Los Servicios de Dominio de Active Directory (AD DS) no son más que una función central en el Directorio Activo de Microsoft, a través de la cual los usuarios pueden construir una red de Windows centralizada, bien integrada y escalable.

Los administradores del sistema pueden almacenar, supervisar y gestionar los datos de las aplicaciones y la información de los recursos en una estructura jerárquica sistemática. Esta estructura lógica comprende el bosque de AD, sus dominios y sus respectivas unidades organizativas (OU).

Los administradores pueden manejar eficientemente los usuarios y equipos de una red y organizarlos en una base de datos distribuida. Además, AD DS también cuenta con integraciones de seguridad como la limitación del acceso a los recursos del directorio, SSO, LDAP, autorización de inicios de sesión, certificados de seguridad y gestión de derechos.

Para entender mejor AD DS, veamos primero a fondo IAM (Identity and Access management).

¿Qué es IAM?

El lanzamiento del protocolo LDAP realmente dio un giro a la industria de IAM, ya que sirvió para dos gigantes viz.

OpenLDAP y soluciones de Microsoft Active Directory junto con otros más pequeños. Ambas soluciones se hicieron muy populares entre las empresas de todo el mundo como proveedores de identidad fiables.

¿Qué hace exactamente un proveedor de identidad?

Los proveedores de identidad hacen el trabajo de crear un almacén central bien integrado para los usuarios y los datos de una organización.

En el IdP, todas las cuentas de usuario se almacenan de forma segura junto con la información de los recursos. Los recursos están interrelacionados con las identidades de los usuarios que los utilizan.

No sólo eso, los recursos como redes, aplicaciones, sistemas, etc. también están restringidos para un usuario específico en función de su rol.

Para los servicios de dominio de Active Directory, este proceso se llevó a cabo para las redes y recursos basados en Windows. A medida que un usuario inicia sesión en su ordenador, el AD DS proporcionaría acceso a los recursos que el usuario necesita y está autenticado para utilizar.

¿Qué es Active Directory?

Active Directory es la tecnología de Microsoft que se utiliza en el espacio de Windows Server. Es una estructura jerárquica lógica que es capaz de compartir la información de la base de datos para asegurar, gestionar y localizar fácilmente el dispositivo y los recursos de la red.

No sólo ofrece funciones básicas de autorización y autenticación a gran escala, sino que también proporciona un marco para otros numerosos servicios. AD hace uso del sistema operativo Windows Servers y es una base de datos LDAP en sí misma que contiene elementos de red.

Para ofrecer servicios de directorio a entornos complejos y a gran escala, Active Directory se introdujo rápidamente en Windows 2000.

La primera y principal función de AD es autenticar a los usuarios en la red del dominio. AD almacena objetos como ordenadores, grupos, archivos compartidos, permisos de archivos, impresoras y políticas de grupo.

Además, también centraliza los elementos de seguridad, ya que todas las cuentas de los usuarios y sus respectivas contraseñas se almacenan en una única ubicación.

Los administradores de TI pueden crear, restringir o eliminar usuarios, configurar políticas de grupo e incluso permitir a los usuarios cambiar sus contraseñas. Todas estas funciones determinan cómo los usuarios interactuarán en el entorno del dominio.

En resumen, AD DS es un marco bien integrado y centralizado para la gestión de dominios. Cada dominio se convierte en un elemento del bosque de Active Directory, pero también puede tener más de un dominio organizado sistemáticamente en unidades lógicas.

Sin AD, los administradores tendrán que crear usuarios locales en cada equipo y restablecer las contraseñas de cada uno de ellos en su PC.

Tipos de objetos de Active Directory:

Los objetos de Active Directory se pueden diferenciar en dos tipos:

  • Objetos contenedores
    Son los objetos principales que también constan de otros objetos dentro de ellos como Dominios, Bosques, Árboles y Unidades Organizativas.
  • Objetos Hoja
    Estos objetos no comprenden otros objetos dentro de ellos, por ejemplo, equipos, impresoras, dispositivos periféricos, usuarios, etc.

Elementos Clave de los Servicios de Dominio de Active Directory:

Los Servicios de Dominio de Active Directory comprenden:

  • Catálogo Global
    Consiste en información relativa a los objetos de directorio. Con esto, los administradores del sistema y los usuarios pueden encontrar fácilmente la información del directorio, independientemente del dominio en el que se encuentre. Por ejemplo, nombres de usuario, contactos, etc..
  • Esquema
    Es un conjunto de reglas que definen las clases de objetos y sus propiedades almacenadas en el directorio junto con el formato de sus nombres y los límites de las instancias de los objetos.
  • Mecanismo de consulta e índice con la ayuda del cual los usuarios de la red pueden publicar o encontrar fácilmente objetos y sus atributos en el AD.
  • El servicio de replicación incluye la distribución de los datos del directorio a través de una red. Esta replicación se lleva a cabo por los controladores de dominio dentro de un dominio, cada uno de los cuales tiene una copia de los datos del directorio para su dominio. Cualquier cambio realizado en la información del directorio se replica automáticamente a los controladores de dominio dentro de un dominio, por lo que tienen el mismo catálogo y esquema. AD hace uso de múltiples controladores de dominio para la tolerancia a fallos, el equilibrio de la carga y otras razones cruciales. Para ello, cada controlador de dominio dentro de un dominio necesita tener una copia de su base de datos AD. Aquí es donde entra en juego el servicio de replicación. Sepa que los controladores de dominio de diferentes dominios no se replicarán entre sí.
  • Sitios: Es la representación de la topología de red de Windows.
  • Lightweight Directory Access Protocol (LDAP): LDAP es un protocolo que permite al AD comunicarse con otros servicios de directorio basados en LDAP dentro de la red.

¿Qué servicios se incluyen en los servicios de dominio de Active Directory?

AD DS consta de varios servicios como:

  • Servicios de dominio:
    Son servicios básicos que se encargan de la centralización de datos, gestionan la autenticación de inicio de sesión, la funcionalidad de búsqueda y permiten una comunicación fluida entre los usuarios dentro de un dominio.
  • Servicios de directorio ligeros:
    Estos servicios proporcionan soporte para aplicaciones habilitadas para directorios con la ayuda del protocolo LDAP.
  • Gestión de derechos:
    Esta característica se refiere a los derechos de la información, como la restricción del acceso a la información personal de los usuarios y el cifrado de datos confidenciales.
  • Servicios de federación de directorios:
    DFS ofrece la funcionalidad SSO (Single-Sign-On) a los usuarios para una autenticación segura. Esta función es muy útil cuando se comunica con varias aplicaciones web en una sola sesión.
  • Servicios de certificados:
    Esta función permite crear, compartir y gestionar certificados de seguridad. Estos certificados garantizan la seguridad y la privacidad mediante el cifrado de los datos enviados a través de la red.

Función de los controladores de dominio en los servicios de dominio de Active Directory:

Básicamente, un controlador de dominio (DC) no es más que un servidor en la red de Windows que proporciona acceso a los usuarios a los recursos del dominio. Su principal objetivo es autorizar y autenticar a los usuarios de una red basándose en sus nombres y contraseñas.

Los controladores de dominio alojan AD DS así como otros servicios como:

  • NetLogon:
    Su objetivo es autenticar las credenciales de inicio de sesión de los usuarios en la red de dominio.
  • KDS:
    Kerberos Key Distribution Center es un servicio utilizado para emitir, autenticar y llevar a cabo el cifrado de los tickets Kerberos. Autentificará a los usuarios cuando se utilice el protocolo Kerberos. El servicio cuenta con TCS (Ticket Granting Server) y un servidor de autenticación.
  • IsmServ (Intersite Messaging):
    Este servicio ayuda al intercambio de datos entre los PC en un entorno de red de Windows.
  • Servicio W32time:
    El servicio de la hora de Windows o W32time utiliza NTP (Network Time Protocol) para sincronizar la fecha y la hora de todos los PC dentro de un dominio en red. La sincronización del reloj en los ordenadores es importante para que Kerberos funcione correctamente.

Instalación de los servicios de dominio de Active Directory

Veamos un rápido tutorial sobre cómo instalar los servicios de dominio de Active Directory en Windows Server:

  • Abrir el Administrador de servidores: Pulse el icono «Windows» en su teclado y escriba «Administrador de servidores» en el cuadro de búsqueda. Se abrirá la aplicación.
  • Añadir roles y características: En la ventana del Administrador de servidores, haga clic con el botón derecho del ratón en «Administrar» y seleccione la opción «Añadir roles y características». Una vez que se abra el asistente, haga clic en «Siguiente».
  • Seleccione el tipo de instalación: Al hacer clic en «Siguiente» se abrirá la ventana de Tipo de Instalación donde deberá seleccionar la opción «Instalación basada en roles o en características». A continuación, haga clic en «Siguiente».
  • Selección de servidor: Aquí viene la «Selección de Servidor» haga clic en el servidor en el que desea instalar AD DS y luego haga clic en «Siguiente».
  • Roles de Servidor: En esta ventana verás muchas opciones de «Roles». Marque «Servicios de dominio de Active Directory».
  • Añadir funciones: Inmediatamente después, se abrirá el asistente «Add Roles and Features». Haga clic en el botón «Add Features» y luego pulse «Next».
  • Select Features: Inmediatamente se abrirá la sección «Select Features». Simplemente haga clic en «Siguiente».
  • Instalación de AD DS: Ahora se abre la ventana principal de instalación de AD DS, haga clic en «Siguiente».
  • Ventana de confirmación: La ventana de confirmación muestra todo lo que se instalará en el servidor. Una vez que lea todo, haga clic en «Instalar».
  • Promover a controlador de dominio: Después de la instalación, vaya al «Administrador de servidores» y verá un icono de notificación con un triángulo amarillo justo al lado de la pestaña «Administrar». Haga clic en él y elija «Promover este servidor a controlador de dominio».
  • Añadir un nuevo bosque: Esto abrirá el asistente de configuración de AD DS. Haga clic en «Añadir un nuevo bosque» y escriba el nombre del dominio raíz de su empresa y pulse «Siguiente».
  • Opciones del controlador de dominio: En la siguiente página, mantenga marcadas todas las casillas por defecto y escriba su contraseña de DSRM. Pulse «Siguiente».
  • Opciones de DNS: En la página de Opciones de DNS, es posible que vea un mensaje de error en la parte superior. Ignórelo y pulse «Siguiente».
  • Nombre de dominio NetBIOS: Aquí puede cambiar el nombre del dominio o dejar el nombre por defecto como está. Pulse «Siguiente».
  • Rutas: Mantenga las rutas por defecto tal y como están y pulse «Siguiente».
  • Revisar selecciones: En esta página, compruebe todas las opciones que ha seleccionado hasta el momento, y pulse «Siguiente».
  • Comprobación de requisitos previos: En esta ventana se validarán todos los prerrequisitos antes de la instalación de AD DS. Si aparece algún error, mira los pasos anteriores, y arréglalo. Haga clic en «Instalar».
    Una vez hecho esto, su servidor se reiniciará y, a continuación, podrá iniciar sesión en el dominio con la entrada de la contraseña de DSRM que ha configurado en el paso 12.

Resumen:

Los Servicios de Dominio de Directorio Activo son una de las mejores terminologías utilizadas para mejorar el servidor de Windows y hacerlo destacar en las empresas.

Se adapta perfectamente con la mayoría de las soluciones de Microsoft, facilitando a los usuarios sus operaciones. Al instalar AD DS, se puede gestionar fácilmente a través del Centro Administrativo de Active Directory. Espero que esta guía haya sido útil para usted.