Active Directory (AD) es el servicio de directorio propietario de Microsoft. Se ejecuta en Windows Server y permite a los administradores administrar los permisos y el acceso a los recursos de red.
Active Directory almacena datos como objetos. Un objeto es un elemento único, como un usuario, grupo, aplicación o dispositivo, por ejemplo, una impresora. Los objetos se definen normalmente como recursos, como impresoras o equipos, o entidades de seguridad, como usuarios o grupos.
Active Directory categoriza los objetos de directorio por nombre y atributos., Por ejemplo, el nombre de un usuario puede incluir la cadena de nombre, junto con la información asociada con el usuario, como contraseñas y claves Secure Shell (SSH).
el servicio principal de Active Directory es Domain Services (AD DS), que almacena información de directorio y gestiona la interacción del usuario con el dominio. AD DS verifica el acceso cuando un usuario inicia sesión en un dispositivo o intenta conectarse a un servidor a través de una red. AD DS controla qué usuarios tienen acceso a cada recurso, así como a las directivas de grupo., Por ejemplo, un administrador suele tener un nivel de acceso a los datos diferente al de un usuario final.
otros productos de sistemas operativos (SO) de Microsoft y Windows, como Exchange Server y SharePoint Server, confían en AD DS para proporcionar acceso a los recursos. El servidor que aloja AD DS es el controlador de dominio.
servicios de Active Directory
varios servicios diferentes comprenden Active Directory., El servicio principal es Domain Services, pero Active Directory también incluye Lightweight Directory Services (AD LDS), Certificate Services (AD CS), Federation Services (AD FS) y Rights Management Services (AD RMS). Cada uno de estos otros servicios amplía las capacidades de gestión de directorios del producto.
- Lightweight Directory Services tiene la misma base de código que AD DS y comparte funcionalidades similares, como la API (interfaz de programa de aplicación)., Sin embargo, AD LDS puede ejecutarse en varias instancias en un servidor y contiene datos de directorio en un almacén de datos mediante el protocolo ligero de acceso a directorios (LDAP).
- LDAP es un protocolo de aplicación utilizado para acceder y mantener servicios de directorio a través de una red. LDAP almacena objetos, como nombres de usuario y contraseñas, en servicios de directorio, como Active Directory, y comparte esos datos de objeto en toda la red.
- Certificate Services genera, administra y comparte certificados., Un certificado utiliza cifrado para permitir que un usuario intercambie información a través de internet de forma segura con una clave pública.
- Los servicios de Federación de Active Directory autentican el acceso de los usuarios a varias aplicaciones, incluso en redes diferentes, mediante el inicio de sesión único (SSO). Como su nombre indica, SSO solo requiere que el usuario inicie sesión una vez, en lugar de usar varias claves de autenticación dedicadas para cada servicio.
- Los servicios de gestión de derechos controlan los derechos y la gestión de la información. AD RMS cifra el contenido, como el correo electrónico o los documentos de Microsoft Word, en un servidor para limitar el acceso.,
características principales de los servicios de dominio de Active Directory
Los servicios de dominio de Active Directory utilizan un diseño por niveles que consta de dominios, árboles y bosques para coordinar los elementos en red.
- un dominio es un grupo de objetos, como usuarios o dispositivos, que comparten la misma base de datos de anuncios. Los dominios tienen una estructura de sistema de nombres de dominio(DNS).
- Un árbol es uno o más dominios agrupados. La estructura de árbol utiliza un espacio de nombres contiguo para reunir la colección de dominios en una jerarquía lógica., Los árboles se pueden ver como relaciones de confianza donde se comparte una conexión segura, o confianza, entre dos dominios. Se puede confiar en varios dominios, donde un dominio puede confiar en un segundo y el segundo dominio puede confiar en un tercero. Debido a la naturaleza jerárquica de esta configuración, el primer dominio puede confiar implícitamente en el tercer dominio sin necesidad de confianza explícita.
- Un Bosque es un grupo de árboles múltiples. Un bosque consiste en catálogos compartidos, esquemas de directorios, información de aplicaciones y configuraciones de dominio. El esquema define la clase y los atributos de un objeto en un bosque., Además, los servidores de catálogo global proporcionan una lista de todos los objetos de un bosque. Según Microsoft, el bosque es el límite de seguridad de Active Directory.
- Las unidades organizativas (ou) organizan usuarios, grupos y dispositivos. Cada dominio puede contener su propia unidad organizativa. Sin embargo, las unidades organizativas no pueden tener espacios de nombres separados, ya que cada usuario u objeto de un dominio debe ser único. Por ejemplo, no se puede crear una cuenta de usuario con el mismo nombre de usuario.los contenedores
- Son similares a las unidades organizativas, pero los objetos de directiva de grupo (GPO) no se pueden aplicar ni vincular a objetos contenedores.,
terminología de confianza
Active Directory confía en las confianzas para moderar los derechos de acceso de los recursos entre dominios. Hay varios tipos diferentes de confianzas:
- Una confianza unidireccional es cuando un primer dominio permite privilegios de acceso a los usuarios en un segundo dominio. Sin embargo, el segundo dominio no permite el acceso a los usuarios del primer dominio.,
- Una confianza bidireccional es cuando hay dos dominios y cada dominio permite el acceso a los usuarios del otro dominio.
- un dominio de confianza es un dominio único que permite el acceso del Usuario a otro dominio, que se denomina dominio de confianza.
- una confianza transitiva puede extenderse más allá de dos dominios y permitir el acceso a otros dominios de confianza dentro de un bosque.
- Una confianza intransitiva es una confianza unidireccional limitada a dos dominios.
- Una confianza explícita es una confianza unidireccional, no transitiva que es creada por un administrador de red.
- Una confianza cruzada es un tipo de confianza explícita., Las confianzas de enlace cruzado tienen lugar entre dominios dentro de 1) el mismo árbol, sin relación hijo-padre entre los dos dominios, o 2) árboles diferentes.
- Una confianza de bosque se aplica a dominios dentro de todo el bosque y puede ser unidireccional, bidireccional o transitivo.
- un acceso directo une dos dominios que pertenecen a árboles separados. Los atajos pueden ser unidireccionales, bidireccionales o transitivos.
- Un reino es una confianza que es transitiva, intransitiva, unidireccional o bidireccional.
- Una confianza externa es una confianza que vincula dominios entre bosques separados o dominios que no son AD., Los fideicomisos externos pueden ser no transitivos, unidireccionales o bidireccionales.
- Una confianza de administración de acceso privado (PAM) es un tipo de confianza unidireccional. Es creado por Microsoft Identity Manager, entre un bosque de producción y un bosque bastion.
historia y desarrollo de Active Directory
Microsoft ofreció una vista previa de Active Directory en 1999 y la lanzó un año después con Windows 2000 Server. Microsoft continuó desarrollando nuevas características con cada versión sucesiva de Windows Server.,
Windows Server 2003 incluyó una actualización notable para agregar bosques y la capacidad de editar y cambiar la posición de los dominios dentro de los bosques. Los dominios de Windows Server 2000 no admiten actualizaciones de AD más recientes que se ejecuten en Server 2003.
Windows Server 2008 introdujo AD FS. Además, Microsoft renombró el directorio para la administración de dominios como AD DS, y AD se convirtió en un término general para los servicios basados en directorios que admitía.
Windows Server 2016 actualizó AD DS para mejorar la seguridad de AD y migrar entornos de AD a entornos de nube o nube híbrida., Las actualizaciones de seguridad incluyen la adición de PAM.
Pam monitoreó el acceso a un objeto, el tipo de acceso concedido y qué acciones realizó el usuario. PAM agregó bastion ad forests para proporcionar un entorno forestal adicional Seguro y aislado. Windows Server 2016 dejó de ser compatible con dispositivos en Windows Server 2003.
en diciembre de 2016, Microsoft lanzó Azure AD Connect para unirse a un sistema de Active Directory local con Azure Active Directory (Azure AD) para habilitar SSO para los servicios en la nube de Microsoft, como Office 365., Azure AD Connect funciona con sistemas que ejecutan Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2 y Windows Server 2016.
dominios vs. grupos de trabajo
el grupo de trabajo es el término de Microsoft para máquinas Windows conectadas a través de una red peer-to-peer. Los grupos de trabajo son otra unidad de organización para equipos Windows en redes. Los grupos de trabajo permiten a estas máquinas compartir archivos, acceso a internet, impresoras y otros recursos a través de la red. La red Peer-to-peer elimina la necesidad de un servidor para la autenticación., Existen varias diferencias entre dominios y grupos de trabajo:
- Los dominios, a diferencia de los grupos de trabajo, pueden alojar equipos de diferentes redes locales.
- Los dominios se pueden usar para alojar muchos más equipos que los grupos de trabajo. Los dominios pueden incluir miles de equipos, a diferencia de los grupos de trabajo, que normalmente tienen un límite superior cercano a 20.
- En dominios, al menos un servidor es un equipo, que se utiliza para controlar los permisos y las características de seguridad para cada equipo dentro del dominio. En los grupos de trabajo, no hay servidor y los equipos son todos pares.,
- Los usuarios de dominio normalmente requieren identificadores de seguridad, como inicios de sesión y contraseñas, a diferencia de los grupos de trabajo.
principales competidores de Active Directory
Otros servicios de directorio en el mercado que proporcionan una funcionalidad similar a AD incluyen Red Hat Directory Server, Apache Directory y OpenLDAP.
Red Hat Directory Server administra el acceso de los usuarios a varios sistemas en entornos Unix. Al igual que AD, Red Hat Directory Server incluye ID de usuario y autenticación basada en certificados para restringir el acceso a los datos del directorio.,
Apache Directory es un proyecto de código abierto que se ejecuta en Java y opera en cualquier servidor LDAP, incluidos los sistemas en Windows, macOS y Linux. El directorio Apache incluye un explorador de esquemas y un editor/explorador LDAP. El directorio Apache soporta plugins de Eclipse.