Trabajar con Active Directory de Microsoft puede resultar complicado y confuso si no est preparado, pero con el asesoramiento adecuado cualquier administrador puede aprender a manejarlo con solvencia

Trabajar con Active Directory de Microsoft puede resultar complicado y confuso si no est preparado, pero con el asesoramiento adecuado cualquier administrador puede aprender a manejarlo con solvencia.

La Gua de Aprendizaje del Active Directory (AD) que le ofrecemos, por medio de nuestro sitio hermano SearchWindowsServer.com, le pondr al da en muy poco tiempo sobre esta importante tecnologa Windows y lo ayudar a superar cualquier aprehensin que pueda tener ante AD. Este tutorial aborda de forma integral la informacin que todo administrador debe conocer, desde los aspectos ms bsicos de Active Directory hasta consejos y explicaciones relativas al DNS, la replicacin, la seguridad, la planificacin de las migraciones y mucho ms.

Aspectos bsicos de Active Directory

Lo esencial de Active Directory

Qu es Active Directory? Active Directory es el servicio de directorios creado y registrado por Microsoft, un componente integral de la arquitectura Windows. Igual que otros servicios de directorios, como Novell Directory Services (NDS), Active Directory es un sistema centralizado y estandarizado que automatiza la gestin en red de los datos de usuario, la seguridad y los recursos distribuidos, adems de facilitar la interoperabilidad con otros directorios. Active Directory est especialmente diseado para ambientes de red distribuidos.

Active Directory se present con Windows 2000 Server y fue mejorado para Windows 2003, donde cobr an mayor importancia dentro del sistema operativo. Windows Server 2003 Active Directory proporciona una referencia nica, llamada servicio de directorio, para todos los objetos que forman parte de una red, como usuarios, grupos, computadoras, impresoras, directivas y permisos.

Para los usuarios o el administrador, Active Directory proporciona una visin jerrquica nica desde donde acceder y gestionar todos los recursos de la red.

Por qu implementar Active Directory?

Hay muchas razones para implementar Active Directory. En primer lugar, existe la perspectiva generalizada de que Microsoft Active Directory supone una mejora significativa respecto a los dominios o, incluso, las redes de servidores independientes de Windows NT Server 4.0. Active Directory tiene un mecanismo de administracin centralizado para la red entera y ofrece tolerancia ante la redundancia y las fallas que se producen cuando se despliegan dos o ms controladores dentro de un mismo dominio.

Active Directory gestiona automticamente las comunicaciones entre los controladores de dominio para garantizar as la viabilidad de la red. Los usuarios pueden acceder a todos los recursos de la red para la que tienen autorizacin siguiendo un nico procedimiento de acceso. Todos los recursos de la red estn protegidos por un slido mecanismo de seguridad que verifica la identidad de los usuarios y las autorizaciones de recursos para cada acceso.

Incluso contando con la mejor seguridad y control de la red que proporciona Active Directory, la mayora de sus prestaciones son invisibles para el usuario final. Por tanto, si un usuario desea migrar a una red con Active Directory necesitar una cierta recapacitacin. Active Directory ofrece un sistema sencillo para promover y degradar los controladores de dominio y servidores miembros. Los sistemas pueden administrarse y protegerse mediante Directivas de Grupo. Se trata de un modelo organizativo jerrquico y flexible que permite una gestin fcil y una delegacin especfica y detallada de las responsabilidades administrativas. Pero quizs lo ms importante sea que Active Directory es capaz de manejar millones de objetos dentro de un nico dominio.

Divisiones bsicas de Active Directory

Las redes de Active Directory estn organizadas en cuatro tipos de divisiones o estructuras de almacenamiento: bosques, dominios, unidades organizativas y sitios.

1. Bosques: El conjunto de todos los objetos, sus atributos y sintaxis de atributos en Active Directory.

2. Dominio: Una coleccin de computadoras que comparten un conjunto de directivas comunes, un nombre y una base de datos para sus miembros.

3. Unidades organizativas: Contenedores en los que se agrupan los dominios. Establecen una jerarqua para el dominio y crean la estructura del Active Directory de la compaa en trminos geogrficos u organizativos.

4. Sitios: Agrupamientos fsicos independientes del dominio y la estructura de las unidades organizativas. Los sitios distinguen entre ubicaciones conectadas por conexiones de baja o de alta velocidad y estn definidos por una o ms subredes IP.

Los bosques no estn limitados en cuanto a su geografa o topologa de red. Un nico bosque puede contener numerosos dominios y cada uno de ellos compartir un esquema comn. Los dominios que son miembros del mismo bosque no necesitan siquiera tener una conexin LAN o WAN dedicada entre ellos. Una nica red puede alojar tambin mltiples bosques independientes. En general, se debera utilizar un solo bosque para cada entidad corporativa. Sin embargo, puede ser deseable usar bosques adicionales para hacer pruebas e investigaciones fuera del bosque de produccin.

Los dominios actan de contenedores para las polticas de seguridad y las actividades administrativas. Todos los objetos dentro de un dominio estn sujetos, por defecto, a las Directivas de Grupo aplicables a todo el dominio. De igual manera, cualquier administrador de dominio puede gestionar todos los objetos dentro del mismo. Es ms, cada dominio tiene su propia y nica base de datos para sus cuentas. Por tanto, cada dominio tiene su propio proceso de autenticacin. Una vez que la cuenta de un usuario es autenticada para un dominio, esa cuenta tendr acceso a los recursos contenidos en dicho dominio.

Active Directory necesita uno o ms dominios en los que operar. Como se mencion ms arriba, cada dominio de Active Directory es una coleccin de computadoras que comparten un conjunto comn de directivas, un nombre y una base de datos de sus miembros. El dominio debe tener uno o ms servidores que actan como controladores del dominio (DC) y almacenan la base de datos, mantienen las directivas y verifican la autenticacin de los accesos al dominio.

Con Windows NT, los roles de controlador de dominio principal (PDC) y controlador adicional o secundario (BDC) podan asignarse a un servidor en una red de computadoras que usaba el sistema operativo Windows. Este OS utilizaba la idea del dominio para administrar el acceso a un conjunto de recursos en red (aplicaciones, impresoras y dems) para un grupo de usuarios. El usuario slo necesita ingresar en el dominio para tener acceso a los recursos, los cuales pueden estar ubicados en una variedad de servidores dentro de la red. Un servidor, conocido como el controlador de dominio principal, administraba la base de datos maestra de usuarios para el dominio. Haba uno o ms servidores designados como controladores de dominio adicionales. El controlador principal enviaba peridicamente copias de la base de datos a los controladores secundarios. El controlador de dominio adicional poda entrar en juego si fallaba el servidor PDC y poda, tambin, ayudar a equilibrar la carga de trabajo si la red estaba demasiado cargada.

Con Windows 2000 Server, si bien se mantienen los controladores de dominio, los papeles de los servidores PDC y BDC bsicamente fueron absorbidos por Active Directory. Ya no es necesario crear dominios separados para dividir los privilegios de administracin. Dentro de Active Directory se pueden delegar privilegios administrativos en funcin de las unidades organizativas. Los dominios ya no estn restringidos por un lmite de 40,000 usuarios. Los dominios de Active Directory pueden gestionar millones de objetos. Como ya no existen PDCs ni BDCs, Active Directory usa replicacin multimaestra y todos los controladores de dominio son parejos entre s.

Las unidades organizativas (UO) son, en general, mucho ms flexibles y sencillas de administrar que los dominios. Las UO brindan prcticamente una flexibilidad infinita, ya que se pueden mover, borrar y crear otras nuevas segn se vaya necesitando. Sin embargo, los dominios son mucho ms rgidos; se pueden borrar y crear otros nuevos, pero el proceso genera mayores distorsiones en el ambiente que en el caso de las UO y debera evitarse siempre que sea posible.

Por definicin, los sitios son conjuntos de subredes IP con enlaces de comunicacin rpidos y confiables entre todos los anfitriones. O, dicho de otra forma, el sitio contiene conexiones LAN pero no WAN, ya que se entiende que las conexiones WAN son mucho ms lentas y menos confiables que las LAN. Al usar sitios, puedes controlar y reducir la cantidad de trfico que fluye por tus enlaces WAN. Esto puede ayudar a mejorar la eficiencia del flujo en las tareas de productividad. Y tambin permite controlar los costos de los enlaces WAN en los servicios pay-per-bit

Maestro de Infraestructura y el Catlogo Global

Entre los dems elementos clave incluidos en Active Directory est el Maestro de Infraestructura (IM). El Maestro de Infraestructura es un FSMO (Flexible Single Master of Operations) que opera en todo el dominio y es responsable de un proceso no vigilado para reparar las referencias obsoletas, conocidas como phantoms, que se encuentran en la base de datos de Active Directory.

Los phantoms (fantasmas) se crean en DCs que requieren una referencia cruzada de bases de datos entre un objeto dentro de su propia base de datos y un objeto de otro dominio dentro del bosque. Esto sucede, por ejemplo, cuando se aade un usuario de un dominio a un grupo dentro de otro dominio en el mismo bosque. Se entiende que los phantoms estn obsoletos cuando ya no contienen informacin actualizada. Esto suele producirse debido a cambios realizados al objeto extrao representado por el fantasma (por ejemplo, cuando el objeto en cuestin cambia de nombre, es trasladado o migrado de un dominio a otro o se borra). El Maestro de Infraestructura es responsable exclusivamente de ubicar y reparar los fantasmas obsoletos. Cualquier cambio introducido como resultado del proceso de reparacin debe ser replicado en todos los DCs que permanecen en el dominio.

El Maestro de Infraestructura a veces se confunde con el Catlogo Global (GC), que mantiene una copia parcial, slo de lectura, de todos los dominios de un bosque y se emplea para el almacenamiento universal de grupos y el procesamiento de accesos (log on), entre otras cosas. Dado que los GCs guardan una copia parcial de todos los objetos incluidos en el bosque, son capaces de crear referencias cruzadas entre dominios sin necesidad de fantasmas.

Active Directory y LDAP

Microsoft incluye LDAP (Lightweight Directory Access Protocol) dentro de Active Directory. LDAP es un protocolo de software que permite a cualquiera que lo desee localizar organizaciones, individuos y otros recursos, como archivos y dispositivos en red, tanto en Internet como en intranets privadas.

En una red, es el directorio quien informa de dnde est ubicado algo. En las redes TCP/IP (como internet), el sistema de nombres de dominio (DNS) es el sistema de directorio usado para conectar el nombre de un dominio con una direccin de red especfica (una ubicacin nica en la red). Sin embargo, es posible que no conozcamos el nombre del dominio. En ese caso, LDAP te permite hacer una bsqueda de individuos sin saber dnde se encuentran (aunque cualquier informacin aadida facilitar la bsqueda).

Los directorios LDAP estn organizados en una simple estructura de rbol consistente de los siguientes niveles:

1. Directorio raz (el punto de inicio o el origen del rbol) del que surgen los

2. ases, cada uno de los cuales se divide en

3. Organizaciones, de las cuales nacen

4. Unidades organizativas (divisiones, departamentos, etc.), las cuales derivan en (incluir una entrada para)

5. Individuos (donde se incluyen personas, archivos y recursos compartidos, como impresoras)

El directorio LDAP puede estar distribuido entre muchos servidores. Cada uno de estos servidores puede tener una versin replicada del directorio total que se sincroniza peridicamente.

Es importante que todos y cada uno de los administradores comprendan claramente qu es LDAP a la hora de buscar informacin en Active Directory. Es especialmente til saber crear consultas de LDAP cuando se busca informacin almacenada en la base de datos de Active Directory. Por esta razn, muchos administradores dedican grandes esfuerzos a saber manejar con soltura el filtro de bsqueda de LDAP.

Gestin de Directiva de Grupo y Active Directory

Es difcil hablar de Active Directory sin mencionar Directiva de Grupo. Los administradores pueden usar Directivas de Grupo en Active Directory de Microsoft a fin de definir ajustes para usuarios y computadoras en toda la red. Estos ajustes se configuran y almacenan en lo que se denomina Objetos de Directiva de Grupo (GPOs), los cuales son, posteriormente, asociados con objetos de Active Directory, incluidos dominios y sitios. Es el mecanismo principal para aplicar cambios a las computadoras y los usuarios que operan en el entorno Windows.

Con la gestin de Directiva de Grupo, entre otras funcionalidades, los administradores tienen la opcin de ajustar globalmente la configuracin del escritorio en las computadoras de los usuarios y de restringir/autorizar el acceso a ciertos archivos y carpetas dentro de una red.

Es importante entender cmo se usan y aplican los GPOs. Los Objetos de Directiva de Grupo se aplican en el siguiente orden: primero se aplican las directivas de la mquina local, seguidas de las polticas del sitio, de las del dominio, y de las directivas aplicadas a las unidades organizativas individuales. Un objeto de usuario o de computadora slo puede pertenecer a un nico sitio y un nico dominio cada vez, por lo que solo recibirn GPOs conectados a ese sitio o dominio.

Las GPOs se dividen en dos partes bien diferenciadas: la Plantilla de Directiva de Grupo (GPT) y el Contenedor de Directiva de Grupo (GPC). La GPT es responsable de almacenar los ajustes especficos creados dentro del GPO y es esencial para su xito. Guarda los ajustes en una gran estructura de carpetas y archivos. A fin de que los ajustes se apliquen correctamente a todos los objetos de usuario y de computadora, se debe replicar el GPT a todos los controladores de dominio que operen dentro del mismo.

El Contenedor de Directiva de Grupo es la porcin de un GPO almacenada en Active Directory que reside en cada controlador de dominio del dominio. El GPC tiene la responsabilidad de mantener las referencias a las Extensiones del Lado Cliente (CSEs), el camino a la GPT, los caminos a los paquetes de instalacin de software y otros aspectos referenciales del GPO. El GPC no contiene gran cantidad de informacin relacionada con su correspondiente GPO, pero es fundamental para la funcionalidad de la Directiva de Grupo. Al configurar las directivas para la instalacin de software, el GPC ayuda a mantener los enlaces asociados dentro del GPO. El GPC tambin mantiene otros enlaces relacionales y caminos almacenados dentro de los atributos del objeto. Conocer la estructura del GPC y la forma de llegar a la informacin oculta guardada en los atributos resultar muy til cuando haya que examinar cualquier cuestin relacionada con la Directiva de Grupo.

Para Windows Server 2003, Microsoft lanz una solucin de gestin de la Directiva de Grupo al objeto de unificar la administracin de sta en torno a un snap-in conocido como Consola de Administracin de Directiva de Grupo (GPMC). La GPMC ofrece una interfaz de administracin centrada en los GPOs, lo que facilita enormemente la administracin, gestin y localizacin de los GPOs. Por medio de la GPMC se pueden crear nuevos GPOs, modificarlos, editarlos, cortar/copiar/pegar GPOs, respaldarlos con copias de seguridad y efectuar simulaciones del Conjunto Resultante de Directivas.