Active Directory y sus funciones
Active Directory, es un gran tema, por ello debemos lo llevaremos por partes, para entender lo fundamental, creando buenas bases, iniciando con los conceptos generales, que cualquier administrador de servidores o administradores de red basada en Microsoft Windows debe de tener:
Pues bien, estos servicios de directorio, por concepto son una estructura de base de datos distribuida y jerárquica, que permite almacenar y compartir información de la infraestructura relativa a los recursos de una red con el fin de facilitar su localización, organización y administración, la información sobre objetos en la red, en un directorio, en el sentido más genérico, es una lista completa de objetos y son tratados como objetos y atributos.
Active Directory (AD) es una tecnología propia de Microsoft que se usa para administrar computadoras y otros dispositivos en una red; incluidos archivos, usuarios, grupos, periféricos y dispositivos de red, también proporciona funciones de autenticación y autorización, así como un marco de trabajo para otros servicios.
A partir de Windows Server 2008 Active Directory abarca un conjunto de productos o servicios:
Recordemos que independientemente de esto, en general cuando se habla de Active Directory o Directorio Activo sin especificar se hace referencia a Active Directory Domain Services (AD DS), que es el concepto global de este rol.
Es el servicio de directorio distribuido que se incluye con los sistemas operativos Microsoft Windows Server. AD DS permite la administración centralizada y segura de una red completa, que puede abarcar un edificio, una ciudad o varias ubicaciones en todo el mundo.
Esta versión ligera de los Servicios de dominio elimina cierta complejidad y funcionalidad avanzada para ofrecer solo la funcionalidad básica del servicio de directorio, sin el uso de controladores de dominio, bosques o dominios. Normalmente se utiliza en entornos de red de oficinas pequeñas y únicas.
Proporciona un servicio de autenticación y autorización de inicio de sesión único basado en la web, principalmente para su uso en todas las organizaciones. Por lo tanto, un contratista puede iniciar sesión en su propia red y ser autorizado para su acceso a la red del cliente también.
Se trata de un servicio de administración de derechos que rompe la autorización más allá de un modelo de acceso concedido o acceso denegado y limita lo que un usuario puede hacer con archivos o documentos específicos. Los derechos y las restricciones se adjuntan al documento en lugar del usuario. Estos derechos se utilizan comúnmente para evitar la impresión, copia o captura de pantalla de un documento.
Los Servicios de certificación ofrecen servicios de certificación digital y admiten infraestructura de clave pública o PKI. Este servicio puede almacenar, validar, crear y revocar las credenciales de clave pública utilizadas para el cifrado en lugar de generar claves externa o localmente.
Estructura
Una característica clave de la estructura de Active Directory es la autorización delegada y la replicación eficiente, cada parte de la estructura organizativa de AD limita la autorización o la replicación dentro de ese contenedor en particular de forma jerárquica.
Bosque
El bosque es el nivel más alto de la jerarquía de la organización, un bosque es un límite de seguridad dentro de una organización, permite que la delegación de autoridad sea segregada dentro de un solo entorno, por supuesto esto proporciona a un administrador con derechos y permisos de acceso total, pero solo a un subconjunto específico de recursos, es posible utilizar un solo bosque en una red, entonces la información del bosque se almacena en todos los controladores de dominio, en todos los dominios, dentro del bosque.
Árbol
Un árbol es un grupo de dominios, los dominios dentro de un árbol comparten el mismo espacio de nombre raíz, mientras que un árbol comparte un espacio de nombres, los árboles no son límites de seguridad o replicación.
Dominio
Cada bosque contiene un dominio raíz, de cualquier forma, se pueden usar dominios adicionales para crear más particiones dentro de un bosque, tengamos presente que el propósito de un dominio es dividir el directorio en partes más pequeñas para controlar la replicación.
Un dominio limita la replicación de Active Directory, solo a los otros controladores de dominio dentro del mismo dominio, esto ahorra ancho de banda y limita el daño de una brecha de seguridad.
Cada controlador de dominio en un dominio tiene una copia idéntica de la base de datos de Active Directory de ese dominio, esto se mantiene actualizado a través de la replicación constante.
Nota:
Si bien los dominios se usaron en el modelo anterior basado en Windows NT, y sigue proporcionan una barrera de seguridad, la recomendación es no solo usar dominios para controlar la replicación, sino también unidades organizativas (OU) para agrupar y limitar los permisos de seguridad.
Unidades organizativas (OU)
Una unidad organizativa proporciona la agrupación de autoridad sobre un subconjunto de recursos de un dominio, proporciona un límite de seguridad para privilegios elevados y autorización, pero no limita la replicación de objetos AD.
Consideremos que las unidades organizativas se utilizan para delegar el control dentro de agrupaciones funcionales, estas deben usarse para implementar y limitar la seguridad, así como las funciones entre los grupos, mientras que los dominios deben usarse para controlar la replicación de Active Directory.
Sitios
Agrupamientos físicos independientes del dominio y la estructura de las unidades organizativas, los sitios distinguen entre ubicaciones conectadas por conexiones de baja o de alta velocidad y están definidos por una o más subredes IP.
Controladores de dominio
Los controladores de dominio son servidores de Windows, que contienen la base de datos de Active Directory y realizan funciones relacionadas con la autenticación y la autorización, también alojan y replican la base de datos del servicio de directorio dentro del bosque, por lo que también el servicio de directorio proporciona servicios para administrar y autenticar recursos en el bosque, estos servidores hospedan servicios esenciales en AD DS, incluidos los siguientes:
- Centro de distribución de claves Kerberos (kdc)
- NetLogon (Netlogon)
- Hora de Windows (W32time)
- Mensajería entre sitios (IsmServ)
Cada controlador de dominio almacena una copia de la base de datos de Active Directory que contiene información sobre todos los objetos dentro del mismo dominio, cada uno almacena el esquema para todo el bosque, así como toda la información sobre el bosque, sin embargo, no almacenará una copia de ningún esquema o información de bosque de un bosque diferente, incluso si están en la misma red.
Funciones de controlador de dominio
Los roles de controlador de dominio especializados se utilizan para realizar funciones específicas que no están disponibles en los controladores de dominio estándar, estos roles maestros se asignan al primer controlador de dominio creado en cada bosque o dominio, sin embargo, un administrador puede asignar manualmente los roles.
Maestro de esquema
Solo existe un maestro de esquema por bosque, contiene la copia maestra del esquema utilizado por todos los demás controladores de dominio, es importante tener una copia maestra garantiza que todos los objetos se definen de la misma manera.
Maestro de nombres de dominio
Solo existe un maestro de nombre de dominio por bosque, esto garantiza que todos los nombres de los objetos sean únicos y, cuando sea necesario, haga referencias cruzadas de los objetos almacenados en otros directorios.
Maestro de infraestructura
Hay un maestro de infraestructura por dominio, este mantiene la lista de objetos eliminados y rastrea las referencias de los objetos en otros dominios.
Identificador relativo maestro
Hay un maestro identificador relativo por dominio, su tarea es rastrear la asignación y creación de identificadores de seguridad únicos (SID) en todo el dominio.
Nota:
Roles FSMO (Flexible Single Master Operation), los controladores de dominio que contienen los roles de maestro de operaciones se designan para realizar tareas específicas para garantizar la coherencia y eliminar las entradas en conflicto del directorio.
Almacén de datos
El almacenamiento de datos se encarga del almacenamiento y la recuperación de datos en cualquier controlador de dominio, se compone de tres capas:
Objetos
Todo dentro de Active Directory se almacena como un objeto, la clase también podría definirse como el tipo de un objeto en el esquema, entonces los atributos son los componentes del objeto; por lo tanto, los atributos de un objeto están definidos por su clase.
Los objetos deben definirse dentro del esquema para que los datos puedan almacenarse en el directorio, una vez definidos, los datos se almacenan dentro del directorio activo como objetos individuales, de esta manera cada objeto debe ser único y representar una sola cosa, como un usuario, una computadora o un grupo único de cosas; por ejemplo, un grupo de usuarios.
Los dos tipos principales de objetos son recursos y principios de seguridad, a los principales de seguridad se les asignan identificadores de seguridad (SID), pero a los recursos no.
Replicación
Active Directory usa múltiples controladores de dominio por muchas razones, incluyendo el balanceo de carga y la tolerancia a fallas, tengamos en cuenta para que esto funcione, cada controlador de dominio debe tener una copia completa de la propia base de datos de Active Directory de su dominio y asegurarse de que cada controlador tenga una copia actual de la base de datos, misma que se produce a través de la replicación.
La replicación está limitada por el dominio, los controladores de dominio en diferentes dominios no se replican entre sí, incluso dentro del mismo bosque, cada controlador de dominio es igual, aun cuando las versiones anteriores de Windows tenían controladores de dominio principal y secundario, no existe tal cosa en Active Directory, actualmente, de igual manera existe cierta confusión debido a la continuación del nombre controlador de dominio del antiguo sistema basado en la confianza a Active Directory.
La replicación funciona en un sistema de extracción, lo que significa que un controlador de dominio solicita o extrae la información de otro controlador de dominio en lugar de que cada controlador de dominio envíe o envíe datos a otros, entonces de forma predeterminada, los controladores de dominio solicitan datos de replicación cada 15 segundos, ciertos eventos de alta seguridad activan un evento de replicación inmediata, como un bloqueo de cuenta.
Solo se replican los cambios, para garantizar la fidelidad en un sistema de múltiples maestros, cada controlador de dominio realiza un seguimiento de los cambios y solicita solo las actualizaciones desde la última replicación, para ello los cambios se replican en todo el dominio mediante un mecanismo de almacenamiento y reenvío, de modo que cualquier cambio se replica cuando se solicita, incluso si el cambio no se originó en el controlador de dominio que responde a la solicitud de replicación.
Esto evita el exceso de tráfico y puede configurarse para garantizar que cada controlador de dominio solicite sus datos de replicación al servidor más deseable; por ejemplo, una ubicación remota con una conexión rápida y una conexión lenta a otros sitios con controladores de dominio puede establecer un costo en cada conexión, al hacerlo, la solicitud de replicación se realizará a través de la conexión más rápida.
Sistema de nombres de dominio
Active Directory contiene información de ubicación sobre los objetos almacenados en la base de datos, sin embargo, Active Directory utiliza el Sistema de nombres de dominio (DNS) para ubicar los controladores de dominio, dentro del directorio activo, cada dominio tiene un nombre de dominio DNS y cada computadora unida tiene un nombre DNS dentro de ese mismo dominio.
Un conjunto de reglas, es el esquema, que define las clases de objetos y atributos incluidos en el directorio, las restricciones y límites de las instancias de estos objetos y el formato de sus nombres.
Un catálogo global que contiene información acerca de todos los objetos del directorio, los usuarios y los administradores pueden usar el catálogo global para buscar información del directorio con independencia del dominio en que el directorio tiene los datos.
Un mecanismo de consulta e índice para poder publicar los objetos y sus propiedades, y buscar por usuarios o aplicaciones de red.
Un servicio de replicación que distribuye los datos de directorio en una red, todos los controladores de dominio de escritura de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio del dominio, cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio.
Bien con esta información básica y muy general, podemos identificar los componentes de redes administradas con Microsoft Windows Server, iniciando por definir ¿Qué es Active Directory?
Saludos,
Views: 462