ACTIVE DIRECTORY
ACTIVE DIRECTORY (AD) es el término utilizado por Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, LDAP, DNS, DNS, DHCP, DHCP, kerberos) kerberos ) Su estruc estructur tura a jerárq jerárquic uica a permit permite e manten mantener er una serie serie de objet objetos os relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. Active directory provee de forma centralizada la administración para todos todos los recurs recursos os de la red; red; combi combinan nando do las denomi denominac nacion iones es de X.500 y el sistema de nombres de dominio (DNS) como motor de búsq búsque ueda da y como como pr prot otoc ocol olo o cent centra rall util utiliz iza a LDAP LDAP de igua iguall form forma a integra kerberos como servidor de autenticación.
TERMINOLOGIA Y CONCEPTOS DE ACTIVE DIRECTORY ATRIBUTO Cada fragmento de información que describe algún aspecto de una entrada. Este esta formado por un tipo del atributo y uno o mas valores del atributo. OBJETO Es un conj conjun unto to dete determ rmin inad ado o de atri atribu buto tos s que que repr repres esen enta tan n algo algo completo tales tales como usuarios, usuarios, impresoras impresoras o aplicación. aplicación. Los atributos contienen la información que describe lo que se identifica por medio del objeto de directorio. Cada objeto en AD tiene una identidad única, se pueden mover o renombrar pero esta nunca cambia; son conocidos con su identidad mas no con su nombre actual. Su identificador es el GUID (Globally Unique Identifier usado por el AD para búsqueda de replicación de información) asignado por el DSA (Directory System Agent) en la creación del objeto. CONTENEDOR Similar a un objeto puesto que posee atributos pero a diferencia de este no representa representa algo concreto; concreto; es decir, decir, un almacén de objetos objetos y otros contenedores. ARBOL Y SUBARBOL Es una jerarquía de objetos y contenedores que muestran como se relacionan los objetos o el camino desde un objeto hasta otro, los puntos finales de un árbol son generalmente objetos. Un subárbol es cualqu cualquier ier camin camino o sin interr interrupc upcion iones es del árbol, árbol, inclu incluyen yen todos todos los los miembros de cada contenedor en dicho camino. ARBOLES Es un espacio de nombres* único y contiguo donde cada nombre del espacio de nombres desciende directamente de un único nombre raíz.
BOSQUE Un bosque es la agrupación de varios árboles de dominio en una estr estruc uctu tura ra jerá jerárq rqui uica ca.. Domi Domini nio o de árbo árbole les s en un bosq bosque ue con con un esquema común, la configuración, y el catálogo global. Los dominios en el bosqu bosque e están están vincul vinculado ados s por dos vías vías confia confianza nza trans transiti itiva. va. Mediante el nivel funcional del bosque, puede habilitar más amplia del bosq bosque ue de Activ ctive e Dire Direct ctor ory y cara caract cter erís ísti tica cas. s. El bosq bosque ue nive nivele les s funcionales que se pueden establecer son Windows 2000, Windows Server 2003 provisional, y Windows Server 2003. Es una colección de arboles esencialmente iguales, sin una única raíz en el espacio de nombres.
NOMBRE DISTINGUIDO Todo odo obje objeto to en AD tien tiene e un DN (Dis (Disti ting ngui uish shed ed Name Name). ). En este este contexto, distinguido son las cualidades que permiten distinguir el nombre. Los nombres distinguidos identifican el dominio que contiene el objeto además del camino completo a través de la jerarquía del contenedor utilizado para alcanzar el objeto. CN
=
Se interpreta como nombre propio (Common Name)
OU
=
Unidad Organizacional (Organizacional Unit)
DC
=
significa controlador de dominio (Domain Controller)
ESQUEMA Es generalmente utilizado en el trabajo de clases de datos. En AD son todo todos s los los frag fragme ment nto os que que lo comp compon onen en,, los los que que son: son: obje objeto tos, s, atri atribu buto tos, s, cont conten ened edor ores es,, en entr tre e otro otros. s. AD pose posee e un esqu esquem ema a pred pr edet eter ermi mina nado do que que defi define ne la mayo mayorí ría a de las las clas clases es de obje objeto tos s habituales tales como usuarios, grupos, computadores, depart departame amento ntos, s, polít política icas s de segur segurida idad d y domin dominios ios.. El esque esquema ma se puede actualizar dinámicamente, sea en la creación o modificación de algún objeto. DSA (DIRECTORY SYSTEM AGENT) Es el pr proc oces eso o que que pr prop opor orci cion ona a acce acceso so al alma almacé cén n físi físico co de la información del directorio ubicado en un disco duro. CATALOGO CATALOGO GLOBAL El catalogo global (GC, Global Catalog) permite a los usuarios y a la apli aplica caci cion ones es en enco cont ntra rarr obje objeto tos s en un árbo árboll de domi domini nio o de AD, AD, proporcionando uno o mas atributos del objeto deseado. Contiene una copia de cada contexto de denominación de directorio, también contie ntiene ne el esque quema y conte ntexto xtos de la deno denom minac inació ión n de la configuración, es decir, contiene una copia de cada objeto de AD pero con solo un pequeño numero de atributos. Los atributos en GC son utilizados para las operaciones de búsqueda y/o para encontrar una copia completa de un objeto. El catálogo global esta integrado en el sistema de replicas de AD. La topología de replicas de GC se genera de forma automática.
SITIO En Active Directory, los sitios se forman a través de la agrupación de múltiples subredes. Sitios suelen ser definidos como lugares en los que el acceso a la red es altamente fiable, rápido y no muy caro. DOMINIOS Y UNIDADES ORGANIZATIVAS Los arbo arbole les s de re red d están tán forma ormado dos s por por domin minios ios y un unid ida ades des organizat organizativa ivas s cada uno proporci proporciona ona fronter fronteras as administr administrativ ativas as entre las ramas del árbol, pero tienen implicaciones implicaciones y requisitos de recursos diferentes. DOMINIOS La unidad principal de AD es el dominio. Todos Todos los objetos de una red forman parte de un dominio, y la política de seguridad es uniforme a lo largo de un dominio. La diferencia de la seguridad de Windows 2000 y Windows 2003 server es que es basado en la versión Kerberos 5 y la relaciones de confianza son transitivas. UNIDADES ORGANIZATIVA O RGANIZATIVAS S Contenedor de objetos albergada en un dominio, dentro de este hay infinidad objetos sean “usuarios o equipos”. Estas Estas unidad unidades es son son útiles útiles puesto puesto que puede pueden n usars usarse e canti cantidad dad de objetos dentro de las mismas, aplicando: Organización de objetos Administración simplificada Delegación de control.
dentro del de recursos
dominio. agrupados.
Al crear crear estas estas unidad unidades es organi organizat zativ ivas as aplico aplico simpli simplific ficada adame mente nte a recursos reunidos dentro de la misma Directivas, Permisos y Políticas; puesto que a estos objetos (contenedores) (OU) son a los únicos que se les puede asignar GPO.
HERRAMIENTAS DE ACTIVE DIRECTORY Este maneja herramientas esenciales para la administración de los elementos contenidos, tales herramientas son: Usuarios y Grupos: Estos representan una entidad física sea como usua usuari rio o o equi equipo po.. Las Las cuen cuenta tas s de usua usuari rios os que que gest gestio iona na Acti Active ve Direc Director tory y son almace almacenad nadas as en una base base de datos datos SA SAM M (S (Secu ecurit rity y Accounts Manager), pero AD no sólo almacena información sobre los usuarios, sino que también mantiene información sobre servidores, estaciones de trabajo, recursos, aplicaciones, directivas de seguridad, entre otros. La cuenta de un usuario del dominio contiene toda la información necesaria para su autenticación, incluyendo su nombre de usuario y contraseña (necesarios para iniciar sesión). Los grupos cumplen una función muy importante dentro del AD ya que permiten la simplificación de la administración, administración, se pueden asignar perm permis isos os para para los los recu recurs rsos os,, dond donde e pued puede e esta estarr basa basado do en AD o equipo individual, se diferencia por ámbito o por tipo.
DIRECTIVAS PARA LA SEGURIDAD DE LOS DOMINIOS Las GPO´s son un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta específicamente. Una directiva de grupo consta de varias componentes configurables. El primero son las plantillas administrativas, administrativas, que definen las directivas directivas basadas en el registro. Los otros componentes principales de directiva de grupos son los siguientes Configuración Configuración de la seguridad: Configura Configura la seguridad de los usuarios, computadoras y dominios. Secuencia de comandos: Especifica las secuencias de comandos para el inicio y el apagado de las computadoras, así como para los eventos de inicio y cierre de sesión de los usuarios. Redirección Redirección de carpetas: Ubica en la red las carpetas esenciales esenciales como mis documentos o las carpetas de aplicación especificada. Instalación de Software: Asigna las aplicaciones a los usuarios. Las GPOS GPOS almace almacenan nan la inform informaci ación ón de dos dos ubicac ubicacion iones: es: En una estructura de carpetas carpetas denominada denominada plantillas plantillas de directiva directiva de de grupo (Group Policy Template, GPT) y en un contenedor de directivas de grupo (Group Policy Container, GPC) de AD. La GPT se halla en la carpeta SYSVOL de todos los controladores de dominio. Contiene información sobre las directivas de software, sobre las implantaciones de archivos y aplicaciones, sobre las secuencia de comandos y sobre la configuración configuración de seguridad. Las GPC contienen propiedades de las GPO, como la información de clases de AD relacionada con la implantación de las aplicaciones. La información almacenada almacenada en las GPC no se modifica con frecuencia.
GESTION DE LAS RELACIONES DE CONFIANZA ENTRE DOMINIOS Cuando se establece una relación de confianza entre dos dominios los usuarios de uno de los dominios pueden tener acceso a los recursos ubicados en el otro. otro. Los arboles de dominios de AD son conjuntos conjuntos de domi domini nios os que que no solo solo comp compart arten en el mism mismo o esqu esquem ema, a, la mism misma a configuración y el mismo espacio de nombres, si no que también están conectados por relaciones de confianza. Windows Server Server 2003 soporta soporta tres tipos de relaciones de confianza: confianza: Las relaciones de confianza explicita: Establecen relaciones manuales para entregar la ruta de acceso para autenticarse. Pueden ser de una o 2 vías. Las relacion relaciones es de confianza confianza transit transitivas ivas jerarqui jerarquicas: cas: Son confianz confianzas as automá automátic ticas as de dos vías vías existe existente ntes s entre entre domin dominios ios.. Para Para el flujo flujo utiliza servidores de paso para utilizar recursos de dos o mas arboles no conec conectad tados os direct directame amente nte;; esto esto maximi maximiza za las relac relacion iones es entre entre Windows porque evita tener exceso de confianza para conectarse con todas las maquinas de la red. Las relaci relacion ones es de confi confianz anza a de los los bosque bosques: s: Permi Permiten ten crear crear tanto tanto relaci relacion ones es de confia confianza nza trans transiti itiva vas s como como intra intransi nsitiv tivas as entre entre dos bosques de Windows Server 2003.
FUNCIONES DEL MAESTRO DE OPERACIONES
Active Directory admite la replicación de varios maestros del almacén de datos de directorio entre todos los controladores del dominio, de modo que todos ellos se encuentran, básicamente, básicamente, en el mismo nivel. No obstante, hay cambios que no se pueden realizar utilizando la replicación de varios maestros. En estos casos, un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios. En cada bosque existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o varios controladores de dominio. Las funciones de maestro de operaciones de todo el bosque deben aparecer una única vez en cada bosque. Las funciones de maestro de operaciones de todo el dominio deben aparecer una única vez en cada dominio del bosque. Nota •Las •Las funcio funcione nes s de maestr maestro o de oper operaci acion ones es tambié también n se denom denomina inan n funciones flexibles de operaciones de un solo maestro (FSMO). FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL BOSQUE Cada bosque debe tener las siguientes funciones: •Maestro de esquema •Maestro de nombres de dominio Estas funciones deben ser únicas en el bosque. Es decir, en todo el bosque sólo puede haber un maestro de esquema y un maestro de nombres de dominio. MAESTRO DE ESQUEMA El controlador de dominio del maestro de esquema controla todas las actualizaciones y los cambios que tienen lugar en el esquema. Para poder poder actual actualiza izarr el esque esquema ma de un bosque bosque,, debe debe tener tener acce acceso so al maestro de esquema. Sólo puede haber un maestro de esquema en todo el bosque.
MAESTRO DE NOMBRES DE DOMINIO
El controlador de dominio con la función del maestro de nombres de dominio controla la adición o eliminación de los dominios del bosque. Sólo puede haber un maestro de nombres de dominio en todo el bosque. Nota •Cualquier controlador de dominio que ejecute Windows Server 2003 puede desempeñar la función de maestro de nombres de dominio. Los controladores de dominio que ejecutan Windows 2000 Server y desempeñan la función de maestro de nombres de dominio deben estar habilitados también como servidor de catálogo global. FUNCIONES DE MAESTRO DE OPERACIONES EN TODO EL DOMINIO Cada dominio del bosque debe tener las siguientes funciones: •Maestro de Id. relativo (RID) •Maestro emulador del controlador principal de dominio (PDC) •Maestro de infraestructuras Estas funciones deben ser únicas en cada dominio. Esto significa que en cada dominio del bosque sólo puede haber un maestro de RID, un maestro emulador del PDC y un maestro de infraestructuras. MAESTRO DE RID El maestro de RID asigna secuencias de Id. relativos (RID) a cada uno de los distintos controladores del dominio. En todo momento sólo puede haber un controlador de dominio que actúe como maestro de RID en cada dominio del bosque. Siempre que un controlador de dominio crea un usuario, un grupo o un objeto de equipo, asigna un Id. de seguridad (SID) único al objeto creado. Este SID se compone de un SID de dominio, que es el mismo para todos los SID creados en el dominio, y de un RID, que es único para cada uno de los SID creados en el dominio. Para mover un objeto de un dominio a otro (con Movetree.exe), debe inicia iniciarr la opera operació ción n en el contr controla olador dor de domin dominio io que que actúa actúa como como maes maestr tro o de RID RID en el domi domini nio o que que cont contie iene ne el obje objeto to en ese ese momento. MAESTRO EMULADOR DE PDC
Si el dominio contiene equipos que operan sin el software de cliente de Wind Window ows s 20 2000 00 o Wind Window ows s XP Profe Profess ssio iona nall o bien bien si cont contie iene ne cont contro rola lado dore res s de domi domini nio o de rese reserv rva a (BDC (BDC)) de Wind Window ows s NT, NT, el maes maestr tro o em emul ulad ador or de PDC PDC actú actúa a como como cont contro rola lado dorr pr prin inci cipa pall de domi domini nio o de Wind Window ows s NT. NT. Se ocup ocupa a de pr proc oces esar ar los los camb cambio ios s de contraseña de los clientes y replica las actualizaciones en los BDC. En todo momento sólo puede haber un controlador de dominio que actúe como maestro emulador del PDC en cada dominio del bosque. De manera predeterminada, predeterminada, el maestro emulador del PDC también se encarga de sincronizar la hora en todos los controladores del dominio. El emulador del PDC de un dominio sincroniza su reloj con el de cualquier otro controlador del dominio principal. El emulador del PDC en el dominio principal se deberá configurar para que se sincronice con un recurso de hora externo. La hora del emulador del PDC se puede sincronizar con un servidor externo mediante la ejecución del comando "net time" con la sintaxis siguiente: net time \\ nombreServidor /setsntp: recursoHora El resultado final será que la hora sólo variará unos pocos segundos entre todos los equipos del bosque entero que ejecuten Windows Server 2003 o Windows 2000. El em emul ulad ador or del del PDC PDC reci recibe be un una a repl replic icac ació ión n pr pref efer eren enci cial al de los los cambios cambios realizado realizados s en las contras contraseñas eñas por otros otros controla controladore dores s del dominio. Si una contraseña ha cambiado recientemente, ese cambio tarda algún tiempo en replicarse en cada controlador del dominio. Si una un a aute autent ntic icac ació ión n de inic inicio io de sesi sesión ón pr prod oduc uce e un erro errorr en otro otro contr controla olador dor de domin dominio io debid debido o a una contr contrase aseña ña incorr incorrec ecta, ta, ese ese contr controla olador dor de domini dominio o ree reenvi nviará ará la solic solicitu itud d de auten autentic ticaci ación ón al emulador del PDC antes de rechazar el intento de inicio de sesión. El controlador de dominio configurado con la función de emulador del PDC admite dos protocolos de autenticación: •el protocolo Kerberos V5 •el protocolo NTLM
MAESTRO DE INFRAESTRUCTURAS
En todo momento sólo puede haber un controlador de dominio que actúe como maestro de infraestructuras en cada dominio. El maestro de infraestructuras es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. El maestro de infraestructuras compara sus datos con los del catálogo global. Los catálogos globales reciben actualizaciones periódicas de los objetos de todos los dominios mediante la replicación, de forma que los datos de los catálogos globales siempre están actualizados. Si el maestro de infraestructuras encuentra datos sin actualizar, solicita los datos actualizados a un catálogo global. Después el maestro de infr infra aestr estruc uctu turras re repl pliica los los dato datos s actual tualiz izad ado os en los los otro tros controladores del dominio. Importante •A menos que haya un único controlador de dominio en el dominio, la func funció ión n de maes maestr tro o de infr infrae aest stru ruct ctur uras as no debe debe asig asigna nars rse e al controlador de dominio que alberga el catálogo global. Si el maestro de infraestructuras y el catálogo global se encuentran en el mismo contro trolado ladorr de domin ominio io,, el maestr estro o de infr infrae aes stru tructu cturas no funcio funcionar nará. á. El maestr maestro o de infra infraes estru tructu ctura ras s no encon encontra trará rá nu nunca nca datos no actualizados, por lo que nunca replicará los cambios en los otros controladores del dominio. Si todos los controladores del dominio también albergan el catálogo global, todos los controladores de dominio ya tendrán los datos más actuales y será irrelevante conocer el controlador de dominio que desempeña la función de maestro de infraestructuras. El maestro de infraestructuras también es responsable de actualizar las las refe refere renc ncia ias s de gr grup upos os a usua usuari rios os cada cada ve vez z que que hay hay algu alguna na vari variac ació ión n o camb cambio io de nomb nombre re en los los miem miembr bros os de un gr grup upo. o. Al cambiar de nombre o mover un miembro de un grupo (si el miembro reside reside en un domini dominio o distin distinto to del grupo), grupo), puede puede que durante durante un tiempo parezca que el grupo no contiene ese miembro. El maestro de infraestructuras del dominio del grupo es responsable de actualizar el grup gr upo o de form forma a que que sepa sepa en todo todo mome moment nto o el nu nuev evo o nomb nombre re o ubicación del miembro. Así se evita perder las pertenencias de grupo que están asociadas a una cuenta de usuario, en caso de mover o cambiar el nombre de dicha cuenta. El maestro de infraestructuras dist distri ribu buye ye la actu actual aliz izac ació ión n a trav través és de la repl replic icac ació ión n de vari varios os maestros.
La seguridad no se pone en peligro durante el tiempo que transcurre entre el cambio de nombre de un miembro y la actualización del grupo. Sólo un administrador que esté examinando la pertenencia a
ese grupo en particular podría darse cuenta de la falta momentánea de coherencia.
BENEFICIOS DE ACTIVE DIRECTORY La utilización de un AD proporciona varias ventajas y/o beneficios en el manejo centralizado de los recursos, tales como: •
• • • • •
La sincronización entre los servidores de autenticación en todo el dominio. Integración con el DNS, permitiendo la locación de los objetos. Escalabilidad que permite para el manejo de los objetos. Administración Administración centralizada. Delegación de administración. Delegar administración.