegurar que
es imposible realizar más de tres saltos entre dos controladores de dominio.
Existen, por tanto, dos tipos de replicación: intrasitio e intersitio. La replicación intrasitio permite replicar
las modificaciones de los controladores de dominio de un mismo sitio replicación:
intrasitio e intersitio.
La replicación
intrasitio permite replicar las modificaciones de los controladores de
dominio de un mismo sitio.
EI ISTG
(generador de topología intersitio) crea objetos de conexión entre los
servidores de cada sitio, con el objetivo de realizar la replicación
intersitio.
Para realizar la replicación instantánea se utilizan
dos protocolos:
o IP:
se utiliza para todas las replicaciones intrasitio e intersitio, este protocolo
se utiliza muy a menudo.
o
SMTP:
muy útil en caso de desconexión entre
redes no fiables. Se requiere una CA haciendo más pesada la administración.
Este protocolo se utiliza muy poco para la replicación.
v Nivel funcional del dominio y del
bosque: Un nivel funcional activa una o varias características
en un dominio 0 un bosque. Existen varios niveles funcionales, aunque la
operación que consiste en aumentar el nivel funcional es irreversible. Es, por
tanto, imposible disminuirlo. Esto tiene un impacto en el dominio 0 en el
bosque, puesto que es preciso que todos los controladores de dominio ejecuten
el sistema operativo correspondiente al del nivel funcional seleccionado.
Active Directory
es un servicio de directorio que permite referenciar y organizar objetos tales
como cuentas de usuario, nombre de recursos compartidos, autorizaciones
mediante grupos de dominio, la información puede centralizarse en un dominio de
referencia con el objetivo de facilitar la administración del sistema de
información.
Desde
el punto de vista tecnológico cabe tener en cuenta tres nociones:
o El domino es la unidad básica encargada de
agrupar los objetos que comparten un mismo espacio de nombres.
o Una arborescencia de dominios es la
agrupación jerárquica de varios dominios que comparten un mismo espacio de
nombres.
o Un bosque trata de reagrupar varias
arborescencias de dominio que tienen en común un catálogo global y que no
comparten, obligatoriamente, un espacio de nombres común.
e Desde
el punto de vista físico:
o
Los controladores de dominio se encargan
de almacenar el conjunto de los datos y de administrar las interacciones entre
los usuarios y el dominio
o Todos los controladores de dominio de un
mismo dominio comparten una partición de dominio común. La cuarta partición
(presente de forma opcional) es la partición de aplicación. Esta almacena los
datos sobre las aplicaciones utilizadas en Active Directory y se replica sobre
los controladores de dominio que usted elija que formen parte del mismo bosque.
o Los sitios Active Directory ponen en
evidencia la agrupación física de objetos de un mismo dominio. Debe, además,
asociar uno (0 varios) controlador(es) de dominio a un mismo sitio Active
Directory si estos controladores de dominio se comunican con un enlace de red
que tenga una buena velocidad de transferencia.
o Los roles FSMO son un total de cinco en el
seno de una infraestructura Active Directory. Estos roles deben estar
contenidos en controladores de dominio y son necesarios para el correcto
funcionamiento de un dominio de Active Directory. Los cuales son los siguientes: