En este capítulo veremos lo que es el Directorio Activo, como se instala y una configuración básica. Normalmente Microsoft no traduce los nombres de sus programas o tecnología (Excel, Word, ...) así que verás en muchas pantallas que aparece como Active Directory o Servicios de dominio de Active Directory (AD DS), nosotros lo llamaremos Directorio Activo porque está ampliamente utilizado este nombre, te lo digo por que en las pantallas del Server aparece con el nombre original.

El directorio activo es parte fundamental de Exchange. Sin él no podríamos instalarlo porque muchas partes de Exchange se almacenan en él y además los buzones se crearán a partir de las cuentas de usuario que crearemos en este entorno. Es fundamental que aprendamos a utilizar bien el directorio activo. En la copia de respaldo de Exchange necesitamos obligatoriamente que se incluya también el directorio activo, como parte de todo el sistema de correo.

En una red de Microsoft Windows Server (2000, 2003 y 2008), el servicio de Directorio Activo proporciona la estructura y las funciones para organizar, administrar y controlar el acceso a los recursos de red.

El Directorio Activo proporciona también la capacidad de centralizar las administración de la red de Windows Server. Esta capacidad significa que almacena en un único sitio la información sobre los recursos de nuestra empresa: información de usuarios, grupos e impresoras. Esto permite que desde una sola ubicación y con la consola administrativa tendremos la capacidad de controlar el Directorio completamente.

El Directorio Activo admite la delegación del control administrativo sobre los objetos de él mismo. Esta delegación permite que los administradores asignen a un grupo determinado de administradores permisos administrativos específicos para objetos, como cuentas de usuario o de grupo.

El Directorio Activo es el servicio de directorio de una red de Windows Server, un servicio de directorio almacena información sobre los recursos de la red y permite que los mismos resulten accesibles a los usuarios y a las aplicaciones. Los servicios de directorio proporcionan una manera coherente de nombrar, describir, localizar, tener acceso, administrar y asegurar la información relativa a los recursos de red.

El Directorio Activo proporciona funcionalidad de servicio de directorio, como medio para organizar, administrar y controlar centralmente el acceso a los recursos de red. Asimismo hace que la topología física de red y los protocolos pasen desapercibidos, de manera que un usuario de una red pueda tener acceso a cualquier recurso sin saber dónde está el mismo o cómo está conectado físicamente a la red.

El Directorio Activo está organizado en secciones que permiten el almacenamiento de una gran cantidad de objetos. Como resultado, es posible ampliar el Directorio Activo a medida que crece una organización, permitiendo que una organización que tenga un único servidor con unos cuantos centenares de objetos, crezca hasta tener miles de servidores y millones de objetos.

Un servidor que ejecuta Windows Server almacena la configuración del sistema, la información de las aplicaciones y la información acerca de la ubicación de los perfiles de usuario. En combinación con las directivas de grupo, el Directorio Activo permite a los administradores controlar escritorios distribuidos, servicios de red y aplicaciones desde una ubicación central, al tiempo que utiliza una interfaz de administración coherente.

Además, el Directorio Activo proporciona un control centralizado del acceso a los recursos de red, al permitir que los usuarios sólo inicien sesión una sola vez para obtener pleno acceso a los recursos mediante el Directorio Activo. Como ves parece que no hay más que ventajas con estos servicios y la verdad es que si porque con esto montamos una red "de verdad" con una gestión sencilla de recursos y con gran potencia. Además, es la base para gran cantidad de programas: Exchange, SQL Server, ISA Server, ... todos estos nos pedirán un Directorio Activo para centralizar su administración.

El Directorio Activo proporciona el almacenamiento seguro de la información sobre objetos en su estructura jerárquica lógica. Los objetos de Active Directory representan usuarios y recursos, como por ejemplo, los ordenadores y las impresoras. A su vez algunos objetos pueden ser "contenedores" de otros objetos, por ejemplo un grupo de usuarios, bajo un nombre "Informática" están todos los usuarios de ese departamento.

La estructura lógica de Active Directory incluye los siguientes componentes:

• Objetos. Son los componentes básicos de la estructura lógica.
   
• Clases de objetos. Son las plantillas o los modelos para los tipos de objetos que se pueden crear en Active Directory. Cada clase de objeto es definida por un grupo de atributos, los cuales definen los valores posibles que se pueden asociar a un objeto. Cada objeto tiene una combinación única de los valores de atributos.
   
• Unidades organizativas. Podemos utilizar estos objetos contenedores para organizar otros objetos con propósitos administrativos, por ejemplo dividir nuestra empresa en departamentos. Organizando éstos es más fácil localizar localizar y administrar objetos. También podemos delegar la autoridad para administrar estas unidades organizativas de manera que podemos tener administradores de cada una de ellas.
   
• Dominios. Son las unidades funcionales clave de la estructura lógica de Active Directory, son colecciones de los objetos administrativos definidos, que comparten en una base de datos común del directorio, políticas de la seguridad y relaciones de confianza con otros dominios. Los dominios proporcionan las tres funciones siguientes:
  • Un límite administrativo para los objetos
  • Medios de administrar la seguridad para los recursos compartidos
  • Una unidad de réplica para los objetos
     
• Árbol de dominios. Son dominios agrupados en estructuras jerárquicas. Cuando se agrega un segundo dominio a un árbol, se convierte en hijo del dominio raíz. El dominio al cual un "dominio hijo" se une se llama "Dominio Padre". El dominio hijo a si vez puede tener sus propios hijos, combinándose con el nombre de su padre para formar su propio y único nombre, Domain Name System (DNS). Por ejemplo "ventas.miempresa.com" "ventas" sería un dominio hijo del principal "miempresa.com"
   
• Bosque. Un bosque es una instancia completa del Directorio Activo y consta en uno o más árboles. En un solo árbol de dos niveles, lo recomendado para la mayoría de las organizaciones, todos los dominios hijos se hacen "hijos" del dominio raíz del bosque para formar un árbol contiguo. El primer dominio en el bosque se llama Dominio raíz del bosque  y el nombre de ese dominio se refiere al bosque, por ejemplo miempresa.com. Por defecto, la información en Active Directory se comparte solamente dentro del bosque. De esta manera, la seguridad del bosque estará contenida en una sola instancia de Active Directory. Así que la mayoría de las veces nuestra organización será de un sólo dominio (miempresa.com) dentro de un solo bosque.

Lee con mucha atención estas partes de la jerarquía del Directorio porque son fundamentales entenderlas. Asocia cada una de ellas con el gráfico para que te sitúes... Veamos algunas recomendaciones para la creación de la estructura.

Cuantos más Bosques, Árboles y Dominios tengamos más complejo será administrarlo llegando a unos niveles de complejidad insoportables así que debemos diseñar bien nuestra estructura de red. Te pongo algunas recomendaciones:

• Tenemos una empresa de hasta 50 equipos en una sola oficina. Son varias plantas pero es una unidad conectada por switches y demás. En este caso un sólo bosque con un sólo árbol y un sólo dominio, es decir la estructura más sencilla funcionará perfectamente :"miempresa.com"
• Tengo más de 100 equipos y algunos de ellos están conectados por VPN, es decir, a través de Internet con la planta principal. En este caso sigo recomendando la anterior, todo una estructura lógica de un solo bosque-árbol-dominio: "miempresa.com"
• Tengo dos empresas grandes con el mismo tamaño en equipos y separadas por una conexión "lenta": Internet, Fame Relay, ... en ese caso para independizar las dos administraciones ya que se necesitará más de un administrador lo idóneo es un solo bosque pero con un árbol de dos dominios: "norte.miempresa.com" y "sur.miempresa.com"

La idea es evitar en lo posible la creación de bosques porque aumentan mucho la complejidad y administración. Tienen sentido por ejemplo en una gran empresa multinacional donde cada país representaría una rama de un bosque. En ese caso si sería necesario el bosque.

Twitter Meneame Delicious Technorati Digg Facebook