Active Directory es el servicio de directorio centralizado de Windows Server 2003 que almacena y organiza información sobre los recursos y usuarios de la red. Al instalar Active Directory en servidores Windows 2003, estos se convierten en controladores de dominio que almacenan la información del directorio, mientras que el resto de equipos de la red se convierten en clientes. Active Directory utiliza DNS para la resolución de nombres, la definición del espacio de nombres de los dominios y para que los equipos puedan encontrar los controladores de dominio.
1. Active Directory
El Directorio Activo (Active Directory) es la pieza clave del sistema operativo
"Windows 2003 Server"; sin él muchas de las funcionalidades finales de este
sistema operativo servidor que iremos viendo a lo largo de este curso (las
directivas de grupo, las jerarquías de dominio, la instalación centralizada de
aplicaciones), no funcionarían.
En el ámbito de las redes de ordenadores, el concepto de directorio (o almacén de
datos) es una estructura jerárquica que almacena información sobre objetos en la
red, normalmente implementada como una BD optimizada para operaciones de
lectura y que soporta búsquedas de grandes cantidades de información y con
capacidades de exploración.
Active Directory es el servicio de directorio de una red Windows 2003. Este
servicio de directorio es un servicio de red que almacena información acerca de
los recursos de la red y permite el acceso de los usuarios y las aplicaciones a
dichos recursos, de forma que se convierte en un medio de organizar, controlar y
administrar centralizadamente el acceso a los recursos de la red.
El servicio Active Directory proporciona la capacidad de establecer un único inicio
de sesión y un repositorio central de información para toda su infraestructura.
Al instalar Active Directory (AD a partir de ahora) en uno o varios sistemas
Windows 2003 Server (equipos) de nuestra red, convertimos a dichos ordenadores
en los servidores del dominio, o más correctamente, en los denominados
CONTROLADORES DE DOMINIO (Domain Controllers) o simplemente DCs. El
resto de los equipos de la red pueden convertirse entonces en los clientes de
dicho servicio de directorio, con lo que reciben toda la información almacenada en
los controladores: cuentas de usuario, grupo y equipo, perfiles de usuario y
equipo, directivas de seguridad, servicios de red.
2. Una de las ventajas fundamentales de AD es que separa la estructura lógica de la
organización (dominios) de la estructura física (topología de la red). Ello permite
independizar la estructuración de dominios de la organización, de la topología de
la red que interconecta los sistemas.
Estructura
Active Directory está basado en una serie de estándares llamados X.500, aquí se
encuentra una definición lógica a modo jerárquico.
Dominios y subdominios se identifican utilizando la misma notación de las zonas
DNS, razón por la cual Active Directory requiere uno o más servidores DNS que
permitan el direccionamiento de los elementos pertenecientes a la red, como por
ejemplo el listado de equipos conectados; y los componentes lógicos de la red,
como el listado de usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario
pertenece a un dominio, será reconocido en todo el árbol generado a partir de ese
dominio, sin necesidad de pertenecer a cada uno de los subdominios.
A su vez, los árboles pueden integrarse en un espacio común denominado bosque
(que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y
establecer una relación de trust o confianza entre ellos. De este modo los usuarios
y recursos de los distintos árboles serán visibles entre ellos, manteniendo cada
estructura de árbol el propio Active Directory.
Objetos
Active Directory se basa en una estructura jerárquica de objetos. Los objetos se
enmarcan en tres grandes categorías. — recursos (p.ej. impresoras), servicios
(p.ej. correo electrónico), y usuarios (cuentas, o usuarios y grupos). El AD
3. proporciona información sobre los objetos, los organiza, controla el acceso y
establece la seguridad.
Cada objeto representa una entidad individual — ya sea un usuario, un equipo,
una impresora, una aplicación o una fuente compartida de datos— y sus atributos.
Los objetos pueden contener otros objetos. Un objeto está unívocamente
identificado por su nombre y tiene un conjunto de atributos—las características e
información que el objeto puede contener—definidos por y dependientes del tipo.
Los atributos, la estructura básica del objeto, se definen por un esquema, que
también determina la clase de objetos que se pueden almacenar en el AD.
"Cada atributo se puede utilizar en diferentes "schema class objects". Estos
objetos se conocen como objetos esquema, o metadata, y existen para poder
extender el esquema o modificarlo cuando sea necesario. Sin embargo, como
cada objeto del esquema se integra con la definición de los objetos del ANUNCIO,
desactivar o cambiar estos objetos puede tener consecuencias serias porque
cambiará la estructura fundamental del ANUNCIO en sí mismo. Un objeto del
esquema, cuando es alterado, se propagará automáticamente a través de Active
Directory y una vez que se cree puede ser desactivado-no solamente suprimido.
Cambiar el esquema no es algo que se hace generalmente sin un cierto
planeamiento " OLMER
El Directorio Activo y DNS
Windows 2003 Server utiliza DNS para localizar equipos y controladores de
dominio (DC). Una estación de trabajo o servidor miembro busca un controlador
de dominio preguntando a DNS.
Cada dominio de Windows 2003 se identifica unívocamente mediante un nombre
DNS (por ejemplo, miempresa.com) y cada equipo basado en
Windows 2003 que forma parte de un dominio tiene un nombre DNS cuyo sufijo es
precisamente el nombre DNS de dicho dominio. De esta forma vemos que equipos
y dominios se representan como objetos en AD y como nodos en DNS.
4. Resumiendo:
- DNS almacena zonas y registros de recursos
- Active Directory almacena dominios y objetos de dominio
Como conclusión diremos que AD usa DNS para tres funciones principales:
1. Resolución de nombres: DNS permite realizar la resolución de nombres al
convertir los nombres de hosts a direcciones IP.
2. Definición del espacio de nombres: AD usa las convenciones de nomenclatura
de DNS para asignar nombre a los dominios.
3. Búsqueda de los componentes físicos de AD: para iniciar una sesión de red y
realizar consultas en AD, un equipo con Windows 2003 Server debe encontrar
primero un DC o servidor de catálogo global para procesar la autentificación de
inicio de sesión o la consulta. La base de datos DNS almacena información acerca
de qué equipos realizan estas funciones para que se pueda atender la solicitud
adecuadamente. En concreto, esto se lleva a cabo mediante registros de recursos
SRV que especifican el servidor (o servidores) del dominio que proporcionan los
servicios de directorio correspondientes.