lunes, 7 de marzo de 2011

ACTIVE DIRECTORY

ACTIVE DIRECTORY




Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).
Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.




ESTRUCTURA:


Active Directory está basado en una serie de estándares llamados (X.500), aquí se encuentra una definición lógica a modo jerárquico.
Dominios y subdominios se identifican utilizando la misma notación de las zonas DNS, razón por la cual Active Directory requiere uno o más servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lógicos de la red, como el listado de usuarios.
Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, será reconocido en todo el árbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.
A su vez, los árboles pueden integrarse en un espacio común denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relación de «trust» o confianza entre ellos. De este modo los usuarios y recursos de los distintos árboles serán visibles entre ellos, manteniendo cada estructura de árbol el propio Active Directory.










FUNCIONAMIENTO:


Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la información relativa a un dominio de autenticación. La ventaja que presenta esto es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.
A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo «email», etcétera, las impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo "usuarios que pueden acceder", etc). Toda esta información queda almacenada en Active Directory replicándose de forma automática entre todos los servidores que controlan el acceso al dominio.
De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administración, los eventuales cambios serán visibles en todo el ámbito. Para decirlo en otras palabras, Active Directory es una implementación de servicio de directorio centralizado en una red distribuida que facilita el control, la administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos).



 REQUISITOS:


Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:
  • Tener cualquier versión Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008, en el caso de 2003 server, tener instalado el service pack 1 en la máquina.
  • Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una dirección asignada por DHCP,
  • Tener un servidor de nombre de DNS, para resolver la dirección de los distintos recursos físicos presentes en la red
  • Poseer más de 250 MB en una unidad de disco formateada en NTFS.


 TERMINOLOGÍA Y CONCEPTOS DE ACTIVE DIRECTORY






ATRIBUTO
Cada fragmento de información que describe algún aspecto de una entrada. Este esta formado por un tipo del atributo y uno o mas valores del atributo.


OBJETO
Es un conjunto determinado de atributos que representan algo completo tales como usuarios, impresoras o aplicación. Los atributos contienen la información que describe lo que se identifica por medio del objeto de directorio.
Cada objeto en AD tiene una identidad única, se pueden mover o renombrar pero esta nunca cambia; son conocidos con su identidad mas no con su nombre actual. Su identificador es el GUID (Globally Unique Identifier usado por el AD para búsqueda de replicación de información) asignado por el DSA (Directory System Agent) en la creación del objeto.


CONTENEDOR
Similar a un objeto puesto que posee atributos pero a diferencia de este no representa algo concreto; es decir, un almacén de objetos y otros contenedores.


ARBOL Y SUBARBOL
Es una jerarquía de objetos y contenedores que muestran como se relacionan los objetos o el camino desde un objeto hasta otro, los puntos finales de un árbol son generalmente objetos. Un subárbol es cualquier camino sin interrupciones del árbol, incluyen todos los miembros de cada contenedor en dicho camino.


ARBOLES
Es un espacio de nombres* único y contiguo donde cada nombre del espacio de nombres desciende directamente de un único nombre raíz.


BOSQUE
Un bosque es la agrupación de varios árboles de dominio en una estructura jerárquica. Dominio de árboles en un bosque con un esquema común, la configuración, y el catálogo global. Los dominios en el bosque están vinculados por dos vías confianza transitiva. Mediante el nivel funcional del bosque, puede habilitar más amplia del bosque de Active Directory características. El bosque niveles funcionales que se pueden establecer son Windows 2000, Windows Server 2003 provisional, y Windows Server 2003.


Es una colección de arboles esencialmente iguales, sin una única raíz en el espacio de nombres.


VENTAJAS:
  • Active Directory proporciona un método para el diseño de la estructura de directorios que responde a las necesidades de cualquier organización.
  • Active Directory posee numerosas ventajas, no sólo el poder manejar instalaciones de cualquier tamaño, desde un único servidor con unos cientos de objetos hasta miles de servidores con millones de objetos. Active Directory también simplifica enormemente el proceso de localizar recursos a lo largo de una gran red. La Interfaz de servicios de Active Directory (ADSI, Active Directory Services Interface) permite a los desarrolladores hacer que sus aplicaciones soporten el directorio, proporcionando a los usuarios una única forma de acceder a múltiples directorios, ya estén basados en LDAP, NDS o en los Servicios de directorio de NT (NTDS, NT Directory Services).
  • En Windows 2000, Active Directory integra el concepto de espacio de nombres de Internet con los servicios de directorio del sistema operativo. Esta combinación permite la unificación de múltiples espacios de nombres entre, por ejemplo, la mezcla de entornos software y hardware de las redes corporativas, incluso de un lado a otro de las fronteras entre sistemas operativos. La capacidad de subsumir directorios empresariales individuales en un directorio de propósito general implica que Active Directory puede reducir notablemente los costes de la administración de múltiples espacios de nombres.
  • Active Directory no es un directorio X.500. En cambio, utiliza LDAP como protocolo de acceso y soporta el modelo de información X.500 sin requerir sistemas que soporten toda la sobrecarga de X.500. LDAP está basado en TCP/IP y es considerablemente más simple que el DAP de X.500. Al igual que X.500, el modelo de directorio de LDAP se basa en entradas, donde se utiliza el nombre distinguido para identificar una entrada sin ambigüedad. Pero en lugar de utilizar la estructurada codificación de datos de X.500, LDAP adopta un enfoque sencillo basado en cadenas para representar las entradas de directorio. LDAP utiliza muchas de las técnicas de acceso a directorio especificadas en el estándar DAP de X.500 pero requiere menos recursos del cliente, haciéndolo más práctico cuando se tiende a usarlo sobre un enlace TCP/IP.
  • Active Directory también soporta directamente el Protocolo de transferencia de hipertexto (HTTP, Hypertext Transfer Protocol). Todo objeto de Active Directory se puede mostrar como una página en Lenguaje de marcas de hipertexto (HTML, Hypertext Markup Languaje) en un explorador Web. El directorio soporta extensiones para que el Servicio de información de Internet (IIS, Internet Information Service) de Microsoft traduzca las peticiones HTTP para objetos del directorio en páginas HTML para mostrarlas en cualquier cliente HTML.
  • Active Directory permite un punto único de administración para todos los recursos públicos, entre los que se pueden incluir archivos, dispositivos periféricos, conexiones al host, bases de datos, accesos Web, usuarios, otros objetos arbitrarios, servicios, etc. Utiliza el DNS de Internet como servicio de localización, organiza los objetos en dominios dentro de una jerarquía de unidades organizativas (OU, Organizational Unit) y permite que varios dominios se conecten en una estructura en árbol. Los conceptos de Controlador primario de dominio (PDC, Primary Domain Controller) y Controlador de reserva del dominio (BDC, Backup Domain Controller) desaparecen. Active Directory sólo utiliza controladores de dominio, y las actualizaciones se replicarán en el resto de controladores de dominio.


 

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)