Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1.
Active Directory............................................................................................................. 2
2.
3.
4.
3.1.
Objetos .................................................................................................................... 3
3.2.
Estructura ............................................................................................................... 4
3.2.1.
3.2.2.
Estructura fsica.............................................................................................. 7
4.2.
4.3.
Catalogo Global...................................................................................................... 8
4.4.
4.5.
4.6.
4.7.
Replicacin ........................................................................................................... 13
4.8.
5.
6.
Funcionamiento ........................................................................................................... 17
7.
Conclusiones ................................................................................................................ 17
8.
Bibliografa .................................................................................................................. 17
1. Active Directory
Active Directory (AD) es el trmino que usa Microsoft para referirse a su implementacin
de servicio de directorio en una red distribuida de computadores. Utiliza distintos
protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).
De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en
donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar
los inicios de sesin en los equipos conectados a la red, as como tambin la administracin
de polticas en toda la red.
Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes
de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas
de acceso.
Active Directory permite a los administradores establecer polticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una
organizacin entera. Un Active Directory almacena informacin de una organizacin en una
base de datos central, organizada y accesible. Pueden encontrarse desde directorios con
cientos de objetos para una red pequea hasta directorios con millones de objetos.
Son los servicios de directorio de Microsoft, que sirven como base para poder compartir
todos los recursos que se encuentren en la red de una forma segura y controlada a travs de
un acceso nico perteneciendo a un Dominio en la Organizacin.
Integracin con el DNS, los nombre de dominio son nombre DNS y tienen que estar
registrados en l. Active Directory usa DNS como servicio de nombres y de
localizacin.
Extensible, permite personalizar las clases y objetos que estn definidas dentro de
Active Directory segn las necesidades propias.
Un objeto tiene un conjunto de atributos que lo definen y son sus caractersticas (para un
usuario su nombre, apellidos, e-mail, etc.).
3.2. Estructura
Active Directory est basado en una serie de estndares llamados X.500, aqu se
encuentra una definicin lgica a modo jerrquico. Dominios y subdominios se
identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active
Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los
elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un
dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad
de pertenecer a cada uno de los subdominios.
A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que
por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una
relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los
distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio
Active Directory.
tipo ms comn
de objeto contenedor es
la unidad organizativa
(OU, Organizational Unit). Puede usar una unidad organizativa para organizar
objetos de un dominio en algn tipo de agrupacin lgica administrativa. Es
importante tener en cuenta que la estructura y jerarqua de una unidad organizativa
dentro de un dominio es independiente de la estructura de cualquier otro dominio.
Todos los objetos de la red, ya sean hojas o contenedores, slo pueden existir dentro
de un dominio. Los dominios se usan para agrupar objetos relacionados con el fin de
reflejar la red de una organizacin. Cada dominio que se crea almacena informacin
acerca de los objetos que contiene, nicamente. Actualmente, el lmite admitido para
el nmero de objetos que puede mantener en un dominio es de un milln.
Cada dominio representa un lmite de seguridad. El acceso a los objetos dentro de
cada dominio se controla mediante entradas de control de acceso (ACE, Access
Control Entries) contenidas en listas de control de acceso (ACL, Access Control
Lists). Estas opciones de seguridad no cruzan los lmites de los dominios. Dentro de
5
dominios de Active Directory determinado dados uno o varios atributos del objeto
buscado. El catlogo tambin contiene el esquema y la configuracin de las particiones
del directorio. Esto implica que el catlogo global contiene una copia de cada objeto de
Active Directory, pero con slo una pequea cantidad de sus atributos. Los atributos del
catlogo global son los que se usan con ms frecuencia en las operaciones de bsqueda,
como el nombre y los apellidos de los usuarios, los nombres de inicio de sesin y dems,
y los requeridos para localizar una copia completa del objeto.
Con esta informacin comn, los usuarios pueden encontrar objetos de inters
rpidamente sin conocer qu dominio los contiene y sin requerir un espacio de nombres
contiguo en la empresa. Si el objeto no se puede encontrar en el catlogo global, la
utilidad de bsqueda puede consultar la particin de su dominio local para buscar
informacin.
Puede usar la herramienta Administrador de esquema para cambiar el esquema y definir
los atributos que se almacenan en el catlogo global. Dado que el catlogo global replica
los cambios realizados a todos los servidores de catlogo global, es aconsejable limitar la
cantidad de atributos almacenados en las particiones locales para no afectar al
rendimiento ni a las tareas de mantenimiento.
De manera predeterminada, el primer controlador de dominio creado al instalar Active
Directory se convierte en catalogo global y es conocido como servidor de catlogo global.
La informacin que almacena es generada automticamente en cada dominio mediante
el proceso de rplica.
Se puede definir varios CGs (Catlogos Globales), pero esto incrementara el trfico de
red para hacer las rplicas.
Realiza las siguientes funciones clave en el directorio:
El CG est diseado para responder a las preguntas sobre objetos de cualquier dominio
del bosque. Una pregunta sobre un objeto de otro dominio pude ser resuelta por el
catalogo global del dominio donde se realiza la pregunta.
10
Maestro del Id. relativo, asigna los Id. relativos a los controladores de dominio.
11
12
4.7. Replicacin
Mientras la estructura de una red en Windows NT 4.0 se basaba en un modelo con
controladores principales de dominio y controladores de reserva de dominio, en una red
Windows 2000 todos los servidores se conocen como controladores de dominio (DC) y
funcionan como iguales entre s. Con Active Directory, todos los controladores de
dominio replican dentro de un sitio de forma automtica, admiten la replicacin con
mltiples maestros y replican informacin de Active Directory entre todos los
controladores de dominio. La introduccin de la replicacin con mltiples maestros
significa que los administradores pueden hacer actualizaciones en Active Directory o en
cualquier controlador de dominio de Windows 2000 del dominio.
La replicacin de bases de datos con mltiples maestros tambin contribuye a controlar
las decisiones de cundo se sincronizan cambios, cuya informacin es ms actual, y
cundo detener la replicacin de los datos para evitar su duplicacin o redundancia. Para
determinar qu informacin tiene que actualizarse, Active Directory usa nmeros de
secuencia de actualizacin (USN, Update Sequence Numbers) de 64 bits. Estos nmeros
se crean y asocian con todas las propiedades. Cada vez que se modifica un objeto, se
incrementa su USN y se almacena con la propiedad.
Cada servidor Active Directory mantiene una tabla de los nmeros de secuencia de
actualizacin ms recientes de todos los asociados de replicacin de un sitio. Esta tabla
se compone del USN mayor para cada propiedad. Cuando se alcanza el intervalo de
replicacin, cada servidor solicita slo los cambios con un USN mayor que el que aparece
en su propia tabla.
13
De vez en cuando, se puede hacer cambios a dos servidores Active Directory diferentes
para la misma propiedad antes de replicar todos los cambios. Esto provoca una colisin
de replicacin. Uno de los cambios debe declararse como ms preciso y se debe usar
como origen de todos los dems asociados de replicacin. Para solucionar este posible
problema, Active Directory usa el valor de un nmero de versin de propiedad
(PVN, Property Version Number) para todo el sitio. Este nmero se incrementa cuando
tiene lugar una escritura de origen. Este tipo de escritura es la que ocurre directamente en
un servidor Active Directory en particular.
Cuando dos o ms valores de propiedad con el mismo PVN se han cambiado en
ubicaciones diferentes, el servidor Active Directory que recibe el cambio comprueba las
marcas de tiempo y usa la ms reciente para la actualizacin. La ramificacin ms
importante de este problema es la configuracin y mantenimiento de un reloj central en
la red.
Otro problema de la replicacin es la aparicin de bucles. Active Directory permite a los
administradores configurar varias rutas por motivos relacionados con la redundancia.
Para impedir que los cambios no terminen nunca de actualizarse, Active Directory crea
listas de pares de USN en cada servidor. Estas listas se denominan vectores de
actualizacin (UDV, Up-to-date Vectors). Contienen el mayor USN de cada escritura de
origen. Cada vector de actualizacin enumera el resto de los servidores dentro del propio
sitio. Cuando se produce la replicacin, el servidor solicitante enva su propio vector de
actualizacin al servidor que realiza el envo. Para determinar si el cambio sigue teniendo
que replicarse se usa el mayor USN para cada escritura de origen. Si el nmero USN es
igual o mayor, no se requiere hacer ningn cambio porque el servidor solicitante ya est
actualizado.
14
Un cambio importante que hay que observar es que los grupos globales ahora pueden
contener otros grupos globales. Aunque los grupos globales se siguen usando para
recopilar usuarios, la capacidad de colocar un grupo dentro de otro permite a los
administradores ubicarlos en cualquier lugar de un bosque, con el fin de facilitar el
mantenimiento. No obstante, los grupos globales slo pueden contener usuarios y grupos
de un dominio del bosque de Active Directory.
Debido a que muchas redes pueden contener una mezcla de servidores Windows 2000 y
Windows NT 4.0, antes de crear grupos debe determinar el nmero y el tipo de dominios
de la red y cules de esos dominios son de modo mixto y cules de modo nativo:
Dominio de modo nativo. Puede convertir un dominio al modo nativo cuando slo
contiene controladores de dominio de Windows 2000 Server.
15
El grupo universal (nuevo en Windows 2000) puede contener todos los dems grupos y
usuarios de cualquier rbol del bosque y se puede usar con cualquier lista de control de
acceso (ACL) dentro del mismo.
Los grupos locales, de dominios locales y universales se pueden combinar para controlar
el acceso a los recursos de la red. El uso bsico de los grupos globales es la organizacin
de usuarios en contenedores administrativos que representan sus dominios respectivos.
Los grupos universales se usan para contener grupos globales de los diversos dominios
para administrar adems la jerarqua de dominios cuando se otorgan permisos. Los grupos
globales se pueden agregar a grupos universales y, despus, asignar permisos a los grupos
de dominio local donde exista el recurso fsicamente. Al estructurar los grupos de esta
forma, los administradores pueden agregar o quitar usuarios de cada grupo global del
dominio para controlar el acceso a los recursos en toda la empresa sin tener que hacer
cambios en varias ubicaciones.
16
6. Funcionamiento
Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access
Protocol), ya que este protocolo viene implementado de forma similar a una base de datos,
la cual almacena en forma centralizada toda la informacin relativa a un dominio de
autenticacin. Una de sus ventajas es la sincronizacin presente entre los distintos servidores
de autenticacin de todo el dominio.
A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo
unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las
impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo
"usuarios que pueden acceder", etc.). Toda esta informacin queda almacenada en Active
Directory replicndose de forma automtica entre todos los servidores que controlan el
acceso al dominio.
7. Conclusiones
Active Directory es una base de datos distribuida que permite administrar eficientemente los recursos
de red y ayuda a monitorizar y localizar estos servicios.
Los servicios de Active Directory ofrecen la ventaja de suponer un nico punto de entrada para los
usuarios de toda la empresa. Los usuarios pueden buscar y usar recursos en la red sin conocer el
nombre o la ubicacin exactos de estos recursos.
8. Bibliografa
17
18