| Directorio Activo | |
|---|---|
| Tipo de | Servicio de directorio |
| Desarrollador | microsoft |
| Sistema operativo | Servidor de windows |
| Primera edición | 1999 |
| plataforma de hardware | x86 , x86_64 y IA-64 |
| Formatos de archivo legibles | LDIF |
| Sitio web | docs.microsoft.com/window... |
Active Directory (“Active Directory”, AD ) es el servicio de directorio de Microsoft para los sistemas operativos de la familia Windows Server . Originalmente se creó como una implementación compatible con LDAP del servicio de directorio; sin embargo, a partir de Windows Server 2008, incluye la capacidad de integrarse con otros servicios de autorización, desempeñando un papel integrador y unificador para ellos. Permite a los administradores usar políticas de grupo para garantizar una personalización uniforme del entorno de trabajo del usuario, implementar software en varias computadoras a través de la política de grupo o a través de System Center Configuration Manager.(anteriormente Microsoft Systems Management Server), instale actualizaciones de software de servidor , aplicación y sistema operativo en todas las computadoras de la red mediante el servicio de actualización de Windows Server . Almacena los datos y la configuración del entorno en una base de datos centralizada. Las redes de Active Directory pueden variar en tamaño desde unas pocas docenas hasta varios millones de objetos.
La solución se introdujo en 1999, se lanzó por primera vez con Windows 2000 Server y luego se desarrolló como parte del lanzamiento de Windows Server 2003. Posteriormente, se incluyeron nuevas versiones del producto en Windows Server 2003 R2 , Windows Server 2008 y Windows Server 2008 R2 . y renombró Servicios de dominio de Active Directory . El servicio de directorio se llamaba anteriormente Servicio de directorio NT (NTDS), un nombre que todavía se puede encontrar en algunos archivos ejecutables .
A diferencia de las versiones de Windows anteriores a Windows 2000, que usaban principalmente el protocolo NetBIOS para la comunicación de red, Active Directory está integrado con DNS y se ejecuta solo sobre TCP/IP . El protocolo de autenticación predeterminado es Kerberos . Si el cliente o la aplicación no admiten la autenticación Kerberos, se utiliza NTLM [1] .
Para los desarrolladores de software, se proporciona una API de servicios de Active Directory ( ADSI ) .
Active Directory tiene una estructura jerárquica compuesta por objetos. Los objetos se dividen en tres categorías principales: recursos (como impresoras ), servicios (como correo electrónico ) y cuentas de usuario y de computadora. El servicio proporciona información sobre objetos, le permite organizar objetos, controlar el acceso a ellos y establecer reglas de seguridad.
Los objetos pueden ser repositorios de otros objetos (grupos de seguridad y distribución). Un objeto se identifica de manera única por su nombre y tiene un conjunto de atributos: características y datos que puede contener; estos últimos, a su vez, dependen del tipo de objeto. Los atributos son la base constituyente de la estructura de un objeto y se definen en el esquema. El esquema define qué tipos de objetos pueden existir.
El esquema en sí consta de dos tipos de objetos: objetos de clase de esquema y objetos de atributo de esquema. Un objeto de clase de esquema define un tipo de objeto de Active Directory (por ejemplo, un objeto de usuario) y un objeto de atributo de esquema define un atributo que puede tener un objeto.
Cada objeto de atributo se puede utilizar en varios objetos de clase de esquema diferentes. Estos objetos se denominan objetos de esquema (o metadatos ) y le permiten modificar y agregar al esquema cuando sea necesario y posible. Sin embargo, cada objeto de esquema forma parte de las definiciones de objeto, por lo que deshabilitar o modificar estos objetos puede tener graves consecuencias, ya que la estructura del directorio cambiará como resultado de estas acciones. El cambio en el objeto de esquema se propaga automáticamente al servicio de directorio. Una vez creado, un objeto de esquema no se puede eliminar, solo se puede deshabilitar. Por lo general, todos los cambios de esquema se planifican cuidadosamente.
Un contenedor es similar a un objeto en que también tiene atributos y pertenece a un espacio de nombres , pero a diferencia de un objeto, un contenedor no representa nada específico: puede contener un grupo de objetos u otros contenedores.
El nivel superior de la estructura es el bosque, la colección de todos los objetos, atributos y reglas (sintaxis de atributos) en Active Directory. El bosque contiene uno o más árboles conectados por relaciones de confianza transitivas . El árbol contiene uno o más dominios, también conectados en una jerarquía por relaciones de confianza transitivas. Los dominios se identifican por sus estructuras de nombres DNS: espacios de nombres.
Los objetos de un dominio se pueden agrupar en contenedores: unidades organizativas. Las unidades organizativas le permiten crear una jerarquía dentro de un dominio, simplificar su administración y modelar, por ejemplo, la estructura organizativa o geográfica de una organización en un servicio de directorio. Las divisiones pueden contener otras divisiones. Microsoft recomienda usar la menor cantidad de dominios posible en el servicio de directorio y usar unidades organizativas para la estructuración y las políticas. Las políticas de grupo a menudo se aplican específicamente a las unidades organizativas. Las políticas de grupo son en sí mismas objetos. Una división es el nivel más bajo al que se puede delegar la autoridad administrativa .
Otra forma de dividir son los sitios, que son una forma de agrupación física (en lugar de lógica) basada en segmentos de red. Los sitios se dividen en aquellos con conexiones a través de canales de baja velocidad (por ejemplo, a través de redes globales , utilizando redes privadas virtuales ) y a través de canales de alta velocidad (por ejemplo, a través de una red de área local ). Un sitio puede contener uno o más dominios y un dominio puede contener uno o más sitios. Al diseñar un servicio de directorio, es importante tener en cuenta el tráfico de red que se genera cuando los datos se sincronizan entre sitios.
Una decisión clave en el diseño de un servicio de directorio es la decisión de dividir la infraestructura de información en dominios jerárquicos y unidades de nivel superior. Los modelos típicos utilizados para esta división son divisiones por divisiones funcionales de la empresa, por ubicación geográfica y por roles en la infraestructura de información de la empresa. A menudo se utilizan combinaciones de estos modelos.
Físicamente, la información se almacena en uno o más controladores de dominio equivalentes que reemplazaron a los controladores de dominio principal y de respaldo utilizados en Windows NT , aunque también se conserva para algunas operaciones un servidor llamado " operaciones de maestro único" que puede emular un controlador de dominio principal. . Cada controlador de dominio mantiene una copia de lectura/escritura de los datos. Los cambios realizados en un controlador se sincronizan con todos los controladores de dominio durante la replicación . Los servidores que no tienen instalado Active Directory pero que forman parte de un dominio de Active Directory se denominan servidores miembro.
La replicación de directorios se produce bajo demanda. El servicio KCC ( Comprobador de consistencia del conocimiento ) crea una topología de replicación que utiliza los sitios definidos en el sistema para controlar el tráfico. La replicación dentro del sitio la realiza con frecuencia y automáticamente un verificador de coherencia (al notificar los cambios a los socios de replicación). La replicación entre sitios se puede configurar por enlace de sitio (dependiendo de la calidad del enlace); se puede asignar una "tarifa" (o "costo") diferente a cada enlace (por ejemplo, DS3, T1 , ISDN ) y el tráfico de replicación será limitado, transmitido programado y enrutado de acuerdo con la estimación del canal asignado. Los datos de replicación pueden transitar a través de varios sitios a través de puentes de enlaces de sitios si la "puntuación" es baja, aunque AD asigna automáticamente una puntuación más baja para los enlaces de sitio a sitio que para los enlaces de tránsito. La replicación de sitio a sitio la realizan los servidores cabeza de puente en cada sitio, que luego replican los cambios en cada controlador de dominio en su sitio. La replicación intradominio se lleva a cabo a través del protocolo RPC , mientras que la replicación entre dominios también puede usar el protocolo SMTP .
Si la estructura de Active Directory contiene varios dominios, se utiliza un catálogo global para resolver la tarea de búsqueda de objetos: un controlador de dominio que contiene todos los objetos del bosque, pero con un conjunto limitado de atributos (una réplica parcial). El catálogo se almacena en servidores de catálogo global especificados y atiende solicitudes entre dominios.
La capacidad de host único permite que las solicitudes se manejen cuando no se permite la replicación de múltiples hosts. Hay cinco tipos de operaciones de este tipo: emulación de controlador de dominio (emulador de PDC), host de identificador relativo (maestro de identificador relativo o maestro RID), host de infraestructura (maestro de infraestructura), host de esquema (maestro de esquema) y host de nombres de dominio (maestro de nombres de dominio). ). Los primeros tres roles son únicos dentro del dominio, los dos últimos son únicos dentro de todo el bosque.
Una base de datos de Active Directory se puede dividir en tres repositorios lógicos o "particiones". El esquema es una plantilla para el servicio y define todos los tipos de objetos, sus clases y atributos, la sintaxis de atributos (todos los árboles están en el mismo bosque porque tienen el mismo esquema). La configuración es la estructura del bosque y los árboles de Active Directory. Un dominio almacena toda la información sobre los objetos creados en ese dominio. Los dos primeros almacenes se replican en todos los controladores de dominio del bosque, la tercera partición se replica completamente entre los controladores de réplica dentro de cada dominio y se replica parcialmente en los servidores de catálogo global.
La base de datos almacén de directorio) en Windows 2000 utiliza el Subsistema de Almacenamiento Extensible Microsoft Jet Blue que que cada controlador de dominio tenga una base de datos de hasta 16 terabytes y 1 billón de objetos (un límite teórico, las pruebas prácticas solo se han realizado con aproximadamente 100 millones de objetos). El archivo base tiene un nombre y tiene dos tablas principales: una tabla de datos y una tabla de enlaces. Windows Server 2003 agregó otra tabla para hacer cumplir la unicidad de las instancias del descriptor de seguridad . NTDS.DIT
El servicio admite los siguientes formatos de nombres de objetos: nombres genéricos UNC , URL y URL LDAP. El servicio utiliza internamente la versión LDAP del formato de nombres X.500 .
Cada objeto tiene un nombre distinguido (nombre distinguido en inglés , DN ) [2] . Por ejemplo, un objeto de impresora nombrado en la unidad organizativa de marketing y en el dominio tendría el siguiente nombre distinguido: donde es el nombre común, es la sección, es la clase del objeto de dominio. Los nombres enfatizados pueden tener muchas más partes que las cuatro partes de este ejemplo. Los objetos también tienen nombres canónicos. Estos son los nombres distinguidos escritos en orden inverso, sin identificadores y usando barras diagonales como delimitadores: . Para identificar un objeto dentro de su contenedor, se utiliza un nombre distinguido relativo: . Cada objeto también tiene un identificador único global ( GUID ), que es una cadena de 128 bits única e inmutable que utiliza Active Directory para la búsqueda y la replicación. Ciertos objetos también tienen un nombre principal de usuario (UPN, según RFC 822 ) en el formato . HPLaser3foo.orgCN=HPLaser3,OU=Маркетинг,DC=foo,DC=orgCNOUDCfoo.org/Маркетинг/HPLaser3CN=HPLaser3объект@домен
Se pueden implementar varios niveles de interacción con Active Directory en la mayoría de los sistemas operativos similares a UNIX a través de clientes LDAP, pero estos sistemas normalmente no aceptan la mayoría de los atributos asociados con los componentes de Windows, como políticas de grupo y soporte para confianzas unidireccionales. Sin embargo, con el lanzamiento de Samba 4, se hizo posible usar políticas de grupo y herramientas de administración de Windows.
Los proveedores externos ofrecen integración de Active Directory en plataformas UNIX , Linux , Mac OS X y una gama de aplicaciones Java , incluidas Centrify DirectControl y Express, UNAB ( Computer Associates ), TrustBroker (CyberSafe ) , PowerBroker Identity Services ( BeyondTrust ) [3] , Servicios de autenticación ( Quest Software ), ADmitMac ( Thursby ) [3] . El servidor Samba , un paquete de software de PowerBroker Identity Services compatible con los servicios de red de Microsoft, puede actuar como un controlador de dominio [4] [5] .
Las adiciones de esquema incluidas con Windows Server 2003 R2 incluyen atributos que están lo suficientemente relacionados con RFC 2307 para ser de uso general. Las implementaciones base de RFC 2307 y nss_ldaplas pam_ldappropuestas por PADL.com admiten directamente estos atributos. El esquema estándar para la pertenencia a grupos sigue RFC 2307bis (propuesto) [6] . Windows Server 2003 R2 incluye Microsoft Management Console para crear y editar atributos.
Una alternativa es utilizar otro servicio de directorio, como 389 Directory Server (anteriormente Fedora Directory Server, FDS), eB2Bcom ViewDS XML Enabled Directory o Sun Java System Directory Server , que realizan una sincronización bidireccional con Active Directory. , implementando dicha integración “reflejada”, cuando los clientes de los sistemas UNIX y Linux se autentican en sus propios servidores, y los clientes de Windows se autentican en Active Directory. Otra opción es utilizar OpenLDAP con la función de superposición translúcida que amplía las entradas del servidor LDAP remoto con atributos adicionales almacenados en la base de datos local.
Active Directory está automatizado usando Powershell [7] .
| microsoft | ||
|---|---|---|
| EN | ||
| Software de servidor |
| |
| Tecnología |
| |
| Internet |
| |
| Juegos | ||
| Hardware _ |
| |
| Educación | ||
| Licencia | ||
| Subdivisiones | ||
| Campañas publicitarias |
| |
| Junta Directiva | ||