Directorio Activo

Directorio Activo Concepto: El directorio activo es una herramienta incluida en los sistemas operativos de Microsoft, encaminados a la administración de servidores.

Directorio activo. Es una herramienta incluida en los sistemas operativos de Microsoft, encaminados a la administración de servidores.

Características generales

Esta tecnología permite gestionar los recursos de una Red, tratando estos como objetos, con sus respectivos atributos, para esta gestión, la información de los objetos se guarda en una especie de base de datos de forma jerárquica.

La forma de agruparlos es en árboles, que interactúan entre ellos para su funcionamiento, dependiendo en los dominios donde los recursos estén ubicados, dependiendo de ciertas relaciones de confianza; lo cual permite relaciones de objetos que estén en árboles distintos.

Un directorio es una estructura jerárquica que almacena información acerca de los objetos existentes en la red. Un servicio de directorio, como Active Directory®, proporciona métodos para almacenar los datos del directorio y ponerlos a disposición de los administradores y los usuarios de la red. Por ejemplo, Active Directory almacena información acerca de las cuentas de usuario (nombres, contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información.

Estructura

El directorio activo trabaja bajo una serie de protocolos para la comunicación entre los objetos que gestiona, tales como LDAP, DNS, DHCP, etc; a continuación una referencia a los estándares más destacados:

· DHCP (Dynamic Host Configuration Protocol). Protocolo de configuración dinámica de ordenadores, que permite la administración desatendida de direcciones de red.

· DNS (Domain Name System). Servicio de nombres de dominio que permite la administración de los nombres de ordenadores. Este servicio constituye el mecanismo de asignación y resolución de nombres (traducción de nombres simbólicos a direcciones IP) en Internet.

· SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido.

· LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y modifican la información existente en el directorio.

· Kerberos V5. Protocolo utilizado para la autenticación de usuarios y máquinas.

· Certificados X.509. Estándar que permite distribuir información a través de la red de una forma segura.

La organización de los objetos en una estructura jerárquica consiste de tres grandes grupos: uno de recursos, donde podríamos encontrar todo el hardware como impresoras, equipos de usuario etc.; otro grupo de servicios, como correo electrónico y el último grupo que contiene toda la información necesaria de los usuarios de esa red.

Además de tener estos grupos, la estructura jerárquica, al basarse en objetos, puede tener objetos que sean partes de otros objetos, donde los mas graden invocan a los pequeños, y donde encontramos relaciones similares a las de los objetos de software, como composición y agregación.

Esto es posible, gracias a la organización por medio de árboles, los cuales contiene los objetos con relaciones mas fuertes, después los diferentes árboles se organizan en “bosques”; “A su vez, los árboles pueden integrarse en un espacio común denominado bosque. Para realizar un bosque es necesario crear dos o más árboles (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relación de "trust" o confianza entre ellos. De este modo los usuarios y recursos de los distintos árboles serán visibles entre ellos, manteniendo cada estructura de árbol el propio Active Directory.”

Funcionamiento

A la larga toda la funcionalidad del los directorios activos, es la de manejar el acceso a los diferentes dominios (árboles, bosques), por elementos de dominios diferentes, usando los distintos niveles de confianza, según los permisos que se requieran, según la situación.

Entre estas relaciones de confianza, tenemos las siguientes:

- Bidireccionales: Cuando un domino crea a otro, hay una relación padre-hijo, donde la confianza para el acceso es mutua.

- Transitivas: Un dominio padre confía en todos los dominios hijos de sus hijos, y viceversa, lo que da una confianza bidireccional a todos los niveles.

- De acceso directo: Si para la comunicación de dos dominios, los mensajes deben pasar chequeos de confianza por los dominios intermedios de la ruta, esta relación de confianza, hace que se omitan los nodos intermedios en la cuestiones de comprobación, haciendo mas rápida la comunicación entre los dominós remotos.

- Relación de confianza externa: son relaciones unidireccionales entre árboles distintos de dominios.

Al crear los dominios, las relaciones bidireccionales y transitivas están implícitas, y se aplican automáticamente, mientras que las relaciones externas y de acceso directo deben configurarse manualmente.

Configuración

Para realizar la configuración del Directorio activo en Windows 2003 server, debemos contar con el programa de instalación que en este caso es dcpromo.exe el cual a través de un wizard nos guiara por dicho proceso.

1. Como primer paso ejecutaremos el programa de instalación dcpromo.exe, para ello podemos ir a inicio -> programas -> ejecutar.

2. Después de ingresar al programa de instalación nos aparecerá una pantalla como la que se muestra a continuación donde se presenta una descripción de la compatibilidad de sistema operativo.

Damos siguiente para continuar con la instalación.

3. Después de realizar el paso numero 3 nos aparecerá una pantalla donde nos dará a escoger el tipo de controlador de domino que se desea configurar, estas opciones son:

· Controlador de dominio para un dominio nuevo: Si no tenemos directorio activo instalado en nuestra red y queremos crearlo tenemos que elegir esta opción.

· Controlador de dominio adicional para un dominio existente: Si queremos agregar otro controlador de dominio a nuestra red debemos elegir esta opción.

Damos siguiente y continuamos con el proceso de instalación.

4. Para este caso como se selecciono la opción Controlador de dominio para un dominio nuevo nos aparecerá una pantalla como la siguiente, donde contaremos con tres opciones:

· Dominio en un nuevo bloque: Se selecciona esta opción si deseamos crear un nuevo dominio.

· Dominio secundario en un árbol de dominios existente: Si deseamos crear subdominios esta es la opción indicada.

· Árbol de dominios en un bosque existente: Si deseamos crear un dominio con otro nombre diferente al que ya tenemos, claro que esto depende del tipo de dominio con el que contemos inicialmente.

Damos continuar y seguimos con la instalación.

5. El siguiente paso es ingresar el nombre del dominio, donde nos aparece una pantalla como se muestra a continuación.

Ingresamos el nombre del dominio y seleccionamos siguiente.

6. Luego de haber ingresado el nombre de dominio se nos solicitara el nombre de dominio de NetBios. Este es el nombre con el que los usuarios de versiones anteriores de Windows utilizaran para identificar el nuevo dominio.

7. Luego nos dará la opción de configurar la carpeta de la base de datos y del registro, como se muestra a continuación.

8. Después nos dará la posibilidad de configurar el volumen del sistema compartido. Esta es la carpeta que se compartirá y se replicara con los demás directorios activos, en ella estarán también las políticas de dominio, script, entre otros.

9. Cuando configuremos el volumen del sistema compartido nos deberá aparecer una pantalla como esta donde podremos configurar los permisos del directorio activo.

En caso que nos salga una pantalla como la siguiente se debe a que para que un directorio activo funcione es necesario que nuestra red tengamos un DNS.

Si el asistente nos muestra error es que tenemos un problema con el DNS, ya sea porque no se ha podido contactar con él o porque este no soporta las actualizaciones dinámicas de DNS.

10. Después de realizar el paso No. 9 nos aparecerá la opción para configurar la contraseña de administración del modo de restauración de servicios de directorio, la cual será necesaria cuando tengamos algún problema con el directorio activo.

11. Finalmente nos aparecerá un resumen con la información ingresada en los pasos anteriores donde se podrá verificar las opciones seleccionadas.

12. Al darle siguiente comenzara el proceso de creación del directorio activo, como se muestra a continuación.

13. Cuando termine la creación del directorio activo tendremos la siguiente pantalla de confirmación donde aseguramos que todo se ha realizado satisfactoriamente.

Comandos utilizados para el directorio activo

CSVDE: Importa y exporta datos de Active Directory en formato separado por comas.

Dsadd: Agrega usuarios, grupos, equipos, contactos y Unidades Organizativas a Active Directory.

Dsmod: Modifica un objeto existente de un tipo específico del directorio. Los tipos de objetos que pueden modificarse son: usuarios, grupos, equipos, servidores, contactos y Unidades Organizativas.

Dsrm: Quita objetos del tipo especificado de Active Directory.

Dsmove: Cambia el nombre de un objeto sin moverlo del árbol de directorio o mueve un objeto desde su ubicación actual del directorio a una nueva de un mismo y único controlador de dominio. (Para efectuar movimientos entre dominios, utilice la herramienta Movetree de la línea de comandos.)

Dsquery: Consulta y genera una lista de objetos del directorio según los criterios de búsqueda especificados. Utilícela en un modo genérico para consultar cualquier tipo de objeto o en modo especializado para consultar tipos de objetos seleccionados. Los tipos de objetos específicos que pueden consultarse mediante este comando son: equipos, contactos, subredes, grupos, Unidades Organizativas, sitios, servidores y usuarios.

Dsget: Muestra los atributos seleccionados de tipos de objeto específicos de Active Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto: equipos, contactos, subredes, grupos, Unidades Organizativas, servidores, sitios y usuarios.

LDIFDE: Crea, modifica y elimina objetos de directorio. Esta herramienta también puede utilizarse para ampliar el esquema, para exportar información de usuario y grupos de Active Directory a otras aplicaciones o servicios, y para llenar Active Directory con datos de otros servicios de directorio.

Ntdsutil: Herramienta de administración general de Active Directory. Utilice Ntdsutil para realizar el mantenimiento de la base de datos de Active Directory, administrar operaciones de maestro único y quitar metadatos que hayan podido quedar tras quitar de la red controladores de dominio sin haberlos desinstalado correctamente.”

Fuente

• Active Directory for Windows, WINDOWS SERVER 2003, Technical Reference, Stan Reimer y Mike Mulcare.
• Windows Server 2003, Textbook.
• Microsoft Windows Server 2003, DEPLOYMENT KIT A Microsoft Resource Kit.
• Active Directory Services for Microsoft Windows 2000, Technical Reference, Estructura.
• Active Directory.
• Active Directory Cookbook.
• Windows Server 2003, Active Directory, Design and implementation.
• Windows 2003