Active Directory: qué es, para qué sirve y cómo funciona

Active Directory: qué es y para qué sirve

Active Directory o también llamado AD o Directorio Activo, es una herramienta perteneciente a la empresa de Microsoft que proporciona servicios de directorio normalmente en una red LAN.

Lo que es capaz de hacer este directorio activo es proporcionar un servicio ubicado en uno o varios servidores capaz de crear objetos como usuarios, equipos o grupos para administrar las credenciales durante el inicio de sesión de los equipos que se conectan a una red. Pero no solamente sirve para esto, ya que también podremos administrar las políticas de absolutamente toda la red en la que se encuentre este servidor. Esto implica, por ejemplo, la gestión de permisos de acceso de usuarios, bandejas de correo personalizadas, etc.

Fundamentalmente está orientada al uso profesional, en entornos de trabajo con importantes recursos informáticos en donde se necesario administrar gran cantidad de equipos en cuanto a actualizaciones o instalación de programas o la creación de archivos centralizados para poder acceder a los recursos de forma remota desde las estaciones de trabajo.

Como entenderás, es la forma ideal de centralizar muchos de los componentes típicos de una red LAN sin necesidad de ir equipo por equipo y evitando que los usuarios puedan hacer lo que quieran en una red.

Estructura de unidad organizativa de Active Directory

En una pequeña infraestructura de Active Directory (20-50 usuarios) no es necesario crear una estructura de unidad organizativa compleja. Puede agregar todos los objetos a los contenedores raíz predeterminados (Usuarios y Equipos). En una gran infraestructura, es deseable dividir todos los objetos en diferentes contenedores. Básicamente se utiliza el diseño jerárquico de la Unidad Organizacional en Active Directory, ya sea geográfica, funcional u organizacionalmente.

Por ejemplo, su organización tiene sucursales en todo el mundo en diferentes países y ciudades. Sería lógico crear contenedores separados para cada país en el nivel superior del dominio y también crear contenedores separados dentro del país para la ciudad o el estado. Dentro de cada ubicación, puede crear unidades organizativas separadas para administradores, grupos, computadoras, servidores y usuarios

Cómo funciona Active Directory

Los protocolos de red que utiliza Active Directory son principalmente LDAP, DHCP, KERBEROS y DNS. Básicamente tendremos una especie de base de datos en la que se almacena información en tiempo real acerca de las credenciales de autenticación de los usuarios de una red. Esto permite que todos los equipos estén sincronizados bajo un elemento central. Veamos por ejemplo que hace Active Directory cuando un usuario de esta base de datos se registra en un equipo:

En el servidor Active Directory tendremos un usuario (objeto) compuesto por los típicos atributos que denotan su presencia, como son, el campo “Nombre”, el campo “Apellido”, “Email”, etc.

Pero es que además este usuario pertenecerá a un grupo determinado, el cual tiene determinados privilegios como el acceso a impresoras de red que están almacenadas con un campo “Nombre”, “Fabricante”, etc.

El equipo cliente, está en comunicación con este servidor, así que el usuario, cuando arranca el equipo encontrará una pantalla de bloqueo como si de cualquier sistema se tratase. Cuando ponga su usuario y contraseña, este no estará físicamente en el equipo, sino que estará ubicado en este servidor.

El cliente solicitará las credenciales al servidor Active Directory para que este las verifique, y si existen, enviará la información relativa al usuario al equipo cliente.

En este momento el usuario iniciará sesión de forma aparentemente normal en su equipo. tendrá sus archivos personales típicos almacenados en el disco duro. Pero según el grupo al que pertenezca, también tendrá acceso a recursos de la red como la impresora.

¿Qué pasa si el equipo donde trabajo se rompe?

Pues bastante menos de lo que pasaría si el usuario estuviera en el equipo. Con Active Directory, lo único que tendríamos que hacer es irnos a otro equipo conectado a la red y autenticarnos de forma normal y corriente con nuestro usuario. Dispondremos de la misma configuración que teníamos en el otro equipo. Obviamente no tendremos los archivos que teníamos en el disco duro físico del otro ordenador, pero al menos podremos trabajar de forma completamente normal.

Conceptos importantes en Active Directory

Dominio en Active Directory

Si hablamos de Active Directory también estamos hablando de un dominio, ya que, prácticamente es el mismo concepto. Aunque expresado en términos generales.

Un dominio en Active Directory es un conjunto de ordenadores conectados a una red los cuales cuentan con un equipo servidor para administrar las cuentas de usuario y credenciales de la red. Hasta aquí es todo igual, lo que ocurre es que en una red no solamente podremos tener un dominio, sino varios de ellos. Estos dominios no necesariamente tienen que estar en contacto unos con otros, es más si por ejemplo un dominio (A) tienen acceso a otros dos dominios (B y C), esto no implica que C tenga acceso a B.

Entonces quedará claro si decimos que Active Directory es también un controlador de dominio, ya que podremos crear distintos dominios y gestionas lo permisos e interacción en cada uno de ellos. A esta relación entre dominios se le denomina relación de confianza o trust.

Confianza

La confianza es la relación existente entre dos dominios, dos árboles o dos bosques. Existen diversos tipos:

• Confianza transitiva: son las confianzas automáticas que existen entre dominios de AD. Existen tanto hacia un lado como hacia el otro A B
• Confianza de acceso directo: es una confianza explícita que se define para dos dominios, de forma que podamos acceder directamente de uno a otro.

Objeto

Un objeto es el nombre genérico que utilizamos para referirnos cualquier componente dentro de un directorio. Los objetos se dividen en tres tipos distintos:

• Usuarios: son las credencias de acceso a estaciones de trabajo.
• Recursos: serán los elementos a los que cada usuario podrá acceder según sus permisos. Pueden ser carpetas compartidas, impresores, etc.
• Servicios: son las funcionalidades a las que cada usuario puede acceder, por ejemplo, el correo electrónico.

Una unidad organizativa en Active Directory es un contenedor de objetos como impresoras, usuarios, grupos etc., organizados mediante subconjuntos estableciendo así una jerarquíaCon las unidades organizativas podremos ver de un vistazo la jerarquía de nuestro dominio y poder asignar permisos fácilmente según los objetos contenidos.

Árbol

Un árbol es un conjunto de dominios, los cuales dependen de una raíz común y están organizados en una determinada jerarquía, también llamada DNS común.Gracias a esta estructura identificaremos mejor unos dominios de otros, por ejemplo, si tuviéramos el dominio ProfReview.web y Review.ProfReview.web podríamos saber perfectamente que ambos pertenecen al mismo árbol de dominio. Pero si en cambio tuviéramos ProfReview.web y Ayuda.Linux.web, sabríamos que no pertenecen al mismo árbol.

Mediante un árbol, podremos dividir en partes un Directorio Activo para una mejor gestión de los recursos. Un usuario que pertenezca a un dominio, también será reconocido por los dominios que pertenezcan al dominio principal.

Bosque

Si subimos un escalón en la jerarquía, nos encontramos con un bosque. En un bosque nos encontramos con todos los dominios existentes contenidos en él. Cada dominio dentro de un bosque contará con determinadas relaciones de confianza transitivas o intransitivas que están construidas automáticamente. Pero que nosotros podremos gestionar a nuestro gusto.

En un bosque existirán distintos árboles de dominio con, por supuesto, diferentes nombres. Un bosque, siempre tiene al menos un dominio raíz dentro de él, por lo que, cuando instalamos nuestro primer dominio, también estamos creando la raíz de un árbol y encima la raíz de un bosque.

Requisitos para crear un Active Directory

Como comprenderá active directorio es una herramienta orientada a servidores y empresas, por lo que Windows 10 por ejemplo, no dispone de esta funcionalidad. Entonces, para poder hacer esto, debemos tener las siguientes cosas:

• Windows server: vamos a necesitar una versión del sistema operativo orientado a servidores de Microsoft. Podremos utilizar las versiones de Windows server 2000, 2003, 2008 y 2016.
• Protocolo TCP/IP instalado y con una dirección IP fija configurada en nuestro equipo servidor.
• Tener instalado un servidor DNS en el servidor, esto normalmente ya viene disponible.
• Tener un sistema de archivos compatible con Windows, en este caso NTFS

Elementos en un dominio Active Directory

Cuando trabajamos con un dominio de Active Directory, podemos utilizar distintos elementos para gestionar los recursos disponibles en el dominio. Los principales elementos, aunque no los únicos, que podemos utilizar son los que se representan en la siguiente imagen.

Usuarios

Las cuentas de usuario del dominio permiten identificar a los distintos usuarios del dominio. Sobre estas cuentas de usuario se pueden aplicar controles de acceso sobre equipos y resto de recursos compartidos en el dominio. Con las cuentas de usuario del dominio podemos configurar control de acceso temporal, qué días y a qué horas puede iniciar sesión un usuario, control de acceso sobre equipos, en qué equipos del dominio puede trabajar un usuario, control de acceso sobre el resto de recursos compartidos en el dominio.

Para identificar un usuario del dominio dentro del dominio se puede utilizar su nombre completo dentro del dominio que estará formado por el identificador del usuario seguido por una arroba y el nombre del dominio.

¿Qué es y para qué sirve montar un servidor de instalaciones PXE en nuestra red local?

● Nos permite iniciar la instalación de un sistema operativo a través de la red sin necesidad de grabar un disco CD/DVD o utilizar un pendrive.
● También nos sirve para iniciar un sistema Live u otras herramientas, en nuestras máquinas sin sistema operativo instalado. En este caso los equipos cliente no requieren de disco duro.
Con un servidor de este tipo en nuestra red, únicamente tendremos que descargar las ISO y conseguimos un método muy rápido de instalación que además prescinde de medios físicos.

Equipos

Los equipos representan los equipos informáticos que forman parte o están unidos al dominio de Active Directory. Nos permite conocer los equipos disponibles en el dominio, identificarlos con un nombre completo dentro del dominio y aplicar controles de acceso a dichos equipos a través de las cuentas de usuario.

Podemos identificar un equipo dentro del dominio a través de su nombre completo que se obtiene con el nombre del equipo, seguido de un punto como separador y el nombre del dominio en el que se encuentra. Por ejemplo, para el equipo01 en el dominio educatica.ex, el nombre completo sería: equipo01.educatica.ex.

Este nombre es similar a un nombre de dominio en el servicio DNS, de hecho Active Directory necesita de un servidor DNS en el dominio que se encargue de gestionar los nombres DNS del dominio. Entre estos nombres DNS están los nombres de los equipos del dominio, como el del propio controlador de dominio o el de equipos del dominio que tendrán asignada una dirección IP. Por ejemplo, en el caso práctico de ejemplo, dc01.educatica.ex tiene asignada una dirección IP estática que es conocida por todos los equipos del dominio, puesto que utilizan como servidor DNS el servidor DNS del dominio. De la misma forma, cualquier equipo que unamos al dominio tendrá asignada una dirección IP que será gestionada por el servidor DNS del dominio, que resolverá los nombres completos (FQDN) del dominio, como equipo01.educatica.ex.

Grupos

La forma habitual de gestionar el control de acceso a recursos es utilizando grupos del dominio. Un grupo es un contenedor que agrupa elementos del dominio como pueden ser usuarios, otros grupos e incluso equipos.

En Active Directory tenemos dos tipos de grupos y tres ámbitos que se detallarán más adelante. En la inmensa mayoría de los casos utilizaremos grupos de tipo seguridad, y el ámbito de los grupos con los que trabajaremos habitualmente serán global y de dominio local.

Los grupos globales se utilizan para agrupar los usuarios de forma similar a como ya se hace en la empresa en la que se está implantando el servicio de directorio. Por ejemplo, en departamentos o en áreas de trabajo.

Los grupos de dominio local se utilizan para controlar los permisos de acceso sobre un recurso concreto. De esta forma, para cada recurso compartido (impresora, directorio compartido, etc) se crean tantos grupos locales como configuraciones de permisos se necesiten. Por ejemplo, control total sobre un directorio o solo lectura: DL_ControlTotalDocumentos y DL_LecturaDocumentos. Se configuran los permisos con estos dos grupos locales y por último, tan solo tendremos que añadir los grupos globales o usuarios del dominio individuales a cada uno de los grupos en función de los permisos que queramos darles. Esta estrategia se denomina AGDLP y la estudiaremos más adelante.

La forma de identificar un grupo del dominio con su nombre completo consiste en utilizar su nombre, seguido de una arroba como separador y el nombre del dominio. Por ejemplo, para el grupo ventas dentro del dominio educatica.ex, el nombre completo del grupo será: [email protected]. La nomenclatura utilizada para grupos es similar a la usada para cuentas de usuario, por este motivo no podemos utilizar el mismo identificador para nombres de cuentas de usuario y de grupos.

Impresoras y directorios compartidos

Impresoras y directorios compartidos, también se pueden añadir al catalogo del servicio de directorio para facilitar su localización dentro del dominio. Sobre estos elementos podemos establecer configuraciones de control de acceso utilizando tanto cuentas de usuario como grupos. Sin embargo, se recomienda encarecidamente, para facilitar el mantenimiento de las configuraciones de seguridad, crear y utilizar grupos locales del dominio para configurar el control de acceso sobre cualquier recurso compartido en red, aplicando la estrategia AGDLP.

A las impresoras compartidas podemos asignarles un nombre que permitirá identificarlas dentro del dominio. Con el nombre de la impresora, podemos determinar su nombre en el dominio utilizando el nombre asignado, seguido de un punto separador y el nombre del dominio en el que se encuentre. Por ejemplo, la impresora laser01 en el dominio educatica.ex tendrá como nombre: laser01.educatica.ex.

La forma de identificar a un recurso compartido en el dominio se realiza utilizando su dirección de red en una red local de microsoft. La dirección comienza por una doble barra inclinada \\, seguida del nombre del equipo donde está el recurso, una barra inclinada simple de separación \ y el nombre del recurso compartido.

Unidades Organizativas

Una unidad organizativa es un contenedor de objetos o elementos del servicio directorio. Se utilizan para organizar los elementos de un dominio Active Directory de forma que sea más fácil para el administrador gestionarlos. Su uso tiene más sentido en dominios de cierto tamaño dónde el número de elementos, como usuarios, grupos o equipos, es grande.

Como analogía podemos pensar en los directorios que nos permiten organizar los ficheros que se almacenan en un sistema de ficheros de acuerdo a la estructura que mejor nos convenga.

Delegación de tareas administrativas y de gestión dentro del dominio a otros administradores y usuarios sin otorgarles los privilegios de administrador del dominio;
Vinculación de directivas de grupo (GPO) a todos los objetos (usuarios y equipos) de esta unidad organizativa.

¿Pero qué es exactamente una GPO?

Una GPO, es básicamente un objeto que almacena uno o más valores de configuración que aplican a un usuario o equipo, pudiéndose así mismo

provisionar sobre conjuntos de más de un usuario o más de un equipo. La GPO, básicamente es un contenedor de configuraciones, reglas y estados deseados, pero ojo, este contenedor no tiene nada que ver con los contenedores de AD DS de los que hablaremos en otros artículos.

El mayor problema que pueden presentar las GPO no es la complejidad de planificación y creación ni la complejidad de administración y mantenimiento, es el uso de la herencia de las GPO, ya que existen distintos niveles a los que pueden aplicarse GPO, y estas pueden “pisarse” unas a otras si no lo planificamos correctamente.

Por esta razón, es muy importante conocer los niveles a los que puede vincularse una GPO y la forma en la que interactúan unas con otras, para así evitar comportamientos indeseados. Ya que, cuando nosotros vinculamos una GPO, esta quedará aplicada al contenedor de nivel superior, pero propagará hacia los niveles inferiores.

Para empezar, debemos saber que las GPO pueden desplegarse a los siguientes niveles:

Nivel de Dominio.
Nivel de Sitio.
Nivel de OU (Unidad Organizativa).
Nivel local.
Sin embargo, el orden de aplicación es el siguiente:

GPO Locales.
GPO a nivel de Sitio.
GPO a nivel de Dominio.
GPO a nivel de OU.

¿Cuál es el uso de las GPO en una explotación?

Nos permiten estandarizar los entornos de trabajo, definiendo por ejemplo el fondo de pantalla, el navegador predeterminado, la página de inicio, etc. Que tendrán los usuarios de nuestra explotación, permitiendo también limitar sus accesos y usos del sistema operativo.

Las configuraciones de red pueden ser provisionadas a través de GPO, permitiendo especificar restricciones como por ejemplo que los portátiles no puedan conectarse a redes inalámbricas no autorizadas, o conectarse únicamente a aquellos SSID que estén en una lista blanca de redes autorizadas por la empresa.

nos permitirá configurar la compartición de unidades de red, tanto de grupos, como departamentos, localizaciones e incluso unidades personales para lograr evitar los antiguos scripts de mapeo o el uso de comparticiones manuales. Sucederá lo mismo las impresoras, que podrán mapearse de manera mucho más rápida y cómoda mediante el uso de GPO que mediante el uso de comparticiones manuales.

La implementación de software también es uno de los puntos relevantes en las GPO ya que nos permite instalar programas en formato .msi de manera automática, o incluso dejarle al usuario decidir si quiere que se instale un software concreto o no.

Como no podía ser de otra manera, las Directivas nos permiten aplicar distintas configuraciones de seguridad para conseguir una infraestructura más segura. Configuraciones como las del firewall, actualizaciones, configuraciones de auditoría, copias de seguridad, etc. Pueden ser forzados a través de las GPO permitiendo tener configuraciones homogéneas y seguras.

Por último, deberemos tener en mente que todo esto no solo permite hacer despliegue de políticas, sino que se puede desplegar la ejecución de scripts de PowerShell o de CMD cuya potencia es casi ilimitada y que depende más de la imaginación del técnico que las provisiona que de limitaciones técnicas como tal.

¿Qué herramientas usamos para la gestión de las GPO?
Existen múltiples herramientas para la gestión de Directivas de Grupo, desde las herramientas basadas en interfaz gráfico, o sea, las típicas de entorno Windows hasta herramientas de línea de comandos basadas en el clásico CMD (Command) o cmdlets de PowerShell.

Por un lado, tenemos la Consola de Administración de Directivas de Grupo, también conocida como “GPMC” por sus siglas en inglés “Group Policy Management Console”. Es la consola usada para lanzar y vincular las directivas.

Después tenemos el Editor de Administración de Directiva de Grupo que permite crear las políticas y que normalmente se accede desde GPMC para realizar el desarrollo de la política en sí.

¿Dónde se almacenan las GPO?
Las configuraciones de las GPO se componen básicamente de dos elementos primordiales; por un lado, tenemos los contenedores de almacenamiento de directivas, mientras que por el otro tenemos las plantillas de configuración.

Un contenedor de directivas es uno de los objetos que componen AD DS y que básicamente es creado para mantener las GPO acotadas y organizadas dentro de un espacio único. Y tal y como pasa con cada uno de los elementos que conforman la estructura de AD DS, este contenedor tiene un identificador global único que lo identifica de manera univoca dentro del directorio.

Finalmente, se debe pensar, que una plantilla de Directivas de Grupo se conforma por una serie de archivos que se encuentran dentro de la carpeta SYSVOL, que es una carpeta que se replica a cada uno de los controladores de dominio, almacenándose dentro de SYSVOL, y más concretamente en %SystemRoot%\SYSVOL\Domains\Policy\GPOGUID, siendo GPO GUID el GUID del contenedor.Así mismo, para mantener el orden, cada objeto de GPO, es marcado con un número de versión dentro de uno de los atributos de la directiva, y que se va a incrementar de manera automática cada vez que se haga un cambio, estableciéndose así un control de versiones que nos ayuda a mantener el orden y coherencia de las PO almacenadas.