Concepto de directorio y

Active Directory Domain

Services (AD DS)
Sistemas Operativos 1
Clase No.2
Ing. Miguel Jimenez

Introduccin
En un entorno empresarial, los usuarios, sus equipos informticos y el resto de dispositivos
que conformen la red de la organizacin, podrn compartir informacin entre ellos.
Para un administrador de sistemas, la forma ms sencilla de poder organizar todos estos
recursos es mediante la creacin de un dominio de sistemas, a partir del cual podamos
realizar todas las tareas asociadas con la parte administrativa y de seguridad de
una forma centralizada en un servidor, o en varios si es necesario.
Para ello, el sistema operativo Windows Server 2008 utiliza el concepto de directorio. Para
la implementacin de estos dominios de sistemas Windows, ya sean en versin para
servidores como para equipos clientes (Windows XP, Windows Vista o Windows 7).

Directorio

Un directorio Se puede definir como una estructura jerrquica

cuyo objetivo principal es el de guardar la informacin de
los objetos que se encuentran en nuestra organizacin.
Este directorio suele estar basado en una base de datos que
est especialmente diseada para operaciones de lectura
y consulta.

Servicios de Directorio
En la actualidad, existen varios estndares para la implementacin de servicios de directorio, como por
ejemplo el Directory Access Protocol, o la versin ms utilizada del mismo, que es ms simplificada,
denominada LDAP(Lightweight Directory Access Protocol).
El servicio de directorio utilizado en Windows Server 2008 es el comnmente denominado Directorio Activo
o
Servicios de Dominio del Directorio Activo (Active Directory Domain Services, AD DS).

Active Directory Domain Services (AD DS)

El servicio de directorio utilizado en Windows Server
2008 es el comnmente denominado Directorio
Activo o Servicios de Dominio del Directorio Activo
(Active Directory Domain Services, AD DS).
Mediante el directorio activo, almacenaremos la
informacin sobre los recursos que tenemos a nuestra
disposicin en el dominio y podemos otorgar permisos
de acceso a usuarios y aplicaciones para que
puedan acceder a los mismos.
De esta forma, los administradores de sistemas, tienen
a su disposicin una herramienta a partir de la cual le
sern ms sencillas las tareas de organizacin,
administracin
y control del acceso a estos
recursos, todo ello de una manera centralizada.

Controlador de Dominio y Clientes de

Dominio
La instalacin de Active Directory en un servidor que tiene instalado Windows Server 2008 lo
convertir en un Controlador de Dominio(Domain Controller, DC), mientras que el resto de
los equipos informticos de la red pasarn a ser miembros de este dominio en forma
de clientes, pudiendo consultar la base de datos para sus operaciones.
Mediante la implementacin de servicios de directorio para administrar los
dominios, podremos separar nuestra organizacin, aunque sea de una manera
conceptual, en una estructura lgica(los dominios) y en una estructura fsica(topologa de
red).
De esta forma, conseguiremos independizar la forma en la que queramos estructurar
nuestros dominios en la organizacin de la topologa de red o redes que vayan
a interconectar nuestros sistemas.

Estructura de Active Directory

Funciones de Active Directory:

Realizar el control de los recursos de red de una forma centralizada: de esta
forma, podremos administrar recursos como servidores, archivos compartidos
e impresoras, y otorgar permisos de uso solo a usuarios autorizados para
que puedan tener acceso a los recursos de Active Directory.
Centralizar y descentralizar la administracin de recursos: los administradores
pueden administrar equipos clientes distribuidos, servicios de red y aplicaciones
desde una ubicacin central mediante una interfaz de administracin coherente
o pueden distribuir tareas administrativas mediante la delegacin del control
de los recursos a otros administradores.
Almacenar objetos de forma segura en una estructura lgica: Active Directory
almacena todos los recursos como objetos en una estructura lgica, jerrquica y
segura.
Optimizar el trfico de red: la estructura fsica de Active Directory nos posibilitar el
uso del ancho de banda de una manera ms eficiente.

Estructura lgica
En la parte relativa a la estructura lgica de la organizacin,
el elemento ms importante en la que se basa es el
dominio, dentro del cual podremos administrar los diferentes
usuarios, ordenadores, grupos, directivas, etc.
A su vez, un dominio podr ser dividido en unidades
organizativas, que nos evitar tener que crear varios dominios
para nuestra organizacin de tal forma que puedan ser
administradas de forma independiente.
Pero si fuera necesaria la creacin de otros dominios, podramos
hacerlo mediante los conceptos de rbol y bosque. Los dos son
jerarquas de dominios a distintos niveles, en funcin de si los
dominios van a compartir o no un espacio de nombres comn.
Por otro lado, estarn los objetos, que sern los diferentes
recursos y usuarios, y son la unidad mnima dentro de
la estructura lgica de Active Directory.

Conceptos de Active Directory

Dominio
rbol y Bosque
Unidades Organizativas
Sitios
Catlogo Global

Esquema
Usuarios
Grupos
Equipos
Protocolos de
Autenticacin

Dominio
El dominio ser el principal elemento dentro de una estructura de
Active Directory. Estar formado por un conjunto de equipos, que
van a compartir informacin almacenada en una base de datos.
En un dominio, al menos, tendr que existir un servidor que tenga
instalado Windows Server 2008 y que est actuando como Controlador
de Dominio(DC) y un nmero variable de equipos clientes, que recibirn
la denominacin de miembros del dominio.
Este dominio, estar unvocamente identificado gracias a un nombre de
dominio DNS, que a su vez ser el sufijo DNS principal de todos los
miembros del dominio, y esto incluye tambin a el o los controladores de
dominio.

Funcionalidades de un Dominio
Mediante la implementacin de dominios, podremos obtener las siguientes funcionalidades:

Delimitar la seguridad: Aunque tengamos un escenario donde coexistan

varios dominios que puedan tener relacin, todos los aspectos
relacionados con la seguridad que hayan sido configurados para cada
uno de ellos, sern independientes unos de otros.
Replicacin de la informacin: El motivo de realizar esta tarea es que
en cada
uno de los
controladores de dominio,
existir
la
denominada particin del dominio, que va a almacenar la base de datos
del directorio y ser compartida o no segn sea conveniente, con los
dems DC.
Esta particin, es en s misma una unidad de replicacin, que tendr
copias idnticas en el resto de los controladores de dominio que formen su
unidad de replicacin (todos ellos pertenecientes al mismo dominio).

Funcionalidades de un Dominio

Uso de polticas de grupo: Mediante la creacin de polticas de

grupo, que sern aplicadas a dicho dominio, podremos delimitar
cmo queremos que se comporten los equipos y usuarios que
formen parte del mismo.
Delegacin de los permisos administrativos: En ocasiones, en
organizaciones amplias, puede ser interesante la idea de tener
varios usuarios o unidades organizativas, que puedan realizar las
tareas de administracin. Como ya hemos dicho que un dominio
representa un lmite de seguridad, estos permisos sern limitados al
dominio.

Creacin de mltiples dominios: rbol y

bosque

Cuando en una organizacin sea necesario disponer

de varios dominios, mediante Active Directory
podremos almacenar y organizar toda la informacin
del directorio de todos estos dominios de forma
independiente unos de otros, aunque la informacin
siempre estar disponible para todos ellos.
Esta forma de organizar los dominios se basa en una
estructura de rbol invertida, donde la raz estar en
la parte superior, y la vinculacin que exista entre
los diferentes dominios quedar detallada mediante
la configuracin de relaciones de confianza, que
explicaremos ms adelante.

Creacin de mltiples dominios: rbol y

bosque

El dominio raz del bosque ser creado al instalar

el primer controlador de dominio dentro de la
organizacin, y ser el encargado de almacenar la
configuracin y esquema del bosque, que ser
compartido con el resto de dominios. Una vez creado
este dominio raz, podremos aadir otros subdominios
a dicha raz (rbol de dominios), o podremos crear
otros dominios hermanos del dominio inicial, para,
as, ampliar el nmero de rboles del bosque de
dominios, que a su vez podr crear tambin
subdominios.

*** BOSQUE: Ser una estructura lgica formada por

un conjunto de dominios que a su vez podr
estar compuesto por uno o varios dominios, distribuidos
en uno o varios rboles de dominios.

rbol de dominio
Un rbol estar formado por uno o ms dominios dentro de un mismo bosque y compartirn
un espacio de nombres contiguo (sufijo DNS comn).

El primer dominio que se crea ser el dominio raz del bosque, que ser creado en
ese momento y siendo el primer rbol de dicho bosque. Cuando se decida aadir un
nuevo dominio, ste se convertir en un dominio secundario de alguno de los dominios
existentes, que se convertir en un dominio padre. Estos dominios secundarios suelen ser
utilizados para delimitar zonas geogrficas de la organizacin o diferentes departamentos.
Por ejemplo.
Una vez formado el rbol de dominios, las relaciones padre-hijo entre ellos es una relacin
de confianza, donde cada uno seguir manteniendo sus propias caractersticas e
independencia. De esta forma, un dominio padre no ser automticamente el administrador
del dominio hijo, ni las polticas que tenga configuradas en su dominio, sern automticamente
aplicadas al hijo.

Bosque
Un bosque estar compuesto por un grupo de rboles
que no van a compartir un espacio de nombres
contiguo, y que estarn interconectados a travs de
relaciones de confianza bidireccionales. Es importante
comprender que independientemente de cul sea la
cantidad y estructuracin de los dominios que puedan
localizarse dentro de una organizacin, todos juntos
formarn un nico bosque.

Cuando queramos aadir nuevos dominios a un

bosque, tendremos que tener en cuenta las
siguientes consideraciones:

De esta forma, todos los dominios que formen parte

del bosque, van a compartir la misma configuracin,
el mismo esquema de directorio y el
mismo
catlogo
global (concepto
que definiremos ms
adelante).

Una vez que se haya creado el dominio raz

de un rbol, no podrn ser aadidos al
bosque nuevos dominios cuyo nombre de
dominio pertenezca a un nivel superior.

No podrn ser movidos dominios de Active

Directory entre diferentes bosques.
Un dominio dentro de un bosque solo podr
ser eliminado si no tiene dominios hijo.

No podr ser creado un dominio padre de un

dominio ya existente.

 La estructuracin de los dominios de una organizacin en un bosque, el cual pueda

estar compuesto por uno o varios rboles, nos posibilitar la opcin de tener una
estructura de nombres de dominios contiguos y discontiguos. En la siguiente imagen
podemos ver un esquema de nombres para un bosque:

Unidades organizativas
Una unidad organizativa (Organizational Unit, OU) es un objeto
del Directorio Activo que a su vez va a contener a otros
objetos del directorio. Por lo tanto, dentro de una Unidad
Organizativa, podremos encontrar objetos como cuentas de
usuario, de grupo, de equipo, recursos compartidos como
impresoras e incluso otras unidades organizativas.
Mediante las unidades organizativas, podremos crear estructuras
jerrquicas de objetos pertenecientes al directorio, que podrn
ser movidos de una unidad organizativa a otra si fuera necesario.
Podremos conseguir los siguientes objetivos fundamentales:
Configurar polticas independientes a usuarios y equipos.
Delegacin de tareas administrativas.

Dominio, rbol, y Bosque

Configurar polticas independientes a

usuarios y equipos
Una de las operaciones ms comunes ser la de
establecer determinadas polticas o directivas de grupo a
los usuarios o a
los equipos que se encuentren dentro
de una unidad organizativa.
Para ello,
podremos
vincular
directamente estas
polticas
o
directivas
directamente a las unidades organizativas, y de esta
forma poder realizar distinciones en el comportamiento de
usuarios y equipos en funcin de la OU en la que se
encuentren alojados.
Si por ejemplo en nuestra organizacin, creramos tantas
unidades
organizativas
como
departamentos
la
conformarn, podramos establecer polticas independientes
a cada uno de ellos, y as los usuarios que trabajen en cada
departamento tendran comportamientos distintos e
independientes.

Delegacin de tareas administrativas

Podremos otorgar permisos administrativos

a un usuario o grupos de usuarios, para
que puedan administrar de forma total o
parcial una unidad organizativa.

Estructura fsica

Con la estructura lgica hemos aprendido que podemos organizar todos

los recursos de una organizacin.
En la estructura fsica, el objetivo que perseguimos es el de configurar
y
administrar el trfico de red.
Una estructura fsica de Active Directory estar compuesta por los sitios y
los controladores de dominio. Podremos controlar los lugares y momentos en
los que se produce el trfico de replicacin y de inicio de sesin de usuarios.

Sitios
Un sitio es una combinacin de una o varias subredes
IP en nuestra organizacin que estarn conectadas
entre
ellas.
Aprovechando
esta
circunstancia,
configuraremos la topologa de replicacin y la forma
de acceder al Active Directory, para que de esta
forma los sistemas Windows Server 2008
puedan
realizar de manera ms eficiente el trfico de inicio de
sesin y la replicacin.
Un sitio ser creado por dos razones principalmente:
Optimizar el trfico de replicacin.
Que los usuarios puedan conectarse a un controlador de
dominio a travs de una conexin de alta velocidad.
En resumen, podramos decir que los sitios definen la estructura fsica
de la red mientras que los dominios definirn la estructura lgica de
la organizacin.

Controladores de dominio
El controlador de dominio (Domain Controller, DC), ser un equipo
que tendr instalado un sistema operativo Windows Server, ya sea
2008 o anteriores versiones, y que almacenar una rplica del
directorio activo. Otras operaciones importantes que realizar
sern la de otorgar a los usuarios la posibilidad de autenticarse
mediante el protocolo Kerberos, as como la consulta de
informacin del directorio mediante el protocolo LDAP.
La informacin que va a almacenar cada controlador de dominio
est dividida en cuatro particiones, que van a constituir
las unidades de replicacin, y sern las siguientes:
Particin del directorio de esquema.
Particin de directorio de configuracin.
Particin de directorio de dominio.
Particiones de directorio de aplicaciones.

Controladores de dominio
Particin del directorio de esquema: contendr la
definicin de los tipos de objetos que pueden ser
creados, y que sern comunes a todos los dominios del
bosque, replicndose por todos los controladores de
dominios del bosque. Por cada bosque, solo habr un
controlador de dominio que podr modificar el esquema,
mientras para el resto, la particin ser de solo lectura.
Particin de directorio de configuracin: contendr los
datos relativos a la estructura de los dominios y la
topologa de replicacin, que sern comunes a todos
los dominios del bosque, y que sern replicados por
todos los controladores de dominio. A diferencia de la
particin anterior, cuando
cualquier controlador de
dominio necesite modificar esta particin, tendr permiso
para ello y los cambios sern replicados al resto de
controladores de dominio del bosque.

Controladores de dominio

Particin de directorio de dominio: contendr la

informacin relativa a los objetos que va a
contener
exclusivamente
un
dominio
en concreto, y podr ser replicada al resto de
controladores de dominio de ese dominio,
pero no al resto.
Particiones de directorio de aplicaciones: en
este caso contendr los datos relativos a
aplicaciones especficas. Estos datos podrn ser
de cualquier tipo a excepcin de objetos de
cuentas de usuarios, grupos y equipos.

Catlogo global y esquema

Aparte de las cuatro particiones principales que se

han comentado que tiene
un
controlador de
dominio, habra que aadir una quinta, que sera la
destinada a almacenar el catlogo global de la
organizacin.
Este catlogo global es una particin de solo lectura
que almacenar una copia de todos los objetos de
cada dominio de una forma reducida. Concretamente,
se copian aquellos objetos que son usados de forma
ms frecuente en las consultas al directorio, aunque este
punto puede ser configurado en el esquema.
Un esquema ser una definicin para todo el bosque de
las clases de objetos y atributos que se podrn extender.

Catlogo global y esquema

Las clases de objetos, como los usuarios, equipos o

impresoras, describirn los objetos de directorio que
pueden ser creados. Por cada clase de objeto,
encontraremos un conjunto de atributos. Por ejemplo, el
atributo Nombre podr ser utilizado por muchas
clases de objetos, pero solo ser necesario que sea
definido una vez en el esquema.
Los atributos, podrn ser
creados de forma
independiente a las clases de los objetos. Cada
uno podr ser definido una sola vez y podr ser
utilizado para varias clases de objetos.

El catlogo global
Incluir la informacin necesaria para que pueda determinarse
la ubicacin de cualquier objeto de la organizacin. Los
siguientes elementos formarn parte del catlogo global:
Atributos que sean utilizados con ms frecuencia en las
consultas: nombre, apellido o nombre de inicio de sesin de
un usuario, por ejemplo.
Informacin que sea relevante
para
la ubicacin de un objeto en el directorio.

poder

concretar

Un subconjunto predeterminado de atributos para cada tipo de

objeto.
Permisos de acceso para cada uno de los objetos y atributos
que estn en el catlogo global. De esta forma, los permisos de
acceso nos
garantizarn
que los
usuarios no podrn

encontrar objetos para los que no tengan asignados permisos

de acceso.

El catlogo global
De esta forma, un servidor de catlogo global ser el controlador de
dominio que va a almacenar una copia de dicho catlogo y se encargar de
ejecutar las consultas que se puedan realizar al mismo.
Por cada bosque ser necesario la existencia de, al menos, un controlador
de dominio que est configurado para realizar estas tareas, y que ser creado
en el momento en el que se crea el primer controlador de dominio del bosque.
Si tenemos una cantidad considerable de dominios, ser necesario que otros
controladores ejerzan tambin las funciones de servidor de catlogo
global, para poder balancear el trfico de autenticacin de inicios de
sesin y transferencias de consultas.