Fundamentos de Active Directory: Arquitectura y Gestión de Redes

Servicio de Directorio

Un servicio de directorio es una aplicación que almacena y organiza la información sobre los usuarios de una red y los recursos disponibles. Funciona mediante un modelo distribuido, donde la información está replicada en varios servidores.

Se apoya en protocolos fundamentales como:

• LDAP: Para acceder a la información.
• DNS: Para resolver nombres.
• Kerberos: Para la autenticación.

Active Directory (AD)

Es el servicio de directorio de Microsoft, que guarda en una base de datos jerárquica toda la información de la red (usuarios, equipos, recursos, etc.). Sus capacidades principales incluyen:

• Inicio de sesión único (SSO).
• Administración centralizada.
• Compartir recursos.
• Aplicar políticas de grupo.

Un objeto es cualquier componente del directorio, como usuarios, grupos, equipos o impresoras. Cada objeto tiene atributos y un nombre que lo identifica.

Estructura Lógica de Active Directory

• Dominio: Agrupación de equipos y usuarios bajo una administración común; es la unidad básica de Active Directory. Requiere un servidor DNS para asociar nombres con direcciones IP.
• Árbol: Colección de dominios que dependen de una raíz común, organizados jerárquicamente y que comparten un espacio de nombres DNS.
• Bosque: El mayor contenedor lógico de Active Directory, formado por uno o varios árboles que se conectan mediante relaciones de confianza, permitiendo compartir recursos.

Componentes y Gestión

Controlador de Dominio (DC)

Es un servidor que contiene la base de datos del directorio. Se encarga de:

• Autenticar usuarios.
• Permitir el inicio y cierre de sesión.
• Realizar búsquedas en el directorio.

Usuarios y Grupos

• Usuarios: Objeto que permite acceder a los recursos del dominio mediante la autenticación (comprobar identidad) y autorización (decidir a qué recursos acceder). Cada usuario tiene un SID (Security Identifier) único.
• Grupos: Objeto que contiene usuarios u otros objetos para simplificar la gestión de permisos. Tipos: Local, Global y Universal.
• Anidación de grupos: Práctica de incluir grupos dentro de otros para facilitar la administración.

Relaciones de Confianza

Es una relación entre dominios que permite que los usuarios de uno sean reconocidos por otro, facilitando el acceso a recursos.

Seguridad y Configuración

• SID (Security Identifier): Identificador único de cada usuario o grupo que no se repite dentro del dominio.
• Nombres en AD: Se utiliza el nombre DNS (FQDN) (ej. equipo1.midominio.com) y el nombre NetBIOS (nombre corto).
• Directivas de Grupo (GPO): Sirven para configurar el comportamiento de usuarios y equipos (forzar contraseñas, instalar software, restringir acceso).
• Contenedores y UO: Los contenedores organizan objetos, mientras que las Unidades Organizativas (UO) permiten delegar administración y aplicar políticas.

Alta Disponibilidad y Roles

• Dominio Raíz: Es el primer dominio creado en el bosque y contiene el esquema del AD; es el más importante.
• Replicación: La información del AD está replicada entre controladores de dominio (DC) para garantizar tolerancia a fallos y disponibilidad.
• Controladores Adicionales: Permiten balanceo de carga, copias de seguridad y mayor disponibilidad.
• RODC (Read Only Domain Controller): Controlador de dominio de solo lectura, utilizado en sitios inseguros (sucursales) por ser más seguro al no guardar contraseñas completas.

Procesos Críticos

• Inicio de sesión: El usuario introduce credenciales, el DC las valida mediante Kerberos y se concede o deniega el acceso.
• Eliminación de AD: Eliminar el último DC destruye toda la base de datos del AD; debe realizarse de menor a mayor jerarquía.