Active Directory en Windows Server

LDAP (Lightweight Directory Access Protocol)

LDAP (Protocolo compacto de acceso a directorios) es un protocolo estándar que permite administrar directorios. Las bases de información generalmente están relacionadas con los usuarios, pero, algunas veces, se utilizan con otros propósitos, como el de administrar el hardware de una compañía. El objetivo del protocolo LDAP, desarrollado en 1993 en la Universidad de Michigan, fue reemplazar al protocolo DAP (utilizado para acceder a los servicios de directorio X.500 por OSI) integrándolo al TCP/IP. Desde 1995, DAP se convirtió en LDAP independiente, con lo cual se dejó de utilizar sólo para acceder a los directorios tipo X500. LDAP es una versión más simple del protocolo DAP, de allí deriva su nombre Protocolo compacto de acceso a directorios. El protocolo LDAP define el método para acceder a datos en el servidor a nivel cliente pero no la manera en la que se almacena la información.

LDAP le brinda al usuario métodos que le permiten:

  • Conectarse
  • Desconectarse
  • buscar información
  • comparar información
  • insertar entradas
  • cambiar entradas
  • eliminar entradas

Asimismo, el protocolo LDAP (en versión 3) ofrece mecanismos de cifrado (SSL, etc.) y autenticación para permitir el acceso seguro a la información almacenada en la base.

AD (Active Directory)

Active Directory es el servicio de directorio de una red Windows 2003. Este servicio de directorio es un servicio de red que almacena información acerca de los recursos de la red y permite el acceso de los usuarios y las aplicaciones a dichos recursos, de forma que se convierte en un medio de organizar, controlar y administrar centralizadamente el acceso a los recursos de la red. El servicio Active Directory proporciona la capacidad de establecer un único inicio de sesión y un repositorio central de información para toda su infraestructura. Al instalar Active Directory (AD a partir de ahora) en uno o varios sistemas Windows 2003 Server (equipos) de nuestra red, convertimos a dichos ordenadores en los servidores del dominio, o más correctamente, en los denominados CONTROLADORES DE DOMINIO (Domain Controllers) o simplemente DCs. El resto de los equipos de la red pueden convertirse entonces en los clientes de dicho servicio de directorio, con lo que reciben toda la información almacenada en los controladores: cuentas de usuario, grupo y equipo, perfiles de usuario y equipo, directivas de seguridad, servicios de red.

Dominio de AD

Esta estructura lógica se basa en el concepto de dominio, o unidad mínima de directorio, que internamente contiene información sobre los recursos (usuarios, grupos, directivas,…) disponibles para los ordenadores que forman parte de dicho dominio.

Dentro de un dominio, es posible subdividir lógicamente el directorio mediante el uso de unidades organizativas (OU), que permiten una administración independiente sin la necesidad de crear múltiples dominios.

Árbol de dominio de AD

Es el conjunto de dominios formado por el nombre de dominio raíz (“MICENTRO.COM”) y el resto de dominios cuyos nombres constituyen un espacio contiguo con el nombre raíz (por ejemplo si tuviéramos un subdominio “DPTO_LENGUA”, se nombraría como “DPTO_LENGUA.MICENTRO.COM”, y formaría un árbol de dominios con el dominio raíz).

Bosque de árboles de dominio de AD.

Es el conjunto de árboles de dominio que no constituyen un espacio de nombres contiguo (si nuestro servidor administrara otro dominio raíz de nombre “OTROCENTRO.COM”, este nuevo dominio, junto con el anterior (“MICENTRO.COM”) formarían el bosque de árboles de dominios).

DC (Domain Controller).

Son aquellos servidores que ejecutan AD DS. Los administradores pueden usar AD DS para organizar los elementos de una red (los Objetos) (por ejemplo, los usuarios, los equipos y otros dispositivos) en una estructura jerárquica.

RODC (Read-Only Domain Controller).

Controlador de dominio adicional para un dominio que hospeda particiones de sólo lectura de la base de datos de Active Directory. Un RODC está diseñado principalmente para su implementación en un entorno de sucursal.

NetBIOS

Es una interfaz de acceso a servicios de red, es decir, una capa de software desarrollada para enlazar con el hardware. Su intención es conseguir que las aplicaciones sean independientes del hardware y los protocolos de bajo nivel, evitando a los desarrolladores el “trabajo sucio” de tener que crear rutinas de recuperación de errores, direccionamiento entre otras cosas.

Objetos de AD

Son los usuarios, computadoras, impresoras, carpetas dentro de la misma red.

Usuarios, equipos y grupos de AD

Es la herramienta de administración más importante de Active Directory • Permite manejar todas las tareas relativas a cuentas de usuarios, grupos y equipos, además de administrar las unidades organizativas

OU (Organizational Unit).

La unidad organizativa es un tipo de objeto de directorio muy útil incluido en los dominios. Las unidades organizativas son contenedores de Active Directory en los que puede colocar usuarios, grupos, equipos y otras unidades organizativas. Una unidad organizativa no puede contener objetos de otros dominios.

Perfiles de usuario: perfil móvil, perfil móvil obligatorio.

Los perfiles de usuario son una de las herramientas más importantes de Windows para la configuración del entorno de trabajo. Definen un entorno de escritorio personalizado, en el que se incluye la configuración individual de la pantalla, así como las conexiones de red, las impresoras… Cada usuario puede tener un perfil asociado a su nombre de usuario que se guarda en su ordenador, (o en el caso de Windows 2003 Server en el mismo servidor), y el usuario o el administrador de sistema pueden definir el entorno de escritorio.

TIPO DE PERFILES:

Perfil de usuario local: es el más conocido, se crea la primera vez que un usuario inicia sesión en un ordenador y se almacena en el disco duro local. Todas las modificaciones efectuadas en un perfil de usuario local son específicas del equipo concreto en el que se hayan realizado.

Perfil de usuario móvil: orientado a servidores, lo crea el administrador de sistema y se almacena en un servidor. Se descarga al equipo local cuando un usuario inicia sesión y se actualiza tanto localmente como en el servidor cuando el usuario cierra sesión.

Perfil de usuario obligatorio: no se actualiza cuando el usuario cierra la sesión. Se descarga en el escritorio del usuario cada vez que inicia sesión.

Ámbitos de grupo: local, global, universal.

Cualquier grupo, ya sea un grupo de seguridad o un grupo de distribución, se caracterizan por tener un ámbito que identifica el alcance de aplicación del grupo en el árbol de dominios o en el bosque. El límite, o el alcance, de un ámbito de grupo también está determinado por la configuración de nivel funcional de dominio del dominio en el que se encuentra. Existen tres ámbitos de grupo: universal, global y dominio local.

Deja un comentario