Active Directory

1
Active Directory
Active Directory (AD) es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio
en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP,
Kerberos...).
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos
tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesin en los equipos conectados
a la red, as como tambin la administracin de polticas en toda la red.
Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como
usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso.
[1]
Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en
muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena
informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde
directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos.
Estructura
Active Directory est basado en una serie de estndares llamados X.500, aqu se encuentra una definicin lgica a
modo jerrquico.
Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active
Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la
red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de
usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido
en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.
A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el
mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo
los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el
propio Active Directory.
Objetos
Active Directory se basa en una estructura jerrquica de objetos. Los objetos se enmarcan en tres grandes categoras.
recursos (p.ej. impresoras), servicios (p.ej. correo electrnico), y usuarios (cuentas, o usuarios y grupos). El AD
proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad.
Cada objeto representa una entidad ya sea un usuario, un equipo, una impresora, una aplicacin o una fuente
compartida de datos y sus atributos. Los objetos pueden contener otros objetos. Un objeto est unvocamente
identificado por su nombre y tiene un conjunto de atributoslas caractersticas e informacin que el objeto puede
contenerdefinidos por y dependientes del tipo. Los atributos, la estructura bsica del objeto, se definen por un
esquema, que tambin determina la clase de objetos que se pueden almacenar en el AD.
"Cada atributo se puede utilizar en diferentes "schema class objects". Estos objetos se conocen como objetos
esquema, o metadata, y existen para poder extender el esquema o modificarlo cuando sea necesario. Sin embargo,
como cada objeto del esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o cambiar estos
objetos puede tener consecuencias serias porque cambiar la estructura fundamental del ANUNCIO en s mismo. Un
objeto del esquema, cuando es alterado, se propagar automticamente a travs de Active Directory y una vez se
cree, slo puede ser desactivado, nunca suprimido. Cambiar el esquema no es algo que se hace generalmente sin
Active Directory
2
cierta planificacin."
Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este
protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la
informacin relativa a un dominio de autenticacin. Una de sus ventajas es la sincronizacin presente entre los
distintos servidores de autenticacin de todo el dominio.
A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los
usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo
fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda
almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso
al dominio.
De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a
estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo
esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el
mbito. Para decirlo en otras palabras, Active Directory es una implementacin de servicio de directorio centralizado
en una red distribuida que facilita el control, la administracin y la consulta de todos los elementos lgicos de una
red (como pueden ser usuarios, equipos y recursos).
Intercambio entre dominios
[2]
Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa una relacin
de confianza (en ingls, trust). La relacin de confianza es creada automticamente cuando se crean nuevos
dominios. Los lmites de la relacin de confianza no son marcados por dominio, sino por el bosque al cual pertenece.
Existen relaciones de confianza transitivas, donde las relaciones de confianza de Active Directory pueden ser un
acceso directo (une dos dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos
vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para conectarse a
otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque
tambin soporta NTLM y usuarios webs mediante autentificacin SSL/TLS.
Confianzas transitivas
Las Confianzas transitivas son confianzas automticas de dos vas que existen entre dominios en Active Directory.
Confianzas explcitas
Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de
acceso para la autenticacin. Este tipo de relacin puede ser de una o dos vas, dependiendo de la aplicacin.
Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con
Windows NT 4.0.
Active Directory
3
Confianza de Acceso Directo
La Confianza de acceso directo es, esencialmente, una confianza explcita que crea accesos directos entre dos
dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos
dominios, reduciendo las consultas y los tiempos de espera para la autenticacin.
Confianza entre bosques
La Confianza entre bosques permite la interconexin entre bosques de dominios, creando relaciones transitivas de
doble va. En Windows 2000, las confianzas entre bosques son de tipo explcito, al contrario de Windows Server
2003.
Direccionamientos a recursos
Los direccionamientos a recursos de Active Directory son estndares con la Convencin Universal de Nombres
(UNC), Localizador Uniforme de Recursos (URL) y Nombres de LDAP.
Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name (DN)), as una impresora
llamada Imprime en una Unidad Organizativa (en ingls, Organizational Units, OU) llamada Ventas y un dominio
foo.org, puede escribirse de las siguientes formas para ser direccionado:
en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde
CN es el nombre comn (en ingls, Common Name)
DC es clase de objeto de dominio (en ingls, Domain object Class).
En forma cannica sera foo.org/Ventas/Imprime
Los otros mtodos de direccionamiento constituyen una forma local de localizar un recurso
Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)), que busca un recurso slo con el
Nombre Comn (CN).
Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para
buscar y replicar informacin
Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User Principal Name (UPN)) que
permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio
Diferencias entre Windows NT y Active Directory
A diferencia del anterior sistema de administracin de dominios de Windows NT Server, que provea nicamente el
dominio de administracin, Active Directory permite tambin crear estructuras jerrquicas de dominios y
subdominios, facilitando la estructuracin de los recursos segn su localizacin o funcin dentro de la organizacin a
la que sirven. Otra diferencia importante es el uso de estndares como X.500 y LDAP para el acceso a la
informacin.
Interfaces de programacin
[3]
Las interfaces de servicio de Active Directory (ADSI) entregan al programador una interfaz orientada a objetos,
facilitando la creacin de programas de directorios mediante algunas herramientas compatibles con lenguajes de alto
nivel, como Visual Basic, sin tener que lidiar con los distintos espacios de nombres.
Mediante las ADSI se permite crear programas que realizan un nico acceso a varios recursos del entorno de red, sin
importar si estn basados en LDAP u otro protocolo. Adems, permite generar secuencias de comandos para los
administradores.
Tambin se puede desarrollar la Interfaz de mensajera (MAPI), que permite generar programas MAPI.
Active Directory
4
Requisitos de instalacin
[4]
Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:
Tener cualquier versin Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o
Windows 2008, en el caso de 2003 server, tener instalado el service pack 1 en la mquina.
Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una direccin asignada por
DHCP,
Tener un servidor de nombre de DNS, para resolver la direccin de los distintos recursos fsicos presentes en la
red
Poseer ms de 250 MB en una unidad de disco formateada en NTFS.DE WINDOWS
Alternativas
[5]
Samba es un programa de cdigo libre, que tiene disponible un controlador de dominios compatible con Windows
NT 4, Windows 2003 y Windows 2008.
El programa de cdigo libre Mandriva Directory Server
[6]
ofrece una interfaz web para manejar el controlador de
dominios de Samba y el servicio de directorios de LDAP.
Otra alternativa es Novell eDirectory
[7]
, que es Multiplataforma: se puede correr sobre cualquier sistema operativo:
Linux, AIX, Solaris, Novell Netware, UNIX e integra LDAP v.3 Nativo. Es el precursor en materia de estructuras de
Directorio, ya que fue introducido en 1990 con la versin de Novell Netware 4.0. Aunque AD de Microsoft alcanz
mayor popularidad, todava no puede igualar la fiabilidad y calidad de eDirectory y su capacidad Multiplataforma.
Sun Java ES Directory Server[8] y OpenDS [9] son otras alternativas, el primero basado en java y el segundo basado
y desarrollado en C. El primero es un producto de Sun Microsystems y el segundo una alternativa de cdigo abierto.
Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba y adems certificacin digital y Bind9
(modificado para usar LDAP como backend) es WBSAgnitio ([10]).
Referencias
[1] Introduccin a Active Directory, Microsoft (http:/ / web. archive. org/ web/ http:/ / www. microsoft. com/ technet/ prodtechnol/
windowsserver2003/ es/ library/ ServerHelp/ 7c981583-cf41-4e6c-b1f6-5b8863475ede. mspx) (en espaol)
[2] Designing a Windows Server 2003 Active Directory, Sams (http:/ / www. samspublishing. com/ articles/ article. asp?p=32080& rl=1) (en
ingls)
[3] Interfaces de programacin, Microsoft (http:/ / web. archive. org/ web/ http:/ / www. microsoft. com/ technet/ prodtechnol/
windowsserver2003/ es/ library/ ServerHelp/ 279734ac-4884-447e-b8f8-e85b76e4708e. mspx) (en espaol)
[4] Conceptos Fundamentales de Active Directory, Grupos de usuario de Microsoft (http:/ / www. mug. org. ar/ Infraestructura/
ArticInfraestructura/ 214.aspx) (en espaol)
[5] Active Directory, Wikipedia (en ingls)
[6] http:/ / mds. mandriva. org
[7] http:/ / www. novell. com/ edirectory
[8] http:/ / www. sun. com/ software/ products/ directory_srvr_ee/ index. xml
[9] http:/ / web. archive. org/ web/ https:/ / opends.dev.java. net/
[10] http:/ / web.archive. org/ web/ http:/ / www. wbslabs. com/ wbslabs/ live/ proyectos/ wbsagnitio. html
Active Directory
5
Enlaces externos
Active Directory en Windows 2003 (http:/ / www. microsoft. com/ latam/ windowsserver2003/ evaluation/
overview/ technologies/ activedirectory. mspx)
Como documentar el Active Directory (http:/ / blogs. itpro. es/ david/ 2011/ 09/ 02/
how-to-documentar-el-directorio-activo/ )
Fuentes y contribuyentes del artculo
6
Fuentes y contribuyentes del artculo
Active Directory Fuente: http://es.wikipedia.org/w/index.php?oldid=70803652 Contribuyentes: Airunp, Aloneibar, Aloriel, Alvaro qc, Andreasmperu, Aorenes, Barri, Bedwyr, BlackBeast,
BuenaGente, C'est moi, Cacique500, Cheveri, Compludo, Dattellix, DayL6, Deleatur, Diegusjaimes, Digigalos, Dnudelman, Dodo, Dreitmen, EdgeM, Edupedro, Eidast, Ezarate, Fremen, GOto,
Gacpro, GermanX, Hispa, Hornet69, Hprmedina, Isha, JMPerez, Jareyes, Jarke, Jgomo3, Jjvaca, Jkbw, Jmartinz, Jmvgpartner, Lionel Montaldo, LyingB, Manw, Martingala, Matdrodes,
MeMoRY, Nachosan, Napier, Netito777, Pabliten, Pchamorro, Plux, Raulshc, Savh, SeijuroSGD, Spangineer, Stoleman, Superzerocool, Taichi, Taragui, Tomatejc, UA31, Valerioux86,
Vitamine, Zelkova, 297 ediciones annimas
Licencia
Creative Commons Attribution-Share Alike 3.0
//creativecommons.org/licenses/by-sa/3.0/