El Active Directory de Microsoft para redes Windows puede uti­li­zar­se para gestionar de forma ce­n­tra­li­za­da los recursos in­fo­r­má­ti­cos internos de una empresa, editar derechos y políticas y su­pe­r­vi­sar diversos servicios. Ex­pli­ca­mos en qué consiste este servicio de di­re­c­to­rio y cómo funciona el AD de Windows.

Compra y registra tu dominio ideal
  • Ce­r­ti­fi­ca­do SSL Wildcard gratis
  • Registro privado
  • Función Domain Connect para una co­n­fi­gu­ra­ción DNS si­m­pli­fi­ca­da gratis

De­fi­ni­ción de Active Directory

Active Directory (AD) es un servicio de di­re­c­to­rio de­sa­rro­lla­do por Microsoft para redes Windows. El AD desempeña un papel im­po­r­ta­n­te para las empresas con recursos in­fo­r­má­ti­cos complejos, derechos de usuario y grupos de trabajo je­rá­r­qui­cos: bá­si­ca­me­n­te, el Active Directory puede co­n­si­de­rar­se como una agenda de di­re­c­cio­nes y teléfonos, solo que con muchas más opciones para que los ad­mi­ni­s­tra­do­res gestionen, editen, consulten y es­tru­c­tu­ren los datos de usuarios y objetos al­ma­ce­na­dos. La es­tru­c­tu­ra in­fo­r­má­ti­ca de una or­ga­ni­za­ción puede dividirse en los de­no­mi­na­dos dominios con la ayuda del servicio de di­re­c­to­rio y re­pro­du­ci­r­se así cla­ra­me­n­te.

Función del Active Directory

Pondremos un ejemplo para ilustrar mejor cómo funciona el Active Directory en los se­r­vi­do­res de las redes Windows y qué tareas cumple. Imagina una empresa grande con 150 empleados. Todos los empleados dependen de los co­m­po­ne­n­tes de la in­frae­s­tru­c­tu­ra in­fo­r­má­ti­ca interna de la empresa, como las cuentas de usuario, las im­pre­so­ras, los escáneres y la ad­ju­di­ca­ción de derechos en los or­de­na­do­res de los distintos de­pa­r­ta­me­n­tos de trabajo. Para evitar tener que gestionar los recursos in­fo­r­má­ti­cos in­di­vi­dua­l­me­n­te para cada puesto, el Active Directory puede mapear las es­tru­c­tu­ras de la empresa, almacenar los datos de los usuarios y los objetos y gestionar y di­s­tri­buir ce­n­tra­l­me­n­te las ad­ju­di­ca­cio­nes de derechos.

Por ejemplo, no es necesario cambiar la co­n­tra­se­ña en cada di­s­po­si­ti­vo, sino solo una vez en el AD. Las ac­tua­li­za­cio­nes y mejoras del sistema también pueden llevarse a cabo de forma ce­n­tra­li­za­da de esta manera. La ad­mi­ni­s­tra­ción del AD y el acceso para modificar los recursos in­fo­r­má­ti­cos están en manos de los ad­mi­ni­s­tra­do­res del sistema. Las tareas del Active Directory de Microsoft incluyen:

  • Or­ga­ni­za­ción je­rá­r­qui­ca y mapeo de los recursos internos de in­fo­r­má­ti­ca, usuarios y objetos (hardware, software, roles de usuario y co­m­po­ne­n­tes/di­s­po­si­ti­vos/servicios de red).
  • Gestión y es­tru­c­tu­ra­ción del espacio de al­ma­ce­na­mie­n­to
  • Ad­ju­di­ca­ción y bloqueo de derechos de acceso y apli­ca­ción (por ejemplo, a di­re­c­to­rios y servicios)
  • Pro­te­c­ción de la red co­r­po­ra­ti­va
Imagen: Diagrama simplificado del Active Directory
Con el Active Directory de Windows, los recursos co­m­pa­r­ti­dos, las cuentas de usuario y los recursos in­fo­r­má­ti­cos pueden or­ga­ni­zar­se je­rá­r­qui­ca­me­n­te.
Consejo

Utiliza el Active Directory de Windows para tu empresa con Microsoft 365 de IONOS, que incluye todos los servicios de Windows.

Es­tru­c­tu­ra básica del AD en redes Windows

Un Active Directory consta bá­si­ca­me­n­te de tres co­m­po­ne­n­tes centrales: esquema, co­n­fi­gu­ra­ción y dominio. En el centro están los dominios, que contienen toda la in­fo­r­ma­ción im­po­r­ta­n­te sobre los recursos in­fo­r­má­ti­cos y los usuarios y mapean la red. La base de datos y sus objetos son igua­l­me­n­te im­po­r­ta­n­tes para la es­tru­c­tu­ra general. A co­n­ti­nua­ción, te ex­pli­ca­mos en qué consisten los distintos co­m­po­ne­n­tes.

Esquema

Como su nombre indica, el esquema del AD sirve como plantilla para las cla­si­fi­ca­cio­nes y tipos re­que­ri­dos y pe­r­mi­ti­dos de las entradas del AD. Esto incluye objetos, atributos, clases y la sintaxis de los atributos. El esquema utiliza de­fi­ni­cio­nes para de­te­r­mi­nar qué objetos están di­s­po­ni­bles o pueden estarlo en la red.

Co­n­fi­gu­ra­ción

Mientras que el esquema define los posibles co­n­te­ni­dos, la co­n­fi­gu­ra­ción del AD mapea la es­tru­c­tu­ra del Active Directory y todos los objetos co­n­te­ni­dos, roles de usuario y acciones. Esto incluye los dominios exi­s­te­n­tes que su­b­di­vi­den los grupos de trabajo en la red in­fo­r­má­ti­ca. A su vez, los co­n­te­ni­dos e in­fo­r­ma­ción es­pe­cí­fi­cos del dominio solo están di­s­po­ni­bles a través de los co­n­tro­la­do­res de dominio internos del re­s­pe­c­ti­vo dominio. Estos contienen un catálogo global con toda la in­fo­r­ma­ción im­po­r­ta­n­te y parcial sobre el esquema, la co­n­fi­gu­ra­ción y otros dominios de la misma red. Con la ayuda del catálogo global, se puede buscar y recuperar in­fo­r­ma­ción parcial im­po­r­ta­n­te en todos los dominios.

Dominio

Los dominios co­n­s­ti­tu­yen la base del Active Directory para la es­tru­c­tu­ra­ción je­rá­r­qui­ca de los objetos, grupos de trabajo y usuarios ge­s­tio­na­dos por los ad­mi­ni­s­tra­do­res. Al igual que los di­re­c­to­rios y su­b­di­re­c­to­rios, un dominio contiene toda la in­fo­r­ma­ción sobre los objetos y los atributos que solo afectan al dominio. Solo se puede acceder a la in­fo­r­ma­ción es­pe­cí­fi­ca de un dominio desde otros dominios si están co­n­te­ni­dos en el catálogo global. El resto de la in­fo­r­ma­ción solo está di­s­po­ni­ble en el co­n­tro­la­dor de dominio interno. Un dominio sirve así como un im­po­r­ta­n­te elemento de es­tru­c­tu­ra­ción que delimita las unidades ad­mi­ni­s­tra­ti­vas y de red en forma de áreas reales, grupos de trabajo y de­pa­r­ta­me­n­tos y es­tru­c­tu­ra je­rá­r­qui­ca­me­n­te las au­to­ri­za­cio­nes. Los nombres de dominio se asignan como en el caso de los clásicos se­r­vi­do­res DNS.

Bases de datos y objetos

La base de datos del Active Directory se basa en el Microsoft Jet Engine, similar a un Microsoft Exchange Server. Está basado en objetos y es­tru­c­tu­ra­do je­rá­r­qui­ca­me­n­te. Los objetos re­pre­se­n­tan los re­s­pe­c­ti­vos conjuntos de datos, así como las políticas de grupo para los recursos in­fo­r­má­ti­cos. Sus pro­pie­da­des se denominan atributos y sus tipos se definen en co­n­se­cue­n­cia. Los objetos se su­b­di­vi­den en las ca­te­go­rías “cuentas” (por ejemplo, cuentas re­la­cio­na­das con servicios y usuarios para empleados, grupos o di­s­po­si­ti­vos) y “recursos” (por ejemplo, acciones para apli­ca­cio­nes y servicios).

A su vez, los objetos se dividen en “co­n­te­ne­do­res”, que contienen otros objetos pre­de­fi­ni­dos o au­to­de­fi­ni­dos, y “no co­n­te­ne­do­res”, que no contienen ningún otro objeto y también se suelen denominar “nodos hoja”.

Cuatro im­po­r­ta­n­tes co­m­po­ne­n­tes técnicos del AD

Se utilizan cuatro es­tá­n­da­res centrales para permitir una co­mu­ni­ca­ción uniforme entre or­de­na­do­res, apli­ca­cio­nes, servicios, di­re­c­to­rios AD y dominios:

  • LDAP (Ligh­t­wei­ght Directory Access Protocol): protocolo para realizar pe­ti­cio­nes uniformes a los di­re­c­to­rios del Active Directory.
  • Protocolo Kerberos: protocolo para la au­te­n­ti­ca­ción central y uniforme y los derechos de acceso de los usuarios en los se­r­vi­do­res AD.
  • SMB (Server Message Block): protocolo para los derechos de acceso, como las políticas de grupo o los scripts de inicio de sesión, a los archivos en la red AD y en los se­r­vi­do­res.
  • DNS (Domain Name System): sistema para el di­re­c­cio­na­mie­n­to uniforme de nombres de or­de­na­do­res y dominios en el Active Directory.

Cómo funciona la jerarquía en el Active Directory

Si solo echas un vistazo rápido, no te parecerá que el Active Directory tenga algo que ver con los árboles. En realidad, sí que tiene algo que ver. La es­tru­c­tu­ra general del AD se llama forest (bosque) y puede contener varios trees (árboles) en forma de dominios raíz y su­b­do­mi­nios de un espacio DNS. Los co­n­te­ne­do­res or­ga­ni­za­dos en dominios se co­n­si­de­ran la unidad más baja. Los dominios unidos mapean la es­tru­c­tu­ra or­ga­ni­za­ti­va y los recursos de la empresa, pero también pueden co­n­fi­gu­rar­se in­de­pe­n­die­n­te­me­n­te de las es­tru­c­tu­ras físicas y lógicas de la empresa. De este modo, se pueden unir varias ubi­ca­cio­nes de un mismo dominio o gestionar di­fe­re­n­tes dominios en una misma ubicación.

La in­fo­r­ma­ción a la que pueden acceder todos los usuarios del AD es:

  • el esquema
  • la co­n­fi­gu­ra­ción
  • la in­fo­r­ma­ción del dominio en el catálogo global

Por otro lado, solo se puede acceder a los datos es­pe­cí­fi­cos del dominio a través de los co­n­tro­la­do­res de dominio internos ya me­n­cio­na­dos. Un dominio suele tener dos co­n­tro­la­do­res que evitan la pérdida de datos mediante la re­pli­ca­ción mu­l­ti­ma­s­ter, es decir, co­n­tro­la­do­res de copia de seguridad y copias del AD.

Nota

Los derechos de los usuarios, los dominios y los co­n­tro­la­do­res de dominio se organizan y co­n­fi­gu­ran por el ad­mi­ni­s­tra­dor re­s­po­n­sa­ble.

Ventajas del Active Directory

Estas son las ventajas del Active Directory para las redes complejas de Windows en las empresas:

  • Gestión y co­n­fi­gu­ra­ción ce­n­tra­li­za­da de acciones, derechos y políticas para usuarios, grupos, servicios y apli­ca­cio­nes
  • Pro­te­c­ción contra fallos y pérdida de datos mediante la re­pli­ca­ción mu­l­ti­ma­s­ter dentro de la es­tru­c­tu­ra del dominio
  • Mapeo y co­n­fi­gu­ra­ción central de la es­tru­c­tu­ra or­ga­ni­za­ti­va de las redes in­fo­r­má­ti­cas de Windows
  • Am­plia­ción y escalado flexible de las es­tru­c­tu­ras de dominio
  • Pro­te­c­ción de la in­fo­r­ma­ción mediante la de­ma­r­ca­ción je­rá­r­qui­ca entre áreas, de­pa­r­ta­me­n­tos y grupos de trabajo con di­fe­re­n­tes derechos de acceso
  • Co­m­pa­ti­bi­li­dad con otros servicios de di­re­c­to­rio
  • Reducción de costes y trabajo mediante la ad­mi­ni­s­tra­ción ce­n­tra­li­za­da
Ir al menú principal