directorio Activo

Los Servicios de dominio de Active Directory son la pieza central de software que alimenta las redes empresariales que ejecutan el sistema operativo Windows. Una base de datos de Servicios de dominio de Active Directory es el medio por el cual se almacenan todos los objetos de dominio, cuentas de usuario, cuentas de computadora y grupos. Esto proporciona un directorio en el que se pueden realizar búsquedas a la vez que proporciona un método para aplicar la configuración y la configuración de seguridad para cualquier objeto de la red. Otros componentes de los Servicios de dominio de Active Directory incluyen el bosque, el dominio y las unidades organizativas (OU).

Vista de alto nivel de los servicios de dominio de Active Directory

La base de datos de los Servicios de dominio de Active Directory contiene información sobre recursos como la identidad del usuario, equipos, grupos y servicios. El trabajo de los controladores de dominio es proporcionar el servicio que autentica las cuentas de usuario y de computadora cuando intentan iniciar sesión en el dominio. Los servicios de dominio de Active Directory le dan el poder de configurar y administrar cuentas de usuario y equipo en la red.

Los Servicios de dominio de Active Directory tienen componentes físicos y lógicos para formar la red general. Estos servicios funcionan en conjunto para que pueda administrar y controlar de manera eficiente los recursos a los que los usuarios tienen acceso. Además, es posible instalar y configurar actualizaciones de software, administrar la seguridad, habilitar el acceso remoto y configurar el manejo de certificados.

La política de grupo es una característica clave de ADDS, que ofrece la capacidad de configurar políticas centralizadas para administrar la mayoría de los objetos en los servicios de dominio de Active Directory. Tener un buen conocimiento de los Servicios de dominio de Active Directory es muy importante para utilizar correctamente la directiva de grupo en su red.

La información de los Servicios de dominio de Active Directory se almacena en el disco duro del controlador de dominio y se replica en cualquier controlador de dominio adicional. Familiaricémonos con algunos de los componentes clave.

Físico
Los controladores de dominio contienen copias de la base de datos de Servicios de dominio de Active Directory.
El almacén de datos es el archivo de cada controlador de dominio que almacena la información de los Servicios de dominio de Active Directory.
Los servidores de catálogo global alojan el catálogo global, que es una copia parcial de solo lectura de todos los objetos del bosque. Un catálogo global acelera las búsquedas de objetos que podrían estar almacenados en controladores de dominio en un dominio diferente del bosque.
Los controladores de dominio de solo lectura son una instalación especial de los Servicios de dominio de Active Directory en un formato de solo lectura. A menudo se utilizan en sucursales donde la seguridad y el soporte de TI suelen ser menos avanzados que en los principales centros corporativos.
Lógico
La partición es una sección de la base de datos de Servicios de dominio de Active Directory. Aunque la base de datos es un archivo llamado NTDS.DIT, se visualiza, administra y replica como si constara de distintas secciones o instancias. Estas se denominan particiones, que también se conocen como contextos de nomenclatura.
El esquema define la lista de tipos de objetos y atributos que pueden tener todos los objetos de los Servicios de dominio de Active Directory.
El dominio es un límite administrativo lógico para usuarios y equipos.
El árbol de dominios es una colección de dominios que comparten un dominio raíz común y un espacio de nombres del Sistema de nombres de dominio (DNS).
El bosque es una colección de dominios que comparten un servicio de dominio de Active Directory común.
El sitio es una colección de usuarios, grupos y equipos definidos por sus ubicaciones físicas. Los sitios son útiles para planificar tareas administrativas como la replicación de cambios en la base de datos de Servicios de dominio de Active Directory.
Las unidades organizativas son contenedores en los servicios de dominio de Active Directory que proporcionan un marco para delegar derechos administrativos y para vincular objetos de directiva de grupo (GPO).

Dominios

  • Requiere uno o más controladores de dominio.
  • Todos los controladores de dominio contienen una copia de la base de datos del dominio y se replican entre sí.
  • El límite de replicación está formado por el dominio.
  • Proporciona un paraguas de organización para configurar y administrar objetos dentro del dominio.
  • Los usuarios y las computadoras pueden iniciar sesión en cualquier controlador de dominio dentro del dominio.

Unidades organizativas

  • Una OU es un objeto contenedor dentro de un dominio que se utiliza para consolidar usuarios, grupos, equipos y otros objetos.
  • Se utiliza para delegar permisos administrativos a otros usuarios.
  • Se utiliza para vincular y aplicar la política de grupo.

Cada dominio de Servicios de dominio de Active Directory contiene un conjunto preinstalado de contenedores y unidades organizativas, como unidades organizativas de dominio, integradas, usuarios, equipos y controladores de dominio. Estos proporcionan una línea de base de la organización, pero tenga en cuenta que ningún contenedor predeterminado en el dominio de Servicios de dominio de Active Directory puede tener objetos de directiva de grupo vinculados a ellos, a excepción de la unidad organizativa de controladores de dominio predeterminada y el dominio en sí. Los contenedores restantes son solo carpetas. Para vincular los GPO para aplicar configuraciones y restricciones, primero debe crear una jerarquía de OU a las que pueda vincular dichos Objetos de política de grupo.

Bosque

Se puede pensar en un bosque como uno o más árboles de dominio, mientras que un árbol es una colección de uno o más dominios. El dominio raíz del bosque es el primer dominio que se crea en el bosque. El dominio raíz del bosque contiene el maestro de esquema y el maestro de nombres de dominio. El grupo de administradores de empresa, que tiene control total sobre todos los dominios dentro del bosque, y el grupo de administradores de esquema existen solo en el dominio raíz del bosque.

De forma predeterminada, ningún usuario de fuera del bosque puede acceder a los recursos dentro del bosque, ya que el bosque crea un límite de seguridad. El bosque de Servicios de dominio de Active Directory es el límite de replicación para la configuración y las particiones de esquema en la base de datos de Servicios de dominio de Active Directory. Por tanto, todos los controladores de dominio del bosque comparten el mismo esquema. El Catálogo Global también respeta el bosque como un límite de replicación. Esto ayuda a los usuarios de diferentes dominios a comunicarse fácilmente siempre que se encuentren en el mismo bosque.

Normalmente, todos los dominios del bosque confiarán automáticamente en otros dominios del bosque. Esto permite el acceso a los recursos para todos los usuarios del bosque, independientemente del dominio al que pertenecen.

Esquema

El esquema define todos los tipos de objetos y atributos que los Servicios de dominio de Active Directory utilizan para almacenar datos y, como tal, se puede considerar como el modelo para los Servicios de dominio de Active Directory.
Los objetos son la base de lo que los Servicios de dominio de Active Directory utilizan como unidades de almacenamiento. Cada vez que el directorio maneja datos, se consulta el esquema para obtener la definición y el tipo de objeto adecuados. El directorio crea el objeto y almacena los datos según la definición del objeto en el esquema.

En los servicios de dominio de Active Directory, el esquema define:

  • Objetos utilizados para almacenar datos en el directorio.
  • Reglas que definen los tipos de objetos que puede crear, qué atributos deben definirse cuando crea el objeto y qué atributos son opcionales.
  • La estructura y contenido del directorio en sí.

Usuario, computadora, grupo y sitio son ejemplos de objetos que se definen en el esquema. Los atributos incluyen cosas como ubicación, accountExpires, buildingName, empresa, administrador y displayName.

Solo puede realizar cambios en el esquema si selecciona el controlador de dominio que tiene el rol de operaciones de maestro de esquema. Luego, se replica en todos los controladores de dominio del bosque. Debido a esto, los cambios en el esquema deben evitarse en su mayoría, excepto en escenarios cuidadosamente planeados y probados donde un esquema modificado es obligatorio para características adicionales en la red. Los efectos secundarios desagradables pueden resultar en el bosque debido a un esquema mal modificado.