Active Directory

Active Directory (AD) o Directorio Activo son los tér- administración, los eventuales cambios serán visibles en
minos que utiliza Microsoft para referirse a su implemen- todo el ámbito. Para decirlo en otras palabras, Active Di-
tación de servicio de directorio en una red distribuida rectory es una implementación de servicio de directorio
de computadores. Utiliza distintos protocolos, principal- centralizado en una red distribuida que facilita el control,
mente LDAP, DNS, DHCP y Kerberos. la administración y la consulta de todos los elementos ló-
De forma sencilla se puede decir que es un servicio es- gicos de una red (como pueden ser usuarios, equipos y
recursos).
tablecido en uno o varios servidores en donde se crean
objetos tales como usuarios, equipos o grupos, con el ob-
jetivo de administrar los inicios de sesión en los equipos
conectados a la red, así como también la administración
1.1 Intercambio entre dominios[2]
de políticas en toda la red.
Para permitir que los usuarios de un dominio accedan a
Su estructura jerárquica permite mantener una serie de recursos de otro dominio, Active Directory usa una re-
objetos relacionados con componentes de una red, como lación de confianza (en inglés, trust). La relación de con-
usuarios, grupos de usuarios, permisos y asignación de fianza es creada automáticamente cuando se crean nuevos
recursos y políticas de acceso.[1] dominios. Los límites de la relación de confianza no son
Active Directory permite a los administradores estable- marcados por dominio, sino por el bosque al cual perte-
cer políticas a nivel de empresa, desplegar programas en nece. Existen relaciones de confianza transitivas, donde
muchos ordenadores y aplicar actualizaciones críticas a las relaciones de confianza de Active Directory pueden
una organización entera. Un Active Directory almacena ser un acceso directo (une dos dominios en árboles di-
información de una organización en una base de datos ferentes, transitivo, una o dos vías), bosque (transitivo,
central, organizada y accesible. Pueden encontrarse des- una o dos vías), reino (transitivo o no transitivo, una o
de directorios con cientos de objetos para una red peque- dos vías), o externo (no transitivo, una o dos vías), pa-
ña hasta directorios con millones de objetos. ra conectarse a otros bosques o dominios que no son de
Active Directory. Active Directory usa el protocolo V5
de Kerberos, aunque también soporta NTLM y usuarios
webs mediante autentificación SSL/TLS.
1 Funcionamiento
Su funcionamiento es similar a otras estructuras de 1.1.1 Confianzas transitivas
LDAP (Lightweight Directory Access Protocol), ya que es-
te protocolo viene implementado de forma similar a una Las Confianzas transitivas son confianzas automáticas
base de datos, la cual almacena en forma centralizada to- de dos vías que existen entre dominios en Active Direc-
da la información relativa a un dominio de autenticación. tory.ddd
Una de sus ventajas es la sincronización presente entre los
distintos servidores de autenticación de todo el dominio.
1.1.2 Confianza de Acceso Directo
A su vez, cada uno de estos objetos tendrá atributos que
permiten identificarlos en modo unívoco (por ejemplo,
La Confianza de acceso directo es, esencialmente, una
los usuarios tendrán campo «nombre», campo «email»,
confianza explícita que crea accesos directos entre dos
etcétera, las impresoras de red tendrán campo «nombre»,
dominios en la estructura de dominios. Este tipo de rela-
campo «fabricante», campo «modelo», campo “usuarios
ciones permite incrementar la conectividad entre dos do-
que pueden acceder”, etc). Toda esta información que-
minios, reduciendo las consultas y los tiempos de espera
da almacenada en Active Directory replicándose de for-
para la autenticación.
ma automática entre todos los servidores que controlan
el acceso al dominio.
De esta forma, es posible crear recursos (como carpetas 1.1.3 Confianza entre bosques
compartidas, impresoras de red, etc) y conceder acceso
a estos recursos a usuarios, con la ventaja que estando La Confianza entre bosques permite la interconexión en-
todos estos objetos memorizados en Active Directory, y tre bosques de dominios, creando relaciones transitivas
siendo esta lista de objetos replicada a todo el dominio de de doble vía. En Windows 2000, las confianzas entre bos-

1
2 5 ALTERNATIVAS[5]

ques son de tipo explícito, al contrario de Windows Ser- 3 Interfaces de programación[3]

ver 2003.
Las interfaces de servicio de Active Directory (ADSI) en-
tregan al programador una interfaz orientada a objetos,
1.2 Direccionamientos a recursos
facilitando la creación de programas de directorios me-
diante algunas herramientas compatibles con lenguajes de
Los direccionamientos a recursos de Active Directory
alto nivel, como Visual Basic, sin tener que lidiar con los
son estándares con la Convención Universal de Nom-
distintos espacios de nombres.
bres (UNC), Localizador Uniforme de Recursos (URL)
y Nombres de LDAP. Mediante las ADSI se permite crear programas que reali-
zan un único acceso a varios recursos del entorno de red,
Cada objeto de la red posee un nombre de distinción (en
sin importar si están basados en LDAP u otro protocolo.
inglés, Distinguished name (DN)), así una impresora lla-
Además, permite generar secuencias de comandos para
mada Imprime en una Unidad Organizativa (en inglés,
los administradores.
Organizational Units, OU) llamada Ventas y un dominio
foo.org, puede escribirse de las siguientes formas para ser También se puede desarrollar la Interfaz de mensajería
direccionado: (MAPI), que permite generar programas MAPI.

• en DN sería CN=Imprime,OU=Ventas,DC=foo,DC=org,
donde 4 Requisitos de instalación[4]
• CN es el nombre común (en inglés, Common
Name) Para crear un dominio hay que cumplir, por lo menos, con
los siguientes requisitos recomendados:
• DC es clase de objeto de dominio (en inglés,
Domain object Class).
• Tener cualquier versión Server de Windows 2000,
• En forma canónica sería foo.org/Ventas/Imprime 2003 (Server, Advanced Server o Datacenter Ser-
ver) o Windows 2008. En el caso de 2003 server,
tener instalado el SP1 en la máquina con una ram de
Los otros métodos de direccionamiento constituyen una
256 MB .
forma local de localizar un recurso
• Protocolo TCP/IP instalado y configurado manual-
• Distinción de Nombre Relativo (en inglés, Relative mente, es decir, sin contar con una dirección asigna-
Distinguised Name (RDN)), que busca un recurso da por DHCP,
sólo con el Nombre Común (CN).
• Tener un servidor de nombre de DNS, para resolver
• Globally Unique Identifier (GUID), que genera una la dirección de los distintos recursos físicos presen-
cadena de 128 bits que es usado por Active Directory tes en la red
para buscar y replicar información
• Poseer más de 250 MB en una unidad de disco for-
mateada en NTFS.
Ciertos tipos de objetos poseen un Nombre de Usuario
Principal (en inglés, User Principal Name (UPN)) que
permite el ingreso abreviado a un recurso o un directorio
de la red. Su forma es objetodered@dominio 5 Alternativas[5]
Samba es un programa de código libre, que tiene disponi-
2 Diferencias entre Windows NT y ble un controlador de dominios compatible con Windows
NT 4, Windows 2003 y Windows 2008.
Active Directory
El programa de código libre Mandriva Directory Server
A diferencia del anterior sistema de administración de ofrece una interfaz web para manejar el controlador de
dominios de Windows NT Server, que proveía únicamen- dominios de Samba y el servicio de directorios de LDAP.
te el dominio de administración, Active Directory per- Otra alternativa es Novell eDirectory, que es Multipla-
mite también crear estructuras jerárquicas de dominios y taforma: se puede correr sobre cualquier sistema operati-
subdominios, facilitando la estructuración de los recursos vo: Linux, AIX, Solaris, Novell Netware, UNIX e integra
según su localización o función dentro de la organización LDAP v.3 Nativo. Es el precursor en materia de estructu-
a la que sirven. Otra diferencia importante es el uso de ras de Directorio, ya que fue introducido en 1990 con la
estándares como X.500 y LDAP para el acceso a la in- versión de Novell Netware 4.0. Aunque AD de Microsoft
formación. alcanzó mayor popularidad, todavía no puede igualar la
 3

fiabilidad y calidad de eDirectory y su capacidad Multi-

plataforma.
Sun Java ES Directory Server y OpenDS son otras alter-
nativas, el primero basado en java y el segundo basado y
desarrollado en C. El primero es un producto de Sun Mi-
crosystems y el segundo una alternativa de código abierto.
Una alternativa que integra OpenLDAP, Heimdal kerbe-
ros, Samba y además certificación digital y Bind9 (modi-
ficado para usar LDAP como backend) es WBSAgnitio
().

6 Referencias
[1] Introducción a Active Directory, Microsoft (en español)

[2] Designing a Windows Server 2003 Active Directory,

Sams (en inglés)

[3] Interfaces de programación, Microsoft (en español)

[4] Conceptos Fundamentales de Active Directory, Grupos de

usuario de Microsoft (en español)

[5] Active Directory, Wikipedia (en inglés)

7 Enlaces externos
• Active Directory en Windows 2003

• Como documentar el Active Directory

• Active Directory Service Interfaces (ADSI)
4 8 ORIGEN DEL TEXTO Y LAS IMÁGENES, COLABORADORES Y LICENCIAS

8 Origen del texto y las imágenes, colaboradores y licencias

8.1 Texto
• Active Directory Fuente: https://es.wikipedia.org/wiki/Active_Directory?oldid=98894255 Colaboradores: Aloriel, Dodo, Edupedro, Di-
gigalos, Taragui, Deleatur, Spangineer, Pchamorro, Hispa, Airunp, JMPerez, Taichi, Rembiapo pohyiete (bot), Magister Mathematicae,
RobotQuistnix, Superzerocool, Chobot, MeMoRY, Yrbot, BOT-Superzerocool, FlaBot, Vitamine, BOTijo, YurikBot, Martingala, Ger-
manX, Zelkova~eswiki, Cacique500, KnightRider, Cheveri, Tomatejc, Jarke, Guillefc, Pabliten, Eidast, Aloneibar, BOTpolicia, CEM-bot,
Jjvaca, EdgeM, Jgomo3, Alvaro qc, Jmartinz, RoyFocker, Isha, JAnDbot, Soulbot, Kved, TXiKiBoT, GOto, Netito777, Rei-bot, Lionel
Montaldo, Bedwyr, Pólux, Dnudelman, Fremen, VolkovBot, Technopat, C'est moi, Matdrodes, Hornet69~eswiki, BlackBeast, Barri, Alle-
borgoBot, Muro Bot, Jmvgpartner, SieBot, PaintBot, Loveless, SeijuroSGD, Manwë, BuenaGente, HMBot, Jareyes, Stoleman, Botito777,
Alexbot, Raulshc, UA31, AVBOT, DayL6, MastiBot, Ezarate, Diegusjaimes, Compludo, Arjuno3, Andreasmperu, Luckas-bot, Aorenes,
DiegoFb, Valerioux86, LyingB, Gacpro, Yonidebot, ArthurBot, SuperBraulio13, Xqbot, Jkbw, Dreitmen, Torrente, Botarel, Cristian1604,
Hprmedina, TobeBot, PatruBOT, Tarawa1943, Nachosan, EmausBot, Savh, ZéroBot, Dattellix, ChuispastonBot, WikitanvirBot, CocuBot,
MerlIwBot, KLBot2, Invadibot, Elvisor, Napier, Syum90, MaKiNeoH, Bruno Rene Vargas, AlvaroMolina, Zae jc, LortaLorta y Anónimos:
230

8.2 Imágenes

8.3 Licencia del contenido

• Creative Commons Attribution-Share Alike 3.0