Directorio Activo y DNS: Funciones, Objetivos y Características

Directorio Activo y DNS

Tanto AD como DNS establecen espacios de nombres (área delimitada en la cual un nombre puede ser resuelto), este proceso es un curso de traducción de un nombre en un objeto o información que lo representa.

Cada dominio de Windows Server se identifica unívocamente por un nombre de dominio DNS, por lo que los dominios que son objetos en AD son nodos de DNS. A pesar de que comparten el mismo nombre de dominio, guardan diferente información.

El AD utiliza los nombres y servicios DNS para tres funciones principales.

Resolución de nombres:

DNS permite convertir los nombres del host a direcciones IP.

Definición del espacio de nombres:

El AD utiliza las convenciones de nomenclatura de DNS para asignarles nombre a los dominios.

Búsqueda de los componentes de AD:

Lo usa para iniciar una sesión de red y utilizar los recursos de AD.

Objetivos del uso de dominio de AD

Delimitar la seguridad: Las directivas de seguridad, los derechos administrativos y las ACLs no se comparten por defecto entre dominios. Cada dominio presenta una configuración de seguridad independiente.

Replicar la información: La información sobre los objetos que existen en un dominio, se almacenan en una de las particiones que contiene la base de datos del directorio. Cada partición constituye una unidad de replicación. AD utiliza un modelo de replicación multimaestro, logrando que cualquier AD admita cambios en la información de su partición.

Aplicar Directivas de Grupo: al aplicarlo en un dominio, este establece comportamientos específicos a los ordenadores y usuarios del dominio bajo su ámbito.

Delegar permisos administrativos: Se puede realizar una delegación personalizada de los derechos administrativos a usuarios o grupos determinados dentro del AD, tanto a nivel del dominio completo como de Unidades Organizativas individuales.

Objetivos de las unidades organizativas

El objetivo de las Unidades Organizativas es estructurar y organizar el conjunto de los objetos del directorio, agrupándolos de forma coherente. Permiten:

Delegar la administración: Cada UO puede administrarse de forma independiente.

Establecer de forma centralizada comportamientos distintos a usuarios y equipos: A cada UO pueden vincularse objetos de políticas o directivas de grupo, que aplican comportamientos a los usuarios y equipos cuyas cuentas se ubican en dicha unidad.

En Active Directory existen contenedores que no son en realidad unidades organizativas y que en estos contenedores no es posible definir directivas.

Funciones de controladores de dominio

Partición del directorio de esquema: Contiene la definición de los tipos de objetos y atributos que pueden ser creados en AD. Estos datos deberán ser comunes.

Partición de directorio de configuración: Contiene estructura de los dominios y la topología de replicación. Los datos del esquema se replicarán a todos los dominios del bosque.

Partición de directorio de dominio: contiene todos los objetos del directorio para este dominio (usuarios, grupos, etc). Dichos datos se replican a todos los controladores de ese dominio, pero no a otros dominios.

Particiones de directorio de aplicaciones: contienen datos específicos de aplicación. Estos datos pueden ser de cualquier tipo excepto principales de seguridad.

Objetivos que administra un dominio

Usuarios Globales:

Se pueden crear cuentas de usuario y de grupo que sirvan para satisfacer dos funciones principales:

Identificar y autenticar a los usuarios que deben acceder al sistema.

Administrar los permisos y derechos que permitan aplicar el control de acceso a los usuarios del sistema.

Nombre de inicio de sesión: Siguen el formato nombreUsuario@dominio. Este nombre es UPN su ventaja es que el nombre de dominio no tiene por qué coincidir con el dominio donde está el usuario.

Nombre de inicio de sesión anterior a Windows 200+++: Posee dos partes, uno el nombre NetBios y de sesión del usuario.

Grupos:

Grupos de distribución. Se utilizan para crear listas de distribución de correo electrónico.

Grupos de seguridad. Los que se utilizan con fines administrativos. Estos grupos pueden definirse en 3 ámbitos.

Grupos locales de dominio: Pueden contener cuentas de usuario de cualquier bosque, así como cuentas de grupos globales o universales de cualquier dominio del bosque, y otros grupos locales anidados. Solamente serán visibles desde el dominio en el que se crean.

Grupos globales: Pueden contener usuarios del mismo dominio, así como otros grupos globales de dicho dominio. Visibles en todos los dominios del bosque y se utiliza para agrupar a los usuarios de manera amplia.

Grupos universales: Pueden contener cuentas de usuario y grupos globales, así como otros grupos universales de cualquier dominio del bosque. Visibles en todo el bosque y se suelen utilizar para administrar recursos situados en varios dominios del bosque.

Equipos:

Las cuentas de los controladores de dominio se ubican en la Unidad Organizativa mientras que las de los restos de ordenadores se ubican en el contenedor “Computer” por defecto. La cuenta de equipo incluye 3 atributos:

Nombre del equipo: Coincide con el nombre que tiene el equipo, sin contar con su sufijo DNS.

Contraseña: Cada ordenador tiene una contraseña con la que se autentica dentro del dominio. La contraseña se genera automáticamente y se cambia cada 30 días.

SID: Cada equipo posee un SID, y este hecho permite a una cuenta de usuario que se le concedan permisos y derechos sobre los recursos del dominio.

Características de Active Directory

Escalabilidad: Puede crecer y soportar un elevado número de objetos.

Integración con el DNS: Los nombres de dominio son nombres DNS y tienen que estar registrados en él. AD usa DNS como servicio de nombres y de localización.

Extensible: Permite personalizar clases y objetos que estén definidas dentro de AD según las necesidades propias.

Seguridad: Incorpora características de seguridad de W2008-Server.

Multiusuario: No distingue entre controladores de dominio primarios o secundarios. Cualquier controlador de dominio puede procesar cambios del directorio. Las actualizaciones o modificaciones realizadas en un controlador se replican al resto siendo todos “iguales”.

Flexible: Permite reflejar la organización lógica y física de la empresa u organización donde se instala. Permite que varios dominios se conecten en una estructura de árbol o bosque.

Sigue el estándar LDAP

Directivas en AD

En un dominio, se pueden definir directivas de grupo a nivel de sitio, de dominio o de unidades organizativas. Estas directivas se aplicarán todos los servidores miembros del dominio. Su orden de aplicación será:

En el caso de conflictos, las que se aplican más tarde tienen preferencia y sobrescriben las directivas aplicadas previamente.

Definiciones

Dominio: es un conjunto de ordenadores o equipos, que comparten una base de datos de directorio común. En un dominio es necesario que existan uno o varios Windows Server que actúe como DCs y pueden existir un número ilimitado de clientes.

Árbol: es uno o más dominios dentro de un bosque que comparten espacio de nombres contiguos y se vinculan mediante relaciones de confianza bidireccional y transitiva.

Bosque: se define como un grupo de árboles que no comparten un espacio de nombres contiguo, y que se conectan mediante relaciones de confianza bidireccional y transitiva. En un bosque, todos los dominios tienen la misma configuración, el mismo esquema de directorio, y el mismo catálogo global. Además, es independiente el número de dominios de una organización.

Maestro de esquema: Controla las actualizaciones y modificaciones del esquema del directorio. Solamente existe uno en el bosque.

Maestro de nombres de dominio: Controla la agregación o eliminación de nombres de dominio en el bosque. Uno en todo el bosque también.