Active Directory (AD) es el trmino que usa Microsoft para referirse a su implementacin de servicio de directorio en una red distribuida

de computadores. Utiliza distintosprotocolos (principalmente LDAP, DNS, DHCP, Kerberos...). Su estructura jerrquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignacin de recursos y polticas de acceso. 1 Active Directory permite a los administradores establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory almacena informacin de una organizacin en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequea hasta directorios con millones de objetos.

Estructura

Active Directory est basado en una serie de estndares llamados X.500, aqu se encuentra una definicin lgica a modo jerrquico.

Dominios y subdominios se identifican utilizando la misma notacin de las zonas DNS, razn por la cual Active Directory requiere uno o ms servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lgicos de la red, como el listado de usuarios.

Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, ser reconocido en todo el rbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.

A su vez, los rboles pueden integrarse en un espacio comn denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relacin de trust o confianza entre ellos. De este modo los usuarios y recursos de los distintos rboles sern visibles entre ellos, manteniendo cada estructura de rbol el propio Active Directory.

[editar]Objetos Active Directory se basa en una estructura jerrquica de objetos. Los objetos se enmarcan en tres grandes categoras. recursos (p.ej. impresoras), servicios (p.ej. correo electrnico), y usuarios (cuentas, o usuarios y grupos). El AD proporciona informacin sobre los objetos, los organiza, controla el acceso y establece la seguridad.

Cada objeto representa una entidad individual ya sea un usuario, un equipo, una impresora, una aplicacin o una fuente compartida de datos y sus atributos. Los objetos pueden contener otros objetos. Un objeto est unvocamente identificado por su nombre y tiene un conjunto de atributoslas caractersticas e informacin que el objeto puede contenerdefinidos por y dependientes del tipo. Los atributos, la estructura bsica del objeto, se definen por un esquema, que tambin determina la clase de objetos que se pueden almacenar en el AD.

"Cada atributo se puede utilizar en diferentes "schema class objects". Estos objetos se conocen como objetos esquema, o metadata, y existen para poder extender el esquema o modificarlo cuando sea necesario. Sin embargo, como cada objeto del esquema se integra con la definicin de los objetos del ANUNCIO, desactivar o cambiar estos objetos puede tener consecuencias serias porque cambiar la estructura fundamental del ANUNCIO en s mismo. Un objeto del esquema, cuando es alterado, se propagar automticamente a travs de Active Directory y una vez que se cree puede ser desactivado-no solamente suprimido. Cambiar el esquema no es algo que se hace generalmente sin un cierto planeamiento " OLMER

[editar]Funcionamiento

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la informacin relativa a un dominio de autenticacin. Una de sus ventajas es la sincronizacin presente entre los distintos servidores de autenticacin de todo el dominio.

A su vez, cada uno de estos objetos tendr atributos que permiten identificarlos en modo unvoco (por ejemplo, los usuarios tendrn campo nombre, campo email, etctera, las impresoras de red tendrn campo nombre, campo fabricante, campo modelo, campo "usuarios que pueden acceder", etc). Toda esta informacin queda almacenada en Active Directory replicndose de forma automtica entre todos los servidores que controlan el acceso al dominio.

De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administracin, los eventuales cambios sern visibles en todo el mbito. Para decirlo en otras

palabras, Active Directory es una implementacin de servicio de directorio centralizado en una red distribuida que facilita el control, la administracin y la consulta de todos los elementos lgicos de una red (como pueden ser usuarios, equipos y recursos).

[editar]Intercambio entre dominios2 Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa una relacin de confianza (en ingls, trust). La relacin de confianza es creada automticamente cuando se crean nuevos dominios. Los lmites de la relacin de confianza no son marcados por dominio, sino por el bosque al cual pertenece. Existen relaciones de confianza transitivas, donde las relaciones de confianza de Active Directory pueden ser un acceso directo (une dos dominios en rboles diferentes, transitivo, una o dos vas), bosque (transitivo, una o dos vas), reino (transitivo o no transitivo, una o dos vas), o externo (no transitivo, una o dos vas), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque tambin soporta NTLM y usuarios webs mediante autentificacin SSL/TLS.

[editar]Confianza transitiva Las Confianzas transitivas son confianzas automticas de dos vas que existen entre dominios en Active Directory.

[editar]Confianza explcita Las Confianzas explcitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticacin. Este tipo de relacin puede ser de una o dos vas, dependiendo de la aplicacin.

Las Confianzas explcitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0.

[editar]Confianza de Acceso Directo La Confianza de acceso directo es, esencialmente, una confianza explcita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticacin.

[editar]Confianza entre bosques La Confianza entre bosques permite la interconexin entre bosques de dominios, creando relaciones transitivas de doble va. En Windows 2000, las confianzas entre bosques son de tipo explcito, al contrario de Windows Server 2003.

[editar]Direccionamientos a recursos Los direccionamientos a recursos de Active Directory son estndares con la Convencin Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP.

Cada objeto de la red posee un nombre de distincin (en ingls, Distinguished name (DN)), as una impresora llamada Imprime en una Unidad Organizativa (en ingls, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

en DN sera CN=Imprime,OU=Ventas,DC=foo,DC=org, donde CN es el nombre comn (en ingls, Common Name) DC es clase de objeto de dominio (en ingls, Domain object Class). En forma cannica sera foo.org/Ventas/Imprime Los otros mtodos de direccionamiento constituyen una forma local de localizar un recurso

Distincin de Nombre Relativo (en ingls, Relative Distinguised Name (RDN)), que busca un recurso slo con el Nombre Comn (CN). Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar informacin Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en ingls, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio

[editar]Diferencias entre Windows NT y Active Directory

A diferencia del anterior sistema de administracin de dominios de Windows NT Server, que provea nicamente el dominio de administracin, Active Directory permite tambin crear estructuras jerrquicas de dominios y subdominios, facilitando la estructuracin de los recursos segn su localizacin o funcin dentro de la organizacin a la que sirven. Otra diferencia importante es el uso de estndares como X.500 y LDAP para el acceso a la informacin.

[editar]Interfaces de programacin3

Las interfaces de servicio de Active Directory (ADSI) entregan al programador una interfaz orientada a objetos, facilitando la creacin de programas de directorios mediante algunas herramientas compatibles con lenguajes de alto nivel, como Visual Basic, sin tener que lidiar con los distintos espacios de nombres.

Mediante las ADSI se permite crear programas que realizan un nico acceso a varios recursos del entorno de red, sin importar si estn basados en LDAP u otro protocolo. Adems, permite generar secuencias de comandos para los administradores.

Tambin se puede desarrollar la Interfaz de mensajera (MAPI), que permite generar programas MAPI.

[editar]Requisitos de instalacin4

Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:

Tener cualquier versin Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008, en el caso de 2003 server, tener instalado el service pack 1 en la mquina. Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una direccin asignada por DHCP,

Tener un servidor de nombre de DNS, para resolver la direccin de los distintos recursos fsicos presentes en la red Poseer ms de 250 MB en una unidad de disco formateada en NTFS.DE WINDOWS

Tipos de grupos
Seguridad
Grupos de seguridad se utilizan para controlar el acceso a los recursos. Tambin se puede utilizar como listas de distribucin de correo electrnico.

Distribucin
Grupos de distribucin pueden utilizarse solamente para listas de distribucin de correo electrnico, o agrupaciones administrativas simples. Estos grupos no se puede utilizar para controlar el acceso porque no son "seguridad habilitada". En los dominios de modo nativo, se puede convertir un tipo de grupo en cualquier momento. En dominios de modo mixto, tipo de un grupo se fija en el momento de la creacin y no se puede cambiar.

Tipos de mbito
Universal
Los grupos universales pueden utilizarse en cualquier lugar en el mismo bosque de Windows. Slo estn disponibles en una empresa de modo nativo. Grupos universales pueden ser un enfoque ms sencillo para algunos administradores porque no hay ninguna limitacin intrnseca en su uso. Los usuarios pueden asignarse directamente a los grupos universales, pueden anidarse, y puede utilizarse directamente con las listas de control de acceso para indicar los permisos de acceso en cualquier dominio de la empresa. Los grupos universales se almacenan en el catlogo global (GC); Esto significa que todos los cambios realizados a estos grupos generan replicacin en todos los servidores de catlogo global en toda la empresa. Cambios a los grupos universales, por tanto, deben realizarse slo despus de un examen cuidadoso de las ventajas de los grupos universales en comparacin con el costo de la carga de replicacin de catlogo global mayor. Si una organizacin tiene pero una LAN nica y bien conectada, degradacin del rendimiento no debe ser experimentada mientras sitios dispersos podran tener un impacto significativo. Normalmente, las organizaciones que utilizan redes de rea extensa deben utilizar grupos universales slo para grupos relativamente estticos en los que las pertenencias a rara vez cambian.

Global
Los grupos globales son el mbito principal de los grupos en el que los usuarios se colocan en los dominios de modo mixto.Los grupos globales pueden colocarse nicamente en los descriptores de seguridad de objetos de recursos que residen en el mismo dominio. Esto significa que no se puede restringir el acceso a un objeto que se basa nicamente en la pertenencia del usuario a un grupo global de otro dominio.

Se evala la pertenencia al grupo global para un usuario cuando dicho usuario inicia sesin en un dominio. Porque la pertenencia al grupo global est centrada en el dominio, cambios en la pertenencia al grupo global no exijan la replicacin del catlogo global a lo largo de toda la empresa. En un dominio en modo nativo, los grupos globales pueden anidarse dentro de otros. Esto puede ser til cuando los administradores de unidades organizativas anidadas y desea delegar funciones administrativas de la unidad organizativa (OU) de manera decreciente correctamente hacia abajo de un rbol de la unidad organizativa. En esta situacin, un rbol de grupo global puede utilizarse como una construccin paralela, para la asignacin de estos privilegios decrecientes

Dominio Local
Grupos locales de dominio pueden utilizarse para la asignacin directa de las directivas de acceso a recursos especficos que no se almacenan directamente en Active Directory, (por ejemplo, recursos compartidos de servidor de archivos, las colas de impresin etc.). Grupos locales de dominio no deben utilizarse para asignar permisos sobre objetos de Active Directory, ya que no se puede evaluar los grupos locales de dominio en otros dominios, y partes de la mayora de los objetos de Active Directory se replican en otros dominios en el formulario del catlogo global. Las restricciones de acceso que se aplican a los objetos de Active Directory que se basan en la pertenencia al grupo Local de dominio no tienen efecto en las consultas de catlogo global que tienen lugar en grupos que no sea el dominio en el que se origin el grupo Local de dominio. Ahora que ya tenemos creados los grupos podemos aadir objetos como miembros de los grupos. Es este tutorial aadiremos usuarios y equipos a grupos. Como es costumbre, nos logeamos en el servidor con una cuenta con permisos de administrador. Abrimos nuestra ya famosa consola MMC personalizada.

Extendemos Active Directory Users and Computers. Dentro del dominio contoso.com, seleccionamos la OU administradores y dentro de esta seleccionamos nuestro usuario con permisos administrativos. Te acuerda que la creamos en otro tutorial, no?

Boton derecho > propiedades. Seleccionamos la pestaa Member of y pulsamos en el boton Add.

En el cuadro de dialogo Select Groups que se muesta a continuacion, escribimos domain admins y pulsamos en el boton OK.

A continuacion volvemos a pulsar el boton Ok para cerrar las propiedades de esta cuenta de usuario.

Lo que hemos hecho es aadir al usuario oscar_admin (cada uno el vuestro) al grupo de administradores del dominio. lo veis? Ahora seleccionamos el grupo help desk en la misma Unidad Organizativa y abrimos las propiedades de este grupo.

En el caso de los grupos de usuarios, ya sabremos que son contenedores de cuentas de usuario, no? Ah! por si acaso. Ahora lo que vamos a hacer es agregar al usuario sara a este grupo. Para ello, pulsamos en el boton Add.

Vale, ahora escribimos el nombre del usuario a aadir, en este caso sara y pulsamos sobre el boton Check Names.

Os acordareis que creamos dos usuarios que se llaman Sara. Uno es Sara Garcia y el otro Sara Gomez. Puesto que el comienzo del nombre de usuario de los dos coincide con lo que hemos escrito, nos muestra las posibilidades que tenemos:

Hemos seleccionado el usuario sara gomez y pulsado en OK. En el siguiente cuadro de dialogo ya nos muestra el usuario que hemos seleccionado. Pulsamos Ok.

Y ya lo tenemos aadido al grupo help desk. Ok y listo.

Ahora seleccionamos el grupo APP_office 2007 y abrimos sus propiedades.

Nos posicionamos en la pestaa Members. Pulsamos el boton Add para aadir un objeto.

En este caso, vamos a aadir una cuenta de equipo (sobremesa101). Escribimos sobremesa101 y pulsamos Check Names.

Como somos unos fenomenos, no hemos cambiado los tipos de objetos en los que centrara su busqueda y nos intenta buscar en users, groups, or other objects. Por eso el mensaje siguiente:

Pulsamos en Cancel para volver al cuadro de dialogo anterior. Ahora si, pulsamos en el boton Object Types para seleccionar los tipos de objetos.

En el cuadro de dialogo Object Types aseguraos de seleccionar la casilla correspondiente a Computers. Pulsamos en OK.

Volvemos a pulsar en Check Names.

Ahora si que lo ha encontrado. Lo notamos en que ahora esta subrayado. Pulsamos en OK

Vale, ya esta aadido al grupo APP_office_2007.

Pulsamos en Ok para guardarlos cambios efectuados y ya esta.

Bueno, hoy ya es Viernes y por fin consigo enganchar un buen ritmo de publicacin, al menos esta semana, hoy para terminar la semana y rematar el tema de las delegaciones vamos con el ltimo vdeo sobre este tema, salvo que lleguen peticiones o preguntas de las lectores y lectores de este espacio. En esta ocasin vamos a ver como delegar en un usuario la posibilidad de crear otros usuarios dentro de una Unidad Organizativa concreta, cosa que puede llegar a ser de mucha utilidad y que como podremos ver en el vdeo es bastante segura al limitar tajantemente otras tareas complementarias como la creacin de contraseas. Como ya hemos aprendido, mediante la delegacin podemos conseguir que un Usuario del dominio sin privilegios de ningn tipo en la administracin del servidor pueda llevar a cabo algunas tareas administrativas sin la necesidad u obligacin forzosa de tener que otorgar derechos de administrador en toda la red, lo que lo hace muy interesante sobre todo en redes grandes.

En esta ocasin estableceremos los permisos trabajando directamente con las ACL por lo que el asistente lo dejaremos para otra ocasin ya que adems nos va a servir para darnos cuenta de algunos problemas que puede tener esto de la delegacin, sin contar que es algo que debemos utilizar con mucho cuidado, bien, vamos con una captura que muestra el momento en el que otorgamos los permisos para la delegacin.

Delegar la cvreacin de usuarios

Aqu estamos viendo la opcin de configuracin justa que permitir al usuario seleccionado crear otros usuarios dentro de la unidad organizativa con la que estamos trabajando, pero, ya he dicho un poco ms arriba que hay que tener en cuenta que este es un Usuario del dominio normal y corriente, y si solo otorgamos estos privilegios podemos encontrarnos con problemas como el que veremos a continuacin.

Delegar la cvreacin de usuarios - Errores