Active Directory (AD) es un servicio de directorio para su uso en un entorno Windows Server. Se trata de una estructura de base de datos distribuida y jerárquica que comparte información de infraestructura para localizar, proteger, administrar y organizar los recursos del equipo y de la red, como archivos, usuarios, grupos, periféricos y dispositivos de red.
Active Directory es el servicio de directorio propietario de Microsoft para su uso en redes de dominio de Windows. Cuenta con funciones de autenticación y autorización y proporciona un framework para otros servicios similares. Básicamente, el directorio consiste en una base de datos LDAP que contiene objetos en red. Active Directory utiliza el sistema operativo Windows Server.
Cuando se habla sobre Active Directory, por lo general nos referimos a los servicios de dominio (Domain Services) de Active Directory, que proporcionan servicios integrados de autenticación y autorización a gran escala.
Antes de Windows 2000, el modelo de autenticación y autorización de Microsoft obligaba a dividir una red en dominios para luego vincularlos mediante un sistema de confianza de una y dos vías que resultaba complicado y, a veces, impredecible. Active Directory se presentó en Windows 2000 como una forma de proporcionar servicios de directorio a entornos más grandes y complejos.
Con el tiempo, Microsoft ha agregado servicios adicionales bajo el estandarte de Active Directory.
Active Directory Lightweight Directory Services
Esta versión ligera de los servicios de dominio elimina cierta complejidad y algunas características avanzadas para ofrecer solo la funcionalidad básica del servicio de directorio sin controladores de dominio, bosques o dominios. Normalmente se utiliza en entornos de red individuales y pequeñas.
Active Directory Certificate Services
Los servicios de certificados ofrecen formas de certificación digital y admiten infraestructura de clave pública (PKI, por sus siglas en inglés). Este servicio puede almacenar, validar, crear y revocar las credenciales de clave pública utilizadas para el cifrado en lugar de generar claves de forma externa o local.
Active Directory Federation Services
Proporciona un servicio de autenticación y autorización de inicio de sesión único basado en la web para su uso principalmente entre organizaciones. De este modo, un contratista puede iniciar sesión en su propia red y tener autorización, al mismo tiempo, para acceder a la red del cliente.
Active Directory Rights Management Services
Se trata de un servicio de administración de derechos que rompe con el concepto de autorización como un simple modelo de permitir o denegar acceso y limita lo que puede hacer un usuario con archivos o documentos concretos. Los derechos y restricciones se adjuntan al documento, y no al usuario. Estos derechos se usan comúnmente para evitar la impresión, la copia o las capturas de pantalla de un documento.
Una característica clave de la estructura de Active Directory es la autorización delegada y la replicación eficiente. Cada parte de la estructura organizativa de AD limita la autorización o la replicación dentro de esa subparte en particular.
Bosque
El bosque es el nivel más alto de la jerarquía de la organización, y se trata de un límite de seguridad dentro de la organización. Un bosque permite segregar la delegación de autoridad de forma acotada en un solo entorno. De este modo, podemos tener un administrador con derechos y permisos de acceso total, pero solo a un subconjunto específico de recursos. También es posible utilizar un solo bosque en la red. La información del bosque se almacena en todos los controladores de dominio de todos los dominios dentro del bosque.
Árbol
Un árbol es un grupo de dominios. Los dominios dentro de un árbol comparten el mismo espacio de nombre raíz, pero, a pesar de ello, los árboles no son límites de seguridad o replicación.
Dominios
Cada bosque contiene un dominio raíz. Se pueden usar dominios adicionales para crear más particiones dentro de un bosque. El propósito de un dominio es dividir el directorio en partes más pequeñas para poder controlar la replicación. Un dominio limita la replicación de Active Directory solo a los otros controladores de dominio que se encuentran en su interior. Por ejemplo: si tenemos dos oficinas, una Oakland y otra en Pittsburg, la primera no debe replicar los datos de AD de la segunda (y viceversa). De este modo, podemos ahorrar ancho de banda y limitar el daño causado a través de las brechas de seguridad.
Cada controlador de un dominio contiene una copia idéntica de la base de datos de Active Directory de ese dominio. De este modo se mantiene todo actualizado a través de la replicación constante.
A pesar de que los dominios se usaban en el modelo anterior, basado en Windows-NT, y aún proporcionan una barrera de seguridad, se recomienda que no sean solo los dominios los que se encarguen de controlar la replicación, sino que se empleen también las unidades organizativas (OU) para agrupar y limitar los permisos de seguridad.
Unidades organizativas (OU)
Una unidad organizativa permite agrupar la autoridad sobre un subconjunto de recursos de un dominio. Una OU proporciona un límite de seguridad para privilegios y autorización elevados, pero no limita la replicación de objetos de AD.
Las unidades organizativas se utilizan para delegar el control dentro de agrupaciones funcionales. Se deben usar las unidades organizativas para implementar y limitar la seguridad y los roles entre los grupos, mientras que los dominios deben usarse para controlar la replicación de Active Directory.
Los controladores de dominio son servidores de Windows que contienen la base de datos de Active Directory y ejecutan funciones relacionadas con AD, como la autenticación y la autorización. Un controlador de dominio es cualquier servidor Windows que cuente con la función de controlador de dominio instalada.
Cada controlador de dominio almacena una copia de la base de datos de Active Directory, que contiene información sobre todos los objetos dentro del mismo dominio. Además, cada controlador de dominio almacena el esquema de todo el bosque, así como toda la información sobre el mismo. Un controlador de dominio no almacenará una copia de ningún esquema o información de bosque de un bosque diferente, aunque se encuentren en la misma red.
Funciones especializadas del controlador de dominio
Se usan roles especializados de controlador de dominio para realizar operaciones específicas que no están disponibles en los controladores de dominio estándar. Aunque estos roles maestros se asignan al primer controlador creado en cada bosque o dominio, un administrador puede reasignarlos manualmente.
Maestro de esquema
Solo existe un maestro de esquema por bosque. Contiene la copia maestra del esquema utilizado por todos los demás controladores de dominio. Tener una copia maestra garantiza que todos los objetos se definan de la misma manera.
Maestro de nombres de dominio
Solo existe un maestro de nombres de dominio por cada bosque, y su función es garantizar que todos los nombres de los objetos sean únicos y, cuando sea necesario, realizar referencias cruzadas de los objetos almacenados en otros directorios.
Maestro de infraestructura
Hay un maestro de infraestructura por dominio que mantiene la lista de objetos eliminados y rastrea las referencias de los objetos en otros dominios.
Maestro del identificador relativo
El maestro del identificador relativo rastrea la asignación y creación de identificadores de seguridad únicos (SID) en todo el dominio, y hay uno por dominio.
Emulador de controlador de dominio primario
Solo hay un emulador de controlador de dominio primario (PDC) por dominio. Está ahí para proporcionar compatibilidad con versiones anteriores de los antiguos sistemas de dominio basados en Windows NT, y responde a las solicitudes realizadas a un PDC como se esperaría que lo hiciera un PDC antiguo.
Almacén de datos
El almacén de datos se encarga del almacenamiento y la recuperación de la información en cualquier controlador de dominio. El almacén de datos se compone de tres capas. La capa inferior es la propia base de datos. La capa intermedia está compuesta por componentes de servicio, el agente del sistema de directorio (DSA), la capa de base de datos y el motor de almacenamiento extensible (ESE). En la capa superior se encuentra el servicio de almacenamiento de directorio, el LDAP (Lightweight Directory Access Protocol), la interfaz de replicación, la API de mensajería (MAPI) y el administrador de cuentas de seguridad (SAM).
Aunque Active Directory contiene información de ubicación sobre los objetos almacenados en la base de datos, utiliza el sistema de nombres de dominio (DNS) para situar los controladores de dominio.
Dentro de Active Directory, cada dominio tiene un nombre de dominio DNS y cada ordenador que forma parte del dominio cuenta con un nombre DNS dentro del mismo.
Objetos
Todo lo que hay dentro de Active Directory se almacena en forma de objeto. También podría decirse que la clase es el “tipo” de un objeto dentro del esquema. Los atributos son los componentes del objeto, y están definidos por su propia clase.
Los objetos deben definirse dentro del esquema para que los datos puedan almacenarse en el directorio. Una vez definidos, los datos se almacenan dentro del directorio activo como objetos individuales. Cada objeto debe ser único y representar una sola cosa, como un usuario, un equipo o un grupo único de cosas (grupos de usuarios, por ejemplo).
Los dos principales tipos de objetos son recursos y principios de seguridad. A los principios de seguridad se les asignan identificadores de seguridad (SID), pero los recursos no.
Active Directory utiliza diversos controladores de dominio por múltiples razones, incluido el equilibrio de carga y la tolerancia a fallos. Para que esto funcione, cada controlador de dominio debe disponer de una copia completa de la propia base de datos de Active Directory de su dominio. La replicación es el proceso que garantiza que cada controlador cuente con una copia actualizada de la base de datos.
La replicación está limitada por el dominio. Los controladores de dominio que se encuentran en dominios diferentes no se replican entre sí, incluso aunque estén dentro del mismo bosque. Si bien las versiones anteriores de Windows tenían diferentes tipos de controladores de dominio (principal y secundario), en Active Directory no existe tal cosa: todos los controladores de dominio son iguales. A veces puede existir cierta confusión por seguir usando en Active Directory el nombre de “controlador de dominio” que se empleaba en el antiguo sistema, basado en la confianza.
La replicación trabaja sobre un sistema de extracción, lo que significa que un controlador de dominio solicita o “extrae” la información de otro controlador de dominio en lugar de que cada uno de ellos envíe o “introduzca” datos en los demás. De forma predeterminada, los controladores de dominio solicitan datos de replicación cada 15 segundos. Ciertos eventos de alta seguridad, como bloquear una cuenta, activan un evento de replicación inmediata.
Solo se replican los cambios. Para garantizar la fidelidad en un sistema de múltiples maestros, cada controlador de dominio realiza un seguimiento de los cambios y solicita solo las actualizaciones que necesita desde la última replicación. Los cambios se replican a través de todo el dominio mediante un mecanismo de almacenamiento y reenvío, de modo que cualquier cambio se replica cuando se solicita, incluso si dicho cambio no se originó en el controlador de dominio que responde a la solicitud de replicación.
De ese modo se evita el exceso de tráfico, y se puede configurar para garantizar que cada controlador de dominio solicite sus datos de replicación al servidor más deseable. Por ejemplo, si una ubicación remota tiene dos conexiones a otros sitios con controladores de dominio, y una de ellas es rápida mientras que la otra es lenta, puede establecer un “coste” para cada conexión. Al hacerlo, la solicitud de replicación se realizará siempre a través de la conexión más rápida.