ACTIVE DIRECTORY Microsoft presentó la estructura lógica de Active Directory con Windows Server 2000 y esto cambio sustancialmente el modo en cómo se organizan estructuralmente las redes dentro de los servidores Windows. A partir de allí Microsoft comenzó a pensar las redes en términos de la l a organización jerárquica utilizada por Active Directory. En Windows Server 2008, este servicio ahora se denomina Servicios de Dominio SERVICIOS DE DIRECTORIO Un servicio de directorio gestiona una base de datos organizada jerárquicamente y Windows utiliza como servicio de directorio el servicio de dominio de Active Directory. Este servicio nos permite administrar eficientemente los recursos de la red. Un servicio de directorio almacena la información detallada y organizada de cada uno de los recursos de la red, lo que facilita las tareas de autenticación y búsqueda de los recursos.
Active Directory logra estos objetivos organizando su estructura física y su estructura lógica en capas independientes. Estructura Física de Active Directory Desde el punto de vista físico, Active Directory forma parte del subsistema de seguridad de Windows Server 2008 que se está ejecutando en modo usuario. Las aplicaciones que se ejecutan en modo usuario no tienen acceso directo al sistema operativo ni a los dispositivos de hardware, sino que sus peticiones deben pasar previamente por la capa de servicios ejecutivo (modo kernel)
Aplicación Win 32
Active Directory
Subsistema de seguridad
Servicios Ejecutivos
Módulo servicio de Directorio Modo Usuario
Modo Kernel
Las peticiones entrantes pasan al subsistema de seguridad desde donde se derivan los componentes del servicio de directorio. Este servicio está capacitado para aceptar peticiones de una gran variedad de clientes con diversos protocolos (LDAP, SMPT, RPC, etc.)
Estructura Lógica de Active Directory:
La capa lógica de Active Directory determina la manera en que se visualizan los datos almacenados en la base de datos de Active Directory e implementa el control de acceso a los datos. Active Directory suministra el espacio de nombres (namespace) para nuestros dominios y catálogos de usuario, equipos, grupos, directivas de seguridad, dispositivos de red, etc., controlado a partir de una base de datos jerárquica que se mantiene en el controlador de dominio y que además se duplica(replicación) en todos los controladores de dominio de l a red. Cada uno de los elementos controlados por el servicio se denomina objeto de Active Directory. Active Directory utiliza una estructura arbolada jerárquica para organizar los objetos de la base de datos lo que simplifica las tareas de administración. Esta estructura también facilita la tarea de agregado de nuevos dominios al árbol de Active Directory. Para comprender mejor la estructura lógica de Active Directory debemos revisar algunos conceptos.
Objetos de Active Directory Dominios, Arboles y Bosques de Active Directory Confianza de Active Directory Espacios de nombres y Particiones de Active Directory.
Objetos de Active Directory
Active Directory debe administrar una gran cantidad de recursos diversos, para ello Microsoft decidió utiliza el modelo LDAP para la organización de datos. Active Directory es una implementación LDAP y este modelo trata a los recursos de la red como objetos. Los objetos por sus partes pueden contener otros objetos y, en este caso, es un objeto contenedor. Hay varias clases de objetos.
Usuarios Grupos Equipos Impresoras Unidades organizativas.
Dominios, árboles y bosques
Ya sabemos cuáles son los objetos de un directorio, ahora veremos cómo se organizan dentro del sistema para que podamos utilizarlo eficientemente. El directorio es una estructura jerárquica y los objetos del directorio se organizan de modo que conforman un árbol de directorio. La estructura de la jerarquía es el resultado de la definición del esquema y se utiliza para definir las relaciones de dependencia padre-hijo de los objetos almacenados en el directorio.
Un dominio es una agrupación lógica de objetos de la red para implantar una administración centralizada en un servicio de directorio, dentro del árbol del directorio un dominio es un objeto más en el directorio aunque es un objeto contenedor de otros objetos y, por esa razón, se le considera objeto padre de un grupo de objetos. Un objeto de Active Directory puede contener una cantidad ilimitada de objetos(antes era limitado). Este cambio ha provocado que normalmente podamos resolver toda nuestra red como un único dominio y con subdominios Un conjunto de dominios agrupados lógicamente conforman un árbol de dominio, y, por extensiones un conjunto de árboles de dominio agrupados lógicamente conforman un bosque. El primer dominio que se crea en un árbol es el dominio raíz. La estructura de Active Directory se puede considerar como un árbol que contiene una colección de dominios. Todos estos dominios comparten un catálogo global, que es el repositorio central de todos los objetos de un árbol de dominios. Con esto se puede deducir que todos los dominios del árbol podrán tener acceso al mismo conjunto de recursos, independientemente del dominio que contiene el recurso, Cuando creamos un nuevo árbol, simultáneamente creamos un dominio que será la raíz del árbol. A este árbol le podemos añadir nuevos dominios, que serán hijos del primer dominio, es decir, son subdominios. Los subdominios en un árbol comparten el mismo espacio de nombres del dominio raíz y toman como parte de su nombre, el nombre del dominio raíz. En la figura siguiente, se muestra al dominio raíz inforbooks.com que es el dominio padre de dos subdominios: distr.inforbooks.com y edit.inforbooks.com. El subdomino distr.inforbooks.com, tiene por su parte un dominio hijo, eu.distr.inforbooks.com.
Bosque con un árbol de dominio
inforbook.com
distr.inforbooks.com
eu.distr.inforbooks.com
edit.inforbooks.com
Tal como se menciono anteriormente, aunque un árbol permite crear un contenedor administrativo de una gran cantidad de objetos existe un contenedor mayor que contiene una colección de arboles: este contenedor se denomina bosque. Los árboles de un bosque se gestionan de modo independiente y poseen sus propios espacios de nombres pero, al compartir el mismo bosque, comparten el mismo Catalogo global . Esto implica que los arboles del mismo bosque pueden localizar y acceder a los recursos de todo el bosque del dominios. En la siguiente figura se muestra un bosque con dos árboles de dominio: inforbooks.com y avisa.com. Cuando en Windows Server creamos nuestro primer dominio (dominio raíz), simultáneamente estamos creando un nuevo árbol y un nuevo bosque
Bosque con dos árboles de dominio Relación de confianza
inforbook.com
abisa.com
edit.inforbooks.com distr.inforbooks.com
eu.distr.inforbooks.com cursos.abisa.com
Un único dominio puede dar servicio a una gran cantidad de usuarios y poner a disposición de esos usuarios los recursos del dominio. Por lo tanto, el uso de un único dominio es suficiente para las empresas pequeñas y medianas. El uso de bosques se precisara en empresas grandes.
Confianza de Active Directory En Active Directory, en los dominios que son miembros del mismo bosque se establece una relación de confianza transitiva y esto implica que los recursos de cualquiera de los dominios del bosque están disponibles para todos los usuarios de los dominios del bosque. Haciendo referencia a la figura anterior un usuario del dominio
distr.inforbooks.com podría acceder al recurso del dominio abisa.com o cursos.abisa.com. Y se dice podría, porque la posibilidad de que exista esa relación de confianza no implica que automáticamente se otorguen permisos. Lo que implica es que pertenecen al mismo bosque los administradores podrían otorgar permisos que crucen dominios.
Los privilegios no se aplican por el hecho de existir una relación de confianza. Esta, por si sola, no cede ni deniega ninguna clase de permisos implícitos o automáticos. Para la administración del bosque, Active Directory utiliza dos niveles de administradores: Administrador de empresa: pueden administrar y conceder acceso a los recursos en todos los dominios del bosque Active Directory. Administradores del dominio: los administradores del dominio en un dominio de confianza pueden acceder a las cuentas de usuario en el dominio confiado y asignar permisos que conceden acceso a recursos en un dominio de confianza.
Utilizando la figura anterior como base de este ejemplo, con dos dominios en un bosque, si un usuario del dominio distr.inforbooks.com, necesita acceder a una impresora que reside en el dominio abisa.com, un administrador con privilegios de administrador de empresa puede concederle el acceso al dispositivo. Obviamente el administrador del dominio abisa.com, también podría concederle el acceso al dispositivo, pero esa concesión no podría hacer el administrador de dominio distr.inforbooks.com ni tampoco el administrador del dominio inforbooks.com. En este ejemplo, el controlador del dominio distr.inforbooks.com le pasa la petición al controlador de dominio padre, inforbooks.com, siguiendo el camino de la flechas. La petición pasa del controlador de dominio inforbooks.com al controlador de dominio abisa.com que es el que concede o asigna la petición de acceso. En todo este trayecto, la petición del usuario pasa, por tres controladores de dominio, uno por cada dominio que se atraviesa, independientemente de la ubicación física del recurso (en este caso, una impresora). Con Active Directory también se pueden implementar confianzas externas que copian el funcionamiento que utiliza el sistema Windows NT.4. Estas confianzas son siempre unidireccionales y se configuran manualmente. La confianza externa se mantiene para permitir crear una relación de confianza entre un dominio de Active Directory y un dominio heredado de Windows NT.4.
