Concepto de directorio yActive Directory DomainServices (AD DS)

Sistemas Operativos 1

Clase No.2

Ing. Miguel Jimenez

Introduccin

En un entorno empresarial, los usuarios, sus equipos informticos y el resto de dispositivos que conformen la red de la organizacin, podrn compartir informacin entre ellos.

Para un administrador de sistemas, la forma ms sencilla de poder organizar todos estos recursos es mediante la creacin de un dominio de sistemas, a partir del cual podamos realizar todas las tareas asociadas con la parte administrativa y de seguridad de una forma centralizada en un servidor, o en varios si es necesario.

Para ello, el sistema operativo Windows Server 2008 utiliza el concepto de directorio. Para la implementacin de estos dominios de sistemas Windows, ya sean en versin para servidores como para equipos clientes (Windows XP, Windows Vista o Windows 7).

Directorio

Un directorio Se puede definir como una estructura jerrquica cuyo objetivo principal es el de guardar la informacin de los objetos que se encuentran en nuestra organizacin.

Este directorio suele estar basado en una base de datos que est especialmente diseada para operaciones de lectura y consulta.

Servicios de Directorio

En la actualidad, existen varios estndares para la implementacin de servicios de directorio, como por ejemplo el Directory Access Protocol, o la versin ms utilizada del mismo, que es ms simplificada, denominada LDAP(Lightweight Directory Access Protocol).

El servicio de directorio utilizado en Windows Server 2008 es el comnmente denominado Directorio Activo oServicios de Dominio del Directorio Activo (Active Directory Domain Services, AD DS).

Active Directory Domain Services (AD DS)

El servicio de directorio utilizado en Windows Server2008 es el comnmente denominado Directorio Activo o Servicios de Dominio del Directorio Activo (Active Directory Domain Services, AD DS).

Mediante el directorio activo, almacenaremos la informacin sobre los recursos que tenemos a nuestra disposicin en el dominio y podemos otorgar permisos de acceso a usuarios y aplicaciones para que puedan acceder a los mismos.

De esta forma, los administradores de sistemas, tienen a su disposicin una herramienta a partir de la cual le sern ms sencillas las tareas de organizacin, administracin y control del acceso a estos recursos, todo ello de una manera centralizada.Controlador de Dominio y Clientes deDominio

La instalacin de Active Directory en un servidor que tiene instalado Windows Server 2008 lo convertir en un Controlador de Dominio(Domain Controller, DC), mientras que el resto de los equipos informticos de la red pasarn a ser miembros de este dominio en forma de clientes, pudiendo consultar la base de datos para sus operaciones.

Mediante la implementacin de servicios de directorio para administrar los dominios, podremos separar nuestra organizacin, aunque sea de una manera conceptual, en una estructura lgica(los dominios) y en una estructura fsica(topologa de red).

De esta forma, conseguiremos independizar la forma en la que queramos estructurar nuestros dominios en la organizacin de la topologa de red o redes que vayan a interconectar nuestros sistemas.Estructura de Active Directory

Funciones de Active Directory:

Realizar el control de los recursos de red de una forma centralizada: de esta forma, podremos administrar recursos como servidores, archivos compartidos e impresoras, y otorgar permisos de uso solo a usuarios autorizados para que puedan tener acceso a los recursos de Active Directory.

Centralizar y descentralizar la administracin de recursos: los administradores pueden administrar equipos clientes distribuidos, servicios de red y aplicaciones desde una ubicacin central mediante una interfaz de administracin coherente o pueden distribuir tareas administrativas mediante la delegacin del control de los recursos a otros administradores.

Almacenar objetos de forma segura en una estructura lgica: Active Directory almacena todos los recursos como objetos en una estructura lgica, jerrquica y segura.

Optimizar el trfico de red: la estructura fsica de Active Directory nos posibilitar el uso del ancho de banda de una manera ms eficiente.

Estructura lgica

En la parte relativa a la estructura lgica de la organizacin, el elemento ms importante en la que se basa es el dominio, dentro del cual podremos administrar los diferentes usuarios, ordenadores, grupos, directivas, etc.

A su vez, un dominio podr ser dividido en unidades organizativas, que nos evitar tener que crear varios dominios para nuestra organizacin de tal forma que puedan ser administradas de forma independiente.

Pero si fuera necesaria la creacin de otros dominios, podramos hacerlo mediante los conceptos de rbol y bosque. Los dos son jerarquas de dominios a distintos niveles, en funcin de si los dominios van a compartir o no un espacio de nombres comn.

Por otro lado, estarn los objetos, que sern los diferentes recursos y usuarios, y son la unidad mnima dentro de la estructura lgica de Active Directory.

Conceptos de Active Directory

Dominio

rbol y Bosque

Unidades Organizativas

Sitios

Catlogo Global

Esquema

Usuarios

Grupos

Equipos

Protocolos deAutenticacin

Dominio

El dominio ser el principal elemento dentro de una estructura de Active Directory. Estar formado por un conjunto de equipos, que van a compartir informacin almacenada en una base de datos.

En un dominio, al menos, tendr que existir un servidor que tenga instalado Windows Server 2008 y que est actuando como Controlador de Dominio(DC) y un nmero variable de equipos clientes, que recibirn la denominacin de miembros del dominio.

Este dominio, estar unvocamente identificado gracias a un nombre de dominio DNS, que a su vez ser el sufijo DNS principal de todos los miembros del dominio, y esto incluye tambin a el o los controladores de dominio.

Funcionalidades de un Dominio

Mediante la implementacin de dominios, podremos obtener las siguientes funcionalidades:

Delimitar la seguridad: Aunque tengamos un escenario donde coexistan variosdominios que puedan tener relacin, todos los aspectos relacionados con la seguridad que hayan sido configurados para cada uno de ellos, sern independientes unos de otros.

Replicacin de la informacin: El motivo de realizar esta tarea es que en cada uno de los controladores de dominio, existir la denominada particin del dominio, que va a almacenar la base de datos del directorio y ser compartida o no segn sea conveniente, con los dems DC.

Esta particin, es en s misma una unidad de replicacin, que tendr copias idnticas en el resto de los controladores de dominio que formen su unidad de replicacin (todos ellos pertenecientes al mismo dominio).

Funcionalidades de un Dominio

Uso de polticas de grupo: Mediante la creacin de polticas de grupo, que sern aplicadas a dicho dominio, podremos delimitar cmo queremos que se comporten los equipos y usuarios que formen parte del mismo.

Delegacin de los permisos administrativos: En ocasiones, en organizaciones amplias, puede ser interesante la idea de tener varios usuarios o unidades organizativas, que puedan realizar las tareas de administracin. Como ya hemos dicho que un dominio representa un lmite de seguridad, estos permisos sern limitados al dominio.Creacin de mltiples dominios: rbol ybosque

Cuando en una organizacin sea necesario disponer de varios dominios, mediante Active Directory podremos almacenar y organizar toda la informacin deldirectorio de todos estos dominios de forma independiente unos de otros, aunque la informacin siempre estar disponible para todos ellos.

Esta forma de organizar los dominios se basa en una estructura de rbol invertida, donde la raz estar en la parte superior, y la vinculacin que exista entre los diferentes dominios quedar detallada mediante la configuracin de relaciones de confianza, que explicaremos ms adelante.Creacin de mltiples dominios: rbol ybosque

El dominio raz del bosque ser creado al instalar el primer controlador de dominio dentro de la organizacin, y ser el encargado de almacenar la configuracin y esquema del bosque, que ser compartido con el resto de dominios. Una vez creado este dominio raz, podremos aadir otros subdominios a dicha raz (rbol de dominios), o podremos crear otros dominios hermanos del dominio inicial, para, as, ampliar el nmero de rboles del bosque de dominios, que a su vez podr crear tambin subdominios.

*** BOSQUE: Ser una estructura lgica formada por un conjunto de dominios que a su vez podr estar compuesto por uno o varios dominios, distribuidos en uno o varios rboles de dominios.

rbol de dominio

Un rbol estar formado por uno o ms dominios dentro de un mismo bosque y compartirn un espacio de nombres contiguo (sufijo DNS comn).

El primer dominio que se crea ser el dominio raz del bosque, que ser creado en ese momento y siendo el primer rbol de dicho bosque. Cuando se decida aadir un nuevo dominio, ste se convertir en un dominio secundario de alguno de los dominios existentes, que se convertir en un dominio padre. Estos dominios secundarios suelen ser utilizados para delimitar zonas geogrficas de la organizacin o diferentes departamentos.

Por ejemplo.

Una vez formado el rbol de dominios, las relaciones padre-hijo entre ellos es una relacin de confianza, donde cada uno seguir manteniendo sus propias caractersticas e independencia. De esta forma, un dominio padre no ser automticamente el administrador del dominio hijo, ni las polticas que tenga configuradas en su dominio, sern automticamente aplicadas al hijo.

Bosque

Un bosque estar compuesto por un grupo de rboles que no van a compartir un espacio de nombres contiguo, y que estarn interconectados a travs de relaciones de confianza bidireccionales. Es importante comprender que independientemente de cul sea la cantidad y estructuracin de los dominios que puedan localizarse dentro de una organizacin, todos juntos formarn un nico bosque.

De esta forma, todos los dominios que formen parte del bosque, van a compartir la misma configuracin, el mismo esquema de directorio y el mismo catlogo global (concepto que definiremos ms adelante).

Cuando queramos aadir nuevos dominios aun bosque, tendremos que tener en cuenta las siguientes consideraciones:

No podrn ser movidos dominios de ActiveDirectory entre diferentes bosques.

Un dominio dentro de un bosque solo podr ser eliminado si no tiene dominios hijo.

Una vez que se haya creado el dominio raz deun rbol, no podrn ser aadidos al bosque nuevos dominios cuyo nombre de dominio pertenezca a un nivel superior.

No podr ser creado un dominio padre de un dominio ya existente.La estructuracin de los dominios de una organizacin en un bosque, el cual pueda estar compuesto por uno o varios rboles, nos posibilitar la opcin de tener una estructura de nombres de dominios contiguos y discontiguos. En la siguiente imagen podemos ver un esquema de nombres para un bosque:

Unidades organizativas

Una unidad organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que a su vez va a contener a otros objetos del directorio. Por lo tanto, dentro de una Unidad Organizativa, podremos encontrar objetos como cuentas de usuario, de grupo, de equipo, recursos compartidos como impresoras e incluso otras unidades organizativas.

Mediante las unidades organizativas, podremos crear estructuras jerrquicas de objetos pertenecientes al directorio, que podrn ser movidos de una unidad organizativa a otra si fuera necesario.

Podremos conseguir los siguientes objetivos fundamentales:

Configurar polticas independientes a usuarios y equipos.

Delegacin de tareas administrativas.

Dominio, rbol, y BosqueConfigurar polticas independientes ausuarios y equipos

Una de las operaciones ms comunes ser la de establecer determinadas polticas o directivas de grupo a los usuarios o alos equipos que se encuentren dentro de una unidad organizativa. Para ello, podremos vincular directamente estas polticas o directivas directamente a las unidades organizativas, y de esta forma poder realizar distinciones en el comportamiento de usuarios y equipos en funcin de la OU en la que se encuentren alojados.

Si por ejemplo en nuestraorganizacin, creramos tantas

unidades organizativascomo departamentos la

conformarn, podramos establecer polticas independientes a cada uno de ellos, y as los usuarios que trabajen en cada departamento tendran comportamientos distintos e independientes.

Delegacin de tareas administrativas

Podremos otorgar permisos administrativos aun usuario o grupos de usuarios, para que puedan administrar de forma total o parcial una unidad organizativa.

Estructura fsica

Con la estructura lgica hemos aprendido que podemos organizar todos los recursos de una organizacin.

En la estructura fsica, el objetivo que perseguimos es el de configurar yadministrar el trfico de red.

Una estructura fsica de Active Directory estar compuesta por los sitios y los controladores de dominio. Podremos controlar los lugares y momentos en los que se produce el trfico de replicacin y de inicio de sesin de usuarios.

Sitios

Un sitio es una combinacin de una o varias subredes IP en nuestra organizacin que estarn conectadas entre ellas. Aprovechando esta circunstancia, configuraremos la topologa de replicacin y la forma de acceder al Active Directory, para que de esta forma los sistemas Windows Server 2008 puedan realizar de manera ms eficiente el trfico de inicio de sesin y la replicacin.

Un sitio ser creado por dos razones principalmente:

Optimizar el trfico de replicacin.

Que los usuarios puedan conectarse a un controlador de dominio a travs de una conexin de alta velocidad.

En resumen, podramos decir que los sitios definen la estructura fsica de la red mientras que los dominios definirn la estructura lgica de la organizacin.

Controladores de dominio

El controlador de dominio (Domain Controller, DC), ser un equipoque tendr instalado un sistema operativo Windows Server, ya sea2008 o anteriores versiones, y que almacenar una rplica del directorio activo. Otras operaciones importantes que realizar sern la de otorgar a los usuarios la posibilidad de autenticarse mediante el protocolo Kerberos, as como la consulta de informacin del directorio mediante el protocolo LDAP.

La informacin que va a almacenar cada controlador de dominio est dividida en cuatro particiones, que van a constituir las unidades de replicacin, y sern las siguientes:

Particin del directorio de esquema.

Particin de directorio de configuracin.

Particin de directorio de dominio.

Particiones de directorio de aplicaciones.

Controladores de dominio

Particin del directorio de esquema: contendr la definicin de los tipos de objetos que pueden ser creados, y que sern comunes a todos los dominios del bosque, replicndose por todos los controladores de dominios del bosque. Por cada bosque, solo habr un controlador de dominio que podr modificar el esquema, mientras para el resto, la particin ser de solo lectura.

Particin de directorio de configuracin: contendr los datos relativos a la estructura de los dominios y la topologa de replicacin, que sern comunes a todos los dominios del bosque, y que sern replicados por todos los controladores de dominio. A diferencia de la particin anterior, cuando cualquier controlador de dominio necesite modificar esta particin, tendr permiso para ello y los cambios sern replicados al resto de controladores de dominio del bosque.

Controladores de dominio

Particin de directorio de dominio: contendr la informacin relativa a los objetos que va a contener exclusivamente un dominio en concreto, y podr ser replicada al resto de controladores de dominio de ese dominio, pero no al resto.

Particiones de directorio de aplicaciones: en este caso contendr los datos relativos a aplicaciones especficas. Estos datos podrn ser de cualquier tipo a excepcin de objetos de cuentas de usuarios, grupos y equipos.

Catlogo global y esquema

Aparte de las cuatro particiones principales que se han comentado que tiene un controlador de dominio, habra que aadir una quinta, que sera la destinada a almacenar el catlogo global de la organizacin.

Este catlogo global es una particin de solo lectura que almacenar una copia de todos los objetos de cada dominio de una forma reducida. Concretamente, se copian aquellos objetos que son usados de forma ms frecuente en las consultas al directorio, aunque este punto puede ser configurado en el esquema.

Un esquema ser una definicin para todo el bosque de las clases de objetos y atributos que se podrn extender.

Catlogo global y esquema

Las clases de objetos,como los usuarios, equipos o

impresoras, describirnpueden ser creados.los objetos de directorio quePor cada clase de objeto,

encontraremos un conjunto de atributos. Por ejemplo, elatributo Nombre podr ser utilizado por muchas clases de objetos, pero solo ser necesario que sea definido una vez en el esquema.

Los atributos, podrn ser creados de forma independiente a las clases de los objetos. Cada uno podr ser definido una sola vez y podr ser utilizado para varias clases de objetos.

El catlogo global

Incluir la informacin necesaria para que pueda determinarse la ubicacin de cualquier objeto de la organizacin. Los siguientes elementos formarn parte del catlogo global:

Atributos que sean utilizados con ms frecuencia en las consultas: nombre, apellido o nombre de inicio de sesin de un usuario, por ejemplo.

Informacin que sea relevante para poder concretar la ubicacin de un objeto en el directorio.

Un subconjunto predeterminado de atributos para cada tipo deobjeto.

Permisos de acceso para cada uno de los objetos y atributos que estn en el catlogo global. De esta forma, los permisos de acceso nos garantizarn que los usuarios no podrn encontrar objetos para los que no tengan asignados permisos de acceso.

El catlogo global

De esta forma, un servidor de catlogo global ser el controlador de dominio que va a almacenar una copia de dicho catlogo y se encargar de ejecutar las consultas que se puedan realizar al mismo.

Por cada bosque ser necesario la existencia de, al menos, un controlador de dominio que est configurado para realizar estas tareas, y que ser creado en el momento en el que se crea el primer controlador de dominio del bosque.

Si tenemos una cantidad considerable de dominios, ser necesario que otros controladores ejerzan tambin las funciones de servidor de catlogo global, para poder balancear el trfico de autenticacin de inicios de sesin y transferencias de consultas.