Saltar a contenido

Directorio Activo (AD).

Arquitectura cliente – servidor.

El modelo cliente-servidor es aquel en el que existen varios clientes, los cuales realizan peticiones a un servidor.

Un servidor puede ser:

  • Dedicado: La máquina servidor sólo se dedica a tareas de servicios en la red
  • No dedicado: Además de los servicios, la máquina se puede usar como un puesto de trabajo más.

A los clientes se les conoce también como estaciones de trabajo. Son aquellas máquinas usadas por los usuarios para acceder a los servicios, por ejemplo un cliente FTP accede a un servidor FTP (servidor de archivos) para descargarse documentos del servidor.

Dominio.

Representa un conjunto de equipos (clientes y servidores) que comparten una política de seguridad y una base de datos común (Directorio Activo).

Los servidores pueden ser:

  • Controladores de dominio: Contienen las cuentas de usuario y de otros datos del Directorio Activo. Debe haber al menos 1 por cada dominio.

  • Servidores miembros del dominio: Se utilizan para almacenamiento de archivos y otros recursos compartidos en la red. No contienen información vital como cuentas de usuarios o políticas de grupos.

Diferencia entre “Grupo de Trabajo” y “Dominio.

🔥 Un grupo de trabajo es un conjunto de ordenadores comunicados entre sí, que forman parte de un mismo grupo. No obstante toda la gestión de políticas/grupos/usuarios/servicios/… son individuales por cada máquina. Es decir, los usuarios/grupos/políticas se crean manualmente equipo por equipo.

🔥 Con el dominio desde un servidor gestionamos todo, políticas de grupo, usuarios, servicios, seguridad, recursos accesibles, etc.

Ventajas/Desventajas de un “Grupo de Trabajo” frente a un “Dominio”.

✅ Es más barato (no necesita un servidor y licencias).

❌ La gestión es tienes que hacerla equipo por equipo, mientras que en un dominio solo debes configurar el servidor, por tanto es menos escalable (imagina tener 200 ordenadores en un grupo de trabajo).

❌ El grupo de trabajo es mucho más inseguro, puesto que es más fácil controlar políticas de seguridad a través de un servidor con políticas generalizadas para todos los equipos, ya que no todos los usuarios tienen un conocimiento suficiente de informática.

❌ Con el grupo de trabajo será mucho más tedioso implementar servicios, por ejemplo un servidor de correo.

Unidad Organizativa.

Ayudan a organizar los objetos de nuestro dominio (impresoras, usuarios, grupos, …).

Es parecido a la estructura de directorios (carpetas) de un sistema operativo, por ejemplo, dentro de nuestro dominio podemos tener una unidad organizativa por cada departamento de la empresa.

Ejemplo.

En el siguiente ejemplo vemos un dominio con una unidad organizativa para usuarios de “Contabilidad”, “Recursos Humanos”, “Informáticos”y “Marketing”.

Árboles.

🔥 Se da en redes muy grandes donde nos interesa segmentar en subdominios.

🔥 Las peticiones de los usuarios al servidor de un subdominio no llegan al servidor raíz (salva.com) y permitiendo un balanceo de carga de trabajo y ahorro en el ancho de banda de la red.

🔥 La gestión sigue siendo centralizada desde el servidor raíz.

Bosques.

🔥 Unión de diferentes árboles o dominios independientes (salva.com y pepe.com) que confían entre ellos.

🔥 Al haber una relación de confianza los usuarios de un dominio acceder a los recursos o a ciertos recursos del otro dominio.

Roles.

Un rol de servidor es un conjunto de programas que permiten a un equipo realizar una función específica para varios usuarios u otros equipos de una red. Básicamente está relacionado con el cometido de dicho servidor, un servidor puede tener múltiples roles.

Ejemplos.

✅ Servidor DHCP.

✅ Servidor DNS.

✅ Servidor Active Directory.

✅ Servidor de virtualización (Hyper-V).

✅ Servidor Web.

✅ Acceso remoto.

✅ Servidor de impresión.

✅ Servidor de correo electrónico.

Subroles.

Un rol puede tener diferentes funcionalidades o subroles, los cuales pueden estar activados o no.

Por ejemplo, un Servidor DNS solo tiene una finalidad y, por lo tanto, no tienen servicios de rol disponibles.

Un Servicio de Archivos (para compartir ficheros) puede tener el servicio de rol para el protocolo NFS o no, es decir, puede tener habilitada la función de servidor de ficheros NFS.

Roles de AD en Windows Server.

🔥 Active Directory Lightweight Directory Services: Se trata de un Active Directory “light”, no require de un dominio para su uso, simplemente alberga opciones/características para ciertas aplicaciones que nos interese.

🔥 Active Directory Rights Management Services: Nos ayuda a gestionar la protección del acceso a nuestros ficheros del directorio activo. Por ejemplo si un documento se intenta abrir desde un usuario no autorizado.

🔥 Servicios de certificados de Active Directory: Simplemente gestiona la creación de certificados digitales. Es para entidades de certificación oficial (seguridad informática).

🔥 Servicios de dominio de Active Directory: Este va a ser la opción que veremos en el módulo. Es el AD habitual.

🔥 Servicio de federación de Active Directory: Gestiona el acceso seguro desde dentro y desde fuera de tu red (Internet) a aplicaciones gestionadas en local por el servidor de Windows Active Directory. Obviamente con las credenciales de usuarios del active directory.

BASE DE DATOS LDAP y KERBEROS.

  • La base de datos de los usuarios, almacenada a través de LDAP se almacena en los controladores de dominio. Además el fichero “ntds.dit” será el que almacene realmente dicha base de datos.

  • La autenticación de los usuarios se realizará a través de Kerberos.

  • Podemos tener controladores de dominios principales (PDC – Primary Domain Controllers) o controladores de dominio secundarios (BDC – Backup Domain Controllers). Permiten balanceo de carga y redundancia.