Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos…).
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red, así como también la administración de políticas en toda la red.
Estructura
Active Directory está basado en una serie de estándares llamados X.500, aquí se encuentra una definición lógica a modo jerárquico. Dominios y subdominios se identifican utilizando la misma notación de las zonas DNS, razón por la cual Active Directory requiere uno o más servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lógicos de la red, como el listado de usuarios.
Objetos
Estos objetos se conocen como objetos esquema, o metadata, y existen para poder extender el esquema o modificarlo cuando sea necesario.
Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la información relativa a un dominio de autenticación. Una de sus ventajas es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.
De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administración, los eventuales cambios serán visibles en todo el ámbito.
Intercambio entre dominios
Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa una relación de confianza (en inglés, trust). La relación de confianza es creada automáticamente cuando se crean nuevos dominios. Los límites de la relación de confianza no son marcados por dominio, sino por el bosque al cual pertenece.
Confianzas transitivas
Las Confianzas transitivas son confianzas automáticas de dos vías que existen entre dominios en Active Directory.
Confianzas explícitas
Las Confianzas explícitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticación. Este tipo de relación puede ser de una o dos vías, dependiendo de la aplicación.
Confianza entre bosques
La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía.
Maestros de Operaciones
En el Directorio Activo, hay una serie de roles que sólo pueden ser ejercidos por un único DC, al tratarse de funciones que requieren ser únicas en el bosque o dominio. Por así decirlo, el DC que ostenta en un momento dado un rol maestro realiza funciones de moderador o director de esa función. Un rol maestro puede transferirse de un DC a otro, incluso forzarse el cambio caso de desastre del DC que lo ostenta, pero en ningún momento puede haber más de un DC con el mismo rol. A estos roles se les conoce como FSMO (Flexible Single Master Operations).
Los tipos de roles maestros de operaciones son cinco, dos a nivel bosque y tres en cada dominio del mismo.
- Bosque: A este nivel, y localizados siempre en algún DC del dominio raíz del bosque (el primero que montas cuando lo creas) hay dos, el maestro de esquema y el maestro de nombres de dominio.
- Maestro de Esquema: es el DC que dirige todas las operaciones de cambio en el esquema del AD (la definición de clases de objeto, con sus atributos). Cuando se hace una modificación al esquema, siempre se realiza sobre el maestro de esquema (aunque la consola la lancemos desde otro DC), y a continuación se replica a todos los DCs del bosque. Esto permite asegurar que el esquema sea único para todo el AD.
- Maestro de Nombres de Dominio: El DC que ostenta este rol es el que controla que los nombres propuestos para nuevos dominios en el bosque no estén en uso, y además que la topología de nombres sea la correcta (por ejemplo, si tenemos un árbol con un dominio de nombre “españa.es”, no podremos crear otro árbol de nombre “sevilla.españa.es”, sino que tendrá que ser un subdominio del anterior.
- Dominio: En cada dominio del bosque hay tres roles maestros, que pueden ser ejercidos por el mismo o por distintos DCs del dominio. Son los siguientes:
- Emulador de PDC: Entre otras, realiza todas aquellas tareas que los equipos anteriores a Windows 2000 esperaban que se realizasen en un PDC de NT4. Entre otras cosas, cuando un DC recibe una modificación de la contraseña de un usuario, al primero que se lo replica es al PDC, quien además ejerce de árbitro cuando se produce una autenticación incorrecta de la contraseña de un usuario (antes de generar el mensaje de error, el DC en que se valida la contraseña errónea le pregunta al PDC por si éste ya hubiera recibido un cambio de la contraseña).
- RID Master (Relative Identifier Master): Al crear un objeto de tipo usuario, grupo o equipo se le asigna un identificador único de seguridad en el dominio (SID). Este identificador consta de una parte única para todo el dominio y de otra variable dentro del mismo, que le asigna el DC en que se crea el objeto. Para evitar que dos DCs distintos generen el mismo SID para un objeto, el DC que hace de RID master asigna al resto de DCs del dominio un número de IDs (un RID Pool), de tal forma que son distintos en cada DC.
- Maestro de Infraestructura: Es el DC responsable de actualizar en otros dominios de su mismo bosque aquellos objetos del dominio propio que son referenciados por objetos de otros dominios.
Requisitos de instalación
Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:
- Tener cualquier versión Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server), Windows 2008 o Windows 2012 Server. En el caso de 2003 server, tener instalado el SP1 en la máquina.
- Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una dirección asignada por DHCP.
- Tener un servidor de nombre de DNS, para resolver la dirección de los distintos recursos físicos presentes en la red.
- Poseer más de 250 MB en una unidad de disco formateada en NTFS
