Active Directory

De Wikipedia, la enciclopedia libre Saltar a: navegacin, bsqueda Active Directory (AD) es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...). Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso.[1] Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos.

Estructura
Active Directory est basado en una serie de estndares llamados X.500, aqu se encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de usuarios. Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios. A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio Active Directory.
[editar] Objetos

Active Directory se basa en una estructura jerrquica de objetos. Los objetos se enmarcan en tres grandes categoras. recursos (p.ej. impresoras), servicios (p.ej. correo electrnico), y usuarios (cuentas, o usuarios y grupos). El AD proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad. Cada objeto representa una entidad individual ya sea un usuario, un equipo, una impresora, una aplicacin o una fuente compartida de datos y sus atributos. Los

objetos pueden contener otros objetos. Un objeto est unvocamente identificado por su nombre y tiene un conjunto de atributoslas caractersticas e informacin que el objeto puede contenerdefinidos por y dependientes del tipo. Los atributos, la estructura bsica del objeto, se definen por un esquema, que tambin determina la clase de objetos que se pueden almacenar en el AD. "Cada atributo se puede utilizar en diferentes "schema class objects". Estos objetos se conocen como objetos esquema, o metadata, y existen para poder extender el esquema o modificarlo cuando sea necesario. Sin embargo, como cada objeto del esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o cambiar estos objetos puede tener consecuencias serias porque cambiar la estructura fundamental del ANUNCIO en s mismo. Un objeto del esquema, cuando es alterado, se propagar automticamente a travs de Active Directory y una vez que se cree puede ser desactivado-no solamente suprimido. Cambiar el esquema no es algo que se hace generalmente sin un cierto planeamiento " OLMER

[editar] Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la informacin relativa a un dominio de autenticacin. La ventaja que presenta esto es la sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio. A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio. De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otras palabras, Active Directory es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la administracin y la consulta de todos los elementos lgicos de una red (como pueden ser usuarios, equipos y recursos).
[editar] Intercambio entre dominios[2]

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa una relacin de confianza (en ingles, trust). La relacin de confianza es creada automticamente cuando se crean nuevos dominios. Los lmites de la relacin de confianza no son marcados por dominio, sino por el bosque al cual pertenece. Existen relaciones de confianza transitivas, donde las relaciones de confianza de Active Directory pueden ser un acceso directo (une dos dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para

conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque tambin soporta NTLM y usuarios webs mediante autentificacin SSL / TLS
[editar] Confianza transitiva

Las Confianzas transitivas son confianzas automticas de dos vas que existen entre dominios en Active Directory.
[editar] Confianza explcita

Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticacin. Este tipo de relacin puede ser de una o dos vas, dependiendo de la aplicacin. Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0.
[editar] Confianza de Acceso Directo

La Confianza de acceso directo es, esencialmente, una confianza explcita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticacin.
[editar] Confianza entre bosques

La Confianza entre bosques permite la interconexin entre bosques de dominios, creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre bosques son de tipo explcito, al contrario de Windows Server 2003.
[editar] Direccionamientos a recursos

Los direccionamientos a recursos de Active Directory son estndares con la Convencin Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP. Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name (DN)), as una impresora llamada Imprime en una Unidad Organizativa (en ingls, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde o CN es el nombre comn (en ingls, Common Name) o DC es clase de objeto de dominio (en ingls, Domain object Class). En forma cannica sera foo.org/Ventas/Imprime

Los otros mtodos de direccionamiento constituyen una forma local de localizar un recurso

Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)), que busca un recurso slo con el Nombre Comn (CN). Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar informacin

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio

[editar] Diferencias entre Windows NT y Active Directory

A diferencia del anterior sistema de administracin de dominios de Windows NT Server, que prevea nicamente el dominio de administracin, Active Directory permite tambin crear estructuras jerrquicas de dominios y subdominios, facilitando la estructuracin de los recursos segn su localizacin o funcin dentro de la organizacin a la que sirven. Otra diferencia importante es el uso de estndares como X.500 y LDAP para el acceso a la informacin.

[editar] Interfaces de programacin[3]

Las interfaces de servicio de Active Directory (ADSI) entregan al programador una interfaz orientada a objetos, facilitando la creacin de programas de directorios mediante algunas herramientas compatibles con lenguajes de alto nivel, como Visual Basic, sin tener que lidiar con los distintos espacios de nombres. Mediante las ADSI se permite crear programas que realizan un nico acceso a varios recursos del entorno de red, sin importar si estn basados en LDAP u otro protocolo. Adems, permite generar secuencias de comandos para los administradores. Tambin se puede desarrollar la Interfaz de mensajera (MAPI), que permite generar programas MAPI.

[editar] Requisitos de instalacin[4]

Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:

Tener cualquier versin Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008, en el caso de 2003 server, tener instalado el service pack 1 en la mquina. Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una direccin asignada por DHCP, Tener un servidor de nombre de DNS, para resolver la direccin de los distintos recursos fsicos presentes en la red Poseer ms de 250 MB en una unidad de disco formateada en NTFS.DE WINDOWS

http://es.wikipedia.org/wiki/Active_Directory

Qu es un Controlador de Dominio?
Normalmente el sistema operativo Windows guarda las contraseas de los usuarios en un archivo llamado SAM en la carpeta \WINDOWS\system32\config\ Hasta aqu vamos bien: Tenemos un computador que guarda sus propias contraseas en su propio disco duro. Ahora imaginemos lo siguiente: Una red de computadores. Vamos a suponer lo mismo: Cada computador que guarda sus propias contraseas en su propio disco duro. Que sucede entonces??? Todos los computadores poseen una cuenta de usuario llamada Administrador. Lo normal, comn y corriente es encontrarse con que la contrasea de Administrador es la misma en todos los equipos de la red. La contrasea es la misma debido que sera bastante complicado de administrar una red si todas las cuentas Administrador tuvieran una clave distinta. Si una persona es capaz de tener acceso a solo uno de los archivos SAM y descifrar la contrasea de Administrador, entonces la persona estar en capacidad de acceder a cualquier computador de la red debido a que la contrasea es igual en todos los computadores. Ahora supongamos: la contrasea de Administrador es diferente en todos los equipos de la red. An suponiendo que as sea NO estaremos a salvo: el archivo SAM sigue existiendo y esto implica estar en capacidad de acceder fsicamente, por lo menos, a UN equipo de la red. Y claro, despus de tener un pie puesto en la red lo mnimo que podemos hacer es acceder a los recursos que los otros computadores de la red tienen como compartidos: Carpetas, Archivos, Impresoras etc. y estar en capacidad, mnimamente, de visualizar informacin CONFIDENCIAL. Para que este tipo de situaciones no ocurran los administradores de redes se han inventado algo fantstico: El Controlador de Dominio. Un controlador de dominio es un computador en el cual se almacenan de forma centralizada todas las contraseas de los usuarios de la red. Cada computador seguir conservando su archivo SAM, sin embargo las contraseas almacenadas en el archivo SAM solo funcionarn darn acceso a los recursos local del equipo especfico. Aunque tengamos un pie puesto en la red NO PODREMOS acceder a los recursos compartidos por otros equipos. La base de datos del controlador de dominio cumple la misma funcin que el archivo SAM, pero ahora almacena todas las contraseas de la red. Cmo trabajara la red?? Un usuario inicia sesin en un equipo al que llamaremos X. En el momento de iniciar sesin el usuario deber:

Escribir su contrasea de usuario. Escoger si trabajar en red. o localmente.

Si el usuario escoge trabajar en red el equipo se conectar al controlador de dominio para autenticar la contrasea escrita. En caso de que la contrasea est correcta el usuario podr trabajar en red. Si por el contrario el usuario prefiere trabajar localmente el equipo es completamente EXCLUIDO de la red y no podr acceder a los recursos de los computadores que si estn en red. En el momento en que si desde un equipo X un usuario quiere acceder a otro equipo Y se realizar una accin interna (invisible para el usuario final) mediante la cual el equipo X pide autorizacin en el controlador de dominio para acceder al equipo Y. Si el controlador de dominio est configurado para permitir el acceso en cuestin entonces el usuario final observar en su pantalla (en el equipo X) la lista de recursos compartidos del equipo Y; de lo contrario aparecer una pequea ventana diciendo Acceso Denegado. A manera de resumen, podemos decir que la importancia de un controlador de dominio para una red corporativa radica en los siguientes aspectos:

Centraliza las contraseas de usuario en una base de datos ubicada en un solo punto fsicamente hablando La informacin centralizada puede protegerse mucho ms fcil que la informacin dispersa. La informacin importante (en nuestro caso las contraseas) siempre ser ms fcil de proteger cuando est centralizada. Las copias de seguridad (en nuestro caso de la base de datos de las contraseas) se podrn ejecutar mucho ms rpido cuando la informacin est centralizada Perimetralmente, es ms complicado evitar una intrusin en muchos computadores que proteger UN solo computador.

http://juliorestrepo.wordpress.com/2008/07/17/que-es-un-controlador-de-dominio/ Controlador de Dominio Primario y de Seguridad.

La redundancia es una idea clave dentro de un dominio Windows. El controlador de dominio que est actualmente activo sobre un dominio es denominado como el Controlador Primario de Dominio (PDC). Adems pueden existir uno o ms Controladores de Dominio de Seguridad (BDCs) en el dominio, los cuales actuarn en caso de que el controlador primario falle o se vuelva inaccesible. Los BDCs frecuentemente sincronizan sus datos SAM con el controlador primario de dominio, de manera que si llegara el caso, cualquiera de ellos podra realizar servicios DC transparentemente sin provocar ningn tipo de impacto en los clientes. Advierte que los BDCs, sin embargo, slo tienen copias de slo lectura del SAM; pueden actualizar sus datos slo mediante la sincronizacin con un PDC. Un servidor en un dominio Windows puede usar los SAM de cualquier controlador de dominio primario o de seguridad para autentificar a un usuario que intenta acceder a los recursos y logearse en el dominio.

Ten en cuenta que en muchos aspectos, las caractersticas de un grupo de trabajo de Windows y un dominio de Windows se pisan. Esto no es algo accidental, ya que el concepto de los dominios Windows no apareci hasta la aparicin de Windows NT 3.5, y los dominios Windows fueron forzados a permanecer compatibles con los grupos de trabajo presentes en Windows for Workgroups 3.1. La cosa clave a recordar aqu es que un dominio es simplemente un grupo de trabajo de Windows con uno o ms controladores de dominio aadidos. Samba puede funcionar como controlador primario de dominio para mquinas Windows 95/98 sin ningn tipo de problemas. Sin embargo, Samba 2.0 puede actuar como controlador primario de dominio slo para procesos de autentificacin; actualmente no puede asumir ninguna otra de las responabilidades de un PDC. (mientras lees este manual, Samba 2.1 puede que ya est disponible, de forma que podrs usar Samba como PDC para clientes NT). Por otra parte, y "gracias" a la privacidad del protocolo usado por Microsoft para sincronizar datos SAM, Samba actualmente no puede servir como controlador de dominio de seguridad
ftp://ftp.inf.utfsm.cl/pub/Linux/Docs/LuCaS/Manuales-LuCAS/USANDO-SAMBA/usandosamba-html/node19.html

Active Directory
La gestin del servicio de directorio Active Directory es una parte importante del proceso de administracin de Microsoft Windows 2000, y es esencial familiarizarse con las distintas herramientas que se proporcionan para este propsito. Casi todas las herramientas utilizan complementos de Microsoft Management Console (MMC) para proporcionar la interfaz de usuario. El grupo de programa Herramientas administrativas del men Inicio incluye algunos complementos, pero para el funcionamiento diario se debern aadir otros manualmente mediante la funcin Agregar complemento de la MMC. Algunas de las herramientas de administracin de Active Directory son programas que se ejecutan cada da, mientras que otras solo son necesarias durante la instalacin de Active Directory U ocasionalmente a partir de entonces. Los complementos MMC que proporcionan las funciones de administracin de Active Directory son los siguientes:

Asistente para instalacin de Active Directory crea controladores de dominio, nuevos dominios, rboles y bosques. Dominios y confianzas de Active Directory cambia el modo del dominio, gestiona las relaciones de confianza entre dominios y configura los sufijos del nombre principal de usuario (UPN). Usuarios y equipos de Active Directory crea, gestiona y configura los objetos Active Directory. Sitios y servicios de Active Directory crea y configura sitios dominio y gestiona el proceso de replica del controlador de dominio. Esquema de Active Directory modifica el esquema que define los objetos y propiedades de Active Directory.

http://informatica.iescuravalera.es/iflica/gtfinal/libro/x3384.html

Controlador de Dominio de Active Directory

Active Directory (AD) O Directorio Activo es el

trmino utilizado por Microsoft para referirse a su implementacin deservicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos(princip almente LDAP,

DNS, DHCP, kerberos, etc).Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes deuna red, como usuarios, grupos de usuarios,

permisos y asignacin de recursos y polticas deacceso. Estructura Active Directory est basado en una serie de estndares llamados (X.500), aqu se encuentra unadefinicin

lgica a modo jerrquico.Estos dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, raznpor la cual Active Directory requiere uno o ms

servidores DNS que permitan el direccionamientod e los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; ylos componentes lgicos de la red,

como el listado de usuarios.Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a undominio, ser reconocido en todo el rbol generado a

partir de ese dominio, sin necesidad depertenecer a cada uno de los subdominios.A su vez, los rboles pueden integrarse en un espacio comn denominado

bosque. Para realizar unbosque es necesario crear dos o ms rboles (que por lo tanto no comparten el mismo nombre dezona DNS entre ellos) y establecer una relacin de trust o confianza

entre ellos. De este modolos usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cadaestructura de rbol el propio Active Directory uncionamiento

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol),ya que este protocolo viene implementado de forma similar a

una base de datos, la cual almacenaen forma centralizada toda la informacin relativa a un dominio de autenticacin. La ventaja quepresenta esto es la sincronizacin

presente entre los distintos servidores de autenticacin de todoel dominio.Debido a esta centralizacin, se pueden crear varios objetos que afectarn los recursos y

losusuarios que acceden a la red.A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco(por ejemplo, los usuarios tendrn campo nombre,

campo email, etctera, las impresoras dered tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios quepueden acceder", etc). Toda esta

informacin queda almacenada en Active Directory replicndosede forma automtica entre todos los servidores que controlan el acceso al dominio.De esta forma, es posible crear recursos

(como carpetas compartidas, impresoras de red, etc) yconceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetosmemorizad os en Active

Directory, y siendo esta lista de objetos replicada a todo el dominio deadministracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otraspalabras,

Active Directory es un repositorio centralizado que facilita el control, la administracin yla consulta de todos los elementos lgicos de una red (como pueden ser

usuarios, equipos yrecursos)

Diferencias entre Windows NT y Active Directory
A diferencia del anterior sistema de administracin de dominios de Windows NT Server, que prevea nicamente el dominio de administracin, Active Directory permite tambin crear estructuras jerrquicas de dominios y subdominios, facilitando la estructuracin de los recursos segn su localizacin o funcin dentro de la organizacin a la que sirven. Otra diferencia importante es el uso de estndares como X.500 y LDAP para el acceso a la informacin.
http://es.wikipedia.org/wiki/Active_Directory#Diferencias_entre_Windows_NT_y_Active_Dire ctory