Tutorial de Active Directory

Aspectos básicos de Active Directory

En esta sección conocerá los aspectos básicos de Active Directory y los beneficios que aporta su implementación. Infórmese sobre los árboles, dominios, sitios y unidades organizativas de Active Directory, así como de las características básicas de LDAP (Lightweight Directory Access Protocol) y las Directivas de Grupo. Después de esto, analizaremos el Sistema de Nombres de Dominio (DNS).

Lo esencial de Active Directory

¿Qué es Active Directory? Active Directory es el servicio de directorios creado y registrado por Microsoft, un componente integral de la arquitectura Windows. Igual que otros servicios de directorios, como Novell Directory Services (NDS), Active Directory es un sistema centralizado y estandarizado que automatiza la gestión en red de los datos de usuario, la seguridad y los recursos distribuidos, además de facilitar la interoperabilidad con otros directorios. Active Directory está especialmente diseñado para ambientes de red distribuidos.

Active Directory se presentó con Windows 2000 Server y fue mejorado para Windows 2003, donde cobró aún mayor importancia dentro del sistema operativo. Windows Server 2003 Active Directory proporciona una referencia única, llamada servicio de directorio, para todos los objetos que forman parte de una red, como usuarios, grupos, computadoras, impresoras, directivas y permisos.

Para los usuarios o el administrador, Active Directory proporciona una visión jerárquica única desde donde acceder y gestionar todos los recursos de la red.

¿Por qué implementar Active Directory?

Hay muchas razones para implementar Active Directory. En primer lugar, existe la perspectiva generalizada de que Microsoft Active Directory supone una mejora significativa respecto a los dominios o, incluso, las redes de servidores independientes de Windows NT Server 4.0. Active Directory tiene un mecanismo de administración centralizado para la red entera y ofrece tolerancia ante la redundancia y las fallas que se producen cuando se despliegan dos o más controladores dentro de un mismo dominio.

Active Directory gestiona automáticamente las comunicaciones entre los controladores de dominio para garantizar así la viabilidad de la red. Los usuarios pueden acceder a todos los recursos de la red  para la que tienen autorización siguiendo un único procedimiento de acceso. Todos los recursos de la red están protegidos por un sólido mecanismo de seguridad que verifica la identidad de los usuarios y las autorizaciones de recursos para cada acceso. 

Incluso contando con la mejor seguridad y control de la red que proporciona Active Directory, la mayoría de sus prestaciones son invisibles para el usuario final. Por tanto, si un usuario desea migrar a una red con Active Directory necesitará una cierta recapacitación. Active Directory ofrece un sistema sencillo para promover y degradar los controladores de dominio y servidores miembros. Los sistemas pueden administrarse y protegerse mediante Directivas de Grupo. Se trata de un modelo organizativo jerárquico y flexible que permite una gestión fácil y una delegación específica y detallada de las responsabilidades administrativas. Pero quizás lo más importante sea que Active Directory es capaz de manejar millones de objetos dentro de un único dominio.

Divisiones básicas de Active Directory

Las redes de Active Directory están organizadas en cuatro tipos de divisiones o estructuras de almacenamiento: bosques, dominios, unidades organizativas y sitios.

1. Bosques: El conjunto de todos los objetos, sus atributos y sintaxis de atributos en Active Directory.
2. Dominio: Una colección de computadoras que comparten un conjunto de directivas comunes, un nombre y una base de datos para sus miembros.
3. Unidades organizativas: Contenedores en los que se agrupan los dominios. Establecen una jerarquía para el dominio y crean la estructura del Active Directory de la compañía en términos geográficos u organizativos.
4. Sitios: Agrupamientos físicos independientes del dominio y la estructura de las unidades organizativas. Los sitios distinguen entre ubicaciones conectadas por conexiones de baja o de alta velocidad y están definidos por una o más subredes IP.

Los bosques no están limitados en cuanto a su geografía o topología de red. Un único bosque puede contener numerosos dominios y cada uno de ellos compartir un esquema común. Los dominios que son miembros del mismo bosque no necesitan siquiera tener una conexión LAN o WAN dedicada entre ellos. Una única red puede alojar también múltiples bosques independientes. En general, se debería utilizar un solo bosque para cada entidad corporativa. Sin embargo, puede ser deseable usar bosques adicionales para hacer pruebas e investigaciones fuera del bosque de producción.

Los dominios actúan de contenedores para las políticas de seguridad y las actividades administrativas. Todos los objetos dentro de un dominio están sujetos, por defecto, a las Directivas de Grupo aplicables a todo el dominio. De igual manera, cualquier administrador de dominio puede gestionar todos los objetos dentro del mismo. Es más, cada dominio tiene su propia y única base de datos para sus cuentas. Por tanto, cada dominio tiene su propio proceso de autenticación. Una vez que la cuenta de un usuario es autenticada para un dominio, esa cuenta tendrá acceso a los recursos contenidos en dicho dominio.

Active Directory necesita uno o más dominios en los que operar. Como se mencionó más arriba, cada dominio de Active Directory es una colección de computadoras que comparten un conjunto común de directivas, un nombre y una base de datos de sus miembros. El dominio debe tener uno o más servidores que actúan como controladores del dominio (DC) y almacenan la base de datos, mantienen las directivas y verifican la autenticación de los accesos al dominio.

Con Windows NT, los roles de controlador de dominio principal (PDC) y controlador adicional o secundario (BDC) podían asignarse a un servidor en una red de computadoras que usaba el sistema operativo Windows. Este OS utilizaba la idea del dominio para administrar el acceso a un conjunto de recursos en red (aplicaciones, impresoras y demás) para un grupo de usuarios. El usuario sólo necesita ingresar en el dominio para tener acceso a los recursos, los cuales pueden estar ubicados en una variedad de servidores dentro de la red. Un servidor, conocido como el controlador de dominio principal, administraba la base de datos maestra de usuarios para el dominio. Había uno o más servidores designados como controladores de dominio adicionales. El controlador principal enviaba periódicamente copias de la base de datos a los controladores secundarios. El controlador de dominio adicional podía entrar en juego si fallaba el servidor PDC y podía, también, ayudar a equilibrar la carga de trabajo si la red estaba demasiado cargada.

Con Windows 2000 Server, si bien se mantienen los controladores de dominio, los papeles de los servidores PDC y BDC básicamente fueron absorbidos por Active Directory. Ya no es necesario crear dominios separados para dividir los privilegios de administración. Dentro de Active Directory se pueden delegar privilegios administrativos en función de las unidades organizativas. Los dominios ya no están restringidos por un límite de 40,000 usuarios. Los dominios de Active Directory pueden gestionar millones de objetos. Como ya no existen PDCs ni BDCs, Active Directory usa replicación multimaestra y todos los controladores de dominio son parejos entre sí.

Las unidades organizativas (UO) son, en general, mucho más flexibles y sencillas de administrar que los dominios. Las UO brindan prácticamente una flexibilidad infinita, ya que se pueden mover, borrar y crear otras nuevas según se vaya necesitando. Sin embargo, los dominios son mucho más rígidos; se pueden borrar y crear otros nuevos, pero el proceso genera mayores distorsiones en el ambiente que en el caso de las UO y debería evitarse siempre que sea posible.

Por definición, los sitios son conjuntos de subredes IP con enlaces de comunicación rápidos y confiables entre todos los anfitriones. O, dicho de otra forma, el sitio contiene conexiones LAN pero no WAN, ya que se entiende que las conexiones WAN son mucho más lentas y menos confiables que las LAN. Al usar sitios, puedes controlar y reducir la cantidad de tráfico que fluye por tus enlaces WAN. Esto puede ayudar a mejorar la eficiencia del flujo en las tareas de productividad. Y también permite controlar los costos de los enlaces WAN en los servicios “pay-per-bit”

Maestro de Infraestructura y el Catálogo Global

Entre los demás elementos clave incluidos en Active Directory está el Maestro de Infraestructura (IM). El Maestro de Infraestructura es un FSMO (Flexible Single Master of Operations) que opera en todo el dominio y es responsable de un proceso no vigilado para “reparar” las referencias obsoletas, conocidas como phantoms, que se encuentran en la base de datos de Active Directory.

Los phantoms (fantasmas) se crean en DCs que requieren una referencia cruzada de bases de datos entre un objeto dentro de su propia base de datos y un objeto de otro dominio dentro del bosque. Esto sucede, por ejemplo, cuando se añade un usuario de un dominio a un grupo dentro de otro dominio en el mismo bosque. Se entiende que los phantoms están obsoletos cuando ya no contienen información actualizada. Esto suele producirse debido a cambios realizados al objeto extraño representado por el fantasma (por ejemplo, cuando el objeto en cuestión cambia de nombre, es trasladado o migrado de un dominio a otro o se borra). El Maestro de Infraestructura es responsable exclusivamente de ubicar y reparar los fantasmas obsoletos. Cualquier cambio introducido como resultado del proceso de “reparación” debe ser replicado en todos los DCs que permanecen en el dominio.

El Maestro de Infraestructura a veces se confunde con el Catálogo Global (GC), que mantiene una copia parcial, sólo de lectura, de todos los dominios de un bosque y se emplea para el almacenamiento universal de grupos y el procesamiento de accesos (log on), entre otras cosas. Dado que los GCs guardan una copia parcial de todos los objetos incluidos en el bosque, son capaces de crear referencias cruzadas entre dominios sin necesidad de fantasmas.

Active Directory y LDAP

Microsoft incluye LDAP (Lightweight Directory Access Protocol) dentro de Active Directory. LDAP es un protocolo de software que permite a cualquiera que lo desee localizar organizaciones, individuos y otros recursos, como archivos y dispositivos en red, tanto en Internet como en intranets privadas.

En una red, es el directorio quien informa de dónde está ubicado algo. En las redes TCP/IP (como internet), el sistema de nombres de dominio (DNS) es el sistema de directorio usado para conectar el nombre de un dominio con una dirección de red específica (una ubicación única en la red). Sin embargo, es posible que no conozcamos el nombre del dominio. En ese caso, LDAP te permite hacer una búsqueda de individuos sin saber dónde se encuentran (aunque cualquier información añadida facilitará la búsqueda).

Los directorios LDAP están organizados en una simple estructura de “árbol” consistente de los siguientes niveles:

1. Directorio raíz (el punto de inicio o el origen del árbol) del que surgen los
2. aíses, cada uno de los cuales se divide en
3. Organizaciones, de las cuales nacen
4. Unidades organizativas (divisiones, departamentos, etc.), las cuales derivan en (incluir una entrada para)
5. Individuos (donde se incluyen personas, archivos y recursos compartidos, como impresoras)

El directorio LDAP puede estar distribuido entre muchos servidores. Cada uno de estos servidores puede tener una versión replicada del directorio total que se sincroniza periódicamente.

Es importante que todos y cada uno de los administradores comprendan claramente qué es LDAP a la hora de buscar información en Active Directory. Es especialmente útil saber crear consultas de LDAP cuando se busca información almacenada en la base de datos de Active Directory. Por esta razón, muchos administradores dedican grandes esfuerzos a saber manejar con soltura el filtro de búsqueda de LDAP.

Gestión de Directiva de Grupo y Active Directory

Es difícil hablar de Active Directory sin mencionar Directiva de Grupo. Los administradores pueden usar Directivas de Grupo en Active Directory de Microsoft a fin de definir ajustes para usuarios y computadoras en toda la red. Estos ajustes se configuran y almacenan en lo que se denomina Objetos de Directiva de Grupo (GPOs), los cuales son, posteriormente, asociados con objetos de Active Directory, incluidos dominios y sitios. Es el mecanismo principal para aplicar cambios a las computadoras y los usuarios que operan en el entorno Windows.

Con la gestión de Directiva de Grupo, entre otras funcionalidades, los administradores tienen la opción de ajustar globalmente la configuración del escritorio en las computadoras de los usuarios y de restringir/autorizar el acceso a ciertos archivos y carpetas dentro de una red.

Es importante entender cómo se usan y aplican los GPOs. Los Objetos de Directiva de Grupo se aplican en el siguiente orden: primero se aplican las directivas de la máquina local, seguidas de las políticas del sitio, de las del dominio, y de las directivas aplicadas a las unidades organizativas individuales. Un objeto de usuario o de computadora sólo puede pertenecer a un único sitio y un único dominio cada vez, por lo que solo recibirán GPOs conectados a ese sitio o dominio.

Las GPOs se dividen en dos partes bien diferenciadas: la Plantilla de Directiva de Grupo (GPT) y el Contenedor de Directiva de Grupo (GPC). La GPT es responsable de almacenar los ajustes específicos creados dentro del GPO y es esencial para su éxito. Guarda los ajustes en una gran estructura de carpetas y archivos. A fin de que los ajustes se apliquen correctamente a todos los objetos de usuario y de computadora, se debe replicar el GPT a todos los controladores de dominio que operen dentro del mismo. 

El Contenedor de Directiva de Grupo es la porción de un GPO almacenada en Active Directory que reside en cada controlador de dominio del dominio. El GPC tiene la responsabilidad de mantener las referencias a las Extensiones del Lado Cliente (CSEs), el camino a la GPT, los caminos a los paquetes de instalación de software y otros aspectos referenciales del GPO. El GPC no contiene gran cantidad de información relacionada con su correspondiente GPO, pero es fundamental para la funcionalidad de la Directiva de Grupo. Al configurar las directivas para la instalación de software, el GPC ayuda a mantener los enlaces asociados dentro del GPO. El GPC también mantiene otros enlaces relacionales y caminos almacenados dentro de los atributos del objeto. Conocer la estructura del GPC y la forma de llegar a la información oculta guardada en los atributos resultará muy útil cuando haya que examinar cualquier cuestión relacionada con la Directiva de Grupo.

Para Windows Server 2003, Microsoft lanzó una solución de gestión de la Directiva de Grupo al objeto de unificar la administración de ésta en torno a un snap-in conocido como Consola de Administración de Directiva de Grupo (GPMC). La GPMC ofrece una interfaz de administración centrada en los GPOs, lo que facilita enormemente la administración, gestión y localización de los GPOs. Por medio de la GPMC se pueden crear nuevos GPOs, modificarlos, editarlos, cortar/copiar/pegar GPOs, respaldarlos con copias de seguridad y efectuar simulaciones del Conjunto Resultante de Directivas.