Un servicio de directorio (SD) es una aplicacin o un conjunto de aplicaciones que

almacena y organiza la informacin sobre los usuarios de una red de ordenadores, sobre
recursos de red, y permite a los administradores gestionar el acceso de usuarios a los
recursos sobre dicha red. Adems, los servicios de directorio actan como una capa de
abstraccin entre los usuarios y los recursos compartidos.
Qu permite el Servicio de Directorio?
1. Permite a los Usuarios y Aplicaciones acceder a la informacin de los Objetos.
2. El usuario de la red puede tener acceso a cualquier recurso porque toda la
informacin se encuentra centralizada en el Directorio Activo.

Active Directory (AD) o Directorio Activo es el trmino que usa Microsoft para referirse a
su implementacin de servicio de directorio en una red distribuida de computadoras. Utiliza
distintos protocolos (LDAP, DNS, DHCP, kerberos, etc).
Su estructura jerrquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de
recursos y polticas de acceso. Podemos decir que Active Directory es el servicio de directorio
incluido en la familia Windows Server.
Active Directory requiere de uno o ms servidores DNS que permitan el direccionamiento de
los elementos pertenecientes a la red.

Funciones del Directorio Activo:

Centralizar el control de los recursos de la red. Permite tener en un solo lugar todos
los objetos de la red.
Centralizar y descentraliza la administracin de los recursos. Al tener los objetos
centralizados, el siguiente paso consiste en darle una administracin correcta. El
Administrador de la red puede delegar tareas administrativas a usuarios definidos en
el Directorio Activo.
Almacenar objetos de forma segura en una estructura lgica. Los objetos de la red se
almacenan en una estructura lgica y jerrquica, permitiendo optimizar el trfico de
la red.

Estructura del Directorio Activo.

El Directorio Activo est diseado para almacenar una serie de objetos de manera
estructural y jerrquica.
Permite la recreacin de la estructura Organizacional para su administracin.
El Directorio Activo est diseado para la interaccin de varios servidores a travs de
la replicacin.
La estructura de Active Directory se basa en dos niveles:
o
o

Estructura Fsica.
Estructura Lgica.

Estructura Fsica.
Abarca la configuracin de la red, los dispositivos y el ancho de banda de la red.
Los elementos de la estructura fsica del Directorio Activo son:

Controladores de Dominio
Sitios del Directorio Activo

Controladores de Dominio.
Son aquellos equipos (servidores) que ejecutan la familia de Windows Server y el Directorio
Activo.
Realizan funciones de almacenamiento, gestionan y replican la base de datos de usuarios y
recursos de la red y slo pueden contener un dominio.
Sitios del Directorio Activo.
Un Sitio es un grupo de ordenadores que se encuentran relacionados, de una forma lgica,
con una localizacin geogrfica particular.
Un sitio puede ser todos los equipos que se encuentren interconectados mediante una red
LAN, o tambin la unin de varios sitios que se encuentran en distintas zonas geogrficas
interconectadas a travs de una conexin WAN.

Un dominio puede contener uno o ms sitios, mientras que un mismo sitio a su vez
puede tener uno o ms dominios.
Para administrar los sitios disponemos de la consola de Sitios y servicios de Active
Directory.
Permiten optimizar el uso del ancho de banda entre los controladores de dominio de
diversas localizaciones.
Controlar la replicacin de datos de las bases de datos de directorio activo y aplicar
distintas directivas dependiendo solo de su ubicacin fsica.

Es importante distinguir entre sitios y dominios. Los sitios representan la estructura fsica de
la red, mientras que los dominios representan la estructura lgica de la organizacin. Los
objetos de sitios y sus contenidos se replican en todos los controladores de dominios del
bosque, independientemente del dominio o del sitio

Estructura Lgica.
Se centra en la administracin de los recursos de la red organizativa, independientemente de
la ubicacin fsica de dichos recursos, y de la topologa de las redes subyacentes.
Nos permite encontrar un recurso por su nombre o sus atributos en vez de por su
localizacin fsica.
Los componentes de la estructura lgica de Active Directory son:

Objetos
Unidades Organizativas (OU)
Dominios
Arboles de dominios
Bosque

Objetos
Son los componentes bsicos de la estructura lgica. Representan a los recursos de la red,
tales como los usuarios, ordenadores, impresoras
Cada objeto tiene una serie de atributos que definen los valores de cada uno.

Unidades Organizativas (OU)

Son objetos contenedores que se usan para organizar otros objetos con propsitos
administrativos, por ejemplo, dividir una empresa en departamentos.
Esta organizacin trae consigo localizar ms fcilmente y administrar objetos.
El administrador de la red puede delegar la autoridad para administrar estas unidades
organizativas de manera que podemos tener administradores de cada una de ellas.
Una unidad organizativa puede contener objetos como: cuentas de usuarios, grupos,
equipos, impresoras, aplicaciones, ficheros compartidos y otras unidades organizativas.
Cada dominio puede implementar su propia jerarqua OU.

Dominio
Es la unidad central de la estructura lgica del Directorio Activo. Es un conjunto de equipos
definidos por el administrador que comparten una base de datos comn del directorio,
polticas de seguridad y relaciones de confianza con otros dominios.
Los dominios proporcionan las tres funciones siguientes:
1. Un lmite administrativo para los objetos.
2. Medios de administrar la seguridad para los recursos compartidos.
3. Una unidad de rplica para los objetos.

Un dominio almacena informacin nicamente de los objetos que contiene.

Un dominio es controlado y administrado por un Controlador de Dominio Primario (PDC).
Es aconsejable que en un dominio exista ms de un Controlador de Dominio (mnimo dos).
Un Controlador de Dominio puede replicar sus objetos en otro Controlador de Dominio. Si el
primero cae, el segundo Controlador de Dominio facilita los servicios a los clientes de la red.
Cuando hablamos de Nombre de Dominio, hacemos referencia a las denominaciones
asignadas a los ordenadores de la red, hosts y routers, que equivalen a su direccin IP. En
nuestro caso llamaremos a nuestro dominio "wpr.local", que ser el dominio raz.

Arbol de dominios
Son dominios agrupados en estructuras jerrquicas con relaciones de confianza entre s que
comparten recursos que dependen de un dominio raz comn. Esta jerarqua se representa
por un espacio de nombres DNS comn.
Un rbol de dominio puede consistir en un nico dominio.
Una relacin de confianza es un enlace entre al menos dos dominios en el cual un dominio de
confianza autentifica todas las conexiones para el dominio que confa en l.
Cuando se agrega un segundo dominio a un rbol, se convierte en hijo del dominio raz. El
dominio al cual un "dominio hijo" se une se llama "Dominio Padre". A su vez, los "dominios
hijos" pueden tener sus propios "dominios hijos" y los primeros se vuelven "dominios padres"
de stos ltimos.
El nombre de un dominio secundario o subdominio se combina con el nombre de su dominio
primario para formar su propio nombre nico en el sistema de nombres de dominio.
En la siguiente figura tenemos el nombre de dominio universidad.com que a su vez es el
dominio raz del rbol de dominios.
El dominio raz sera el dominio padre de los dominios hijos o subdominios:

administracin.universidad.com
ventas.universidad.com

Estos subdominios se conocen como dominios secundarios.

Bosque
Es el mayor contenedor lgico dentro de Active Directory.
Es un conjunto de uno o varios rboles de dominio con relaciones de confianza entre s, que
comparten una estructura lgica, un esquema del directorio (definiciones de clase y
atributo), una configuracin de directorio (informacin de replicacin y del sitio) y un
catlogo global (capacidades de bsqueda en todo el bosque) comunes.
De esta forma, todos los dominios de un bosque confan automticamente unos en otros y
los diferentes rboles podrn compartir sus recursos.
Como dijimos anteriormente, los dominios pueden estar organizados jerrquicamente en un
rbol que comparte un espacio de nombres DNS comn. A su vez, diferentes rboles pueden
estar integrados en un bosque. Al tratarse de rboles diferentes, no compartirn el mismo
espacio de nombres.
De forma predeterminada, un bosque contiene al menos un dominio, que ser el dominio raz
del bosque. Es decir, cuando instalamos el primer dominio en un ordenador de nuestra red
que previamente dispone de Windows Server, adems del propio dominio, estamos creando
la raz de un nuevo rbol y tambin la raz de un nuevo bosque.
El dominio raz del bosque contiene el Esquema del bosque, que se compartir con el resto
de dominios que formen parte de dicho bosque.
Todos los dominios en un bosque forman el Directorio Activo.
Un bosque es una instancia completa del Directorio Activo.

Catlogo Global
Es un servidor que almacena una copia completa de todos los objetos del directorio para su
dominio host y una copia parcial de slo lectura de todos los objetos del resto de dominios
del bosque.
El Catlogo Global permite a los usuarios y aplicaciones buscar objetos en un bosque de
Active Directory a partir de uno o varios atributos del objeto buscado.
Por ejemplo, si un usuario busca todas las impresoras de un bosque, un servidor de Catlogo
Global procesa la consulta y devuelve los resultados, que seran los lugares donde estn
instaladas las impresoras.
Si no tenemos el servidor de Catlogo Global, la consulta requerira ir buscando en cada
Dominio del Bosque hasta encontrar el objeto.
El primer Controlador de Dominio que se crea
automticamente en un servidor de Catlogo Global.

en Active

Directory se

convierte

Tambin podemos configurar otros servidores como Catlogo Global y agregarles tareas
administrativas equilibrando as el trfico de la red.

Esquema

Un esquema en el Directorio Activo define las clases de objetos.

En la imagen anterior tenemos tres tipos de objetos:
1. La clase Usuario.
2. La clase Equipo.
3. La clase Impresora.

Cada clase de objetos en s es un conjunto de atributos.

Las clases de objeto describen los objetos de directorio que se pueden crear. Cada clase de
objeto es un conjunto de atributos. Los atributos se definen de forma independiente de las
clases de objeto. Cada atributo se define slo una vez y se puede utilizar en mltiples clases
de objetos.
La idea de un esquema es definir Usuarios, Equipos, Impresoras y dispositivos de red de
una manera jerrquica y organizada.
Este esquema pude cambiar segn nuestras necesidades.
Por lo tanto, el esquema del Directorio Activo contiene las definiciones de todos los objetos
de la red.

Creamos una carpeta.

Si ahora vamos a la carpeta yoel del Servidor, observamos la carpeta creada desde el
cliente Ubuntu.

98