Directorio activo

Servicio de directorio, creado por Microsoft para redes de dominio de Windows

Active Directory ( AD ) es un servicio de directorio desarrollado por Microsoft para redes de dominios de Windows . Los sistemas operativos Windows Server lo incluyen como un conjunto de procesos y servicios . [1] [2] Originalmente, solo la gestión centralizada de dominios utilizaba Active Directory. Sin embargo, finalmente se convirtió en un título general para varios servicios relacionados con la identidad basados ​​en directorios. [3]

Un controlador de dominio es un servidor que ejecuta el rol de Servicios de dominio de Active Directory ( AD DS ). Autentica y autoriza a todos los usuarios y equipos en una red de tipo dominio de Windows , asigna y aplica políticas de seguridad para todos los equipos e instala o actualiza software. Por ejemplo, cuando un usuario inicia sesión en un equipo que forma parte de un dominio de Windows, Active Directory verifica el nombre de usuario y la contraseña enviados y determina si el usuario es un administrador del sistema o un usuario no administrador. [4] Además, permite la gestión y el almacenamiento de información, proporciona mecanismos de autenticación y autorización y establece un marco para implementar otros servicios relacionados: Servicios de certificados, Servicios de federación de Active Directory , Servicios de directorio ligero y Servicios de administración de derechos . [5]

Active Directory utiliza el Protocolo ligero de acceso a directorios (LDAP) versiones 2 y 3, la versión de Kerberos de Microsoft , [6] y DNS . [7]

Robert R. King lo definió de la siguiente manera: [8]

"Un dominio representa una base de datos. Esa base de datos contiene registros sobre servicios de red, como computadoras, usuarios, grupos y otras cosas que usan, respaldan o existen en una red. La base de datos del dominio es, en efecto, Active Directory".

Historia

Al igual que muchos esfuerzos de tecnología de la información, Active Directory se originó a partir de una democratización del diseño mediante solicitudes de comentarios (RFC). El Grupo de trabajo de ingeniería de Internet (IETF) supervisa el proceso de RFC y ha aceptado numerosas RFC iniciadas por participantes generalizados. Por ejemplo, LDAP sustenta Active Directory. Además, los directorios X.500 y la unidad organizativa precedieron al concepto de Active Directory que utiliza esos métodos. El concepto LDAP comenzó a surgir incluso antes de la fundación de Microsoft en abril de 1975, con RFC ya en 1971. Las RFC que contribuyen a LDAP incluyen RFC 1823 (sobre la API de LDAP, agosto de 1995), [9] RFC 2307, RFC 3062 y RFC 4533. [10] [11] [12]

Microsoft realizó una vista previa de Active Directory en 1999, lo lanzó primero con la edición Windows 2000 Server y lo revisó para ampliar la funcionalidad y mejorar la administración en Windows Server 2003. El soporte de Active Directory también se agregó a Windows 95, Windows 98 y Windows NT 4.0 a través de un parche, con algunas características no admitidas. [13] [14] Se produjeron mejoras adicionales con versiones posteriores de Windows Server . En Windows Server 2008 , Microsoft agregó más servicios a Active Directory, como Active Directory Federation Services . [15] La parte del directorio a cargo de administrar dominios, que era una parte central del sistema operativo, [15] pasó a llamarse Active Directory Domain Services (ADDS) y se convirtió en una función de servidor como otras. [3] "Active Directory" se convirtió en el título general de una gama más amplia de servicios basados ​​en directorios. [16] Según Byron Hynes, todo lo relacionado con la identidad se incluyó bajo el estandarte de Active Directory. [3]

Servicios de directorio activo

Los servicios de Active Directory constan de varios servicios de directorio. El más conocido es Active Directory Domain Services, comúnmente abreviado como AD DS o simplemente AD.

Servicios de dominio

Los Servicios de dominio de Active Directory (AD DS) son la base de todas las redes de dominio de Windows . Almacenan información sobre los miembros del dominio, incluidos los dispositivos y los usuarios, verifican sus credenciales y definen sus derechos de acceso . El servidor que ejecuta este servicio se denomina controlador de dominio . Se contacta con un controlador de dominio cuando un usuario inicia sesión en un dispositivo, accede a otro dispositivo a través de la red o ejecuta una aplicación de línea de negocios de estilo Metro instalada en una máquina.

Otros servicios de Active Directory (excluyendo LDS, como se describe a continuación) y la mayoría de las tecnologías de servidor de Microsoft dependen o utilizan Servicios de dominio; algunos ejemplos incluyen Directiva de grupo , Sistema de cifrado de archivos , BitLocker , Servicios de nombres de dominio , Servicios de Escritorio remoto , Exchange Server y SharePoint Server .

El Active Directory DS autoadministrado debe ser distinto del Azure AD DS administrado , un producto en la nube. [17]

Servicios de directorio ligeros

Active Directory Lightweight Directory Services (AD LDS), anteriormente llamado Active Directory Application Mode (ADAM), [18] implementa el protocolo LDAP para AD DS. [19] Se ejecuta como un servicio en Windows Server y ofrece la misma funcionalidad que AD DS, incluida una API igual . Sin embargo, AD LDS no requiere la creación de dominios o controladores de dominio. Proporciona un almacén de datos para almacenar datos de directorio y un servicio de directorio con una interfaz de servicio de directorio LDAP. A diferencia de AD DS, varias instancias de AD LDS pueden operar en el mismo servidor.

Servicios de certificación

Los servicios de certificados de Active Directory (AD CS) establecen una infraestructura de clave pública local . Pueden crear, validar, revocar y realizar otras acciones similares, certificados de clave pública para usos internos de una organización. Estos certificados se pueden utilizar para cifrar archivos (cuando se utilizan con el sistema de cifrado de archivos ), correos electrónicos (según el estándar S/MIME ) y tráfico de red (cuando se utilizan en redes privadas virtuales , protocolo de seguridad de la capa de transporte o protocolo IPSec ).

AD CS es anterior a Windows Server 2008, pero su nombre era simplemente Servicios de certificados. [20]

AD CS requiere una infraestructura AD DS. [21]

Servicios de la Federación

Active Directory Federation Services (AD FS) es un servicio de inicio de sesión único . Con una infraestructura de AD FS en su lugar, los usuarios pueden usar varios servicios basados ​​en web (por ejemplo, foro de Internet , blog , compras en línea , correo web ) o recursos de red utilizando solo un conjunto de credenciales almacenadas en una ubicación central, en lugar de tener que obtener un conjunto dedicado de credenciales para cada servicio. AD FS usa muchos estándares abiertos populares para pasar credenciales de token como SAML , OAuth u OpenID Connect . [22] AD FS admite el cifrado y la firma de aserciones SAML . [23] El propósito de AD FS es una extensión del de AD DS: este último permite a los usuarios autenticarse y usar los dispositivos que forman parte de la misma red, utilizando un conjunto de credenciales. El primero les permite usar el mismo conjunto de credenciales en una red diferente.

Como sugiere su nombre, AD FS funciona según el concepto de identidad federada .

AD FS requiere una infraestructura de AD DS, aunque es posible que su socio de federación no la tenga. [24]

Servicios de gestión de derechos

Active Directory Rights Management Services ( AD RMS ), anteriormente conocido como Rights Management Services o RMS antes de Windows Server 2008 , es un software de servidor que permite la gestión de derechos de información , incluido con Windows Server . Utiliza cifrado y denegación selectiva para restringir el acceso a varios documentos, como correos electrónicos corporativos , documentos de Microsoft Word y páginas web . También limita las operaciones que los usuarios autorizados pueden realizar en ellos, como ver, editar, copiar, guardar o imprimir. Los administradores de TI pueden crear plantillas preestablecidas para los usuarios finales para su comodidad, pero los usuarios finales aún pueden definir quién puede acceder al contenido y qué acciones pueden realizar. [25]

Estructura lógica

Active Directory es un servicio que comprende una base de datos y un código ejecutable . Es responsable de gestionar las solicitudes y mantener la base de datos. El Agente del sistema de directorio es la parte ejecutable, un conjunto de servicios y procesos de Windows que se ejecutan en Windows 2000 y versiones posteriores. [1] El acceso a los objetos de las bases de datos de Active Directory es posible a través de varias interfaces, como LDAP, ADSI, API de mensajería y servicios de Administrador de cuentas de seguridad . [2]

Objetos utilizados

Ejemplo simplificado de la red interna de una empresa editorial. La empresa tiene cuatro grupos con distintos permisos para las tres carpetas compartidas en la red.

Las estructuras de Active Directory constan de información sobre objetos clasificados en dos categorías: recursos (como impresoras) y entidades de seguridad (que incluyen cuentas de usuario o equipo y grupos). A cada entidad de seguridad se le asigna un identificador de seguridad (SID) único. Un objeto representa una entidad única, como un usuario, un equipo, una impresora o un grupo, junto con sus atributos. Algunos objetos pueden incluso contener otros objetos dentro de ellos. Cada objeto tiene un nombre único y su definición es un conjunto de características e información mediante un esquema , que determina el almacenamiento en Active Directory.

Los administradores pueden ampliar o modificar el esquema utilizando el objeto de esquema cuando sea necesario. Sin embargo, dado que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivarlos o cambiarlos puede alterar o interrumpir fundamentalmente una implementación. La modificación del esquema afecta a todo el sistema automáticamente y los objetos nuevos no se pueden eliminar, solo desactivar. Cambiar el esquema generalmente requiere planificación. [26]

Bosques, árboles y dominios

En una red de Active Directory, el marco que contiene los objetos tiene diferentes niveles: el bosque, el árbol y el dominio. Los dominios dentro de una implementación contienen objetos almacenados en una única base de datos replicable, y la estructura de nombres DNS identifica sus dominios, el espacio de nombres . Un dominio es un grupo lógico de objetos de red, como computadoras, usuarios y dispositivos, que comparten la misma base de datos de Active Directory.

Por otro lado, un árbol es una colección de dominios y árboles de dominios en un espacio de nombres contiguo vinculados en una jerarquía de confianza transitiva. El bosque se encuentra en la parte superior de la estructura, una colección de árboles con un catálogo global estándar, un esquema de directorio, una estructura lógica y una configuración de directorio. El bosque es un límite seguro que limita el acceso a usuarios, computadoras, grupos y otros objetos.

  Dominio-Boston
  Dominio-Nueva York
  Dominio-Filadelfia
 Arbol-Sur
  Dominio-Atlanta
  Dominio-Dallas
Dominio-Dallas
 OU-Marketing
  Hewitt
  Aón
  Steve
 OU-Ventas
  Factura
  Rafa
Ejemplo de organización geográfica de zonas de interés dentro de árboles y dominios

Unidades organizativas

Los objetos contenidos en un dominio se pueden agrupar en unidades organizativas (OU). [27] Las OU pueden proporcionar jerarquía a un dominio, facilitar su administración y pueden parecerse a la estructura de la organización en términos administrativos o geográficos. Las OU pueden contener otras OU; los dominios son contenedores en este sentido. Microsoft recomienda utilizar OU en lugar de dominios para la estructura y simplificar la implementación de políticas y la administración. La OU es el nivel recomendado en el que se aplican las políticas de grupo , que son objetos de Active Directory formalmente denominados objetos de política de grupo (GPO), aunque las políticas también se pueden aplicar a dominios o sitios (ver a continuación). La OU es el nivel en el que se delegan comúnmente los poderes administrativos, pero la delegación también se puede realizar en objetos o atributos individuales.

Las unidades organizativas no tienen cada una un espacio de nombres independiente. Como consecuencia, para la compatibilidad con las implementaciones NetBios heredadas, no se permiten cuentas de usuario con un SamAccountName idéntico dentro del mismo dominio, incluso si los objetos de cuentas están en unidades organizativas independientes. Esto se debe a que SamAccountName, un atributo de objeto de usuario, debe ser único dentro del dominio. [28] Sin embargo, dos usuarios en diferentes unidades organizativas pueden tener el mismo nombre común (CN), el nombre con el que se almacenan en el directorio en sí, como "fred.staff-ou.domain" y "fred.student-ou.domain", donde "staff-ou" y "student-ou" son las unidades organizativas.

En general, la razón de esta falta de tolerancia para nombres duplicados a través de la colocación jerárquica de directorios es que Microsoft se basa principalmente en los principios de NetBIOS , que es un método de espacio de nombres plano para la administración de objetos de red que, para el software de Microsoft, se remonta a Windows NT 3.1 y MS-DOS LAN Manager . Permitir la duplicación de nombres de objetos en el directorio, o eliminar por completo el uso de nombres NetBIOS, impediría la compatibilidad con versiones anteriores de software y equipos heredados. Sin embargo, no permitir nombres de objetos duplicados de esta manera es una violación de las RFC de LDAP en las que supuestamente se basa Active Directory.

A medida que aumenta el número de usuarios de un dominio, las convenciones como "inicial del primer nombre, inicial del segundo nombre, apellido" ( orden occidental ) o al revés (orden oriental) fallan para los apellidos comunes como Li (李), Smith o Garcia . Las soluciones alternativas incluyen agregar un dígito al final del nombre de usuario. Las alternativas incluyen crear un sistema de identificación separado de números de identificación únicos de empleado/estudiante para usar como nombres de cuenta en lugar de los nombres de los usuarios reales y permitir que los usuarios nominen su secuencia de palabras preferida dentro de una política de uso aceptable .

Dado que no pueden existir nombres de usuario duplicados dentro de un dominio, la generación de nombres de cuenta plantea un desafío importante para organizaciones grandes que no pueden subdividirse fácilmente en dominios separados, como los estudiantes de un sistema escolar público o una universidad que deben poder usar cualquier computadora en la red.

Grupos de sombra
En Active Directory, no es posible asignar unidades organizativas (OU) como propietarios o administradores. Solo se pueden seleccionar grupos y no es posible asignar derechos a los objetos de directorio de forma colectiva a los miembros de las OU.

En Active Directory de Microsoft, las unidades organizativas no otorgan permisos de acceso y a los objetos ubicados dentro de ellas no se les asignan automáticamente privilegios de acceso en función de la unidad organizativa que los contiene. Esto representa una limitación de diseño específica de Active Directory y otros directorios de la competencia, como Novell NDS , pueden establecer privilegios de acceso a través de la ubicación de objetos dentro de una unidad organizativa.

Active Directory requiere un paso independiente para que un administrador asigne un objeto en una unidad organizativa como miembro de un grupo también dentro de esa unidad organizativa. El uso exclusivo de la ubicación de la unidad organizativa para determinar los permisos de acceso no es confiable, ya que es posible que la entidad aún no haya sido asignada al objeto de grupo para esa unidad organizativa.

Una solución alternativa habitual para un administrador de Active Directory es escribir un script personalizado de PowerShell o Visual Basic para crear y mantener automáticamente un grupo de usuarios para cada unidad organizativa de su directorio. Los scripts se ejecutan periódicamente para actualizar el grupo para que coincida con la membresía de la cuenta de la unidad organizativa. Sin embargo, no pueden actualizar instantáneamente los grupos de seguridad cada vez que cambia el directorio, como ocurre en directorios de la competencia, ya que la seguridad se implementa directamente en el directorio. Estos grupos se conocen como grupos de sombra . Una vez creados, estos grupos de sombra se pueden seleccionar en lugar de la unidad organizativa en las herramientas administrativas. La documentación de referencia de Server 2008 de Microsoft menciona los grupos de sombra, pero no proporciona instrucciones sobre cómo crearlos. Además, no hay métodos de servidor disponibles ni complementos de consola para administrar estos grupos. [29]

Una organización debe determinar la estructura de su infraestructura de información dividiéndola en uno o más dominios y unidades organizativas de nivel superior. Esta decisión es fundamental y puede basarse en varios modelos, como unidades de negocio, ubicaciones geográficas, servicio de TI, tipo de objeto o una combinación de estos modelos. El propósito inmediato de organizar las unidades organizativas es simplificar la delegación administrativa y, en segundo lugar, aplicar políticas de grupo. Si bien las unidades organizativas sirven como límite administrativo, el bosque en sí es el único límite de seguridad. Todos los demás dominios deben confiar en cualquier administrador del bosque para mantener la seguridad. [30]

Particiones

La base de datos de Active Directory está organizada en particiones , cada una de las cuales contiene tipos de objetos específicos y sigue un patrón de replicación particular. Microsoft a menudo se refiere a estas particiones como "contextos de nombres". [31] La partición "Esquema" define las clases de objetos y los atributos dentro del bosque. La partición "Configuración" contiene información sobre la estructura física y la configuración del bosque (como la topología del sitio). Ambas replican todos los dominios del bosque. La partición "Dominio" contiene todos los objetos creados en ese dominio y se replica solo dentro de él.

Estructura física

Los sitios son agrupaciones físicas (en lugar de lógicas) definidas por una o más subredes IP . [32] AD también define conexiones, distinguiendo enlaces de baja velocidad (por ejemplo, WAN , VPN ) de los de alta velocidad (por ejemplo, LAN ). Las definiciones de sitios son independientes del dominio y de la estructura de la OU y se comparten en todo el bosque. Los sitios desempeñan un papel crucial en la gestión del tráfico de red creado por la replicación y en el direccionamiento de los clientes a sus controladores de dominio (DC) más cercanos. Microsoft Exchange Server 2007 utiliza la topología del sitio para el enrutamiento de correo. Los administradores también pueden definir políticas a nivel de sitio.

La información de Active Directory se almacena físicamente en uno o más controladores de dominio pares , lo que reemplaza el modelo PDC / BDC de NT . Cada controlador de dominio tiene una copia de Active Directory. Los servidores miembros unidos a Active Directory que no son controladores de dominio se denominan servidores miembros. [33] En la partición de dominio, un grupo de objetos actúa como copias de los controladores de dominio configurados como catálogos globales. Estos servidores de catálogo global ofrecen una lista completa de todos los objetos del bosque. [34] [35]

Los servidores de Catálogo global replican todos los objetos de todos los dominios hacia sí mismos, lo que proporciona una lista internacional de entidades en el bosque. Sin embargo, para minimizar el tráfico de replicación y mantener pequeña la base de datos del GC, solo se replican los atributos seleccionados de cada objeto, llamados conjunto de atributos parciales (PAS). El PAS se puede modificar modificando el esquema y marcando las características para la replicación al GC. [36] Las versiones anteriores de Windows usaban NetBIOS para comunicarse. Active Directory está completamente integrado con DNS y requiere TCP/IP —DNS. Para funcionar completamente, el servidor DNS debe admitir registros de recursos SRV , también conocidos como registros de servicio.

Replicación

Active Directory utiliza la replicación multimaestro para sincronizar los cambios, [37] lo que significa que las réplicas extraen los cambios del servidor donde se produjo el cambio en lugar de ser empujadas hacia ellos. [38] El Comprobador de consistencia de conocimiento (KCC) utiliza sitios definidos para administrar el tráfico y crear una topología de replicación de enlaces de sitios. La replicación dentro del sitio ocurre con frecuencia y de manera automática debido a las notificaciones de cambio, que incitan a los pares a comenzar un ciclo de replicación de extracción. Los intervalos de replicación entre diferentes sitios suelen ser menos consistentes y no suelen utilizar notificaciones de cambio. Sin embargo, es posible configurarlo para que sea el mismo que la replicación entre ubicaciones en la misma red si es necesario.

Cada enlace DS3 , T1 e ISDN puede tener un costo, y el KCC modifica la topología del enlace del sitio en consecuencia. La replicación puede ocurrir de manera transitiva a través de varios enlaces de sitio en puentes de enlace de sitio del mismo protocolo si el precio es bajo. Sin embargo, el KCC automáticamente cobra un costo menor por un enlace directo de sitio a sitio que por las conexiones transitivas. Un servidor de cabecera en cada zona puede enviar actualizaciones a otros controladores de dominio en la ubicación exacta para replicar los cambios entre sitios. Para configurar la replicación para las zonas de Active Directory, active el DNS en el dominio según el sitio.

Para replicar Active Directory, se utilizan llamadas a procedimientos remotos (RPC) sobre IP (RPC/IP). SMTP se utiliza para replicar entre sitios, pero solo para modificaciones en los GC de esquema, configuración o conjunto de atributos parciales (catálogo global). No es adecuado para reproducir la partición de dominio predeterminada. [39]

Implementación

En general, una red que utiliza Active Directory tiene más de un servidor Windows con licencia. Es posible realizar copias de seguridad y restaurar Active Directory en una red con un solo controlador de dominio. [40] Sin embargo, Microsoft recomienda más de un controlador de dominio para brindar protección automática contra fallas del directorio. [41] Lo ideal es que los controladores de dominio tengan un solo propósito, solo para operaciones de directorio y no deberían ejecutar ningún otro software o función. [42]

Dado que ciertos productos de Microsoft, como SQL Server [43] [44] y Exchange [45] , pueden interferir con el funcionamiento de un controlador de dominio, se recomienda aislar estos productos en servidores Windows adicionales. Combinarlos puede complicar la configuración y la resolución de problemas del controlador de dominio o hacer que el otro software instalado sea más complejo. [46] Si planea implementar Active Directory, una empresa debe comprar varias licencias de servidor de Windows para tener al menos dos controladores de dominio separados. Los administradores deben considerar controladores de dominio adicionales para el rendimiento o la redundancia y servidores individuales para tareas como almacenamiento de archivos, Exchange y SQL Server [47], ya que esto garantizará que todas las funciones del servidor sean compatibles adecuadamente.

Una forma de reducir los costos de hardware físico es mediante el uso de la virtualización . Sin embargo, para una protección adecuada contra fallas, Microsoft recomienda no ejecutar múltiples controladores de dominio virtualizados en el mismo hardware físico. [48]

Base de datos

La base de datos Active Directory , el almacén de directorios , en Windows 2000 Server utiliza el motor de almacenamiento extensible (ESE98) basado en JET Blue . La base de datos de cada controlador de dominio está limitada a 16 terabytes y 2 mil millones de objetos (pero sólo 1 mil millones de entidades de seguridad). Microsoft ha creado bases de datos NTDS con más de 2 mil millones de objetos. [49] El Administrador de cuentas de seguridad de NT4 podría admitir hasta 40.000 objetos. Tiene dos tablas principales: la tabla de datos y la tabla de vínculos . Windows Server 2003 agregó una tercera tabla principal para la instanciación única de descriptores de seguridad . [49]

Los programas pueden acceder a las funciones de Active Directory [50] a través de las interfaces COM proporcionadas por Active Directory Service Interfaces . [51]

Confiando

Para permitir que los usuarios de un dominio accedan a recursos de otro, Active Directory utiliza confianzas. [52]

Las confianzas dentro de un bosque se crean automáticamente cuando se crean los dominios. El bosque establece los límites predeterminados de confianza, y la confianza transitiva implícita es automática para todos los dominios dentro de un bosque.

Terminología

Confianza unidireccional
Un dominio permite el acceso a los usuarios de otro dominio, pero el otro dominio no permite el acceso a los usuarios del primer dominio.
Confianza bidireccional
Dos dominios permiten el acceso a usuarios de ambos dominios.
Dominio de confianza
El dominio en el que se confía; cuyos usuarios tienen acceso al dominio que confía.
Confianza transitiva
Una confianza que puede extenderse más allá de dos dominios a otros dominios de confianza en el bosque.
Confianza intransitiva
Una confianza unidireccional que no se extiende más allá de dos dominios.
Confianza explícita
Una confianza que crea un administrador. No es transitiva y es unidireccional.
Confianza entre vínculos
Una confianza explícita entre dominios en diferentes árboles o en el mismo árbol cuando no existe una relación descendiente/ancestro (hijo/padre) entre los dos dominios.
Atajo
Une dos dominios en árboles diferentes, transitivo, unidireccional o bidireccional.
Fideicomiso forestal
Se aplica a todo el bosque. Transitivo, unidireccional o bidireccional.
Reino
Puede ser transitivo o no transitivo (intransitivo), unidireccional o bidireccional.
Externo
Conectarse a otros bosques o dominios que no sean de Active Directory. No transitivo, unidireccional o bidireccional. [53]
Confianza PAM
Una confianza unidireccional utilizada por Microsoft Identity Manager desde un bosque de producción (posiblemente de bajo nivel) a un bosque 'bastión' ( nivel de funcionalidad de Windows Server 2016 ), que emite membresías de grupo con límite de tiempo. [54] [55]

Herramientas de gestión

Las herramientas de administración de Microsoft Active Directory incluyen:

  • Centro administrativo de Active Directory (introducido con Windows Server 2012 y versiones posteriores),
  • Usuarios y equipos de Active Directory,
  • Dominios y confianzas de Active Directory,
  • Sitios y servicios de Active Directory,
  • Edición ADSI,
  • Usuarios y grupos locales,
  • Complementos de esquema de Active Directory para Microsoft Management Console (MMC),
  • Explorador AD de SysInternals .

Es posible que estas herramientas de administración no proporcionen la funcionalidad suficiente para un flujo de trabajo eficiente en entornos grandes. Algunas herramientas de terceros amplían las capacidades de administración y gestión. Proporcionan funciones esenciales para un proceso de administración más conveniente, como automatización, informes, integración con otros servicios, etc.

Integración con Unix

Se pueden lograr distintos niveles de interoperabilidad con Active Directory en la mayoría de los sistemas operativos tipo Unix (incluidos Unix , Linux , Mac OS X o programas basados ​​en Java y Unix) a través de clientes LDAP compatibles con estándares, pero estos sistemas generalmente no interpretan muchos atributos asociados con los componentes de Windows, como la política de grupo y el soporte para confianzas unidireccionales.

Terceros ofrecen integración de Active Directory para plataformas tipo Unix, incluidos:

  • PowerBroker Identity Services , anteriormente Anyway ( BeyondTrust , anteriormente Anyway Software): permite que un cliente que no sea de Windows se una a Active Directory [56]
  • ADmitMac (sistemas de software de Thursday) [56]
  • Samba ( software libre bajo GPLv3 ): puede actuar como un controlador de dominio [57] [58]

Las adiciones de esquema incluidas con Windows Server 2003 R2 incluyen atributos que se corresponden con la RFC 2307 lo suficiente como para que sean de uso general. La implementación de referencia de la RFC 2307, nss_ldap y pam_ldap proporcionada por PADL.com, admite estos atributos directamente. El esquema predeterminado para la pertenencia a grupos cumple con la RFC 2307bis (propuesta). [59] Windows Server 2003 R2 incluye un complemento de Microsoft Management Console que crea y edita los atributos.

Una opción alternativa es utilizar otro servicio de directorio, ya que los clientes que no son de Windows se autentican en este, mientras que los clientes de Windows se autentican en Active Directory. Entre los clientes que no son de Windows se incluyen 389 Directory Server (anteriormente Fedora Directory Server, FDS), ViewDS v7.2 XML Enabled Directory y Sun Microsystems Sun Java System Directory Server . Los dos últimos pueden realizar una sincronización bidireccional con Active Directory y, por lo tanto, proporcionar una integración "desviada".

Otra opción es utilizar OpenLDAP con su superposición translúcida , que puede ampliar las entradas de cualquier servidor LDAP remoto con atributos adicionales almacenados en una base de datos local. Los clientes que apuntan a la base de datos local ven las entradas que contienen los atributos remotos y locales, mientras que la base de datos remota permanece completamente intacta. [ cita requerida ]

La administración (consulta, modificación y supervisión) de Active Directory se puede lograr a través de muchos lenguajes de scripting, incluidos PowerShell , VBScript , JScript/JavaScript , Perl , Python y Ruby . [60] [61] [62] [63] Las herramientas de administración de Active Directory gratuitas y no gratuitas pueden ayudar a simplificar y posiblemente automatizar las tareas de administración de Active Directory.

Desde octubre de 2017, Amazon AWS ofrece integración con Microsoft Active Directory. [64]

Véase también

Referencias

  1. ^ ab "Directory System Agent". Biblioteca MSDN . Microsoft . Consultado el 23 de abril de 2014 .
  2. ^ ab Solomon, David A.; Russinovich, Mark (2005). "Capítulo 13". Microsoft Windows Internals: Microsoft Windows Server 2003, Windows XP y Windows 2000 (4.ª ed.). Redmond, Washington: Microsoft Press . pág. 840. ISBN 0-7356-1917-4.
  3. ^ abc Hynes, Byron (noviembre de 2006). «El futuro de Windows: servicios de directorio en Windows Server «Longhorn»». TechNet Magazine . Microsoft . Archivado desde el original el 30 de abril de 2020 . Consultado el 30 de abril de 2020 .
  4. ^ "Active Directory en una red de Windows Server 2003". Colección Active Directory . Microsoft . 13 de marzo de 2003. Archivado desde el original el 30 de abril de 2020 . Consultado el 25 de diciembre de 2010 .
  5. ^ Soporte de Rackspace (27 de abril de 2016). «Instalar los servicios de dominio de Active Directory en Windows Server 2008 R2 Enterprise de 64 bits». Rackspace . Rackspace US, Inc. Archivado desde el original el 30 de abril de 2020 . Consultado el 22 de septiembre de 2016 .
  6. ^ "Microsoft Kerberos - Aplicaciones Win32". docs.microsoft.com . 7 de enero de 2021.
  7. ^ "Sistema de nombres de dominio (DNS)". docs.microsoft.com . 10 de enero de 2022.
  8. ^ King, Robert (2003). Mastering Active Directory for Windows Server 2003 (3.ª edición). Alameda, California: Sybex. pág. 159. ISBN 978-0-7821-5201-2.OCLC 62876800  .
  9. ^ Howes, T.; Smith, M. (agosto de 1995). «La interfaz de programación de aplicaciones LDAP». Grupo de trabajo de ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020. Consultado el 26 de noviembre de 2013 .
  10. ^ Howard, L. (marzo de 1998). "Un enfoque para utilizar LDAP como servicio de información de red". Grupo de trabajo de ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020. Consultado el 26 de noviembre de 2013 .
  11. ^ Zeilenga, K. (febrero de 2001). «Operación extendida de modificación de contraseña LDAP». Grupo de trabajo de ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020. Consultado el 26 de noviembre de 2013 .
  12. ^ Zeilenga, K.; Choi, JH (junio de 2006). «Operación de sincronización de contenido del Protocolo ligero de acceso a directorios (LDAP)». Grupo de trabajo de ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020. Consultado el 26 de noviembre de 2013 .
  13. ^ Daniel Petri (8 de enero de 2009). "Cliente de Active Directory (dsclient) para Win98/NT".
  14. ^ "Dsclient.exe conecta PC con Windows 9x/NT a Active Directory". 5 de junio de 2003.
  15. ^ ab Thomas, Guy (29 de noviembre de 2000). «Windows Server 2008 - Nuevas características». ComputerPerformance.co.uk . Computer Performance Ltd. Archivado desde el original el 2 de septiembre de 2019 . Consultado el 30 de abril de 2020 .
  16. ^ "Novedades de Active Directory en Windows Server". Windows Server 2012 R2 y Windows Server 2012 Tech Center . Microsoft . 31 de agosto de 2016.
  17. ^ "Comparación de servicios basados ​​en Active Directory en Azure". docs.microsoft.com . 3 de abril de 2023.
  18. ^ "AD LDS". Microsoft . Consultado el 28 de abril de 2009 .
  19. ^ "AD LDS versus AD DS". Microsoft. 2 de julio de 2012. Consultado el 25 de febrero de 2013 .
  20. ^ Zacker, Craig (2003). "11: Creación y gestión de certificados digitales" . En Harding, Kathy; Jean, Trenary; Linda, Zacker (eds.). Planificación y mantenimiento de una infraestructura de red de Microsoft Windows Server 2003. Redmond, WA: Microsoft Press. págs. 11–16. ISBN 0-7356-1893-3.
  21. ^ "Descripción general de los servicios de certificados de Active Directory". Microsoft TechNet . Microsoft . Consultado el 24 de noviembre de 2015 .
  22. ^ "Descripción general de la autenticación en portales de Power Apps". Microsoft Docs . Microsoft . Consultado el 30 de enero de 2022 .
  23. ^ "Cómo reemplazar los certificados SSL, de comunicaciones de servicio, de firma de tokens y de descifrado de tokens". TechNet . Microsoft . Consultado el 30 de enero de 2022 .
  24. ^ "Paso 1: Tareas de preinstalación". TechNet . Microsoft . Consultado el 21 de octubre de 2021 .
  25. ^ "Guía de laboratorio de pruebas: Implementación de un clúster de AD RMS". Microsoft Docs . Microsoft . 31 de agosto de 2016 . Consultado el 30 de enero de 2022 .
  26. ^ Windows Server 2003: Infraestructura de Active Directory . Microsoft Press. 2003. págs. 1–8–1–9.
  27. ^ "Unidades organizativas". Kit de recursos de sistemas distribuidos ( TechNet ) . Microsoft. 2011. Una unidad organizativa en Active Directory es análoga a un directorio en el sistema de archivos.
  28. ^ "SamAccountName siempre es único en un dominio de Windows... ¿o no?". Joeware. 4 de enero de 2012. Consultado el 18 de septiembre de 2013. Ejemplos de cómo se pueden crear varios objetos de AD con el mismo SamAccountName
  29. ^ Referencia de Microsoft Server 2008, que analiza los grupos de sombra utilizados para políticas de contraseñas de granularidad fina: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  30. ^ "Especificación de límites administrativos y de seguridad". Microsoft Corporation. 23 de enero de 2005. Sin embargo, los administradores de servicios tienen capacidades que trascienden los límites del dominio. Por este motivo, el bosque es el límite de seguridad definitivo, no el dominio.
  31. ^ Andreas Luther (9 de diciembre de 2009). "Active Directory Replication Traffic". Microsoft Corporation . Consultado el 26 de mayo de 2010. Active Directory está formado por uno o más contextos de nombres o particiones .
  32. ^ "Descripción general de los sitios". Microsoft Corporation. 21 de enero de 2005. Un sitio es un conjunto de subredes bien conectadas.
  33. ^ "Planificación de controladores de dominio y servidores miembro". Microsoft Corporation. 21 de enero de 2005. [...] servidores miembro, [...] pertenecen a un dominio pero no contienen una copia de los datos de Active Directory.
  34. ^ "¿Qué es el catálogo global?". Microsoft Corporation. 10 de diciembre de 2009. [...] un controlador de dominio puede localizar únicamente los objetos de su dominio. [...] El catálogo global proporciona la capacidad de localizar objetos de cualquier dominio [...]
  35. ^ "Catálogo global". Microsoft Corporation.
  36. ^ "Atributos incluidos en el catálogo global". Microsoft Corporation. 26 de agosto de 2010. El atributo isMemberOfPartialAttributeSet de un objeto attributeSchema se establece en TRUE si el atributo se replica en el catálogo global. [...] Al decidir si colocar o no un atributo en el catálogo global, recuerde que está sacrificando una mayor replicación y un mayor almacenamiento en disco en los servidores del catálogo global a cambio de un rendimiento de consulta potencialmente más rápido.
  37. ^ "Almacén de datos de directorio". Microsoft Corporation. 21 de enero de 2005. Active Directory utiliza cuatro tipos de particiones de directorio distintos para almacenar [...] datos. Las particiones de directorio contienen datos de dominio, configuración, esquema y aplicación.
  38. ^ "¿Qué es el modelo de replicación de Active Directory?". Microsoft Corporation. 28 de marzo de 2003. Los controladores de dominio solicitan (extraen) cambios en lugar de enviar (envían) cambios que podrían no ser necesarios.
  39. ^ "¿Qué es la topología de replicación de Active Directory?". Microsoft Corporation. 28 de marzo de 2003. SMTP se puede utilizar para transportar replicación que no sea de dominio [...]
  40. ^ "Active Directory Backup and Restore" (Copia de seguridad y restauración de Active Directory). TechNet . Microsoft . 9 de diciembre de 2009 . Consultado el 5 de febrero de 2014 .
  41. ^ "AD DS: Todos los dominios deben tener al menos dos controladores de dominio en funcionamiento para redundancia". TechNet . Microsoft . Consultado el 5 de febrero de 2014 .
  42. ^ Posey, Brien (23 de agosto de 2010). "10 consejos para un diseño eficaz de Active Directory". TechRepublic . CBS Interactive . Consultado el 5 de febrero de 2014 . Siempre que sea posible, los controladores de dominio deben ejecutarse en servidores dedicados (físicos o virtuales).
  43. ^ "Pueden surgir problemas al instalar SQL Server en un controlador de dominio (revisión 3.0)". Soporte . Microsoft . 7 de enero de 2013 . Consultado el 5 de febrero de 2014 .
  44. ^ Degremont, Michel (30 de junio de 2011). "¿Puedo instalar SQL Server en un controlador de dominio?". Blog de Microsoft SQL Server . Consultado el 5 de febrero de 2014. Por motivos de seguridad y rendimiento, recomendamos no instalar un SQL Server independiente en un controlador de dominio.
  45. ^ "No se recomienda instalar Exchange en un controlador de dominio". TechNet . Microsoft . 22 de marzo de 2013 . Consultado el 5 de febrero de 2014 .
  46. ^ "Consideraciones de seguridad para una instalación de SQL Server". TechNet . Microsoft . Consultado el 5 de febrero de 2014 . Una vez que SQL Server está instalado en un equipo, no puede cambiar el equipo de un controlador de dominio a un miembro del dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un miembro del dominio.
  47. ^ "Exchange Server Analyzer". TechNet . Microsoft . Consultado el 5 de febrero de 2014 . No se recomienda ejecutar SQL Server en el mismo equipo que un servidor de buzón de Exchange de producción.
  48. ^ "Ejecución de controladores de dominio en Hyper-V". TechNet . Microsoft . Planificación para virtualizar controladores de dominio . Consultado el 5 de febrero de 2014 . Debe intentar evitar la creación de posibles puntos únicos de falla cuando planifique la implementación de su controlador de dominio virtual.frank
  49. ^ ab efleis (8 de junio de 2006). «¿Una base de datos de AD grande? Probablemente no tan grande». Blogs.technet.com. Archivado desde el original el 17 de agosto de 2009. Consultado el 20 de noviembre de 2011 .
  50. ^ Berkouwer, Sander. "Conceptos básicos de Active Directory". Software Veeam .
  51. ^ Interfaces del servicio Active Directory, Microsoft
  52. ^ "Referencia técnica de confianzas de dominios y bosques". Microsoft Corporation. 28 de marzo de 2003. Las confianzas permiten [...] la autenticación y [...] el uso compartido de recursos entre dominios o bosques
  53. ^ "Funcionan las confianzas de dominio y de bosque". Microsoft Corporation. 11 de diciembre de 2012. Consultado el 29 de enero de 2013. Define varios tipos de confianzas (automática, de acceso directo, de bosque, de ámbito, externa).
  54. ^ "Administración de acceso privilegiado para servicios de dominio de Active Directory". docs.microsoft.com . 8 de febrero de 2023.
  55. ^ "Wiki de TechNet". social.technet.microsoft.com . 17 de enero de 2024.
  56. ^ ab Edge, Charles S. Jr; Smith, Zack; Hunter, Beau (2009). "Capítulo 3: Active Directory". Guía del administrador de Mac empresarial . Nueva York: Apress . ISBN 978-1-4302-2443-3.
  57. ^ "Samba 4.0.0 disponible para descargar". SambaPeople . Proyecto SAMBA. Archivado desde el original el 15 de noviembre de 2010 . Consultado el 9 de agosto de 2016 .
  58. ^ "¡El gran éxito de DRS!". SambaPeople . Proyecto SAMBA. 5 de octubre de 2009. Archivado desde el original el 13 de octubre de 2009. Consultado el 2 de noviembre de 2009 .
  59. ^ "RFC 2307bis". Archivado desde el original el 27 de septiembre de 2011. Consultado el 20 de noviembre de 2011 .
  60. ^ "Administración de Active Directory con Windows PowerShell". Microsoft . Consultado el 7 de junio de 2011 .
  61. ^ "Uso de scripts para buscar en Active Directory". Microsoft. 26 de mayo de 2010. Consultado el 22 de mayo de 2012 .
  62. ^ "Repositorio de scripts de Perl de ITAdminTools". ITAdminTools.com . Consultado el 22 de mayo de 2012 .
  63. ^ "Win32::OLE". Comunidad de código abierto de Perl . Consultado el 22 de mayo de 2012 .
  64. ^ "Presentación de AWS Directory Service para Microsoft Active Directory (edición estándar)". Amazon Web Services . 24 de octubre de 2017.
  • Microsoft Technet: Documento técnico: Arquitectura de Active Directory (documento técnico único que ofrece una descripción general sobre Active Directory).
  • Microsoft Technet: Descripción detallada de Active Directory en Windows Server 2003
  • Biblioteca MSDN de Microsoft: [MS-ADTS]: Especificación técnica de Active Directory (parte de la Promesa de especificación abierta de Microsoft )
  • Modo de aplicación de Active Directory (ADAM)
  • Microsoft MSDN: [AD-LDS]: Servicios de directorio ligero de Active Directory
  • Microsoft TechNet: [AD-LDS]: Servicios de directorio ligero de Active Directory
  • Microsoft MSDN: Esquema de Active Directory
  • Microsoft TechNet: Descripción del esquema
  • Revista Microsoft TechNet: Ampliación del esquema de Active Directory
  • Microsoft MSDN: Servicios de certificados de Active Directory
  • Microsoft TechNet: Servicios de certificados de Active Directory
Obtenido de "https://es.wikipedia.org/w/index.php?title=Directorio_activo&oldid=1250747990"