Qu es Active Directory?

Podemos decir como definicin pura que Active Directory es el servicio de directorio Windows
server 2012, que almacena informacin acerca de los objetos de la red y pone a disposicin de los
usuarios y administradores de la red dicha informacin. Ahora bien: qu es un directorio, objetos y
dems caractersticas?
Debemos definir directorio como una estructura jerrquica en la cual se almacena informacin
acerca de los objetos que componen nuestra red, considerando como objetos todo aquellos
elementos que tengan entidad, como ser: un member server, una computadora, un usuario, una
impresora, etc. Incluso algunos objetos pueden llegar a ser containers para otros objetos.
Es decir (Active Directory), provee una estructura y las funciones necesarias para organizar,
administrar y controlar recursos de forma centralizada, por lo cual toda esta informacin se
almacena tambin en forma centralizada. Por ejemplo, se almacenan los datos (atributos) acerca de
las cuentas de usuarios, recopilando toda la informacin acerca de un usuario en distintas solapas.

Dentro de la estructura podemos observar los siguientes elementos:

Objetos. Estos son los componentes bsicos de la estructura lgica.

Clases. Son los modelos o las plantillas para los tipos de objetos que se pueden crear en
Active Directory. Cada clase de objeto es definida por un grupo de atributos, los cuales
identifican los posibles valores que puede tomar cada objeto. Cada objeto tiene una
combinacin nica de los valores de atributos.
Unidades Organizativas. Son contenedores de objetos y sirven para organizarlos (con
fines netamente administrativos). Se puede delegar la autoridad para administrarlas e
incluso asignarles polticas de seguridad especiales a cada una.
Dominios. Son las unidades funcionales Core de la estructura lgica de AD; se las puede
considerar como una coleccin de los objetos administrativos definidos, que comparten un
directorio, polticas de seguridad y relaciones de confianza con otros Dominios.
Domain tree. Son Dominios agrupados en estructuras jerrquicas: al agregar un segundo
dominio en una estructura, este ultimo se convierte en Child del dominio principal (domain
tree)y as sucesivamente. Un ejemplo de ellos sera monterrey.hamddenol.sky.net (Child),
donde el domain tree seria hamddenol.sky.net
Forests. Un Forest es una instancia completa de Active Directory, y consiste en uno o ms
trees.

Qu es el schema?
El Schema de Active Directory contiene las definiciones de todos los objetos (Usuarios,
computadoras, impresoras, etc) almacenados en AD. En una estructura donde se encuentran varios
Domain Controller Windows Server, Existe solamente un Schema para todo el Forest, asegurando
as que las reglas para toso los objetos creados sean las mismas.
Schema tiene dos tipos de definiciones: Object Classes y Atributos.
Por ejemplo los usuarios, computadoras e impresoras corresponden a una definicin Object Classes,
que describen los objetos posibles que se pueden crear en el AD. Cada Object Class es una coleccin
de atributos. Dichos atributos se definen independientemente de los Object Classes y tiene una
definicin nica y puede ser utilizado en multiples. Object Classes. Por ejemplo, el atributo
descripcin se utiliza en muchos Object Classes pero se define solamente una vez en el Schema para
asegurar consistencia.
Qu son los Operations Masters?

Cada dominio en el forest tiene su propio PDC Emulator, RID Master e Infraestructure Master.
Son roles especficos del forest o del domain, que son utilizados en las operaciones del Single Master
Replication. Slo el Domain Controller que tiene asignado el rol es quien puede realizar los cambios
en el directorio.
Cada Domain Controller responsable de un rol especfico es denominado Operation Master Rol, y
este es almacenado en el Active Directory. Los Operations Master Roles existen a nivel forest o nivel
domain, y Active Directory define cinco de ellos.
Roles Forest

Schema master. Se encarga de controlar las actualizaciones al schema. El schema contiene

la definicin de clases de objetos y atributos utilizados para crear todos los objetos
(usuarios, computadoras, e impresoras).
Domain Naming Master. Se encarga de controlar las altas o bajas de dominios del forest.
Cuando se agregue un dominio al forest, solamente el Domain Controller que tenga el rol
Domain Naming Master, podr agregarlo.

Existen solamente un Schema Master y un Domain Naming Master por cada forest.

Primary Domain Controller Emulator (PDC). en la poca de los Dominios con

Windows NT, no era como ahora que cualquier Controlador de Dominio aceptaba
cambios en el directorio. Haba slo un Controlador de Dominio por Dominio que
aceptaba cambios, y se llamaba Controlador de Dominio Primario (PDC = Primary
Domain Controller). El resto de los Controladores de Dominio eran BDCs (Backup

Domain Controllers). Cualquera autenticaba usuarios, pero los cambios se hacan en

uno en particular (el PDC) y luego se replicaba a los otros (los BDCs).Esto ya
sabemos que no es ms as, pero como siempre el tema compatibilidad.

Relative Identifier Master (RID). Primero tenemos que explicar que es RID (Relative
Identifier). Las cuentas de usuario, las de grupo, y las de equipo, cuando son creadas en un
dominio, se les asigna un SID (Security ID). Lo podemos considerar en forma anloga a un
documento personal. Es un identificador nico y que nunca es reutilizado, aunque la cuenta
original fuera eliminada.
Este SID, tiene tres partes principales. La primera parte (S-1-5-21-..) es un identificador
asignado por ISO que especifica que es un identificador de seguridad asignado a Microsoft,
para
uso
en
dominios
NT,
etc.
La segunda parte es el identificador del Dominio, todas las cuentas de usuario, grupo y
equipo
de
un
dominio
comparten
estos
datos.
La tercera y ltima (los nmeros que siguen al ltimo - corresponden al RID, que es
asignado en forma secuencial a partir del nmero 1000 a cada cuenta que se crea en el
Dominio.
Vamos ahora a lo que nos interesa. Entiendo que todos conocemos que una cuenta puede
crearse en cualquier Controlador de Dominio ya que cualquiera de ellos puede escribir en

la base de Active Directory, pero sin embargo debemos asegurarnos que no se repitan los
SIDs asignados a cada cuenta.
La solucin pasa por tener un Controlador de Dominio que es el dueo de todos los RIDs,
y que a pedido le asigna a cada Controlador de Dominio del Dominio rangos de RIDs. Cuando
en un Controlador de Dominio este rango asignado comienza a agotarse (asigna de a 500, y
cuando quedan slo 50 disponibles) los Controladores de Dominio solicitarn al RID Master,
otro rango de RIDs
Usando la interfaz grfica, para ver quin tiene esta funcin, hay que abrir Usuarios y
Equipos de Active Directory, botn derecho sobre el nombre del Dominio y elegir Maestro
de Operaciones

Infrastructure Master. Es el encargado de actualizar las referencias de cada objeto dentro

del dominio cuando sufre alguna modificacin.
Ejemplo: Supongamos que nuestro Active Directory consistiera de varios Dominios. En un
ambiente como este se puede dar el caso que un usuario de un Dominio-A, est dentro
de un grupo de otro Dominio-B.
Por las capacidades propias de Active Directory y necesidad podramos tener que mover la
cuenta del usario (que est en Dominio-A) a otro Dominio-C

En este caso, en los grupos del Dominio-B se deberan actualizar todas las referencias a la
cuenta de usuario; antes era usuario de Dominio-A, ahora debe ser usuario de
Dominio-C.
Esta es justamente la funcin del Maestro de Infraestructura.
Si queremos ver quin tiene el rol usando la interfaz grfica, es igual que en el caso
anterior, slo que esta vez seleccionamos la ficha Infraestructura

Estos conceptos nos servirn cuando generemos nuestro laboratorio para mover roles
FSMO donde solo ser demostrativo.