Active Directory (AD) es un servicio de directorio para su uso en un entorno Windows
Server. Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y dispositivos de red.
Active Directory es el servicio de directorio propietario de Microsoft para su uso en
redes de dominio de Windows. Cuenta con funciones de autenticación y autorización y proporciona un framework para otros servicios similares. Básicamente, el directorio consiste en una base de datos LDAP que contiene objetos en red. Active Directory utiliza el sistema operativo Windows Server.
Otros servicios de Active Directory
Con el tiempo, Microsoft ha agregado servicios adicionales bajo el estandarte de Active Directory.
Active Directory Lightweight Directory Services
Esta versión ligera de los servicios de dominio elimina cierta complejidad y algunas características avanzadas para ofrecer solo la funcionalidad básica del servicio de directorio sin controladores de dominio, bosques o dominios. Normalmente se utiliza en entornos de red individuales y pequeñas. Active Directory Certificate Services
Los servicios de certificados ofrecen formas de certificación digital y admiten
infraestructura de clave pública (PKI, por sus siglas en inglés). Este servicio puede almacenar, validar, crear y revocar las credenciales de clave pública utilizadas para el cifrado en lugar de generar claves de forma externa o local.
Active Directory Federation Services
Proporciona un servicio de autenticación y autorización de inicio de sesión único basado en la web para su uso principalmente entre organizaciones. De este modo, un contratista puede iniciar sesión en su propia red y tener autorización, al mismo tiempo, para acceder a la red del cliente.
Servicios de administración de derechos de Active Directory
Se trata de un servicio de administración de derechos que rompe con el concepto de autorización como un simple modelo de permitir o denegar acceso y limita lo que puede hacer un usuario con archivos o documentos concretos.
Estructura de Active Directory
Una característica clave de la estructura de Active Directory es la autorización delegada y la replicación eficiente. Cada parte de la estructura organizativa de AD limita la autorización o la replicación dentro de esa subparte en particular. Bosque
El bosque es el nivel más alto de la jerarquía de la organización, y se trata de un límite
de seguridad dentro de la organización. Un bosque permite segregar la delegación de autoridad de forma acotada en un solo entorno. Árbol
Un árbol es un grupo de dominios. Los dominios dentro de un árbol comparten el
mismo espacio de nombre raíz, pero, a pesar de ello, los árboles no son límites de seguridad o replicación. Dominios
Cada bosque contiene un dominio raíz. Se pueden usar dominios adicionales para crear más particiones dentro de un bosque. El propósito de un dominio es dividir el directorio en partes más pequeñas para poder controlar la replicación. Un dominio limita la replicación de Active Directory solo a los otros controladores de dominio que se encuentran en su interior. Unidades organizativas (OU)
Una unidad organizativa permite agrupar la autoridad sobre un subconjunto de
recursos de un dominio. Una OU proporciona un límite de seguridad para privilegios y autorización elevados, pero no limita la replicación de objetos de AD. Las unidades organizativas se utilizan para delegar el control dentro de agrupaciones funcionales. Se deben usar las unidades organizativas para implementar y limitar la seguridad y los roles entre los grupos, mientras que los dominios deben usarse para controlar la replicación de Active Directory.
Funciones especializadas del controlador de dominio
Se usan roles especializados de controlador de dominio para realizar
operaciones específicas que no están disponibles en los controladores de dominio estándar. Aunque estos roles maestros se asignan al primer controlador creado en cada bosque o dominio, un administrador puede reasignarlos manualmente. Maestro de esquema
Solo existe un maestro de esquema por bosque. Contiene la copia maestra
del esquema utilizado por todos los demás controladores de dominio. Tener una copia maestra garantiza que todos los objetos se definan de la misma manera.
Maestro de nombres de dominio
Solo existe un maestro de nombres de dominio por cada bosque, y su
función es garantizar que todos los nombres de los objetos sean únicos y, cuando sea necesario, realizar referencias cruzadas de los objetos almacenados en otros directorios.
Maestro de infraestructura
Hay un maestro de infraestructura por dominio que mantiene la lista de
objetos eliminados y rastrea las referencias de los objetos en otros dominios.
Maestro del identificador relativo
El maestro del identificador relativo rastrea la asignación y creación de
identificadores de seguridad únicos (SID) en todo el dominio, y hay uno por dominio.
Emulador de controlador de dominio primario
Solo hay un emulador de controlador de dominio primario (PDC) por
dominio. Está ahí para proporcionar compatibilidad con versiones anteriores de los antiguos sistemas de dominio basados en Windows NT, y responde a las solicitudes realizadas a un PDC como se esperaría que lo hiciera un PDC antiguo.
Almacén de datos
El almacén de datos se encarga del almacenamiento y la recuperación de la
información en cualquier controlador de dominio. El almacén de datos se compone de tres capas.
