Introducción a Active Directory


Resumen


Servicios de directorio es una base de datos distribuida que permite almacenar información relativa a los recursos de una red con el fin de facilitar su localización y administración. Microsoft Active Directory es la implementación más reciente de Servicios de directorio para Windows 2000. Las cuestiones básicas relacionadas con un centro de servicios de directorio giran alrededor de la información que se puede almacenar en la base de datos, cómo se almacena, cómo se puede consultar información específica y qué se puede hacer con los resultados. Active Directory se compone del propio servicio de directorio junto con un servicio secundario que permite el acceso a la base de datos y admite las convenciones de denominación X.500.


Puede consultar el directorio con un nombre de usuario para obtener información como el número de teléfono o la dirección de correo electrónico de ese usuario. Los servicios de directorio también son lo suficientemente flexibles como para permitir la realización de consultas generalizadas ("
¿dónde están las impresoras?
)" o bien "
¿cuáles son los nombres de servidores?
") para ver una lista resumida de las impresoras o servidores disponibles.


Los servicios de directorio también ofrecen la ventaja de suponer un único punto de entrada para los usuarios a la red de toda la empresa. Los usuarios pueden buscar y usar recursos en la red sin conocer el nombre o la ubicación exactos del recurso. Igualmente, puede administrar toda la red con una vista lógica y unificada de la organización de la red y de sus recursos.

Más información


Para asegurarse de que puede crear un diseño eficiente y confiable de Active Directory, necesita conocer tanto la estructura lógica como la física de la red. El examen y el conocimiento de la estructura empresarial de la organización también resultan importantes. Active Directory separa la estructura lógica del dominio de la estructura física real.


ESTRUCTURA LÓGICA

La estructura lógica de una red se compone de elementos intangibles como objetos, dominios, árboles y bosques.


El bloque de construcción básico de Active Directory es el objeto, un conjunto de atributos diferenciado y con nombre que representa un recurso de la red. Los atributos del objeto son características de objetos del directorio. Los objetos se pueden organizar en clases, que son agrupaciones lógicas de objetos. Los usuarios, grupos y equipos son ejemplos de clases de objeto diferentes.


En el nivel más bajo, algunos objetos representan entidades individuales de la red, como un usuario o equipo. Estos objetos de denominan hoja y no pueden contener otros objetos. Sin embargo, para facilitar la administración y simplificar la organización del directorio, puede colocar objetos hoja dentro de otros objetos denominados objetos contenedor. Los objetos contenedor también pueden contener otros contenedores de forma anidada, o jerárquica.


El tipo más común de objeto contenedor es una unidad organizativa (OU, Organizational Unit). Puede usar una unidad organizativa para organizar objetos de un dominio en algún tipo de agrupación lógica administrativa. Es importante tener en cuenta que la estructura y jerarquía de una unidad organizativa dentro de un dominio es independiente de la estructura de cualquier otro dominio.


Todos los objetos de la red, ya sean hojas o contenedores, sólo pueden existir dentro de un dominio. Los dominios se usan para agrupar objetos relacionados con el fin de reflejar la red de una organización. Cada dominio que se crea almacena información acerca de los objetos que contiene, únicamente. Actualmente, el límite admitido para el número de objetos que puede mantener en un dominio es de un millón.


Cada dominio representa un límite de seguridad. El acceso a los objetos dentro de cada dominio se controla mediante entradas de control de acceso (ACE, Access Control Entries) contenidas en listas de control de acceso (ACL, Access Control Lists). Estas opciones de seguridad no cruzan los límites de los dominios. Dentro de Active Directory, un dominio también se puede denominar partición. Dado que un dominio es una partición física de la base de datos de Active Directory, puede estructurarlos por la función empresarial (recursos humanos, ventas o contabilidad) o por la ubicación (geográfica o relativa).


Cuando agrupa dominios relacionados para permitir el uso compartido de los recursos globales, está creando un árbol. Aunque un árbol se puede componer de un único dominio, se pueden combinar varios dentro del mismo espacio de nombres en una estructura jerárquica. Los dominios del árbol se conectan de forma transparente a través de relaciones de confianza de dos sentidos con seguridad basada en Kerberos. Estas confianzas son permanentes, y no se pueden eliminar, y transitivas. En otras palabras, si el dominio A confía en el dominio B y el dominio B confía en el dominio C, entonces el dominio A confía en el dominio C.


Todos los dominios dentro de un árbol comparten una definición formal de todos los tipos de objetos denominada esquema. Además, dentro de un árbol determinado, todos los dominios comparten el catálogo global. El catálogo global es un repositorio central para los objetos del árbol.


Cada árbol también se representa por un espacio de nombres contiguo. Por ejemplo, si el dominio raíz de una compañía es "compañía.com" y crea dominios diferentes para las divisiones de ventas y soporte, los nombres de dominio serían "ventas.compañía.com' y "soporte.compañía.com". A estos dominios se les denomina secundarios. A diferencia de lo que ocurre en Windows NT 4.0, cada dominio genera automáticamente relaciones de confianza.


En el nivel más alto, pueden agruparse árboles dispares para formar un bosque. Un bosque permite combinar divisiones diferentes en una organización o, incluso, pueden agruparse organizaciones distintas. Éstas no tienen que compartir el mismo esquema de denominación y pueden operar de forma independiente y seguir comunicándose entre sí. Todos los árboles de un bosque comparten el mismo esquema, catálogo global y contenedor de configuración. De nuevo, la seguridad basada en Kerberos proporciona las relaciones de confianza entre los árboles.


Otra ventaja de los Servicios de directorio de Windows 2000 es que se puede desinstalar Active Directory sin tener que reinstalar todo el sistema operativo de servidor. Para convertir un servidor miembro en un controlador de dominio, basta con que ejecute la herramienta DCPROMO con el fin de agregar el servidor Active Directory. Para quitar el servidor Active Directory, ejecute la herramienta DCPROMO de nuevo.


ESTRUCTURA FÍSICA

Los controladores de dominio y los sitios son los dos componentes básicos que tienen que ver con la estructura física de una configuración de red de área local.


A diferencia de lo que ocurre en Windows NT 4.0, una red que se compone solamente de equipos donde se ejecuta Windows 2000 no tiene controladores de dominio principal (PDC, Primary Domain Controller) y controladores de dominio de reserva (BDC, Backup Domain Controller). Todos los servidores que participan en la administración de la red en un entorno Windows 2000 se consideran controladores de dominio. Un controlador de dominio (DC) almacena una copia duplicada de la base de datos del directorio y el proceso de replicación es automático entre los controladores del dominio.


En las redes empresariales que abarcan varias ubicaciones geográficas las implicaciones del diseño y la estructura de una red de área ancha son extremadamente importantes cuando se conoce el efecto que la replicación de la base de datos del directorio puede tener en el rendimiento de la red y los controladores de dominio.


ESPACIOS DE NOMBRES

Un espacio de nombres es un área designada que tiene límites específicos donde se puede resolver un nombre lógico asignado a un equipo. El uso principal de un espacio de nombres es organizar las descripciones de los recursos para permitir a los usuarios localizarlos por sus características o propiedades. La base de datos del directorio para un espacio de nombres determinado se puede usar con el fin de localizar un objeto sin conocer su nombre. Si un usuario sabe el nombre de un recurso, puede consultar información útil acerca de ese objeto.


Una cuestión importante que hay que tener en cuenta es que el diseño del espacio de nombres determina, a la larga, el grado de utilidad que la base de datos representará para los usuarios a medida que crezca. Los algoritmos de ordenación y búsqueda no pueden vencer los inconvenientes de un diseño lógico inadecuado.


En lo que se refiere a la lógica, Active Directory de Windows 2000 es, simplemente, otro espacio de nombres. En Active Directory se almacenan dos tipos principales de información:


  • La ubicación lógica del objeto.
  • Una lista de atributos acerca del objeto.
Estos objetos tienen atributos asignados, como un número de teléfono, ubicación de oficina, etc., y se pueden usar para localizar objetos en la base de datos del directorio. El uso de atributos para la búsqueda es incluso más importante cuando el esquema de Active Directory se extiende, es decir, se modifica. Cuando se agregan objetos, clases de objetos o atributos de esos objetos a la base de datos del directorio, su estructura determina su utilidad para los usuarios del directorio.


Cada contenedor y objeto de un árbol tiene un nombre único. Un espacio de nombres es una colección de la ruta completa de todos los contenedores y objetos, o ramas y hojas, del árbol. La ubicación de un objeto en un árbol determina el nombre completo.


Un nombre completo (DN) se compone de la ruta de acceso completa desde el principio de un espacio de nombres específico a través de la jerarquía completa del árbol. Como los nombres diferenciados son útiles para organizar la base de datos de un directorio pero pueden no resultar de utilidad para recordar el objeto, en Active Directory también se usan nombres en referencia relativa (RDN). Un RDN es la parte del nombre de un objeto que es un atributo del propio objeto.


La base para el espacio de nombres usado en muchas redes se fundamenta en el Sistema de nombres de dominio (DNS, Domain Name System) usado en Internet. Esta conexión con DNS contribuye a determinar la forma del árbol de Active Directory y la relación de los objetos entre sí. Los controladores de dominio son los dominios que se enumeran como nombres completos, mientras que los nombres comunes (CN) son las rutas de acceso específicas de los objetos usuario del directorio.


CATÁLOGO GLOBAL

El catálogo global contiene una réplica parcial de cada dominio de Windows 2000 del directorio y es generado automáticamente por el sistema de replicación de Active Directory. Esto permite a los usuarios y aplicaciones buscar objetos en un árbol de dominios de Active Directory determinado dados uno o varios atributos del objeto buscado. El catálogo también contiene el esquema y la configuración de las particiones del directorio. Esto implica que el catálogo global contiene una copia de cada objeto de Active Directory, pero con sólo una pequeña cantidad de sus atributos. Los atributos del catálogo global son los que se usan con más frecuencia en las operaciones de búsqueda, como el nombre y los apellidos de los usuarios, los nombres de inicio de sesión y demás, y los requeridos para localizar una copia completa del objeto.


Con esta información común, los usuarios pueden encontrar objetos de interés rápidamente sin conocer qué dominio los contiene y sin requerir un espacio de nombres contiguo en la empresa. Si el objeto no se puede encontrar en el catálogo global, la utilidad de búsqueda puede consultar la partición de su dominio local para buscar información.


Puede usar la herramienta Administrador de esquema para cambiar el esquema y definir los atributos que se almacenan en el catálogo global. Dado que el catálogo global replica los cambios realizados a todos los servidores de catálogo global, es aconsejable limitar la cantidad de atributos almacenados en las particiones locales para no afectar al rendimiento ni a las tareas de mantenimiento.


INTEGRAR DNS CON ACTIVE DIRECTORY

La integración de DNS y Active Directory es una característica fundamental de Windows 2000 Server. Los dominios DNS y los dominios de Active Directory usan nombres idénticos para espacios de nombres diferentes. Es importante comprender que no son el mismo espacio de nombres incluso aunque los dos compartan una estructura de dominios idéntica. Cada uno almacena datos diferentes y administra objetos distintos. DNS usa zonas y registros de recursos mientras que Active Directory usa dominios y objetos de dominio.


Por ejemplo, si una de las propiedades de un objeto es un nombre de dominio completo, como SERVIDOR1.VENTAS.MIORGANIZACIÓN.COM, Active Directory consulta DNS para solicitar la dirección TCP/IP del servidor y el solicitante de Windows 2000 puede entonces establecer una sesión TCP/IP con el servidor.


La integración entre Active Directory y DNS es efectuada por cada servidor Active Directory que publica su propia dirección en los registros de recursos de servicios en un host DNS.


IDENTIFICADOR ÚNICO GLOBAL

Como cada objeto de una red debe identificarse mediante una propiedad única, Active Directory lo consigue mediante la asociación de un identificador único global (GUID, Global Unique Identifier) con cada objeto. Se garantiza que este número es único y la base de datos del directorio no lo cambia nunca, ni siquiera si cambia el nombre lógico del objeto. El GUID se genera cuando un usuario o aplicación crea por primera vez el nombre completo (DN) en el directorio.


REPLICACIÓN

Mientras la estructura de una red en Windows NT 4.0 se basaba en un modelo con controladores principales de dominio y controladores de reserva de dominio, en una red Windows 2000 todos los servidores se conocen como controladores de dominio (DC) y funcionan como iguales entre sí. Con Active Directory, todos los controladores de dominio replican dentro de un sitio de forma automática, admiten la replicación con múltiples maestros y replican información de Active Directory entre todos los controladores de dominio. La introducción de la replicación con múltiples maestros significa que los administradores pueden hacer actualizaciones en Active Directory o en cualquier controlador de dominio de Windows 2000 del dominio.


La replicación de bases de datos con múltiples maestros también contribuye a controlar las decisiones de cuándo se sincronizan cambios, cuya información es más actual, y cuándo detener la replicación de los datos para evitar su duplicación o redundancia. Para determinar qué información tiene que actualizarse, Active Directory usa números de secuencia de actualización (USN, Update Sequence Numbers) de 64 bits. Estos números se crean y asocian con todas las propiedades. Cada vez que se modifica un objeto, se incrementa su USN y se almacena con la propiedad.


Cada servidor Active Directory mantiene una tabla de los números de secuencia de actualización más recientes de todos los asociados de replicación de un sitio. Esta tabla se compone del USN mayor para cada propiedad. Cuando se alcanza el intervalo de replicación, cada servidor solicita sólo los cambios con un USN mayor que el que aparece en su propia tabla.


De vez en cuando, se puede hacer cambios a dos servidores Active Directory diferentes para la misma propiedad antes de replicar todos los cambios. Esto provoca una colisión de replicación. Uno de los cambios debe declararse como más preciso y se debe usar como origen de todos los demás asociados de replicación. Para solucionar este posible problema, Active Directory usa el valor de un número de versión de propiedad (PVN, Property Version Number) para todo el sitio. Este número se incrementa cuando tiene lugar una escritura de origen. Este tipo de escritura es la que ocurre directamente en un servidor Active Directory en particular.


Cuando dos o más valores de propiedad con el mismo PVN se han cambiado en ubicaciones diferentes, el servidor Active Directory que recibe el cambio comprueba las marcas de tiempo y usa la más reciente para la actualización. La ramificación más importante de este problema es la configuración y mantenimiento de un reloj central en la red.


Otro problema de la replicación es la aparición de bucles. Active Directory permite a los administradores configurar varias rutas por motivos relacionados con la redundancia. Para impedir que los cambios no terminen nunca de actualizarse, Active Directory crea listas de pares de USN en cada servidor. Estas listas se denominan vectores de actualización (UDV, Up-to-date Vectors). Contienen el mayor USN de cada escritura de origen. Cada vector de actualización enumera el resto de los servidores dentro del propio sitio. Cuando se produce la replicación, el servidor solicitante envía su propio vector de actualización al servidor que realiza el envío. Para determinar si el cambio sigue teniendo que replicarse se usa el mayor USN para cada escritura de origen. Si el número USN es igual o mayor, no se requiere hacer ningún cambio porque el servidor solicitante ya está actualizado.


CAMBIOS CON GRUPOS

Otro aspecto del proceso de planeamiento para Active Directory es el concepto de grupos. En Windows NT 4.0, los administradores de red disponían de dos tipos básicos de grupos: locales y globales. Por las limitaciones inherentes de esta estructura, ahora Windows 2000 proporciona una mayor funcionalidad y flexibilidad a los administradores de red con los grupos siguientes:
  • Grupos con ámbito local (también se denominan grupos locales)
  • Grupos con ámbito local de dominio (también se denominan grupos locales de dominio)
  • Grupos con ámbito global (también se denominan grupos globales)
  • Grupos con ámbito universal (también se denominan grupos universales)
Un cambio importante que hay que observar es que los grupos globales ahora pueden contener otros grupos globales. Aunque los grupos globales se siguen usando para recopilar usuarios, la capacidad de colocar un grupo dentro de otro permite a los administradores ubicarlos en cualquier lugar de un bosque, con el fin de facilitar el mantenimiento. No obstante, los grupos globales sólo pueden contener usuarios y grupos de un dominio del bosque de Active Directory.


Debido a que muchas redes pueden contener una mezcla de servidores Windows 2000 y Windows NT 4.0, antes de crear grupos debe determinar el número y el tipo de dominios de la red y cuáles de esos dominios son de modo mixto y cuáles de modo nativo:
  • Dominio de modo mixto. El sistema operativo Windows 2000 instala, de forma predeterminada, una configuración de red en modo mixto. Un dominio de modo mixto es un conjunto de equipos conectados en red en los que se ejecutan controladores de dominio tanto de Windows NT 4.0 como de Windows 2000. (También puede tener un dominio de modo mixto donde se ejecuten sólo controladores de dominio de Windows 2000.)
  • Dominio de modo nativo. Puede convertir un dominio al modo nativo cuando sólo contiene controladores de dominio de Windows 2000 Server.

El grupo universal (nuevo en Windows 2000) puede contener todos los demás grupos y usuarios de cualquier árbol del bosque y se puede usar con cualquier lista de control de acceso (ACL) dentro del mismo.


Los grupos locales, de dominio local y universales se pueden combinar para controlar el acceso a los recursos de la red. El uso básico de los grupos globales es la organización de usuarios en contenedores administrativos que representan sus dominios respectivos. Los grupos universales se usan para contener grupos globales de los diversos dominios para administrar además la jerarquía de dominios cuando se otorgan permisos. Los grupos globales se pueden agregar a grupos universales y, después, asignar permisos a los grupos de dominio local donde exista el recurso físicamente. Al estructurar los grupos de esta forma, los administradores pueden agregar o quitar usuarios de cada grupo global del dominio para controlar el acceso a los recursos en toda la empresa sin tener que hacer cambios en varias ubicaciones.