Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Active Directory (AD) o Directorio Activo son los tér- administración, los eventuales cambios serán visibles en
minos que utiliza Microsoft para referirse a su implemen- todo el ámbito. Para decirlo en otras palabras, Active Di-
tación de servicio de directorio en una red distribuida rectory es una implementación de servicio de directorio
de computadores. Utiliza distintos protocolos, principal- centralizado en una red distribuida que facilita el control,
mente LDAP, DNS, DHCP y Kerberos. la administración y la consulta de todos los elementos ló-
De forma sencilla se puede decir que es un servicio es- gicos de una red (como pueden ser usuarios, equipos y
recursos).
tablecido en uno o varios servidores en donde se crean
objetos tales como usuarios, equipos o grupos, con el ob-
jetivo de administrar los inicios de sesión en los equipos
conectados a la red, así como también la administración
1.1 Intercambio entre dominios[2]
de políticas en toda la red.
Para permitir que los usuarios de un dominio accedan a
Su estructura jerárquica permite mantener una serie de recursos de otro dominio, Active Directory usa una re-
objetos relacionados con componentes de una red, como lación de confianza (en inglés, trust). La relación de con-
usuarios, grupos de usuarios, permisos y asignación de fianza es creada automáticamente cuando se crean nuevos
recursos y políticas de acceso.[1] dominios. Los límites de la relación de confianza no son
Active Directory permite a los administradores estable- marcados por dominio, sino por el bosque al cual perte-
cer políticas a nivel de empresa, desplegar programas en nece. Existen relaciones de confianza transitivas, donde
muchos ordenadores y aplicar actualizaciones críticas a las relaciones de confianza de Active Directory pueden
una organización entera. Un Active Directory almacena ser un acceso directo (une dos dominios en árboles di-
información de una organización en una base de datos ferentes, transitivo, una o dos vías), bosque (transitivo,
central, organizada y accesible. Pueden encontrarse des- una o dos vías), reino (transitivo o no transitivo, una o
de directorios con cientos de objetos para una red peque- dos vías), o externo (no transitivo, una o dos vías), pa-
ña hasta directorios con millones de objetos. ra conectarse a otros bosques o dominios que no son de
Active Directory. Active Directory usa el protocolo V5
de Kerberos, aunque también soporta NTLM y usuarios
webs mediante autentificación SSL/TLS.
1 Funcionamiento
Su funcionamiento es similar a otras estructuras de 1.1.1 Confianzas transitivas
LDAP (Lightweight Directory Access Protocol), ya que es-
te protocolo viene implementado de forma similar a una Las Confianzas transitivas son confianzas automáticas
base de datos, la cual almacena en forma centralizada to- de dos vías que existen entre dominios en Active Direc-
da la información relativa a un dominio de autenticación. tory.ddd
Una de sus ventajas es la sincronización presente entre los
distintos servidores de autenticación de todo el dominio.
1.1.2 Confianza de Acceso Directo
A su vez, cada uno de estos objetos tendrá atributos que
permiten identificarlos en modo unívoco (por ejemplo,
La Confianza de acceso directo es, esencialmente, una
los usuarios tendrán campo «nombre», campo «email»,
confianza explícita que crea accesos directos entre dos
etcétera, las impresoras de red tendrán campo «nombre»,
dominios en la estructura de dominios. Este tipo de rela-
campo «fabricante», campo «modelo», campo “usuarios
ciones permite incrementar la conectividad entre dos do-
que pueden acceder”, etc). Toda esta información que-
minios, reduciendo las consultas y los tiempos de espera
da almacenada en Active Directory replicándose de for-
para la autenticación.
ma automática entre todos los servidores que controlan
el acceso al dominio.
De esta forma, es posible crear recursos (como carpetas 1.1.3 Confianza entre bosques
compartidas, impresoras de red, etc) y conceder acceso
a estos recursos a usuarios, con la ventaja que estando La Confianza entre bosques permite la interconexión en-
todos estos objetos memorizados en Active Directory, y tre bosques de dominios, creando relaciones transitivas
siendo esta lista de objetos replicada a todo el dominio de de doble vía. En Windows 2000, las confianzas entre bos-
1
2 5 ALTERNATIVAS[5]
• en DN sería CN=Imprime,OU=Ventas,DC=foo,DC=org,
donde 4 Requisitos de instalación[4]
• CN es el nombre común (en inglés, Common
Name) Para crear un dominio hay que cumplir, por lo menos, con
los siguientes requisitos recomendados:
• DC es clase de objeto de dominio (en inglés,
Domain object Class).
• Tener cualquier versión Server de Windows 2000,
• En forma canónica sería foo.org/Ventas/Imprime 2003 (Server, Advanced Server o Datacenter Ser-
ver) o Windows 2008. En el caso de 2003 server,
tener instalado el SP1 en la máquina con una ram de
Los otros métodos de direccionamiento constituyen una
256 MB .
forma local de localizar un recurso
• Protocolo TCP/IP instalado y configurado manual-
• Distinción de Nombre Relativo (en inglés, Relative mente, es decir, sin contar con una dirección asigna-
Distinguised Name (RDN)), que busca un recurso da por DHCP,
sólo con el Nombre Común (CN).
• Tener un servidor de nombre de DNS, para resolver
• Globally Unique Identifier (GUID), que genera una la dirección de los distintos recursos físicos presen-
cadena de 128 bits que es usado por Active Directory tes en la red
para buscar y replicar información
• Poseer más de 250 MB en una unidad de disco for-
mateada en NTFS.
Ciertos tipos de objetos poseen un Nombre de Usuario
Principal (en inglés, User Principal Name (UPN)) que
permite el ingreso abreviado a un recurso o un directorio
de la red. Su forma es objetodered@dominio 5 Alternativas[5]
Samba es un programa de código libre, que tiene disponi-
2 Diferencias entre Windows NT y ble un controlador de dominios compatible con Windows
NT 4, Windows 2003 y Windows 2008.
Active Directory
El programa de código libre Mandriva Directory Server
A diferencia del anterior sistema de administración de ofrece una interfaz web para manejar el controlador de
dominios de Windows NT Server, que proveía únicamen- dominios de Samba y el servicio de directorios de LDAP.
te el dominio de administración, Active Directory per- Otra alternativa es Novell eDirectory, que es Multipla-
mite también crear estructuras jerárquicas de dominios y taforma: se puede correr sobre cualquier sistema operati-
subdominios, facilitando la estructuración de los recursos vo: Linux, AIX, Solaris, Novell Netware, UNIX e integra
según su localización o función dentro de la organización LDAP v.3 Nativo. Es el precursor en materia de estructu-
a la que sirven. Otra diferencia importante es el uso de ras de Directorio, ya que fue introducido en 1990 con la
estándares como X.500 y LDAP para el acceso a la in- versión de Novell Netware 4.0. Aunque AD de Microsoft
formación. alcanzó mayor popularidad, todavía no puede igualar la
3
6 Referencias
[1] Introducción a Active Directory, Microsoft (en español)
7 Enlaces externos
• Active Directory en Windows 2003
8.2 Imágenes