Definition

¿Qué es un dominio de Directorio Activo (AD Domain)?

por
Publicado:jun 13, 2025

Un dominio de Directorio Activo (AD Domain, por sus siglas en inglés) es una colección de objetos dentro de una red de Microsoft Active Directory. Un objeto puede ser un usuario o un grupo, o un componente de hardware, como una computadora o una impresora. Cada dominio contiene una base de datos con información de identidad de los objetos.

AD es la base de la mayoría de las administraciones de red modernas basadas en Windows. Forma parte de la familia de sistemas operativos (SO) Windows Server. Conceptualmente, AD suele visualizarse como una guía telefónica clásica donde los usuarios pueden buscar a cualquier persona con teléfono, conocer su ubicación y el número de contacto.

¿Qué es un dominio AD?

Un dominio de AD es una agrupación lógica de los objetos alojados en AD. Estos objetos –que constituyen la unidad lógica más pequeña– pueden ser usuarios, equipos o unidades organizativas (OU). Los objetos dentro de un dominio comparten comportamientos comunes de administración, seguridad y protección, y suelen estar ubicados en la misma red física. El personal de TI es responsable de la gestión de los objetos dentro de un dominio. Una empresa puede establecer numerosos dominios.

Un conjunto de dominios de AD se denomina bosque (forest). Los dominios y bosques forman la base de la estructura lógica de Windows AD. Un bosque actúa como el límite de seguridad de esta estructura. La estructuración de dominios en un bosque proporciona autonomía de datos y servicios, y optimiza la replicación (dentro de una región). Además, la estructura lógica puede utilizarse para compartimentar los datos y, por lo tanto, controlar el acceso a ellos.

¿Cómo funcionan los dominios de AD?

Un dominio es una etiqueta o categoría que representa una agrupación lógica de objetos o recursos que administra el Directorio Activo. La mayoría de los administradores empresariales no crean dominios con frecuencia, ya que suelen ser entidades a largo plazo que rara vez cambian. Sin embargo, es posible que deban agregar nuevos dominios periódicamente a medida que la empresa crece y las necesidades de la organización evolucionan. Por ejemplo, una empresa que adopta Microsoft 365 podría necesitar agregar un nuevo dominio a AD.

El proceso de agregar un dominio implica los siguientes pasos:

  1. Inicie sesión en el controlador de dominio (DC) actual.
  2. Acceda al cuadro de diálogo Dominios y Confianzas de Active Directory.
  3. Seleccione Propiedades para Dominios y Confianzas de Active Directory haciendo clic derecho en el botón superior en la vista de árbol izquierda y seleccionando Propiedades en el menú desplegable.
  4. Agregue el nuevo nombre de dominio al campo Sufijos UPN Alternativos en el cuadro de diálogo Sufijos UPN.
  5. Haga clic en Aplicar y cierre las ventanas. El dominio se agregará al controlador de dominio seleccionado.

Los administradores también pueden seleccionar opciones de replicación para otros controladores de dominio. Una vez completado, el nuevo nombre de dominio podrá usarse en Directorio Activo. Agregar un nuevo nombre de dominio no afecta a los usuarios, y se pueden agregar nuevos usuarios y otros objetos al dominio según sea necesario.

¿Para qué se utiliza el dominio AD?

En la práctica, Directorio Activo es fundamentalmente una base de datos diseñada para almacenar toda la información relevante sobre usuarios y endpoints –como servidores y almacenamiento– en toda la red empresarial. AD también proporciona un conjunto de servicios de directorio que asocian dichos recursos de red con sus direcciones de red, garantizando así la disponibilidad de la información en toda la red. Además, AD gestiona la seguridad, como la autenticación para garantizar que solo los usuarios válidos puedan acceder a la red, y la autorización para garantizar que solo los usuarios válidos puedan acceder a los recursos a los que tienen acceso.

Los Servicios de Dominio de Active Directory (AD DS) de Microsoft permiten almacenar datos de directorio y ponerlos a disposición de los administradores. Estos datos pueden incluir datos de cuentas de usuario, como nombres y contraseñas. Además de los administradores, otros usuarios autorizados de la red también pueden usar AD DS para acceder a esta información. AD DS forma parte del sistema operativo Windows Server.

Herramientas para administrar dominios en Active Directory

Dominios y Confianzas de Active Directory es una de las herramientas disponibles para administrar dominios y el Directorio Activo. Los administradores pueden usar Microsoft Management Console (MMC) para administrar las confianzas de dominio, los niveles funcionales (dominio y bosque) y los sufijos de nombres principales de usuario.

Se puede instalar otras herramientas de administración de AD nativas mediante Herramientas de Administración de Servidor Remoto, entre las que se incluyen las siguientes:

  • Centro de Administración de Active Directory (ADAC). Una herramienta disponible con varias versiones de Windows Server para simplificar la administración de varios dominios de AD en un bosque.
  • Sitios y Servicios de Active Directory. Herramienta administrativa que incluye un complemento Microsoft MMC para administrar sitios y componentes relacionados en redes grandes con múltiples sitios.
  • Usuarios y Equipos de Active Directory (ADUC). Un complemento de MMC para gestionar diversas tareas relacionadas con objetos de AD, como cambios de contraseña, restablecimiento de cuentas de usuario, creación (o eliminación) de unidades organizativas (OU), delegación del control de objetos, etc.
  • Edición de Interfaces de Servicio de Active Directory (ADSI). Herramienta para editar AD (p. ej., crear o modificar elementos), manipular atributos y solucionar problemas relacionados con las propiedades de los objetos de AD.
  • Módulo de Active Directory para Windows PowerShell. Un módulo para administrar dominios de AD mediante la consolidación de un grupo de cmdlets.

Directorio Activo frente al controlador de dominio

Cada dominio de Directorio Activo requiere un controlador de dominio, un servidor informático convencional con AD DS y una versión del sistema operativo Windows Server. El controlador de dominio utiliza los datos almacenados en AD para la autenticación, la autorización, la administración de políticas y la gestión de grupos. Los controladores de dominio también pueden almacenar un catálogo global de todos los objetos de todos los dominios del bosque para permitir búsquedas globales. Este controlador de dominio se denomina servidor de catálogo global.

Es importante tener en cuenta que un controlador de dominio (DC) es un recurso empresarial esencial. Si el servidor o la base de datos del DC fallan, la red y sus recursos podrían quedar inaccesibles para los usuarios. Una organización suele operar dos o más DC en conjunto para compartir la carga de tráfico de red y proporcionar resiliencia operativa. Cada controlador de dominio mantiene una copia independiente de la base de datos de AD, y se sincroniza automáticamente mediante replicación para que los cambios realizados en el directorio de un DC se repliquen también en los demás.

¿Cómo está estructurado Active Directory?

Directorio Activo tiene una estructura de árbol. La forma más sencilla de comprender los diversos conceptos de la estructura de AD (incluidos los dominios) es considerar los cinco elementos principales del árbol de AD.

Objetos

Un objeto es la unidad lógica de nivel más bajo, o más granular, de una estructura de AD. Puede ser una cuenta de usuario, un equipo o servidor, un grupo, un recurso compartido (como un volumen de almacenamiento ) o un dispositivo (como una impresora). Cada objeto puede tener uno o más atributos que detallan sus propiedades y limitaciones. Estos atributos se especifican en el esquema de AD como definiciones formales.

Unidades organizativas

Los objetos dentro de AD se estructuran en agrupaciones lógicas llamadas unidades organizativas, que también se consideran objetos. Estas permiten a los administradores organizar mejor los objetos dentro de AD. Las unidades organizativas se pueden anidar, lo que significa que una unidad organizativa puede albergar otras unidades organizativas. Sin embargo, un objeto solo puede ubicarse en una unidad organizativa a la vez.

Grupos

Los grupos son una forma diferente de organizar objetos en AD. Un grupo es una colección de objetos, como usuarios, donde un grupo les otorga propiedades comunes, como permisos. Por ejemplo, todos los usuarios de un grupo pueden acceder a ciertos recursos compartidos de archivos. Los objetos pueden pertenecer a más de un grupo. Los objetos de los grupos se pueden ubicar en unidades organizativas (OU).

Dominios

Un dominio es una agrupación lógica de objetos, que puede incluir objetos individuales, como computadoras, así como grupos y unidades organizativas (OU). Un dominio suele existir dentro de una red física, como una LAN corporativa, y es gestionado por un administrador o un equipo administrativo. Una organización puede tener fácilmente dos o más dominios. Por ejemplo, una empresa con varias oficinas físicas podría tener un dominio para cada una, como "us.company.com" para la oficina en EE. UU. y "eu.company.uk" para la oficina en el Reino Unido.

Árboles

Los dominios se pueden organizar en árboles. Por ejemplo, una empresa con varios dominios en un sitio determinado podría organizarlos en un solo árbol con fines organizativos. Un árbol permite que todos los dominios compartan un esquema o diseño común y un catálogo global para facilitar la búsqueda.

Bosques

Los árboles se pueden organizar en bosques, el nivel jerárquico más alto en AD. Un bosque define un directorio único. Por ejemplo, una empresa con árboles de múltiples dominios establecidos en diversas ubicaciones globales puede agruparlos en un único bosque administrativo, que representa a toda la empresa. Un bosque también constituye el límite de seguridad máximo para AD, y no se establece ninguna confianza con ningún otro bosque, a menos que los administradores de cada bosque la creen explícitamente. Además, los administradores tienen control total sobre los datos almacenados en el bosque.

Un ejemplo básico de cómo se configuran los bosques de Active Directory.

¿Qué son los servicios de dominio de Active Directory?

AD DS es el servicio principal del Directorio Activo. AD DS almacena y administra información sobre usuarios, servicios y otros objetos conectados a la red, a la vez que proporciona un punto central de administración para todas las actividades de la red. Los servidores que alojan AD DS son controladores de dominio y una organización puede alojar varios controladores de dominio redundantes.

AD DS es tan común y vital para el Directorio Activo que las conversaciones sobre AD suelen referirse a él. Sin embargo, el Directorio Activo también ofrece el siguiente conjunto de servicios complementarios más allá de AD DS:

Active Directory está compuesto por varios servicios diferentes.
  • Servicios de Directorio Ligero de Active Directory (AD LDS). Ofrecen diversas funcionalidades para simplificar la gestión de dominios, incluyendo un formato de página de base de datos de 32k, nuevos archivos de base de datos de registro para ampliar el esquema de AD y la reparación de objetos con atributos principales faltantes.
  • Protocolo Ligero de Acceso a Directorios (LDAP) de Active Directory. Este protocolo facilita la comunicación entre Microsoft Exchange Server y AD.
  • Servicios de Certificados de Active Directory (AD CS). Este rol de Windows Server administra certificados digitales para vincular identidades y claves privadas y garantizar una comunicación segura.
  • Servicios de Federación de Active Directory (AD FS). Esto permite la gestión federada de identidades y accesos traspasando los límites de seguridad y amplía las funciones de inicio de sesión único (SSO) dentro de un único límite de seguridad o empresarial.
  • Servicios de Administración de Derechos de Active Directory (AD RMS). Este rol de Windows Server proporciona protección local de Administración de Derechos. Se puede usar con Azure Information Protection (AIP) basado en la nube para documentos y correos electrónicos que deben protegerse con una clave local.

Un nombre de dominio es una designación textual que se asigna a una dirección IP correspondiente que identifica un elemento de red. El nombre de dominio es el texto legible, mientras que la dirección IP es la ubicación precisa de la red. Por ejemplo, la dirección IP del servidor web de una empresa podría aparecer como 192.0.2.2, pero el nombre de dominio de la empresa aparece como "miempresa.com". El sistema de nombres de dominio (DNS) permite traducir los nombres de dominio legibles a las direcciones IP correspondientes.

La administración de servidores puede requerir que los administradores identifiquen el nombre de dominio completo (FQDN) del servidor, que incluye un nombre de servidor y un nombre de dominio, como "mail.mycompany.com". El FDQN de un servidor Windows se puede encontrar siguiendo estos pasos:

  1. Abra el menú Inicio y escriba el "nombre del dispositivo".
  2. Haga clic en el menú Ver el Nombre de su PC.
  3. Seleccione Configuración avanzada del sistema.
  4. La entrada "Nombre completo de la computadora" en la pestaña Nombre de la computadora debe mostrar el FQDN si corresponde.

Como alternativa, inicie Windows Terminal y escriba el comando ipconfig /all en el símbolo del sistema para mostrar la configuración IP completa de Windows, incluido el nombre de host, el sufijo DNS principal y el sufijo DNS específico de la conexión relacionada con la computadora.

Investigue más sobre Internet y redes de datos