Directorio activo es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (como LDAP, DNS, DHCP, Kerberos, etc.). Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.
Características
- Se basa en el uso de dominios, cada dominio contiene una serie de máquinas clientes, unos recursos y al menos un servidor que domina a los equipos clientes, este servidor se conoce como Controlador de Dominio (DC).
- Podemos agrupar varios dominios formando árboles de dominio, estructuras donde cada uno de estos dominios cuenta con su propio DC. Esta agrupación de dominios se realiza de forma anidada, de la misma forma que anidamos carpetas en un volumen de datos. Cada dominio puede tener dominios padres y dominios hijos, y todos los dominios tienen un dominio padre menos el dominio raíz, que es el primero de todos.
- Es posible crear una estructura que cuente con más de un árbol, estas estructuras de carácter superior al árbol se conocen como Bosque.
- Para facilitar la administración podemos a su vez dividir un dominio en partes más pequeñas conocidas como Unidades Organizativas (OU).
- Estas divisiones que hemos visto hasta ahora son divisiones “lógicas”, es decir, no tienen en cuenta donde están situados los equipos físicamente. AD también nos permite crear Sitios, estructuras de equipos “bien conectados” (que tienen un gran ancho de banda entre ellos).
Observación: Windows 2008 utiliza una nueva versión de AD conocida como Active Directory Domain Server (ADDS). Además para la comprensión del AD es necesario definir algunos elementos muy importantes: Catálogo global y Esquema.
Catálogo Global
El Catálogo global (CG) contiene una réplica completa de todos los objetos de directorio del dominio en que se aloja además de una réplica parcial de todos los objetos de directorio de cada dominio del bosque.
El objetivo de un CG es proporcionar autenticación a los inicios de sesión. Además, como un CG contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios. Una única consulta al CG produce la información sobre donde se puede encontrar el objeto.
El primer controlador de dominio Windows Server de un bosque es automáticamente un servidor de Catálogo global. De forma predeterminada, habrá un CG, pero cualquier controlador de dominio se puede configurar como servidor de Catalogo global. Si se necesitan servicios de inicio de sesión y búsqueda adicionales, se pueden tener múltiples servidores de Catalogo global en el dominio.
Esquema
Es una lista general de clases de objetos y atributos que se utilizan para crear todos los objetos de Active Directory como, por ejemplo, usuarios, equipos, impresoras...
Es un archivo de texto que los usuarios pueden leer y así saber que objetos y propiedades del AD se encuentran disponibles. El esquema se puede desactivar o cambiar, para que administradores avanzados puedan personalizar sus características. Solo hay un esquema para todo un bosque.
Árbol de Dominios
Es una estructura jerárquica de dominios que comparten un espacio de nomenclatura contiguo (1), un esquema común y un catálogo global común.
Por ejemplo, los dominios dominio.local y subdominio.dominio.local pueden formar parte de un árbol ya que comparten una nomenclatura contigua y puede tener un esquema y catálogo global comunes.
(1) Espacio de nomenclatura es el conjunto de nombres que representan a un dominio y que sea contiguo significa que la primera parte del nombre del dominio es común (por ejemplo, dominio.local).
Bosque
Colección de árboles de dominio que aunque no comparten un espacio de nomenclatura contiguo, tienen un esquema común y un catálogo global. Por ejemplo, los dominios de dominio.local y s3v.local pueden formar parte de un bosque ya que no comparten una nomenclatura contigua, pero pueden tener un esquema común y un catálogo global común.
Unidades Organizativas
Es la unidad más pequeña en la que se divide un dominio y a la que se puede delegar el control administrativo. Son contenedores del AD en los que se pueden colocar usuarios, grupos, equipos y otras unidades organizativas del dominio donde se encuentran definidas (Una OU no puede contener objetos de otros dominios)
Con las Unidades Organizativas se pueden crear contenedores dentro del dominio que representen las estructuras lógicas y jerárquicas de la organización. De esta forma, el control administrativo de cada OU se puede delegar en personas específicas, distribuyendo las tareas del dominio entre varios administradores.
Si se necesita dividir una parte de la red en dominios o unidades organizativas se deben tener en cuenta las siguientes recomendaciones:
- Si se trata de una organización descentralizada en la que los distintos usuarios y recursos son administrados por grupos totalmente diferentes de administradores, es conveniente dividir la red en dominios independientes.
- Si dos partes de la misma red están separadas por un vínculo lento que hace prácticamente imposible que el tráfico de una replicación completa pueda atravesarlo, conviene dividir la red en dominios independientes.
- Si se desea delegar el control administrativo en pequeños conjuntos de usuarios, grupos y recursos conviene dividir el dominio en unidades organizativas.
- Si se necesita reflejar la estructura de la organización, conviene dividir el dominio en unidades organizativas.
- Si la estructura de esa parte específica de la organización puede sufrir modificaciones futuras, conviene dividir el dominio en unidades organizativas.
