¿Qué es Active Directory?

Conozca qué es AD y cómo funciona

02:25
Active Directory (AD) es una base de datos y un conjunto de servicios que conectan a los usuarios con
los recursos de red que necesitan para realizar su trabajo.
La base de datos (o el directorio) contiene información crítica sobre su entorno, incluidos los usuarios
y las computadoras que hay y quién puede hacer qué. Por ejemplo, la base de datos puede contener
una lista de 100 cuentas de usuario con detalles como el puesto de trabajo, el número de teléfono y la
contraseña de cada persona. También registrará sus permisos.
Los servicios controlan gran parte de la actividad que se desarrolla en su entorno de TI. En particular,
se aseguran de que cada persona sea quien dice ser (autenticación), generalmente al verificar el ID
de usuario y la contraseña que ingresa, y le permite acceder solo a los datos que tiene permitido usar
(autorización).
Siga leyendo para obtener más información sobre los beneficios de Active Directory, cómo funciona y
qué contiene una base de datos de Active Directory.
Beneficios de Active Directory
Active Directory simplifica la vida de los administradores y usuarios finales al tiempo que mejora la
seguridad de las organizaciones. Active Directory simplifica la vida de los administradores y usuarios
finales al tiempo que mejora la seguridad de las organizaciones a través de la función políticas de
grupo de AD. Los usuarios pueden autenticarse una vez y luego acceder sin problemas a cualquier
recurso en el dominio para el que están autorizados (inicio de sesión único). Además, los archivos se
almacenan en un repositorio central donde se pueden compartir con otros usuarios para facilitar la
colaboración y los equipos de TI pueden respaldarlos adecuadamente para garantizar la continuidad
del negocio.

¿Cómo funciona Active Directory?

El principal servicio de Active Directory es Active Directory Domain Services (AD DS), que forma parte
del sistema operativo Windows Server. Los servidores que ejecutan AD DS se denominan
controladores de dominio (DC). Las organizaciones normalmente tienen varios DC y cada uno tiene
una copia del directorio para todo el dominio. Los cambios realizados en el directorio en un controlador
de dominio, como la actualización de la contraseña o la eliminación de una cuenta de usuario, se
replican en los otros controladores de dominio para que todos estén actualizados. Un servidor de
catálogo global es un controlador de dominio que almacena una copia completa de todos los objetos
en el directorio de su dominio y una copia parcial de todos los objetos de todos los demás dominios
del bosque; esto permite a los usuarios y aplicaciones encontrar objetos en cualquier dominio de su
bosque. Los equipos de escritorio, portátiles y otros dispositivos que ejecutan Windows (en lugar de
Windows Server) pueden formar parte de un entorno de Active Directory, pero no ejecutan AD DS. AD
DS se basa en varios protocolos y estándares establecidos, incluidos LDAP (protocolo ligero de acceso
a directorios), Kerberos y DNS (sistema de nombres de dominio).
Es importante comprender que Active Directory es solo para entornos de Microsoft locales. Los
entornos de Microsoft en la nube utilizan Azure Active Directory, que tiene las mismas finalidades que
su homónimo local. AD y Azure AD son independientes, pero pueden funcionar juntos hasta cierto
punto si su organización tiene entornos de TI locales y en la nube (una implementación híbrida).
¿Cómo está estructurado Active Directory?
AD tiene tres niveles principales: dominios, árboles y bosques. Un dominio es un grupo de usuarios
relacionados, computadoras y otros objetos de AD, como todos los objetos de AD para la oficina central
de su empresa. Se pueden combinar varios dominios en un árbol y varios árboles se pueden agrupar
en un bosque.
Tenga en cuenta que un dominio representa un límite de administración. Los objetos de un dominio
determinado se almacenan en una única base de datos y se pueden administrar juntos. Un bosque
representa un límite de seguridad. Los objetos de diferentes bosques no pueden interactuar entre sí a
menos que los administradores de cada bosque creen una relación de confianza entre ellos. Por
ejemplo, si tiene varias unidades de negocio inconexas, probablemente desee crear varios bosques.
¿Qué hay en la base de datos de Active Directory?
La base de datos (directorio) de Active Directory contiene información sobre los objetos AD en el
dominio. Los tipos comunes de objetos AD incluyen usuarios, computadoras, aplicaciones, impresoras
y carpetas compartidas. Algunos objetos pueden contener otros objetos (por eso verá AD descrito
como jerárquico). En particular, las organizaciones a menudo simplifican la administración organizando
los objetos de AD en unidades organizativas (OU) y optimizan la seguridad al colocar a los usuarios
en grupos. Estas unidades organizativas y grupos son en sí mismos objetos almacenados en el
directorio.
Los objetos tienen atributos. Algunos atributos son obvios y otros están más detrás de escena. Por
ejemplo, un objeto de usuario normalmente tiene atributos como el nombre, la contraseña, el
departamento y la dirección de correo electrónico de la persona, pero también atributos que la mayoría
de la gente nunca ve, como su identificador único global (GUID), Identificador de seguridad (SID),
último inicio de sesión tiempo y pertenencia al grupo.
Las bases de datos están estructuradas, lo que significa que hay un diseño que determina qué tipos
de datos almacenan y cómo se organizan esos datos. Este diseño se llama esquema. Active Directory
no es una excepción: su esquema contiene definiciones formales de cada clase de objeto que se
puede crear en el bosque de Active Directory y cada atributo que puede existir en un objeto de Active
Directory. AD viene con un esquema predeterminado, pero los administradores pueden modificarlo
para adaptarlo a las necesidades comerciales. La clave que debe saber es que es mejor planificar el
esquema cuidadosamente desde el principio debido al papel central que desempeña AD en la
autenticación y las autorizaciones; cambiar el esquema de la base de datos de AD más adelante puede
alterar drásticamente su negocio.