Dominio

Un controlador de dominio es una entidad administrativa, no es un equipo en

concreto, sino un conjunto de equipos agrupados que se rigen por unas reglas
de seguridad y autenticación comunes. Para regular un dominio, se precisa al
menos de un equipo que sea el controlador principal, la fuente primera donde se
almacenan las reglas del dominio, y donde serán consultadas esas reglas en
última instancia. Un controlador de dominio (DC) puede implementarse tanto
bajo Windows como bajo Linux.

Servidor de Dominio
Un servidor de dominio (domain server / active directory server / servidor de
directorio activo): es un equipo especialmente diseñado con arquitectura de alto
rendimiento, en el cual se instala un robusto sistema operativo de servidor y un
software que aplica políticas para autorizar ó denegar características al sistema
operativo de ciertos equipos (terminales, estaciones de trabajo, puesto de
trabajo) conectados en la red (LAN, VLAN, WAN, VPN, WLAN, etc)

Controladores de Dominio en Windows Server

Los controladores de dominio Windows Server utilizan un modelo de replicación
donde todos los controladores están disponibles en lectura y escritura. Este
modelo, llamado modelo de replicación de varios maestros (Multi Master
Replication), permite no tener que depender de un solo controlador en especial.
Los controladores de dominio de un dominio Active Directory son, por definición,
todos iguales entre sí. De esta forma, los objetos y los servicios que el dominio
pone a disposición están disponibles a través de todos los controladores de
dominio.

¿En qué consiste Active Directory?

Active Directory (AD) es un servicio de directorio para su uso en un entorno
Windows Server. Se trata de una estructura de base de datos distribuida y
jerárquica que comparte información de infraestructura para localizar, proteger,
administrar y organizar los recursos del equipo y de la red, como archivos,
usuarios, grupos, periféricos y dispositivos de red.
Active Directory es el servicio de directorio propietario de Microsoft para su uso
en redes de dominio de Windows. Cuenta con funciones de autenticación y
autorización y proporciona un framework para otros servicios similares.
Básicamente, el directorio consiste en una base de datos LDAP que contiene
objetos en red. Active Directory utiliza el sistema operativo Windows Server.
Cuando se habla sobre Active Directory, por lo general nos referimos a los
servicios de dominio (Domain Services) de Active Directory, que proporcionan
servicios integrados de autenticación y autorización a gran escala.
Antes de Windows 2000, el modelo de autenticación y autorización de Microsoft
obligaba a dividir una red en dominios para luego vincularlos mediante un
sistema de confianza de una y dos vías que resultaba complicado y, a veces,
impredecible. Active Directory se presentó en Windows 2000 como una forma de
proporcionar servicios de directorio a entornos más grandes y complejos.

Otros servicios de Active Directory

Con el tiempo, Microsoft ha agregado servicios adicionales bajo el estandarte de
Active Directory.
 Active Directory Lightweight Directory Services
Esta versión ligera de los servicios de dominio elimina cierta complejidad y
algunas características avanzadas para ofrecer solo la funcionalidad básica del
servicio de directorio sin controladores de dominio, bosques o dominios.
Normalmente se utiliza en entornos de red individuales y pequeñas.
 Active Directory Certificate Services
Los servicios de certificados ofrecen formas de certificación digital y admiten
infraestructura de clave pública (PKI, por sus siglas en inglés). Este servicio
puede almacenar, validar, crear y revocar las credenciales de clave pública
utilizadas para el cifrado en lugar de generar claves de forma externa o local.
 Active Directory Federation Services
Proporciona un servicio de autenticación y autorización de inicio de sesión único
basado en la web para su uso principalmente entre organizaciones. De este
modo, un contratista puede iniciar sesión en su propia red y tener autorización,
al mismo tiempo, para acceder a la red del cliente.
 Active Directory Rights Management Services
Se trata de un servicio de administración de derechos que rompe con el concepto
de autorización como un simple modelo de permitir o denegar acceso y limita lo
que puede hacer un usuario con archivos o documentos concretos. Los derechos
y restricciones se adjuntan al documento, y no al usuario. Estos derechos se
usan comúnmente para evitar la impresión, la copia o las capturas de pantalla
de un documento.

Active Directory - Estructura

Una característica clave de la estructura de Active Directory es la autorización
delegada y la replicación eficiente. Cada parte de la estructura organizativa de
AD limita la autorización o la replicación dentro de esa subparte en particular.
 Bosque
El bosque es el nivel más alto de la jerarquía de la organización, y se trata de un
límite de seguridad dentro de la organización. Un bosque permite segregar la
delegación de autoridad de forma acotada en un solo entorno. De este modo,
podemos tener un administrador con derechos y permisos de acceso total, pero
solo a un subconjunto específico de recursos. También es posible utilizar un solo
bosque en la red. La información del bosque se almacena en todos los
controladores de dominio de todos los dominios dentro del bosque.
 Árbol
Un árbol es un grupo de dominios. Los dominios dentro de un árbol comparten
el mismo espacio de nombre raíz, pero, a pesar de ello, los árboles no son límites
de seguridad o replicación.
 Dominios
Cada bosque contiene un dominio raíz. Se pueden usar dominios adicionales
para crear más particiones dentro de un bosque. El propósito de un dominio es
dividir el directorio en partes más pequeñas para poder controlar la replicación.
Un dominio limita la replicación de Active Directory solo a los otros controladores
de dominio que se encuentran en su interior. Por ejemplo: si tenemos dos
oficinas, una Buenos Aires y otra en Cordoba, la primera no debe replicar los
datos de AD de la segunda (y viceversa). De este modo, podemos ahorrar ancho
de banda y limitar el daño causado a través de las brechas de seguridad.
Cada controlador de un dominio contiene una copia idéntica de la base de datos
de Active Directory de ese dominio. De este modo se mantiene todo actualizado
a través de la replicación constante.
A pesar de que los dominios se usaban en el modelo anterior, basado en
Windows-NT, y aún proporcionan una barrera de seguridad, se recomienda que
no sean solo los dominios los que se encarguen de controlar la replicación, sino
que se empleen también las unidades organizativas (OU) para agrupar y limitar
los permisos de seguridad.
 Unidades organizativas (OU)
Una unidad organizativa permite agrupar la autoridad sobre un subconjunto de
recursos de un dominio. Una OU proporciona un límite de seguridad para
privilegios y autorización elevados, pero no limita la replicación de objetos de AD.
Las unidades organizativas se utilizan para delegar el control dentro de
agrupaciones funcionales. Se deben usar las unidades organizativas para
implementar y limitar la seguridad y los roles entre los grupos, mientras que los
dominios deben usarse para controlar la replicación de Active Directory.
Controladores de dominio
Los controladores de dominio son servidores de Windows que contienen la base
de datos de Active Directory y ejecutan funciones relacionadas con AD, como la
autenticación y la autorización. Un controlador de dominio es cualquier servidor
Windows que cuente con la función de controlador de dominio instalada.
Cada controlador de dominio almacena una copia de la base de datos de Active
Directory, que contiene información sobre todos los objetos dentro del mismo
dominio. Además, cada controlador de dominio almacena el esquema de todo el
bosque, así como toda la información sobre el mismo. Un controlador de dominio
no almacenará una copia de ningún esquema o información de bosque de un
bosque diferente, aunque se encuentren en la misma red.
Funciones especializadas del controlador de dominio
Se usan roles especializados de controlador de dominio para realizar
operaciones específicas que no están disponibles en los controladores de
dominio estándar. Aunque estos roles maestros se asignan al primer controlador
creado en cada bosque o dominio, un administrador puede reasignarlos
manualmente.
 Maestro de esquema
Solo existe un maestro de esquema por bosque. Contiene la copia maestra del
esquema utilizado por todos los demás controladores de dominio. Tener una
copia maestra garantiza que todos los objetos se definan de la misma manera.
 Maestro de nombres de dominio
Solo existe un maestro de nombres de dominio por cada bosque, y su función es
garantizar que todos los nombres de los objetos sean únicos y, cuando sea
necesario, realizar referencias cruzadas de los objetos almacenados en otros
directorios.
 Maestro de infraestructura
Hay un maestro de infraestructura por dominio que mantiene la lista de objetos
eliminados y rastrea las referencias de los objetos en otros dominios.
 Maestro del identificador relativo
El maestro del identificador relativo rastrea la asignación y creación de
identificadores de seguridad únicos (SID) en todo el dominio, y hay uno por
dominio.
 Emulador de controlador de dominio primario
Solo hay un emulador de controlador de dominio primario (PDC) por dominio.
Está ahí para proporcionar compatibilidad con versiones anteriores de los
antiguos sistemas de dominio basados en Windows NT, y responde a las
solicitudes realizadas a un PDC como se esperaría que lo hiciera un PDC
antiguo.
 Almacén de datos
El almacén de datos se encarga del almacenamiento y la recuperación de la
información en cualquier controlador de dominio. El almacén de datos se
compone de tres capas. La capa inferior es la propia base de datos. La capa
intermedia está compuesta por componentes de servicio, el agente del sistema
de directorio (DSA), la capa de base de datos y el motor de almacenamiento
extensible (ESE). En la capa superior se encuentra el servicio de
almacenamiento de directorio, el LDAP (Lightweight Directory Access Protocol),
la interfaz de replicación, la API de mensajería (MAPI) y el administrador de
cuentas de seguridad (SAM).

Sistema de nombres de dominio

Aunque Active Directory contiene información de ubicación sobre los objetos

almacenados en la base de datos, utiliza el sistema de nombres de dominio
(DNS) para situar los controladores de dominio.
Dentro de Active Directory, cada dominio tiene un nombre de dominio DNS y
cada ordenador que forma parte del dominio cuenta con un nombre DNS dentro
del mismo.

Objetos
Todo lo que hay dentro de Active Directory se almacena en forma de objeto.
También podría decirse que la clase es el “tipo” de un objeto dentro del esquema.
Los atributos son los componentes del objeto, y están definidos por su propia
clase.
Los objetos deben definirse dentro del esquema para que los datos puedan
almacenarse en el directorio. Una vez definidos, los datos se almacenan dentro
del directorio activo como objetos individuales. Cada objeto debe ser único y
representar una sola cosa, como un usuario, un equipo o un grupo único de
cosas (grupos de usuarios, por ejemplo).
Los dos principales tipos de objetos son recursos y principios de seguridad. A los
principios de seguridad se les asignan identificadores de seguridad (SID), pero
los recursos no.

Replicación
Active Directory utiliza diversos controladores de dominio por múltiples razones,
incluido el equilibrio de carga y la tolerancia a fallos. Para que esto funcione,
cada controlador de dominio debe disponer de una copia completa de la propia
base de datos de Active Directory de su dominio. La replicación es el proceso
que garantiza que cada controlador cuente con una copia actualizada de la base
de datos.
La replicación está limitada por el dominio. Los controladores de dominio que se
encuentran en dominios diferentes no se replican entre sí, incluso aunque estén
dentro del mismo bosque. Si bien las versiones anteriores de Windows tenían
diferentes tipos de controladores de dominio (principal y secundario), en Active
Directory no existe tal cosa: todos los controladores de dominio son iguales. A
veces puede existir cierta confusión por seguir usando en Active Directory el
nombre de “controlador de dominio” que se empleaba en el antiguo sistema,
basado en la confianza.
La replicación trabaja sobre un sistema de extracción, lo que significa que un
controlador de dominio solicita o “extrae” la información de otro controlador de
dominio en lugar de que cada uno de ellos envíe o “introduzca” datos en los
demás. De forma predeterminada, los controladores de dominio solicitan datos
de replicación cada 15 segundos. Ciertos eventos de alta seguridad, como
bloquear una cuenta, activan un evento de replicación inmediata.
Solo se replican los cambios. Para garantizar la fidelidad en un sistema de
múltiples maestros, cada controlador de dominio realiza un seguimiento de los
cambios y solicita solo las actualizaciones que necesita desde la última
replicación. Los cambios se replican a través de todo el dominio mediante un
mecanismo de almacenamiento y reenvío, de modo que cualquier cambio se
replica cuando se solicita, incluso si dicho cambio no se originó en el controlador
de dominio que responde a la solicitud de replicación.
De ese modo se evita el exceso de tráfico, y se puede configurar para garantizar
que cada controlador de dominio solicite sus datos de replicación al servidor más
deseable. Por ejemplo, si una ubicación remota tiene dos conexiones a otros
sitios con controladores de dominio, y una de ellas es rápida mientras que la otra
es lenta, puede establecer un “coste” para cada conexión. Al hacerlo, la solicitud
de replicación se realizará siempre a través de la conexión más rápida.