Hoy vamos a ver el rol de Directory Services de Windows Server 2012. Mejor dicho vamos a empezar a ver en detalle este rol (hace tiempo que me lo venían pidiendo), y esta va a ser la primera de varias notas en donde iremos desde lo mas básico hasta ver cosas avanzadas relacionadas con este rol. Esta nota sirve a los principiantes, y a quienes quieres afianzar los conocimientos, es similar a la charla que di para los MAP’s de Argentina y en la Universidad sobre Active Directory Domain Services (AD DS). Posteriormente voy a ver de grabar esa sesión nuevamente ya que me han preguntado mucho sobre ella.
Fíjense que durante la nota hablaremos de Domain Controllers, Roles FSMO (Flexible Single Master Operations), OUs, Delegación de Permisos, aplicación de políticas y demás teas que ya hemos publicado videos y nota sobre como implementarlos. Pueden buscar ese material en el blog si quieren verlo puntualmente.
Una definición genérica de Directory Services o (Servicio de Directorio) (DS) podría ser una aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red. Además, los servicios de directorio actúan como una capa de abstracción entre los usuarios y los recursos compartidos.
Vale aclarar que hay varios Directory Services, ya sea Microsoft, Novell, X.500 u otros. El objetivo de Active Directory Domain Services (AD DS, de Microsoft) es generar una infraestructura escalable, segura y administrable para la administración de usuarios y recursos, y proporcionar compatibilidad con aplicaciones habilitadas para el directorio, como puede ser Exchange Server, CRM Server, SharePoint Server y demás.
AD DS utiliza una base de datos distribuida que almacena y administra información acerca de los recursos de red y datos específicos de las aplicaciones habilitadas para el uso de directorios. Controlador de Dominio son aquellos servidores que ejecutan AD DS. Los administradores pueden usar AD DS para organizar los elementos de una red (los Objetos) (por ejemplo, los usuarios, los equipos y otros dispositivos) en una estructura jerárquica. La estructura jerárquica incluye el bosque de Active Directory, los dominios del bosque y las unidades organizativas de cada dominio.
La organización de los objetos/elementos de la red en una estructura jerárquica ofrece las ventajas como ser:
-
El bosque actúa como un límite de seguridad para la organización y define el ámbito de autoridad de los administradores. De forma predeterminada, el bosque contiene un solo dominio llamado dominio raíz del bosque.
-
Se pueden crear dominios adicionales en el bosque para facilitar la partición de los datos de AD DS, lo que permite a las organizaciones replicar datos solo si es necesario. Esto permite que AD DS se ajuste de forma global en una red con un ancho de banda limitado. Además, un dominio de Active Directory es compatible con otras funciones clave relacionadas con la administración, incluidas la identidad de usuario, la autenticación y las relaciones de confianza en la red.
-
Las unidades organizativas simplifican la delegación de autoridad para facilitar la administración de un gran número de objetos. Mediante la delegación, los propietarios pueden transferir una autoridad total o limitada sobre los objetos a otros usuarios o grupos. La delegación es importante porque ayuda a distribuir la administración de un gran número de objetos para una serie de usuarios en quienes se confía para realizar tareas de administración.
La seguridad se integra con AD DS a través de la autenticación de inicio de sesión y el control de acceso a los recursos del directorio. Con un solo inicio de sesión de red, los administradores pueden administrar los datos de directorio y la organización a través de la red. Los usuarios de red autorizados también pueden usar un inicio de sesión de red único para tener acceso a cualquier punto de la red. La administración basada en directiva facilita la administración de incluso las redes más complejas.
Algunas características adicionales de AD DS son:
-
Un conjunto de reglas, el esquema, que define las clases de objetos y atributos incluidos en el directorio, las restricciones y límites de las instancias de estos objetos y el formato de sus nombres.
-
Un catálogo global que contiene información acerca de todos los objetos del directorio. Los usuarios y los administradores pueden usar el catálogo global para buscar información del directorio con independencia del dominio en que el directorio tiene los datos.
-
Un mecanismo de consulta e índice para poder publicar los objetos y sus propiedades, y buscar por usuarios o aplicaciones de red.
-
Un servicio de replicación que distribuye los datos de directorio en una red. Todos los controladores de dominio de escritura de un dominio participan en la replicación y contienen una copia completa de toda la información de directorio del dominio. Cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio.
-
Roles FSMO (Flexible Single Master Operations). Los controladores de dominio que contienen los roles de maestro de operaciones se designan para realizar tareas específicas para garantizar la coherencia y eliminar las entradas en conflicto del directorio.
Algo muy consultado, es cuales son los requisitos para ejecutar el rol:
-
TCP/IP: Configurar las direcciones del servidor DNS y TCP/IP correspondientes.
-
NTFS: Las unidades que almacenan la base de datos, los archivos de registro y la carpeta SYSVOL para los Active Directory Domain Services (AD DS) deben encontrarse en un volumen fijo local. el SYSVOL debe estar ubicado en un volumen que esté formateado en NTFS. Por motivos de seguridad, los archivos de registro y la base de datos de Active Directory deben estar ubicados en un volumen de este tipo (NTFS).
-
Credenciales: Para instalar un nuevo bosque de AD DS debemos ser administrador local en el servidor. Para instalar un controlador de dominio adicional en un dominio existente debe ser miembro del grupo Admins del dominio.
-
DNS: Debemos tener una infraestructura de DNS está preparada. Cuando instalemos AD DS, podemos incluir la instalación del servidor DNS, si es necesario. Al crear un dominio nuevo, se crea automáticamente una delegación DNS durante el proceso de instalación. La creación de una delegación de DNS requiere credenciales de delegación con permisos para actualizar las zonas DNS primarias.
-
Adprep: Para agregar el primer controlador de dominio que se ejecuta en Windows Server 2012 a un directorio de Active Directory existente, los comandos de adprep.exe se ejecutan automáticamente según la necesidad. Estos comandos tienen requisitos adicionales de credenciales y conectividad.
-
Read-Only Domain Controllers (RODC): El nivel funcional de bosque debe ser Windows Server 2003 como mínimo. Debemos tener instalado en el mismo dominio al menos un controlador de dominio de escritura que ejecute Windows Server 2008 o posterior.
Bueno con esto doy por terminada esta nota. Espero que les sea de interés; y voy a ver si puedo armar de nuevo el ambiente como para grabar la sesión de Active Directory Domain Services en donde vemos as gráficamente estas características que comentábamos.
Saludos, Roberto Di Lello.
La verdad malísimo tu post, esas no son novedades, win 2003 ya tenía todo eso. Saludos.
ay coco coco, el tema no es si es bueno para vos o no, la verdad que este blog esta pensado para todos. Los que saben mucho y los que no; si esta nota ayuda a una sola persona, cumplio con su objetivo. recibo muchas preguntas de gente principiante y de otros no tanto.
Y por cierto, AD viene desde windows 2000 en adelante, y el principio de AD es el mismo en todas sus versiones, se fueron agregando funcionalidades. La proxima seria muy bueno que pongas tu nombre y direccion real asi podemos debatir los temas de frente y no desde el anonimato. Saludos.