Active Directory

Active Directory (AD) o Directorio Activo son los términos que utiliza Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos, principalmente LDAP, DNS, DHCP y Kerberos.

De forma sencilla se puede decir que es un servicio establecido en uno o varios servidores en donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los inicios de sesión en los equipos conectados a la red, así como también la administración de políticas en toda la red.

Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.[1]

Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequeña hasta directorios con millones de objetos.

Funcionamiento

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la información relativa a un dominio de autenticación. Una de sus ventajas es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.

A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo «email», etcétera, las impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo "usuarios que pueden acceder", etc). Toda esta información queda almacenada en Active Directory replicándose de forma automática entre todos los servidores que controlan el acceso al dominio.

De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administración, los eventuales cambios serán visibles en todo el ámbito. Para decirlo en otras palabras, Active Directory es una implementación de servicio de directorio centralizado en una red distribuida que facilita el control, la administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos).

Intercambio entre dominios[2]

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa una relación de confianza (en inglés, trust). La relación de confianza es creada automáticamente cuando se crean nuevos dominios. Los límites de la relación de confianza no son marcados por dominio, sino por el bosque al cual pertenece. Existen relaciones de confianza transitivas, donde las relaciones de confianza de Active Directory pueden ser un acceso directo (une dos dominios en árboles diferentes, transitivo, una o dos vías), bosque (transitivo, una o dos vías), reino (transitivo o no transitivo, una o dos vías), o externo (no transitivo, una o dos vías), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque también soporta NTLM y usuarios webs mediante autentificación SSL/TLS.

Confianzas transitivas

Las Confianzas transitivas son confianzas automáticas de dos vías que existen entre dominios en Active Directory.

Confianza de Acceso Directo

La Confianza de acceso directo es, esencialmente, una confianza explícita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticación.

Confianza entre bosques

La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.

Direccionamientos a recursos

Los direccionamientos a recursos de Active Directory son estándares con la Convención Universal de Nombres ( UNC), Localizador Uniforme de Recursos ( URL) y Nombres de LDAP.

Cada objeto de la red posee un nombre de distinción (en inglés, Distinguished name (DN)), así una impresora llamada Imprime en una Unidad Organizativa (en inglés, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

  • en DN sería CN=Imprime,OU=Ventas,DC=foo,DC=org, donde
    • CN es el nombre común (en inglés, Common Name)
    • DC es clase de objeto de dominio (en inglés, Domain object Class).
  • En forma canónica sería foo.org/Ventas/Imprime

Los otros métodos de direccionamiento constituyen una forma local de localizar un recurso

  • Distinción de Nombre Relativo (en inglés, Relative Distinguised Name (RDN)), que busca un recurso sólo con el Nombre Común (CN).
  • Globally Unique Identifier ( GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar información

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en inglés, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio

Other Languages
کوردیی ناوەندی: ئەکتیڤ دایرێکتۆری
čeština: Active Directory
français: Active Directory
עברית: Active Directory
Bahasa Indonesia: Direktori aktif
日本語: Active Directory
latviešu: Active Directory
Nederlands: Active Directory
norsk nynorsk: Active Directory
norsk bokmål: Active Directory
português: Active Directory
русский: Active Directory
slovenčina: Active Directory
українська: Active Directory
ייִדיש: Active Directory