Active Directory Domain

Services
¿Qué es AD DS?
• Un directorio es una estructura jerárquica que
almacena información sobre objetos en la red. Un
servicio de directorio, como Active Directory
Domain Services (AD DS), proporciona los métodos
para almacenar datos de directorio y poner dichos
datos a disposición de los usuarios y
administradores de la red. Por ejemplo, AD DS
almacena información acerca de las cuentas de
usuario, como nombres, contraseñas, números
de teléfono, etc., y permite que otros usuarios
autorizados de la misma red tengan acceso a dicha
información.
Descripción del Modelo de AD DS
• El diseño de la estructura lógica de Active Directory Domain
Services (AD DS) implica definir las relaciones entre los
contenedores del directorio. Estas relaciones pueden estar
basadas en:
• requisitos administrativos, como la delegación de autoridad,
• o pueden definirse mediante requisitos operativos, como la
necesidad de controlar la replicación.
• AD DS es una base de datos distribuida que almacena y administra
información acerca de los recursos de red y datos específicos de las
aplicaciones habilitadas para el uso de directorios.
• AD DS permite a los administradores organizar los elementos de una
red (por ejemplo, los usuarios, los equipos y dispositivos) en una
estructura de contención jerárquica. El contenedor de nivel superior es
el bosque. Dentro de los bosques hay dominios y dentro de los
dominios hay unidades organizativas. Esto se denomina modelo lógico
porque es independiente de los aspectos físicos de la
implementación, como el número de controladores de dominio
necesarios dentro de cada dominio y la topología de red.
Bosque de Active Directory
• Un bosque es una colección de uno o varios
dominios de Active Directory que comparten una
estructura lógica común, un esquema de directorio
(definiciones de clase y atributo), una configuración
de directorio (información de sitio y replicación) y un
catálogo global (funcionalidades de búsqueda en
todo el bosque). Los dominios del mismo bosque se
vinculan automáticamente con relaciones de
confianza transitivas bidireccionales.
Dominio de Active Directory

La creación de
Un dominio es una
particiones de
partición de un
datos permite a las
bosque de Active
organizaciones
Directory
replicar datos solo
en los casos en los
que sea necesario.

el directorio puede
escalar globalmente a
través de una red que
tenga un ancho de banda
disponible limitado.
 el dominio admite una serie de otras funciones
principales relacionadas con la administración
Identidad de usuario en toda
la red. En los dominios, las Replicación. El dominio define
identidades de usuario se Autenticación. Los una partición del directorio
pueden crear una vez y, a controladores de dominio que contiene datos
continuación, hacer proporcionan servicios de Relaciones de confianza. Los suficientes para proporcionar
referencia a ellas en cualquier autenticación para los dominios pueden ampliar los servicios de dominio y, a
equipo unido al bosque en el usuarios y proporcionan datos servicios de autenticación a continuación, lo replica entre
que se encuentra el dominio. de autorización adicionales, los usuarios de dominios fuera los controladores de dominio.
Los controladores que como pertenencias a grupos de su propio bosque mediante De este modo, todos los
componen el dominio se usan de usuarios, que se pueden confianzas. controladores de dominio
para almacenar las cuentas y usar para controlar el acceso tienen el mismo nivel en un
credenciales de usuario, a los recursos de la red. dominio y se administran
como contraseñas o como una unidad.
certificados, de forma segura.
Unidades organizativas de Active Directory
Las unidades El control (sobre una unidad organizativa y los objetos que contiene) viene
organizativas se determinado por las listas de control de acceso (ACL) en la unidad
usan para organizativa y en los objetos de esta.
agrupar objetos
Para facilitar la administración de un gran número de objetos, AD DS
con fines
admite el concepto de delegación de autoridad.
administrativos,
como la
aplicación de Mediante la delegación, los propietarios pueden transferir un control
una directiva de administrativo total o limitado sobre los objetos a otros usuarios o grupos.
grupo o la
delegación de
La delegación es importante porque ayuda a distribuir la administración
autoridad.
de un gran número de objetos para una serie de usuarios en quienes se
confía para realizar tareas de administración.
La seguridad en AD DS
• La seguridad se integra en Active Directory mediante la
autenticación de inicio de sesión y el control de acceso a los
objetos del directorio. Con un único inicio de sesión de red, los
administradores pueden administrar los datos del directorio y la
organización a través de su red, y los usuarios de red autorizados
pueden tener acceso a los recursos en cualquier parte de la red.
• La administración basada en directiva facilita la administración
de incluso las redes más complejas.
Active Directory también incluye:
Un catálogo global que contiene
Un conjunto de reglas, el esquema, que
información acerca de todos los objetos
define las clases de objetos y atributos
del directorio. Esto permite a los
incluidos en el directorio, las
usuarios y administradores buscar
restricciones y límites de las instancias
información del directorio con
de estos objetos y el formato de sus
independencia del dominio en que el
nombres.
directorio tiene los datos.

Un servicio de replicación que distribuye

los datos de directorio en una red. Todos
los controladores de dominio de un
Un mecanismo de consulta e índice para
dominio participan en la replicación y
poder publicar los objetos y sus
contienen una copia completa de toda la
propiedades, y buscar por usuarios o
información de directorio del dominio.
aplicaciones de red.
Cualquier cambio en los datos del
directorio se replica en todos los
controladores de dominio del dominio.
Estructura lógica