Active Directory ofrece un conjunto de servicios para que los administradores administren sus redes de TI. Estos servicios se despliegan en un servidor de Windows llamado controlador de dominio. Servicios de dominio de Active Directory (AD DS) es el servicio de Active Directory más utilizado. Autentica objetos de Active Directory y autoriza el acceso a los recursos de red. AD DS también almacena y organiza datos en una estructura lógica y jerárquica y se puede administrar desde cualquier lugar de la red. Otros servicios importantes de AD son los Servicios de federación de Active Directory (AD FS), los Servicios de certificación de Active Directory (AD CS), los Servicios de directorio ligero de Active Directory (AD LDS) y los Servicios de administración de derechos de Active Directory (AD RMS).
Siga leyendo para obtener más información sobre Active Directory y sus servicios.
Active Directory ofrece los siguientes servicios para:
Proteja y mantenga la red de su organización.
Active Directory Domain Services (AD DS) es uno de los muchos servicios que ofrece Active Directory. AD DS proporciona la flexibilidad necesaria para organizar y administrar los recursos de red desde una única consola.
Controladores de dominio (DC) son servidores de Active Directory que alojan AD DS. Los controladores de dominio son responsables de la autenticación y la seguridad de los objetos de Active Directory. Los controladores de dominio son los componentes clave en un entorno de Active Directory y, por lo tanto, deben estar en funcionamiento en todo momento. Los controladores de dominio están diseñados para ser resistentes y tolerantes a errores. Las aplicaciones y los clientes utilizan el método Protocolo ligero de acceso a directorios (LDAP) para interactuar con los centros de distribución. Una consulta LDAP se utiliza para obtener información de las bases de datos de Active Directory. Los objetos de Active Directory se almacenan en controladores de dominio. En una organización con varios controladores de dominio, los datos y los cambios realizados en ellos se replican sistemáticamente.
El Catálogo Global (GC) es un catálogo de almacenamiento de datos que equivale a un índice de libros. El servidor de GC es un controlador de dominio que facilita la búsqueda y localización de objetos de Active Directory desde cualquier dominio de un bosque. El servidor de GC contiene una copia de todos los objetos de su dominio y una copia parcial de los objetos de otros dominios del bosque. Esto se administra mediante el sistema de replicación de AD DS.
Toda la base de datos de Active Directory se almacena en el archivo ntds.dit y la información que contiene se segrega en Particiones de directorio (contextos de nomenclatura). Los datos almacenados en una partición dependen del tipo de partición, y cada partición tiene un ámbito de replicación independiente.
De forma predeterminada, hay tres particiones en Active Directory:
AD DS también le permite configurar particiones de directorio de aplicaciones cuando sea necesario.
Los controladores de dominio también tienen varias funciones instaladas para garantizar que la replicación sea coherente entre los controladores de dominio. Hay cinco Operaciones Maestras Únicas Flexibles (FSMO) instalados en diferentes controladores de dominio para combatir las situaciones de "último escritor gana" y "replicación maestra única". Son los siguientes:
El controlador de dominio con el rol de maestro de esquema controla las actualizaciones del esquema de Active Directory. Este papel es único en un bosque.
El controlador de dominio con este rol es capaz de añadir o quitar dominios de Active Directory. Al igual que el rol de maestro de esquema, solo hay uno por bosque.
Solo hay un controlador de dominio con el rol de emulador de controlador de dominio principal (PDC) en un dominio. Este controlador de dominio controla las solicitudes de cambio de contraseña, la sincronización de hora y los intentos de contraseña incorrecta.
Este rol es único para un dominio, y el controlador de dominio con este rol asigna identificadores (un identificador de seguridad de dominio (SID) y un identificador relativo único (RID)) a otros controladores de dominio del dominio.
El controlador de dominio con este rol se encarga de las actualizaciones y referencias entre dominios. El rol de maestro de infraestructura debe estar en un controlador de dominio que no sea un servidor de GC.
Los controladores de dominio responden a las solicitudes de autenticación y autorizan el acceso a los recursos en función de los permisos establecidos. AD DS registra todas estas solicitudes, su estado, la actividad del usuario y los cambios realizados en los objetos de Active Directory.
Active Directory almacena información en un marco lógico y jerárquico para optimizar la administración de Active Directory. Un objeto es la entidad fundamental en un Active Directory, mientras que un bosque es el más alto.
Un esquema en Active Directory le permite definir qué objetos se pueden almacenar en su Active Directory. Cada objeto tiene un conjunto de atributos basados en su classSchema. El esquema es extensible y se puede estructurar en función de las necesidades de una organización. Sin embargo, los cambios realizados en el esquema son irreversibles, por lo que solo debe actualizarse o modificarse cuando sea imprescindible.
Active Directory almacena los recursos de red y la información relacionada como objetos. Cuentas de usuario, cuentas de equipo, contactos, grupos, unidades organizativas y carpetas compartidas son todos los diferentes objetos que se pueden encontrar en Active Directory.
Los objetos que se pueden autenticar (cuentas de usuario, cuentas de equipo y grupos) se llaman Entidades de seguridad, y otros objetos como las impresoras se llaman Recursos. Los atributos como sAMAccountName o userPrincipalName son exclusivos de un objeto y no se pueden duplicar. Los objetos de Active Directory de un dominio tienen un identificador único global y un SID que cambia relativamente con los dominios. Los SID son proporcionados por el controlador de dominio equipado con el rol FSMO maestro de RID.
Los objetos se pueden agrupar en Unidades organizativas (OU) o grupos en función de la necesidad administrativa. Las unidades organizativas de Active Directory son objetos contenedores y pueden contener objetos como cuentas de usuario, equipos u otras unidades organizativas del dominio, que se denominan unidades organizativas anidadas. La configuración de unidades organizativas permite representar la estructura de una organización, aplicar directivas de grupo y delegar derechos administrativos.
Los objetos se pueden agrupar en Unidades organizativas (OU) o grupos en función de la necesidad administrativa. Las unidades organizativas de Active Directory son objetos contenedores y pueden contener objetos como cuentas de usuario, equipos u otras unidades organizativas del dominio, que se denominan unidades organizativas anidadas. La configuración de unidades organizativas permite representar la estructura de una organización, aplicar directivas de grupo y delegar derechos administrativos.
Los grupos de Active Directory le permiten organizar las entidades de seguridad en su Active Directory para facilitar la administración. Hay dos grupos diferentes en Active Directory: seguridady grupos de distribución.
Los grupos de seguridad se utilizan para asignar permisos y derechos de usuario. También están habilitados para correo, por lo que se pueden usar para enviar mensajes a todos sus miembros a la vez. Cada grupo de seguridad tiene un ámbito de grupo, que determina hasta qué punto los permisos asignados y los derechos de usuario se cumplen en Active Directory. Hay tres ámbitos de grupo: universales, globales, y dominio local.
Los grupos de distribución solo están habilitados para correo y solo se pueden usar para enviar correos electrónicos. Son extremadamente útiles en un entorno de Exchange.
Los objetos en la misma red y con restricciones de seguridad similares se pueden agrupar lógicamente en un dominio. Los dominios pueden tener subdominios dentro de ellos llamados dominios secundarios. Los cambios realizados en los dominios se actualizan constantemente en el contexto de nomenclatura de dominios.
Los dominios de Active Directory que comparten una raíz común y relaciones de confianza forman un árbol. En su conjunto, todos estos componentes conforman un bosque. Un bosque de Active Directory contiene dominios que comparten una estructura, GC y un esquema comunes. Actúa como una restricción de seguridad y otros bosques de Active Directory solo pueden tener acceso a él cuando se configura una relación de confianza entre ellos.
Los objetos en la misma red y con restricciones de seguridad similares se pueden agrupar lógicamente en un dominio. Los dominios pueden tener subdominios dentro de ellos llamados dominios secundarios. Los cambios realizados en los dominios se actualizan constantemente en el contexto de nomenclatura de dominios.
Los dominios de Active Directory que comparten una raíz común y relaciones de confianza forman un árbol. En su conjunto, todos estos componentes conforman un bosque. Un bosque de Active Directory contiene dominios que comparten una estructura, GC y un esquema comunes. Actúa como una restricción de seguridad y otros bosques de Active Directory solo pueden tener acceso a él cuando se configura una relación de confianza entre ellos.
Active Directory actúa como una herramienta de administración centralizada y es altamente escalable. Le permite supervisar su red de TI desde una única consola. Active Directory le permite personalizar objetos para cumplir con los requisitos de su organización. Viene con una función de replicación incorporada que le permite distribuir datos a través de los controladores de dominio de su red. También viene con una función de copia de seguridad y recuperación que le permite restaurar la información cuando sea necesario una vez que se haya configurado.
En general, Active Directory ayuda a administrar su red de TI, pero asegúrese de estructurarla cuidadosamente, porque puede hacer o deshacer su negocio.
Tareas administrativas como creación, modificación y eliminación de objetos; restablecimiento de contraseñas; y el control de acceso se puede realizar mediante el Consola Usuarios y equipos de Active Directory (ADUC). Los objetos de Active Directory también se pueden administrar mediante scripts de PowerShell. El servidor de GC, la replicación de Active Directory, los sitios, las subredes y otras opciones relacionadas se pueden configurar en Sitios y servicios de Active Directory.
Una directiva de grupo en Active Directory le permite configurar el entorno de Windows de usuarios y equipos. La configuración y las preferencias de directiva se agrupan y se incluyen en un objeto de directiva de grupo (GPO). GPO se puede aplicar en el nivel de unidad organizativa, dominio o sitio. Se pueden modificar mediante el Editor de directivas de grupo local o la Consola de administración de directivas de grupo.
Además de los complementos proporcionados por Microsoft, Active Directory también se puede administrar mediante ADManager Plus, una solución de gestión y generación de informes de Active Directory.
Obtenga su prueba gratuita de 30 días