Acompáñanos en este artículo en el que descubriremos que hace un AD DS de Microsoft y por qué necesitamos configurarlo y gestionarlo de manera eficiente para mejorar la gestión, la seguridad y fiabilidad de nuestra red empresarial.
Introducción a AD DS:
Cuando hablamos de las redes empresariales de Microsoft, integradas por servidores Windows Server, máquinas cliente como Windows 10 y Windows 11, sin contar con versiones anteriores como XP, 7, 8, 8.1, etc., y servidores de aplicaciones como IIS, SQL Server, etc., la mayoría de los usuarios no saben que el tejido que mantiene todo esto conectado y con una coherencia es el servicio de AD DS, entre otros.
El servicio de Directorio que provee AD DS de Microsoft (Active Directory Domain Services) es quizá el servicio más importante de este tipo de redes empresariales (nos referimos a las de Microsoft).
Este es un servicio que proporcionará servicios centrales que engranan y lubrican toda la maquinaria de nuestra red para funcionar de manera coherente, haciendo que los usuarios tengan acceso a los servicios que deben tener, que las máquinas puedan conectar a los repositorios que deben, que se acceda al software pertinente, etc.
Active Directory o Directorio Activo en español, es un servicio de “directorio”, o sea de localización de direcciones de elementos y servicios dentro de nuestra organización. Básicamente, este servicio nos permite un medio para almacenar la información de todos los objetos existentes en nuestra red empresarial. Asímismo, este servicio se encarga de organizarla y gestionarla, de tal manera que esta información sea útil para los propósitos empresariales.
Esto permite que se publiquen todos los servicios existentes dentro de nuestra empresa para que otros servicios o usuarios puedan localizarlos en caso de necesitar hacer uso de los mismos.
La forma en que estos listados están disponibles básicamente es de manera distribuida a lo largo de toda la explotación, dentro de servidores especialmente creados para tal propósito llamados Controladores de Dominio o DC por sus siglas en inglés (Domain Controllers).
La estructura generada por este permite que se gestionen millones de objetos de manera centralizada, llevando el control en todo momento de su existencia, sus cambios, actualizaciones, etc.
Dicho directorio, además provee de las autorizaciones de acceso a servicios y máquinas dentro de la explotación tanto para usuarios, grupos, máquinas como para otros servicios, siendo en cierta manera el garante de la seguridad de la infraestructura y haciendo que un dominio, en caso de estar bien organizado sea en sí mismo una infraestructura segura.
Cuando estamos hablando de este servicio, en todo momento hablamos de que es un servicio disponible de manera global o que está repartido por toda la infraestructura; bien, pues esto exige que se tengan características de redundancia y que los servidores que proveen este servicio estén replicados, generando una estructura de clúster con multitud de nodos para que dicha información esté disponible en todo momento.
Dicho todo esto, podemos resumir que el servicio de AD DS de Microsoft o directorio de Microsoft es la columna vertebral de nuestra organización, entroncando todos los servicios que posibilitan el correcto funcionamiento de los elementos que a ella conectan, siendo asímismo la raíz de servicios tan importantes como el de resolución de nombres (DNS) o el de asignación de datos de red (DHCP).
Componentes de AD DS:
Cuando hablamos de dominios de Active Directory, comúnmente referimos una gran cantidad de vocabulario que puede sonar extraño a los que no han trabajado nunca con él. Entre los términos que conforman este vocabulario, muchos son los componentes de AD DS y a continuación vamos a citar alguno de ellos.
NOTA: Estas definiciones están muy relacionadas por lo que se recomienda leerlas todas para poder entenderlo correctamente, ya que es posible que al leer la definición de un término se encuentre otro termino que necesita ser definido.
- Almacén de datos: Se llama de esta manera a la copia de la base de datos de elementos y relaciones del dominio que se almacena en cada uno de los controladores de dominio y que básicamente almacena tanto los objetos y sus características como las políticas de seguridad y configuración.
- Árbol: Es una colección jerárquica de dominios que comparten una raíz de domino común y un espacio de nombres relacionado basado en DNS.
- Catálogo global: Es un controlador de dominio que contiene una copia de lectura (read only) de todos los objetos del bosque. La función principal del catálogo global es acelerar la búsqueda de objetos para agilizar las gestiones.
- Controlador de dominio: Es un servidor que contiene una copia de la base de datos de los servicios de dominio de directorio activo (AD DS) sobre la que además puede hacer cambios, registrando las altas, bajas o modificaciones de elementos u objetos en caso de ser necesario. Además, se encarga de sincronizar los cambios con el resto de los controladores de dominio de la organización para que todos permanezcan sincronizados.
- Dominio: Básicamente es un contenedor lógico de objetos administrados tales como equipos, usuarios, grupos que se asigna en base a relaciones jerárquicas de tipo padre-hijo y que establece una serie de reglas que permite la operación correcta de los elementos que se integran dentro de dicha organización.
- Esquema: El esquema es básicamente un componente que define un conjunto de definiciones de los objetos y atributos que permiten definir los objetos que se van creando dentro del dominio. Además, se encarga de mantener una copia de dicho esquema a lo largo de todo el bosque.
- Objetos: Unidad de almacenamiento del dominio que definen básicamente los usuarios, equipos o grupos del dominio. Se agrupan en clases que a su vez tienen reglas que definen los atributos de cada una de estas clases.
Una base de datos:
El directorio de AD DS conforma una base de datos que contiene toda la información de los objetos de nuestro directorio activo, así como sus relaciones. Teniendo una estructura dada por el esquema del dominio, los elementos que son capaces de almacenar son usuarios, equipos, grupos, y servicios tales como aplicaciones, impresoras, carpetas compartidas, etc.
Al igual que pasa con una base de datos, el dominio está estructurado con un diseño que determina los tipos de datos usados, y las relaciones entre estos. Este diseño, tal como se ha comentado previamente, es lo que se llama esquema que siempre es vigilado por el maestro de esquema del dominio y que contiene las definiciones formales de cada clase de objeto que se puede dar de alta dentro del dominio.
Así mismo, es bueno saber que el esquema está predefinido mediante una serie de especificaciones, pero que si el administrador lo desea puede llegar a cambiar su estructura para adaptarlo a las necesidades de la organización.
NOTA: Como siempre recomendamos, antes de tocar la estructura del esquema, se debe planificar todo cuidadosamente para evitar problemas con el funcionamiento del dominio.
Dentro de esta base de datos, debemos tener en cuenta que hay algunos objetos capaces de contener otros objetos y capaces de proveerlos de unas herencias dadas por los distintos niveles que las conforman.
Cada uno de los objetos tendrá una serie de atributos que le permitirán comportarse de una u otra manera y que le permitirá relacionarse con el resto de objetos de una manera particular.
Los atributos de los objetos son campos como nombre, contraseña, organización, departamento, correo electrónico, tiempo de la última sesión, pertenencias a grupos, etc. así como otros elementos como el identificador de seguridad (SID), el identificador único global (GUID).
Inicio de sesión o acceso a recursos:
Hemos estado hablando de objetos como los usuarios y los equipos y sobre reglas, pertenencias, etc., pero a estas alturas es posible que el lector se esté preguntando cómo se relacionan todos estos conceptos.
Para relacionarlos, vamos a pensar en cómo puede ser el proceso en el que un usuario pretende acceder a un equipo o a otro recurso y como se resuelve dentro del dominio.
Cuando el usuario intenta hacer un inicio de sesión en un equipo perteneciente al dominio, el equipo desde el que está operando lanzará una conexión contra el controlador de dominio para realizar una consulta y la forma en que buscará dicho controlador de dominio, que básicamente será en base al servicio de DNS, que identifica mediante unos registros especiales a dichos servidores.
Una vez localizado, en caso de estar realizando una validación, la máquina envía el nombre de usuario y la contraseña (palabra de paso/password) al controlador de dominio para que este realice la autenticación pertinente.
A este proceso inicial se le llama autorización de seguridad local del DC y, si se realiza correctamente, se genera un testigo (token) para el usuario que contendrá los identificadores de seguridad con las relaciones del usuario con los grupos a los que pertenece.
Este testigo es una cadena única llamada SID (Security IDentificator) que permite al usuario acceder a aquellos recursos en los que se le haya garantizado el acceso previamente en las reglas de seguridad del dominio.
NOTA: El SID es un identificador de seguridad compuesto por una cadena única que identifica un objeto de manera unívoca dentro de un dominio.
De esta manera, si el usuario con este proceso se ha validado correctamente en el equipo en el que intentaba acceder, si a continuación intenta acceder a un recurso, como por ejemplo una carpeta compartida, y esta está validada en base al usuario que se está utilizando, el token generado previamente le dará acceso nuevamente.
¿Cómo creo un dominio?
Llegados a este punto, una pregunta que podríamos hacernos es ¿cómo creo un dominio? Bueno, la respuesta podría ser más o menos sencilla en función del tiempo que queramos dedicarle, pero creemos que lo mejor es dejar un enlace al artículo Cómo configurar tu AD DS server en tu servidor Windows donde ya explicamos esto a través de un procedimiento paso a paso y también dejar un ejemplo de como podríamos dar de alta un dominio mediante PowerShell, que sería el siguiente:
Import-Module ADDSDeployment
Install-ADDSForest `
-CreateDnsDelegation:$false `
-DatabasePath «C:\Windows\NTDS» `
-DomainMode «WinThreshold» `
-DomainName «PruebasNacho.int» `
-DomainNetbiosName «PRUEBASNACHO» `
-ForestMode «WinThreshold» `
-InstallDns:$true `
-LogPath «C:\Windows\NTDS» `
-NoRebootOnCompletion:$false `
-SysvolPath «C:\Windows\SYSVOL» `
-Force:$true
Conclusiones:
A lo largo de este artículo hemos hablado de que hace un AD DS de Microsoft y por qué es necesario para el correcto funcionamiento de nuestra organización.
Los servicios de dominio, junto a sus servicios asociados, conforman la base para las redes de la mayoría de las organizaciones, al menos de aquellas cuyo core está basado en plataformas Wintel.
Tenemos que pensar que AD DS es en realidad una gran base de datos que contiene los objetos que conforman el dominio, objetos como los usuarios, equipos, servidores o grupos de cualquiera de los anteriores.
Esta estructura de base de datos, finalmente, describe una estructura que organiza dichos objetos y permite que se puedan realizar las búsquedas según una lógica marcada pro unas reglas dadas, que además se aplican para poder crear, modificar, o eliminar nuevos objetos que se quieran gestionar en el dominio.
En caso de querer aprender más sobre AD DS, puedes consultar los tutoriales sobre dicha tecnología que tenemos en nuestro blog.
¡Gracias por leernos!