De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda

Active Directory ( AD ) es un servicio de directorio desarrollado por Microsoft para redes de dominio de Windows . Se incluye en la mayoría de los sistemas operativos de Windows Server como un conjunto de procesos y servicios . [1] [2] Inicialmente, Active Directory solo estaba a cargo de la administración de dominios centralizada. Sin embargo, Active Directory se convirtió en un título general para una amplia gama de servicios relacionados con la identidad basados ​​en directorios. [3]

Un servidor que ejecuta la función Servicio de dominio de Active Directory (AD DS) se denomina controlador de dominio . Se autentica y autoriza a todos los usuarios y equipos de un Ventanas de red tipo de dominio. Asignar y hacer cumplir políticas de seguridad para todas las computadoras e instalar o actualizar software. Por ejemplo, cuando un usuario inicia sesión en una computadora que es parte de un dominio de Windows, Active Directory verifica la contraseña enviada y determina si el usuario es un administrador del sistema o un usuario normal. [4]Además, permite la administración y el almacenamiento de información, proporciona mecanismos de autenticación y autorización y establece un marco para implementar otros servicios relacionados: Servicios de certificados, Servicios de federación de Active Directory, Servicios de directorio ligero y Servicios de administración de derechos . [5]

Active Directory utiliza las versiones 2 y 3 del Protocolo ligero de acceso a directorios (LDAP), la versión de Microsoft de Kerberos , [6] y DNS . [7]

Historia [ editar ]

Al igual que muchos esfuerzos de tecnología de la información, se originó a partir de una democratización del diseño utilizando Solicitudes de comentarios (RFC). El Grupo de Trabajo de Ingeniería de Internet (IETF), que supervisa el proceso de RFC, ha aceptado numerosos RFC iniciados por participantes generalizados. Por ejemplo, LDAP es la base de Active Directory. También los directorios X.500 y la Unidad organizativa precedieron al concepto de Active Directory que hace uso de esos métodos. El concepto de LDAP comenzó a surgir incluso antes de la fundación de Microsoft en abril de 1975, con RFC ya en 1971. Las RFC que contribuyen a LDAP incluyen RFC 1823 (en la API de LDAP, agosto de 1995), [8] RFC 2307, RFC 3062 y RFC 4533. [9] [10][11]

Microsoft presentó una vista previa de Active Directory en 1999, lo lanzó primero con la edición de Windows 2000 Server y lo revisó para ampliar la funcionalidad y mejorar la administración en Windows Server 2003 . El soporte de Active Directory también se agregó a Windows 95, Windows 98 y Windows NT 4.0 a través de un parche, y algunas características no son compatibles. [12] [13] Se produjeron mejoras adicionales con las versiones posteriores de Windows Server . En Windows Server 2008 , se agregaron servicios adicionales a Active Directory, como los Servicios de federación de Active Directory . [14] La parte del directorio a cargo de la gestión de dominios, que anteriormente era una parte central del sistema operativo,[14] pasó a llamarse Servicios de dominio de Active Directory (ADDS) y se convirtió en un rol de servidor como otros. [3] "Active Directory" se convirtió en el título general de una gama más amplia de servicios basados ​​en directorios. [15] Según Byron Hynes, todo lo relacionado con la identidad se incluyó bajo el estandarte de Active Directory. [3]

Servicios de Active Directory [ editar ]

Los servicios de Active Directory constan de varios servicios de directorio. El más conocido es Active Directory Domain Services, comúnmente abreviado como AD DS o simplemente AD. [dieciséis]

Servicios de dominio [ editar ]

Los servicios de dominio de Active Directory (AD DS) son la piedra angular de cada red de dominio de Windows . Almacena información sobre los miembros del dominio, incluidos dispositivos y usuarios, verifica sus credenciales y define sus derechos de acceso . El servidor que ejecuta este servicio se denomina controlador de dominio . Se contacta a un controlador de dominio cuando un usuario inicia sesión en un dispositivo, accede a otro dispositivo a través de la red o ejecuta una aplicación estilo Metro de línea de negocio cargada en un dispositivo.

Otros servicios de Active Directory (excluyendo LDS , como se describe a continuación), así como la mayoría de las tecnologías de servidor de Microsoft, dependen o utilizan los Servicios de dominio; los ejemplos incluyen Política de grupo , Sistema de archivos cifrados , BitLocker , Servicios de nombres de dominio , Servicios de escritorio remoto , Exchange Server y SharePoint Server .

AD DS autoadministrado no debe confundirse con Azure AD DS administrado, que es un producto en la nube. [17]

Servicios de directorio ligeros [ editar ]

Los servicios de directorio ligero de Active Directory ( AD LDS ), anteriormente conocido como modo de aplicación de Active Directory (ADAM), [18] es una implementación del protocolo LDAP para AD DS. [19] AD LDS se ejecuta como un servicio en Windows Server . AD LDS comparte la base de código con AD DS y proporciona la misma funcionalidad, incluida una API idéntica , pero no requiere la creación de dominios o controladores de dominio. Proporciona un almacén de datos para el almacenamiento de datos de directorio y un servicio de directorio con una interfaz de servicio de directorio LDAP .. Sin embargo, a diferencia de AD DS, se pueden ejecutar varias instancias de AD LDS en el mismo servidor.

Servicios de certificados [ editar ]

Los Servicios de certificados de Active Directory (AD CS) establecen una infraestructura de clave pública local . Puede crear, validar y revocar certificados de clave pública para usos internos de una organización. Estos certificados se pueden utilizar para cifrar archivos (cuando se utilizan con el sistema de cifrado de archivos ), correos electrónicos (según el estándar S / MIME ) y tráfico de red (cuando se utilizan en redes privadas virtuales , protocolo de seguridad de la capa de transporte o protocolo IPSec ).

AD CS es anterior a Windows Server 2008, pero su nombre era simplemente Servicios de certificados. [20]

AD CS requiere una infraestructura de AD DS. [21]

Servicios de federación [ editar ]

Artículo principal: Servicios de federación de Active Directory

Los servicios de federación de Active Directory (AD FS) son un servicio de inicio de sesión único . Con una infraestructura de AD FS en su lugar, los usuarios pueden usar varios servicios basados ​​en la web (por ejemplo , foros de Internet , blogs , compras en línea , correo web ) o recursos de red usando solo un conjunto de credenciales almacenadas en una ubicación central, en lugar de tener que otorgarse un conjunto de credenciales dedicado para cada servicio. El propósito de AD FS es una extensión del de AD DS: este último permite a los usuarios autenticarse y utilizar los dispositivos que forman parte de la misma red, utilizando un conjunto de credenciales. El primero les permite utilizar el mismo conjunto de credenciales en una red diferente.

Como sugiere su nombre, AD FS funciona según el concepto de identidad federada .

AD FS requiere una infraestructura de AD DS, aunque su socio de federación puede que no. [22]

Servicios de gestión de derechos [ editar ]

Artículo principal: Servicios de administración de derechos de Active Directory

Los Servicios de administración de derechos de Active Directory ( AD RMS , conocido como Servicios de administración de derechos o RMS antes de Windows Server 2008 ) es un software de servidor para la administración de derechos de información que se envía con Windows Server . Utiliza cifrado y una forma de denegación de funcionalidad selectiva para limitar el acceso a documentos como correos electrónicos corporativos , documentos de Microsoft Word y páginas web , y las operaciones que los usuarios autorizados pueden realizar en ellos.

Estructura lógica [ editar ]

Como servicio de directorio, una instancia de Active Directory consta de una base de datos y el código ejecutable correspondiente responsable de atender las solicitudes y mantener la base de datos. La parte ejecutable, conocida como Directory System Agent, es una colección de servicios y procesos de Windows que se ejecutan en Windows 2000 y versiones posteriores. [1] Se puede acceder a los objetos en las bases de datos de Active Directory a través de LDAP, ADSI (una interfaz de modelo de objeto de componentes ), API de mensajería y servicios de Security Accounts Manager . [2]

Objetos [ editar ]

Un ejemplo simplificado de la red interna de una editorial. La empresa tiene cuatro grupos con diferentes permisos para las tres carpetas compartidas en la red.

Las estructuras de Active Directory son arreglos de información sobre objetos . Los objetos se dividen en dos categorías amplias: recursos (por ejemplo, impresoras) y principios de seguridad (grupos y cuentas de usuario o computadora). A los principales de seguridad se les asignan identificadores de seguridad únicos (SID).

Cada objeto representa una sola entidad, ya sea un usuario, una computadora, una impresora o un grupo, y sus atributos. Ciertos objetos pueden contener otros objetos. Un objeto se identifica de forma única por su nombre y tiene un conjunto de atributos (las características y la información que representa el objeto) definidos por un esquema , que también determina los tipos de objetos que se pueden almacenar en Active Directory.

El objeto de esquema permite a los administradores ampliar o modificar el esquema cuando sea necesario. Sin embargo, debido a que cada objeto de esquema es parte integral de la definición de objetos de Active Directory, desactivar o cambiar estos objetos puede cambiar o interrumpir fundamentalmente una implementación. Los cambios de esquema se propagan automáticamente por todo el sistema. Una vez creado, un objeto solo se puede desactivar, no eliminar. Normalmente, cambiar el esquema requiere planificación. [23]

Bosques, árboles y dominios [ editar ]

El marco de Active Directory que contiene los objetos se puede ver en varios niveles. El bosque, el árbol y el dominio son las divisiones lógicas en una red de Active Directory.

Dentro de una implementación, los objetos se agrupan en dominios. Los objetos de un solo dominio se almacenan en una sola base de datos (que se puede replicar). Los dominios se identifican por su estructura de nombres DNS , el espacio de nombres .

Un dominio se define como un grupo lógico de objetos de red (computadoras, usuarios, dispositivos) que comparten la misma base de datos de Active Directory.

Un árbol es una colección de uno o más dominios y árboles de dominio en un espacio de nombres contiguo y está vinculado en una jerarquía de confianza transitiva.

En la parte superior de la estructura está el bosque. Un bosque es una colección de árboles que comparten un catálogo global común, un esquema de directorio, una estructura lógica y una configuración de directorio. El bosque representa el límite de seguridad dentro del cual los usuarios, equipos, grupos y otros objetos son accesibles.

  Dominio-Boston
  Dominio-Nueva York
  Dominio-Filadelfia
 Árbol-Sur
  Dominio-Atlanta
  Dominio-Dallas
Dominio-Dallas
 OU-Marketing
  Hewitt
  Aon
  Steve
 Ventas OU
  Factura
  Ralph
Ejemplo de organización geográfica de zonas de interés dentro de árboles y dominios.

Unidades organizativas [ editar ]

Los objetos que se encuentran dentro de un dominio se pueden agrupar en unidades organizativas (OU). [24] Las unidades organizativas pueden proporcionar jerarquía a un dominio, facilitar su administración y pueden parecerse a la estructura de la organización en términos administrativos o geográficos. Las unidades organizativas pueden contener otras unidades organizativas; los dominios son contenedores en este sentido. Microsoft recomienda utilizar unidades organizativas en lugar de dominios para estructurar y simplificar la implementación de políticas y administración. La unidad organizativa es el nivel recomendado en el que aplicar políticas de grupo., que son objetos de Active Directory formalmente denominados objetos de política de grupo (GPO), aunque las políticas también se pueden aplicar a dominios o sitios (ver más abajo). La unidad organizativa es el nivel en el que comúnmente se delegan los poderes administrativos, pero la delegación también se puede realizar en objetos o atributos individuales.

Las unidades organizativas no tienen cada una un espacio de nombres independiente. Como consecuencia, por compatibilidad con las implementaciones heredadas de NetBios, no se permiten cuentas de usuario con un sAMAccountName idéntico dentro del mismo dominio, incluso si los objetos de las cuentas están en unidades organizativas independientes. Esto se debe a que sAMAccountName, un atributo de objeto de usuario, debe ser único dentro del dominio. [25] Sin embargo, dos usuarios en diferentes unidades organizativas pueden tener el mismo nombre común (CN), el nombre con el que se almacenan en el directorio mismo, como "fred.staff-ou.domain" y "fred.student-ou". dominio ", donde" staff-ou "y" student-ou "son las unidades organizativas.

En general, la razón de esta falta de tolerancia para nombres duplicados a través de la ubicación jerárquica de directorios es que Microsoft se basa principalmente en los principios de NetBIOS , que es un método de espacio de nombres plano para la administración de objetos de red que, para el software de Microsoft, se remonta a Windows NT 3.1 y MS-DOS LAN Manager . Permitir la duplicación de nombres de objetos en el directorio o eliminar por completo el uso de nombres NetBIOS evitaría la compatibilidad con versiones anteriores de software y equipos. Sin embargo, no permitir nombres de objetos duplicados de esta manera es una violación de las RFC de LDAP en las que supuestamente se basa Active Directory.

A medida que aumenta el número de usuarios en un dominio, las convenciones como "primera inicial, inicial del segundo nombre, apellido" ( orden occidental ) o la inversa (orden oriental) fallan para apellidos comunes como Li (李), Smith o García . Las soluciones incluyen agregar un dígito al final del nombre de usuario. Las alternativas incluyen la creación de un sistema de identificación separado de números de identificación de empleado / estudiante únicos para usar como nombres de cuenta en lugar de los nombres de los usuarios reales, y permitir a los usuarios nominar su secuencia de palabras preferida dentro de una política de uso aceptable .

Debido a que los nombres de usuario duplicados no pueden existir dentro de un dominio, la generación de nombres de cuenta representa un desafío importante para las grandes organizaciones que no se pueden subdividir fácilmente en dominios separados, como los estudiantes en un sistema escolar público o una universidad que deben poder usar cualquier computadora a través de la red.

Grupos de sombra [ editar ]
En Active Directory, las unidades organizativas (OU) no se pueden asignar como propietarios o fideicomisarios. Solo se pueden seleccionar grupos y los miembros de las unidades organizativas no pueden tener derechos asignados colectivamente a los objetos de directorio.

En el Active Directory de Microsoft, las unidades organizativas no confieren permisos de acceso, y los objetos ubicados dentro de las unidades organizativas no reciben privilegios de acceso asignados automáticamente en función de la unidad organizativa que los contiene. Ésta es una limitación de diseño específica de Active Directory. Otros directorios de la competencia, como Novell NDS , pueden asignar privilegios de acceso mediante la ubicación de objetos dentro de una unidad organizativa.

Active Directory requiere un paso separado para que un administrador asigne un objeto en una OU como miembro de un grupo también dentro de esa OU. Depender únicamente de la ubicación de la unidad organizativa para determinar los permisos de acceso no es confiable, porque es posible que el objeto no se haya asignado al objeto de grupo para esa unidad organizativa.

Una solución común para un administrador de Active Directory es escribir un script personalizado de PowerShell o Visual Basic para crear y mantener automáticamente un grupo de usuarios para cada OU en su directorio. Los scripts se ejecutan periódicamente para actualizar el grupo para que coincida con la membresía de la cuenta de la OU, pero no pueden actualizar instantáneamente los grupos de seguridad cada vez que cambia el directorio, como ocurre en los directorios de la competencia donde la seguridad se implementa directamente en el directorio mismo. Estos grupos se conocen como grupos sombra . Una vez creados, estos grupos de sombra se pueden seleccionar en lugar de la unidad organizativa en las herramientas administrativas.

Microsoft hace referencia a los grupos de sombra en la documentación de referencia de Server 2008, pero no explica cómo crearlos. No hay métodos de servidor integrados ni complementos de consola para administrar grupos de sombra. [26]

La división de la infraestructura de información de una organización en una jerarquía de uno o más dominios y unidades organizativas de nivel superior es una decisión clave. Los modelos comunes son por unidad de negocio, por ubicación geográfica, por servicio de TI o por tipo de objeto e híbridos de estos. Las unidades organizativas deben estructurarse principalmente para facilitar la delegación administrativa y, en segundo lugar, para facilitar la aplicación de políticas de grupo. Aunque las unidades organizativas forman un límite administrativo, el único límite de seguridad verdadero es el propio bosque y se debe confiar en un administrador de cualquier dominio del bosque en todos los dominios del bosque. [27]

Particiones [ editar ]

La base de datos de Active Directory está organizada en particiones , cada una de las cuales contiene tipos de objetos específicos y sigue un patrón de replicación específico. Microsoft a menudo se refiere a estas particiones como "contextos de nomenclatura". [28] La partición 'Esquema' contiene la definición de clases de objetos y atributos dentro del Bosque. La partición 'Configuración' contiene información sobre la estructura física y la configuración del bosque (como la topología del sitio). Ambos se replican en todos los dominios del bosque. La partición 'Dominio' contiene todos los objetos creados en ese dominio y se replica solo dentro de su dominio.

Estructura física [ editar ]

Los sitios son agrupaciones físicas (en lugar de lógicas) definidas por una o más subredes IP . [29] AD también contiene las definiciones de conexiones, distinguiendo los enlaces de baja velocidad (por ejemplo, WAN , VPN ) de los de alta velocidad (por ejemplo, LAN ). Las definiciones de sitio son independientes del dominio y la estructura de la unidad organizativa y son comunes en todo el bosque. Los sitios se utilizan para controlar el tráfico de red generado por la replicación y también para remitir a los clientes a los controladores de dominio (DC) más cercanos . Microsoft Exchange Server 2007 utiliza la topología del sitio para el enrutamiento de correo. Las políticas también se pueden definir a nivel de sitio.

Físicamente, la información de Active Directory se mantiene en uno o más controladores de dominio del mismo nivel , reemplazando el modelo NT PDC / BDC . Cada DC tiene una copia de Active Directory. Los servidores unidos a Active Directory que no son controladores de dominio se denominan servidores miembro. [30] Un subconjunto de objetos en la partición de dominio se replica en controladores de dominio configurados como catálogos globales. Los servidores de catálogo global (GC) proporcionan una lista global de todos los objetos del bosque. [31] [32]Los servidores de catálogo global replican en sí mismos todos los objetos de todos los dominios y, por lo tanto, proporcionan una lista global de objetos en el bosque. Sin embargo, para minimizar el tráfico de replicación y mantener pequeña la base de datos del GC, solo se replican los atributos seleccionados de cada objeto. Esto se denomina conjunto de atributos parciales (PAS). El PAS se puede modificar modificando el esquema y marcando los atributos para su replicación en el GC. [33] Las versiones anteriores de Windows usaban NetBIOS para comunicarse. Active Directory está completamente integrado con DNS y requiere TCP / IP —DNS. Para ser completamente funcional, el servidor DNS debe admitir registros de recursos SRV , también conocidos como registros de servicio.

Replicación [ editar ]

Active Directory sincroniza los cambios mediante la replicación multimaestro . [34] La replicación por defecto es 'pull' en lugar de 'push', lo que significa que las réplicas extraen cambios del servidor donde se efectuó el cambio. [35] El Comprobador de coherencia de conocimientos (KCC) crea una topología de replicación de enlaces de sitios utilizando los sitios definidos para gestionar el tráfico. La replicación dentro del sitio es frecuente y automática como resultado de la notificación de cambios, lo que hace que los pares comiencen un ciclo de replicación de extracción. Los intervalos de replicación entre sitios suelen ser menos frecuentes y no utilizan la notificación de cambios de forma predeterminada, aunque esto es configurable y se puede hacer idéntico a la replicación dentro del sitio.

Cada enlace puede tener un "coste" (por ejemplo, DS3 , T1 , ISDN , etc.) y el KCC modifica la topología del enlace del sitio en consecuencia. La replicación puede ocurrir de forma transitiva a través de varios enlaces de sitio en puentes de enlace de sitio del mismo protocolo , si el costo es bajo, aunque KCC cuesta automáticamente un enlace directo de sitio a sitio más bajo que las conexiones transitivas. La replicación de sitio a sitio se puede configurar para que se produzca entre un servidor cabeza de puente en cada sitio, que luego replica los cambios en otros controladores de dominio dentro del sitio. La replicación para las zonas de Active Directory se configura automáticamente cuando se activa DNS en el dominio según el sitio.

La replicación de Active Directory utiliza llamadas a procedimiento remoto (RPC) sobre IP (RPC / IP). Entre sitios SMTP se puede utilizar para la replicación, pero solo para cambios en los GC de esquema, configuración o conjunto de atributos parciales (catálogo global). SMTP no se puede utilizar para replicar la partición de dominio predeterminada. [36]

Implementación [ editar ]

En general, una red que utiliza Active Directory tiene más de una computadora servidor Windows con licencia. La copia de seguridad y restauración de Active Directory es posible para una red con un solo controlador de dominio, [37] pero Microsoft recomienda más de un controlador de dominio para proporcionar protección automática contra fallas del directorio. [38] Los controladores de dominio también son idealmente de un solo propósito para operaciones de directorio únicamente, y no deben ejecutar ningún otro software o función. [39]

Ciertos productos de Microsoft como SQL Server [40] [41] y Exchange [42] pueden interferir con el funcionamiento de un controlador de dominio, lo que requiere el aislamiento de estos productos en servidores Windows adicionales. Combinarlos puede dificultar la configuración o la resolución de problemas del controlador de dominio o del otro software instalado. [43] Por lo tanto, se recomienda a una empresa que desee implementar Active Directory que adquiera varias licencias de servidor de Windows, para proporcionar al menos dos controladores de dominio separados y, opcionalmente, controladores de dominio adicionales para el rendimiento o la redundancia, un servidor de archivos separado, un Exchange Server, un SQL Server independiente, [44] y así sucesivamente para admitir las distintas funciones del servidor.

Los costos de hardware físico para los muchos servidores separados se pueden reducir mediante el uso de la virtualización , aunque para una protección adecuada contra fallas, Microsoft recomienda no ejecutar varios controladores de dominio virtualizados en el mismo hardware físico. [45]

Base de datos [ editar ]

La base de datos de Active Directory , el almacén de directorios , en Windows 2000 Server utiliza el motor de almacenamiento extensible basado en JET Blue (ESE98) y está limitada a 16 terabytes y 2 mil millones de objetos (pero solo mil millones de principales de seguridad) en la base de datos de cada controlador de dominio. Microsoft ha creado bases de datos NTDS con más de 2 mil millones de objetos. [46] (El administrador de cuentas de seguridad de NT4 no podía admitir más de 40.000 objetos). Llamado NTDS.DIT, tiene dos tablas principales: la tabla de datos y la tabla de enlaces . Windows Server 2003 agregó una tercera tabla principal para la instanciación única del descriptor de seguridad . [46]

Los programas pueden acceder a las funciones de Active Directory [47] a través de las interfaces COM proporcionadas por las interfaces de servicio de Active Directory . [48]

Confiando [ editar ]

Para permitir que los usuarios de un dominio accedan a los recursos de otro, Active Directory utiliza fideicomisos. [49]

Las confianzas dentro de un bosque se crean automáticamente cuando se crean los dominios. El bosque establece los límites predeterminados de confianza, y la confianza transitiva implícita es automática para todos los dominios dentro de un bosque.

Terminología [ editar ]

Confianza unidireccional
Un dominio permite el acceso a los usuarios de otro dominio, pero el otro dominio no permite el acceso a los usuarios del primer dominio.
Confianza bidireccional
Dos dominios permiten el acceso a los usuarios de ambos dominios.
Dominio de confianza
El dominio en el que se confía; cuyos usuarios tienen acceso al dominio que confía.
Confianza transitiva
Una confianza que puede extenderse más allá de dos dominios a otros dominios de confianza en el bosque.
Confianza intransitiva
Una confianza unidireccional que no se extiende más allá de dos dominios.
Confianza explícita
Una confianza que crea un administrador. No es transitivo y es unidireccional.
Confianza entre enlaces
Una confianza explícita entre dominios en diferentes árboles o en el mismo árbol cuando no existe una relación descendiente / antepasado (hijo / padre) entre los dos dominios.
Atajo
Une dos dominios en árboles diferentes, transitivo, unidireccional o bidireccional.
Confianza forestal
Se aplica a todo el bosque. Transitivo, unidireccional o bidireccional.
Reino
Puede ser transitivo o no transitivo (intransitivo), unidireccional o bidireccional.
Externo
Conéctese a otros bosques o dominios que no sean de AD. No transitivo, unidireccional o bidireccional. [50]
Confianza PAM
Una confianza unidireccional utilizada por Microsoft Identity Manager desde un bosque de producción (posiblemente de bajo nivel) hasta un bosque 'bastión' (nivel de funcionalidad de Windows Server 2016 ), que emite pertenencias a grupos por tiempo limitado. [51] [52]

Soluciones de gestión [ editar ]

Las herramientas de administración de Microsoft Active Directory incluyen:

  • Centro administrativo de Active Directory (introducido con Windows Server 2012 y superior),
  • Directorio activo de usuarios y computadoras,
  • Dominios y fideicomisos de Active Directory,
  • Sitios y servicios de Active Directory,
  • ADSI Editar,
  • Usuarios locales y grupos,
  • Complementos de esquema de Active Directory para Microsoft Management Console (MMC),
  • Explorador de AD de SysInternals

Es posible que estas herramientas de administración no brinden suficiente funcionalidad para un flujo de trabajo eficiente en entornos grandes. Algunas soluciones de terceros amplían las capacidades de administración y gestión. Aportan funcionalidades imprescindibles para una administración más cómoda de procesos, como automatización, informes, integración con otros servicios, etc.

Integración con Unix [ editar ]

Se pueden lograr diferentes niveles de interoperabilidad con Active Directory en la mayoría de los sistemas operativos similares a Unix (incluidos Unix , Linux , Mac OS X o programas basados ​​en Java y Unix) a través de clientes LDAP que cumplen con los estándares, pero estos sistemas generalmente no interpretan muchos atributos asociados con componentes de Windows, como la directiva de grupo y la compatibilidad con fideicomisos unidireccionales.

Los terceros ofrecen integración de Active Directory para plataformas similares a Unix, que incluyen:

  • PowerBroker Identidad Servicios , anteriormente la misma manera ( BeyondTrust , anteriormente Del mismo modo Software) - Permite a un cliente que no sea Windows para unirse a Active Directory [53]
  • ADmitMac ( Thursday, Software Systems) [53]
  • Samba ( software libre bajo GPLv3 ) - Puede actuar como controlador de dominio [54] [55]

Las adiciones de esquema enviadas con Windows Server 2003 R2 incluyen atributos que se asignan lo suficientemente cerca a RFC 2307 como para ser utilizables en general. La implementación de referencia de RFC 2307, nss_ldap y pam_ldap proporcionada por PADL.com, admite estos atributos directamente. El esquema predeterminado para la pertenencia a grupos cumple con RFC 2307bis (propuesto). [56] Windows Server 2003 R2 incluye un complemento de Microsoft Management Console que crea y edita los atributos.

Una opción alternativa es utilizar otro servicio de directorio, ya que los clientes que no son de Windows se autentican en este mientras que los clientes de Windows se autentican en AD. Los clientes que no son de Windows incluyen 389 Directory Server (anteriormente Fedora Directory Server, FDS), ViewDS Identity Solutions - ViewDS v7.2 XML Enabled Directory y Sun Microsystems Sun Java System Directory Server . Los dos últimos pueden realizar una sincronización bidireccional con AD y, por lo tanto, proporcionar una integración "desviada".

Otra opción es usar OpenLDAP con su superposición translúcida , que puede extender las entradas en cualquier servidor LDAP remoto con atributos adicionales almacenados en una base de datos local. Los clientes que apuntan a la base de datos local ven entradas que contienen los atributos local y remoto, mientras que la base de datos remota permanece completamente intacta. [ cita requerida ]

La administración (consulta, modificación y supervisión) de Active Directory se puede lograr a través de muchos lenguajes de scripting, incluidos PowerShell , VBScript , JScript / JavaScript , Perl , Python y Ruby . [57] [58] [59] [60] Las herramientas de administración de AD gratuitas y no gratuitas pueden ayudar a simplificar y posiblemente automatizar las tareas de administración de AD.

Desde octubre de 2017, Amazon AWS ofrece integración con Microsoft Active Directory. [61]

Ver también [ editar ]

  • AGDLP (implementación de controles de acceso basados ​​en roles usando grupos anidados)
  • Directorio abierto de Apple
  • Operación de maestro único flexible
  • FreeIPA
  • Lista de software LDAP
  • Demonio de servicios de seguridad del sistema (SSSD)
  • Servidor corporativo de Univention

Referencias [ editar ]

  1. ^ a b "Agente del sistema de directorios" . Biblioteca de MSDN . Microsoft . Consultado el 23 de abril de 2014 .
  2. ^ a b Salomón, David A .; Russinovich, Mark (2005). "Capítulo 13". Internos de Microsoft Windows: Microsoft Windows Server 2003, Windows XP y Windows 2000 (4ª ed.). Redmond, Washington: Microsoft Press . pag. 840 . ISBN 0-7356-1917-4.
  3. ↑ a b c Hynes, Byron (noviembre de 2006). "El futuro de Windows: servicios de directorio en Windows Server" Longhorn " " . Revista TechNet . Microsoft . Archivado desde el original el 30 de abril de 2020 . Consultado el 30 de abril de 2020 .
  4. ^ "Active Directory en una red de Windows Server 2003" . Colección de Active Directory . Microsoft . 13 de marzo de 2003. Archivado desde el original el 30 de abril de 2020 . Consultado el 25 de diciembre de 2010 .
  5. ^ Soporte de Rackspace (27 de abril de 2016). "Instale los servicios de dominio de Active Directory en Windows Server 2008 R2 Enterprise de 64 bits" . Rackspace . Rackspace US, Inc. Archivado desde el original el 30 de abril de 2020 . Consultado el 22 de septiembre de 2016 .
  6. ^ "Microsoft Kerberos - Aplicaciones Win32" . docs.microsoft.com .
  7. ^ "Sistema de nombres de dominio (DNS)" . docs.microsoft.com .
  8. ^ Howes, T .; Smith, M. (agosto de 1995). "La interfaz del programa de aplicación LDAP" . El Grupo de Trabajo de Ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020 . Consultado el 26 de noviembre de 2013 .
  9. ^ Howard, L. (marzo de 1998). "Un enfoque para utilizar LDAP como un servicio de información de red" . Grupo de trabajo de ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020 . Consultado el 26 de noviembre de 2013 .
  10. ^ Zeilenga, K. (febrero de 2001). "LDAP Password Modify Extended Operation" . El Grupo de Trabajo de Ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020 . Consultado el 26 de noviembre de 2013 .
  11. Zeilenga, K .; Choi, JH (junio de 2006). "La operación de sincronización de contenido del Protocolo ligero de acceso a directorios (LDAP)" . El Grupo de Trabajo de Ingeniería de Internet (IETF) . Archivado desde el original el 30 de abril de 2020 . Consultado el 26 de noviembre de 2013 .
  12. ^ Daniel Petri (8 de enero de 2009). "Cliente de Active Directory (dsclient) para Win98 / NT" .
  13. ^ "Dsclient.exe conecta PC con Windows 9x / NT a Active Directory" .
  14. ↑ a b Thomas, Guy (29 de noviembre de 2000). "Windows Server 2008 - Nuevas funciones" . ComputerPerformance.co.uk . El rendimiento del equipo Ltd. Archivado desde el original, el 2 de septiembre 2019 . Consultado el 30 de abril de 2020 .
  15. ^ "Novedades de Active Directory en Windows Server" . Windows Server 2012 R2 y Windows Server 2012 Tech Center . Microsoft .
  16. ^ "Servicios de Active Directory technet.microsoft.com" .
  17. ^ "Comparar servicios basados ​​en Active Directory en Azure" . docs.microsoft.com .
  18. ^ "AD LDS" . Microsoft . Consultado el 28 de abril de 2009 .
  19. ^ "AD LDS versus AD DS" . Microsoft . Consultado el 25 de febrero de 2013 .
  20. ^ Zacker, Craig (2003). "11: Creación y gestión de certificados digitales" . En Harding, Kathy; Jean, Trenary; Linda, Zacker (eds.). Planificación y mantenimiento de una infraestructura de red de Microsoft Windows Server 2003 . Redmond, WA: Microsoft Press. págs.  11-16 . ISBN 0-7356-1893-3.
  21. ^ "Descripción general de los servicios de certificados de Active Directory" . Microsoft TechNet . Microsoft . Consultado el 24 de noviembre de 2015 .
  22. ^ "Paso 1: Tareas de preinstalación" . TechNet . Microsoft . Consultado el 24 de noviembre de 2015 .
  23. ^ Windows Server 2003: infraestructura de Active Directory . Microsoft Press. 2003. págs. 1–8–1–9.
  24. ^ "Unidades organizativas" . Kit de recursos de sistemas distribuidos ( TechNet ) . Microsoft. 2011. Una unidad organizativa en Active Directory es análoga a un directorio en el sistema de archivos
  25. ^ "sAMAccountName es siempre único en un dominio de Windows ... ¿o no?" . Joeware. 4 de enero de 2012 . Consultado el 18 de septiembre de 2013 . ejemplos de cómo se pueden crear varios objetos AD con el mismo sAMAccountName
  26. ^ Referencia de Microsoft Server 2008, que analiza los grupos de sombra utilizados para las políticas de contraseñas detalladas: https://technet.microsoft.com/en-us/library/cc770394%28WS.10%29.aspx
  27. ^ "Especificación de límites administrativos y de seguridad" . Corporación Microsoft. 23 de enero de 2005. Sin embargo, los administradores de servicios tienen capacidades que traspasan los límites del dominio. Por esta razón, el bosque es el límite de seguridad final, no el dominio.
  28. ^ Andreas Luther. "Tráfico de replicación de Active Directory" . Microsoft Corporation . Consultado el 26 de mayo de 2010 . Active Directory se compone de uno o más contextos de nomenclatura o particiones.
  29. ^ "Descripción general de los sitios" . Corporación Microsoft. 21 de enero de 2005. Un sitio es un conjunto de subredes bien conectadas.
  30. ^ "Planificación de controladores de dominio y servidores miembro" . Corporación Microsoft. 21 de enero de 2005. [...] servidores miembro, [...] pertenecen a un dominio pero no contienen una copia de los datos de Active Directory.
  31. ^ "¿Qué es el catálogo global?" . Corporación Microsoft. 10 de diciembre de 2009. [...] un controlador de dominio sólo puede localizar los objetos de su dominio. [...] El catálogo global ofrece la posibilidad de localizar objetos de cualquier dominio [...]
  32. ^ "Catálogo global" . Corporación Microsoft.
  33. ^ "Atributos incluidos en el catálogo global" . Corporación Microsoft. 26 de agosto de 2010. El atributo isMemberOfPartialAttributeSet de un objeto attributeSchema se establece en TRUE si el atributo se replica en el catálogo global. [...] Al decidir si colocar o no un atributo en el catálogo global, recuerde que está intercambiando mayor replicación y mayor almacenamiento en disco en servidores de catálogo global por, potencialmente, un rendimiento de consulta más rápido.
  34. ^ "Almacén de datos de directorio" . Corporación Microsoft. 21 de enero de 2005. Active Directory utiliza cuatro tipos distintos de particiones de directorio para almacenar [...] datos. Las particiones de directorio contienen datos de dominio, configuración, esquema y aplicación.
  35. ^ "¿Qué es el modelo de replicación de Active Directory?" . Corporación Microsoft. 28 de marzo de 2003. Los controladores de dominio solicitan (extraen) cambios en lugar de enviar (empujar) cambios que podrían no ser necesarios.
  36. ^ "¿Qué es la topología de replicación de Active Directory?" . Corporación Microsoft. 28 de marzo de 2003. SMTP se puede utilizar para transportar la replicación sin dominio [...]
  37. ^ "Copia de seguridad y restauración de Active Directory" . TechNet . Microsoft . Consultado el 5 de febrero de 2014 .
  38. ^ "AD DS: todos los dominios deben tener al menos dos controladores de dominio en funcionamiento para la redundancia" . TechNet . Microsoft . Consultado el 5 de febrero de 2014 .
  39. ^ Posey, Brien (23 de agosto de 2010). "10 consejos para un diseño eficaz de Active Directory" . TechRepublic . CBS Interactive . Consultado el 5 de febrero de 2014 . Siempre que sea posible, sus controladores de dominio deben ejecutarse en servidores dedicados (físicos o virtuales).
  40. ^ "Puede encontrar problemas al instalar SQL Server en un controlador de dominio (Revisión 3.0)" . Soporte . Microsoft . 7 de enero de 2013 . Consultado el 5 de febrero de 2014 .
  41. ^ Degremont, Michel (30 de junio de 2011). "¿Puedo instalar SQL Server en un controlador de dominio?" . Blog de Microsoft SQL Server . Consultado el 5 de febrero de 2014 . Por motivos de seguridad y rendimiento, le recomendamos que no instale un servidor SQL independiente en un controlador de dominio.
  42. ^ "No se recomienda instalar Exchange en un controlador de dominio" . TechNet . Microsoft . 22 de marzo de 2013 . Consultado el 5 de febrero de 2014 .
  43. ^ "Consideraciones de seguridad para una instalación de SQL Server" . TechNet . Microsoft . Consultado el 5 de febrero de 2014 . Una vez que SQL Server está instalado en una computadora, no puede cambiar la computadora de un controlador de dominio a un miembro del dominio. Debe desinstalar SQL Server antes de cambiar el equipo host a un miembro del dominio.
  44. ^ "Analizador de servidores de Exchange" . TechNet . Microsoft . Consultado el 5 de febrero de 2014 . No se recomienda ejecutar SQL Server en el mismo equipo que un servidor de buzones de Exchange de producción.
  45. ^ "Ejecución de controladores de dominio en Hyper-V" . TechNet . Microsoft . Planificación para virtualizar controladores de dominio . Consultado el 5 de febrero de 2014 . Debe intentar evitar la creación de posibles puntos únicos de falla cuando planifique la implementación de su controlador de dominio virtual.
  46. ↑ a b efleis (8 de junio de 2006). "¿Gran base de datos de AD? Probablemente no tan grande" . Blogs.technet.com. Archivado desde el original el 17 de agosto de 2009 . Consultado el 20 de noviembre de 2011 .
  47. ^ Berkouwer, Sander. "Conceptos básicos de Active Directory" . Veeam Software .
  48. ^ Interfaces de servicio de Active Directory , Microsoft
  49. ^ "Referencia técnica de fideicomisos forestales y de dominio" . Corporación Microsoft. 28 de marzo de 2003. Los fideicomisos permiten la [...] autenticación y el intercambio [...] de recursos entre dominios o bosques
  50. ^ "Trabajo de fideicomisos forestales y de dominio" . Corporación Microsoft. 11 de diciembre de 2012 . Consultado el 29 de enero de 2013 . Define varios tipos de fideicomisos. (automático, atajo, bosque, reino, externo)
  51. ^ "Administración de acceso privilegiado para servicios de dominio de Active Directory" . docs.microsoft.com .
  52. ^ "Wiki de TechNet" . social.technet.microsoft.com .
  53. ↑ a b Edge, Charles S., Jr; Smith, Zack; Hunter, Beau (2009). "Capítulo 3: Active Directory". Guía del administrador de Enterprise Mac . Ciudad de Nueva York: Apress . ISBN 978-1-4302-2443-3.
  54. ^ "Samba 4.0.0 disponible para descargar" . SambaPeople . Proyecto SAMBA. Archivado desde el original el 15 de noviembre de 2010 . Consultado el 9 de agosto de 2016 .
  55. ^ "¡El gran éxito de DRS!" . SambaPeople . Proyecto SAMBA. 5 de octubre de 2009. Archivado desde el original el 13 de octubre de 2009 . Consultado el 2 de noviembre de 2009 .
  56. ^ "RFC 2307bis" . Archivado desde el original el 27 de septiembre de 2011 . Consultado el 20 de noviembre de 2011 .
  57. ^ "Administración de Active Directory con Windows PowerShell" . Microsoft . Consultado el 7 de junio de 2011 .
  58. ^ "Uso de secuencias de comandos para buscar en Active Directory" . Microsoft . Consultado el 22 de mayo de 2012 .
  59. ^ "Repositorio de scripts de ITAdminTools Perl" . ITAdminTools.com . Consultado el 22 de mayo de 2012 .
  60. ^ "Win32 :: OLE" . Comunidad de código abierto de Perl . Consultado el 22 de mayo de 2012 .
  61. ^ "Presentación de AWS Directory Service para Microsoft Active Directory (Standard Edition)" . Servicios web de Amazon . 24 de octubre de 2017.

Enlaces externos [ editar ]

  • Microsoft Technet: Informe técnico : Arquitectura de Active Directory (documento técnico único que ofrece una descripción general de Active Directory).
  • Microsoft Technet: descripción detallada de Active Directory en Windows Server 2003
  • Biblioteca de Microsoft MSDN: [MS-ADTS]: Especificación técnica de Active Directory (parte de la promesa de especificación abierta de Microsoft )
  • Modo de aplicación de Active Directory (ADAM)
  • Microsoft MSDN: [AD-LDS]: Servicios de directorio ligero de Active Directory
  • Microsoft TechNet: [AD-LDS]: Servicios de directorio ligero de Active Directory
  • Microsoft MSDN: esquema de Active Directory
  • Microsoft TechNet: comprensión del esquema
  • Revista Microsoft TechNet: Ampliación del esquema de Active Directory
  • Microsoft MSDN: Servicios de certificados de Active Directory
  • Microsoft TechNet: Servicios de certificados de Active Directory