ACTIVE DIRECTORY

ACTIVE DIRECTORY (AD) es el término utilizado por Microsoft para

referirse a su implementación de servicio de directorio en una red
distribuida de computadores. Utiliza distintos protocolos
(principalmente LDAP, DNS, DHCP, kerberos)

Su estructura jerárquica permite mantener una serie de objetos

relacionados con componentes de una red, como usuarios, grupos de
usuarios, permisos y asignación de recursos y políticas de acceso.

Active directory provee de forma centralizada la administración para

todos los recursos de la red; combinando las denominaciones de
X.500 y el sistema de nombres de dominio (DNS) como motor de
búsqueda y como protocolo central utiliza LDAP de igual forma
integra kerberos como servidor de autenticación.
 TERMINOLOGIA Y CONCEPTOS DE ACTIVE DIRECTORY

ATRIBUTO

Cada fragmento de información que describe algún aspecto de una

entrada. Este esta formado por un tipo del atributo y uno o mas
valores del atributo.

OBJETO

Es un conjunto determinado de atributos que representan algo

completo tales como usuarios, impresoras o aplicación. Los atributos
contienen la información que describe lo que se identifica por medio
del objeto de directorio.

Cada objeto en AD tiene una identidad única, se pueden mover o

renombrar pero esta nunca cambia; son conocidos con su identidad
mas no con su nombre actual. Su identificador es el GUID (Globally
Unique Identifier usado por el AD para búsqueda de replicación de
información) asignado por el DSA (Directory System Agent) en la
creación del objeto.

CONTENEDOR

Similar a un objeto puesto que posee atributos pero a diferencia de

este no representa algo concreto; es decir, un almacén de objetos y
otros contenedores.

ARBOL Y SUBARBOL

Es una jerarquía de objetos y contenedores que muestran como se

relacionan los objetos o el camino desde un objeto hasta otro, los
puntos finales de un árbol son generalmente objetos. Un subárbol es
cualquier camino sin interrupciones del árbol, incluyen todos los
miembros de cada contenedor en dicho camino.

ARBOLES

Es un espacio de nombres* único y contiguo donde cada nombre del

espacio de nombres desciende directamente de un único nombre raíz.
BOSQUE

Un bosque es la agrupación de varios árboles de dominio en una

estructura jerárquica. Dominio de árboles en un bosque con un
esquema común, la configuración, y el catálogo global. Los dominios
en el bosque están vinculados por dos vías confianza transitiva.
Mediante el nivel funcional del bosque, puede habilitar más amplia del
bosque de Active Directory características. El bosque niveles
funcionales que se pueden establecer son Windows 2000, Windows
Server 2003 provisional, y Windows Server 2003.

Es una colección de arboles esencialmente iguales, sin una única raíz

en el espacio de nombres.
NOMBRE DISTINGUIDO

Todo objeto en AD tiene un DN (Distinguished Name). En este

contexto, distinguido son las cualidades que permiten distinguir el
nombre. Los nombres distinguidos identifican el dominio que contiene
el objeto además del camino completo a través de la jerarquía del
contenedor utilizado para alcanzar el objeto.

CN= Se interpreta como nombre propio (Common Name)

OU= Unidad Organizacional (Organizacional Unit)

DC= significa controlador de dominio (Domain Controller)

ESQUEMA

Es generalmente utilizado en el trabajo de clases de datos. En AD son

todos los fragmentos que lo componen, los que son: objetos,
atributos, contenedores, entre otros. AD posee un esquema
predeterminado que define la mayoría de las clases de objetos
habituales tales como usuarios, grupos, computadores,
departamentos, políticas de seguridad y dominios. El esquema se
puede actualizar dinámicamente, sea en la creación o modificación de
algún objeto.

DSA (DIRECTORY SYSTEM AGENT)

Es el proceso que proporciona acceso al almacén físico de la

información del directorio ubicado en un disco duro.

CATALOGO GLOBAL

El catalogo global (GC, Global Catalog) permite a los usuarios y a la

aplicaciones encontrar objetos en un árbol de dominio de AD,
proporcionando uno o mas atributos del objeto deseado. Contiene
una copia de cada contexto de denominación de directorio, también
contiene el esquema y contextos de la denominación de la
configuración, es decir, contiene una copia de cada objeto de AD pero
con solo un pequeño numero de atributos. Los atributos en GC son
utilizados para las operaciones de búsqueda y/o para encontrar una
copia completa de un objeto.

El catálogo global esta integrado en el sistema de replicas de AD. La

topología de replicas de GC se genera de forma automática.
SITIO

En Active Directory, los sitios se forman a través de la agrupación de

múltiples subredes. Sitios suelen ser definidos como lugares en los
que el acceso a la red es altamente fiable, rápido y no muy caro.

DOMINIOS Y UNIDADES ORGANIZATIVAS

Los arboles de red están formados por dominios y unidades

organizativas cada uno proporciona fronteras administrativas entre
las ramas del árbol, pero tienen implicaciones y requisitos de recursos
diferentes.

DOMINIOS

La unidad principal de AD es el dominio. Todos los objetos de una red

forman parte de un dominio, y la política de seguridad es uniforme a
lo largo de un dominio. La diferencia de la seguridad de Windows
2000 y Windows 2003 server es que es basado en la versión Kerberos
5 y la relaciones de confianza son transitivas.

UNIDADES ORGANIZATIVAS

Contenedor de objetos albergada en un dominio, dentro de este hay

infinidad objetos sean “usuarios o equipos”.

Estas unidades son útiles puesto que pueden usarse cantidad de

objetos dentro de las mismas, aplicando:

Organización de objetos dentro del dominio.

Administración simplificada de recursos agrupados.
Delegación de control.

Al crear estas unidades organizativas aplico simplificadamente a

recursos reunidos dentro de la misma Directivas, Permisos y Políticas;
puesto que a estos objetos (contenedores) (OU) son a los únicos que
se les puede asignar GPO.
 HERRAMIENTAS DE ACTIVE DIRECTORY

Este maneja herramientas esenciales para la administración de los

elementos contenidos, tales herramientas son:

Usuarios y Grupos: Estos representan una entidad física sea como

usuario o equipo. Las cuentas de usuarios que gestiona Active
Directory son almacenadas en una base de datos SAM (Security
Accounts Manager), pero AD no sólo almacena información sobre los
usuarios, sino que también mantiene información sobre servidores,
estaciones de trabajo, recursos, aplicaciones, directivas de seguridad,
entre otros.
La cuenta de un usuario del dominio contiene toda la información
necesaria para su autenticación, incluyendo su nombre de usuario y
contraseña (necesarios para iniciar sesión).

Los grupos cumplen una función muy importante dentro del AD ya

que permiten la simplificación de la administración, se pueden asignar
permisos para los recursos, donde puede estar basado en AD o
equipo individual, se diferencia por ámbito o por tipo.
 DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS

Las GPO´s son un conjunto de una o más políticas del sistema. Cada
una de las políticas del sistema establece una configuración del objeto
al que afecta específicamente.

Una directiva de grupo consta de varias componentes configurables.

El primero son las plantillas administrativas, que definen las directivas
basadas en el registro. Los otros componentes principales de directiva
de grupos son los siguientes

Configuración de la seguridad: Configura la seguridad de los usuarios,

computadoras y dominios.

Secuencia de comandos: Especifica las secuencias de comandos para

el inicio y el apagado de las computadoras, así como para los eventos
de inicio y cierre de sesión de los usuarios.

Redirección de carpetas: Ubica en la red las carpetas esenciales como

mis documentos o las carpetas de aplicación especificada.

Instalación de Software: Asigna las aplicaciones a los usuarios.

Las GPOS almacenan la información de dos ubicaciones: En una

estructura de carpetas denominada plantillas de directiva de grupo
(Group Policy Template, GPT) y en un contenedor de directivas de
grupo (Group Policy Container, GPC) de AD.

La GPT se halla en la carpeta SYSVOL de todos los controladores de

dominio. Contiene información sobre las directivas de software, sobre
las implantaciones de archivos y aplicaciones, sobre las secuencia de
comandos y sobre la configuración de seguridad.

Las GPC contienen propiedades de las GPO, como la información de

clases de AD relacionada con la implantación de las aplicaciones. La
información almacenada en las GPC no se modifica con frecuencia.
 GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS

Cuando se establece una relación de confianza entre dos dominios los

usuarios de uno de los dominios pueden tener acceso a los recursos
ubicados en el otro. Los arboles de dominios de AD son conjuntos de
dominios que no solo comparten el mismo esquema, la misma
configuración y el mismo espacio de nombres, si no que también
están conectados por relaciones de confianza.

Windows Server 2003 soporta tres tipos de relaciones de confianza:

Las relaciones de confianza explicita: Establecen relaciones manuales

para entregar la ruta de acceso para autenticarse. Pueden ser de una
o 2 vías.

Las relaciones de confianza transitivas jerarquicas: Son confianzas

automáticas de dos vías existentes entre dominios. Para el flujo
utiliza servidores de paso para utilizar recursos de dos o mas arboles
no conectados directamente; esto maximiza las relaciones entre
Windows porque evita tener exceso de confianza para conectarse con
todas las maquinas de la red.

Las relaciones de confianza de los bosques: Permiten crear tanto

relaciones de confianza transitivas como intransitivas entre dos
bosques de Windows Server 2003.

FUNCIONES DEL MAESTRO DE OPERACIONES

 Active Directory admite la replicación de varios maestros del almacén
de datos de directorio entre todos los controladores del dominio, de
modo que todos ellos se encuentran, básicamente, en el mismo nivel.
No obstante, hay cambios que no se pueden realizar utilizando la
replicación de varios maestros. En estos casos, un controlador de
dominio, denominado maestro de operaciones, acepta las solicitudes
para realizar este tipo de cambios.

En cada bosque existen, al menos, cinco funciones de maestro de

operaciones que se asignan a uno o varios controladores de dominio.
Las funciones de maestro de operaciones de todo el bosque deben
aparecer una única vez en cada bosque. Las funciones de maestro de
operaciones de todo el dominio deben aparecer una única vez en cada
dominio del bosque.

Nota

•Las funciones de maestro de operaciones también se denominan

funciones flexibles de operaciones de un solo maestro (FSMO).

FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL BOSQUE

Cada bosque debe tener las siguientes funciones:

•Maestro de esquema

•Maestro de nombres de dominio

Estas funciones deben ser únicas en el bosque. Es decir, en todo el

bosque sólo puede haber un maestro de esquema y un maestro de
nombres de dominio.

MAESTRO DE ESQUEMA

El controlador de dominio del maestro de esquema controla todas las

actualizaciones y los cambios que tienen lugar en el esquema. Para
poder actualizar el esquema de un bosque, debe tener acceso al
maestro de esquema. Sólo puede haber un maestro de esquema en
todo el bosque.

MAESTRO DE NOMBRES DE DOMINIO

El controlador de dominio con la función del maestro de nombres de
dominio controla la adición o eliminación de los dominios del bosque.
Sólo puede haber un maestro de nombres de dominio en todo el
bosque.

Nota

•Cualquier controlador de dominio que ejecute Windows Server 2003

puede desempeñar la función de maestro de nombres de dominio.
Los controladores de dominio que ejecutan Windows 2000 Server y
desempeñan la función de maestro de nombres de dominio deben
estar habilitados también como servidor de catálogo global.

FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL DOMINIO

Cada dominio del bosque debe tener las siguientes funciones:

•Maestro de Id. relativo (RID)

•Maestro emulador del controlador principal de dominio (PDC)

•Maestro de infraestructuras

Estas funciones deben ser únicas en cada dominio. Esto significa que
en cada dominio del bosque sólo puede haber un maestro de RID, un
maestro emulador del PDC y un maestro de infraestructuras.

MAESTRO DE RID

El maestro de RID asigna secuencias de Id. relativos (RID) a cada

uno de los distintos controladores del dominio. En todo momento sólo
puede haber un controlador de dominio que actúe como maestro de
RID en cada dominio del bosque.

Siempre que un controlador de dominio crea un usuario, un grupo o

un objeto de equipo, asigna un Id. de seguridad (SID) único al objeto
creado. Este SID se compone de un SID de dominio, que es el mismo
para todos los SID creados en el dominio, y de un RID, que es único
para cada uno de los SID creados en el dominio.

Para mover un objeto de un dominio a otro (con Movetree.exe), debe

iniciar la operación en el controlador de dominio que actúa como
maestro de RID en el dominio que contiene el objeto en ese
momento.

MAESTRO EMULADOR DE PDC

Si el dominio contiene equipos que operan sin el software de cliente
de Windows 2000 o Windows XP Professional o bien si contiene
controladores de dominio de reserva (BDC) de Windows NT, el
maestro emulador de PDC actúa como controlador principal de
dominio de Windows NT. Se ocupa de procesar los cambios de
contraseña de los clientes y replica las actualizaciones en los BDC. En
todo momento sólo puede haber un controlador de dominio que actúe
como maestro emulador del PDC en cada dominio del bosque.

De manera predeterminada, el maestro emulador del PDC también se

encarga de sincronizar la hora en todos los controladores del dominio.
El emulador del PDC de un dominio sincroniza su reloj con el de
cualquier otro controlador del dominio principal. El emulador del PDC
en el dominio principal se deberá configurar para que se sincronice
con un recurso de hora externo. La hora del emulador del PDC se
puede sincronizar con un servidor externo mediante la ejecución del
comando "net time" con la sintaxis siguiente:

net time \\ nombreServidor /setsntp: recursoHora

El resultado final será que la hora sólo variará unos pocos segundos
entre todos los equipos del bosque entero que ejecuten Windows
Server 2003 o Windows 2000.

El emulador del PDC recibe una replicación preferencial de los

cambios realizados en las contraseñas por otros controladores del
dominio. Si una contraseña ha cambiado recientemente, ese cambio
tarda algún tiempo en replicarse en cada controlador del dominio. Si
una autenticación de inicio de sesión produce un error en otro
controlador de dominio debido a una contraseña incorrecta, ese
controlador de dominio reenviará la solicitud de autenticación al
emulador del PDC antes de rechazar el intento de inicio de sesión.

El controlador de dominio configurado con la función de emulador del

PDC admite dos protocolos de autenticación:

•el protocolo Kerberos V5

•el protocolo NTLM

MAESTRO DE INFRAESTRUCTURAS
En todo momento sólo puede haber un controlador de dominio que
actúe como maestro de infraestructuras en cada dominio. El maestro
de infraestructuras es el responsable de actualizar las referencias de
los objetos de su dominio en los objetos de los otros dominios. El
maestro de infraestructuras compara sus datos con los del catálogo
global. Los catálogos globales reciben actualizaciones periódicas de
los objetos de todos los dominios mediante la replicación, de forma
que los datos de los catálogos globales siempre están actualizados. Si
el maestro de infraestructuras encuentra datos sin actualizar, solicita
los datos actualizados a un catálogo global. Después el maestro de
infraestructuras replica los datos actualizados en los otros
controladores del dominio.

Importante

•A menos que haya un único controlador de dominio en el dominio, la

función de maestro de infraestructuras no debe asignarse al
controlador de dominio que alberga el catálogo global. Si el maestro
de infraestructuras y el catálogo global se encuentran en el mismo
controlador de dominio, el maestro de infraestructuras no
funcionará. El maestro de infraestructuras no encontrará nunca
datos no actualizados, por lo que nunca replicará los cambios en los
otros controladores del dominio.

Si todos los controladores del dominio también albergan el catálogo

global, todos los controladores de dominio ya tendrán los datos más
actuales y será irrelevante conocer el controlador de dominio que
desempeña la función de maestro de infraestructuras.

El maestro de infraestructuras también es responsable de actualizar

las referencias de grupos a usuarios cada vez que hay alguna
variación o cambio de nombre en los miembros de un grupo. Al
cambiar de nombre o mover un miembro de un grupo (si el miembro
reside en un dominio distinto del grupo), puede que durante un
tiempo parezca que el grupo no contiene ese miembro. El maestro de
infraestructuras del dominio del grupo es responsable de actualizar el
grupo de forma que sepa en todo momento el nuevo nombre o
ubicación del miembro. Así se evita perder las pertenencias de grupo
que están asociadas a una cuenta de usuario, en caso de mover o
cambiar el nombre de dicha cuenta. El maestro de infraestructuras
distribuye la actualización a través de la replicación de varios
maestros.

La seguridad no se pone en peligro durante el tiempo que transcurre

entre el cambio de nombre de un miembro y la actualización del
grupo. Sólo un administrador que esté examinando la pertenencia a
ese grupo en particular podría darse cuenta de la falta momentánea
de coherencia.

BENEFICIOS DE ACTIVE DIRECTORY

La utilización de un AD proporciona varias ventajas y/o beneficios en

el manejo centralizado de los recursos, tales como:

• La sincronización entre los servidores de autenticación en todo

el dominio.
• Integración con el DNS, permitiendo la locación de los objetos.
• Escalabilidad que permite para el manejo de los objetos.
• Administración centralizada.
• Delegación de administración.
• Delegar administración.