Servicios de directorio

Un servicio de directorio 

Un servicio de directorio es una aplicación o un conjunto de aplicaciones que almacena y organiza la información sobre los usuarios de una red de ordenadores, sobre recursos de red, y permite a los administradores gestionar el acceso de usuarios a los recursos sobre dicha red.

Aplicación que almacena y organiza la información sobre:

*Usuarios
*Recursos

Permite la administración centralizada
Todo ello de manera transparente para el usuario
No deje de ser una BD optimizada para lecturas

Un directorio debe ser:

*Distribuible
*Replicable
*Particionable


Protocolo LDAP: Es un protocolo estándar que permite administrar directorios, esto es ,acceder a bases de información de usuarios de una red mediante protocolos TCP/IP.
Las bases de información están relacionadas con los usuarios, pero algunas veces, se utilizan con otros propósitos, como el de administrar el hardware de una compañía.

Árbol de dominios:›Son dominios agrupados en estructuras jerárquicas.›Cuando se agrega un segundo dominio a un árbol, se convierte en hijo del dominio raíz. El dominio al cual un "dominio hijo" se une se llama "Dominio Padre".›El dominio hijo a su vez puede tener sus propios hijos, combinándose con el nombre de su padre para formar su propio y único nombre.

Bosque:Un bosque es un conjunto de uno o varios dominios de AD que comparten una estructura lógica, un esquema del directorio (definiciones de clase y atributo), una configuración de directorio (información de replicación y del sitio) y un catálogo global (capacidades de búsqueda en todo el bosque) comunes.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:

Relaciones de confianza transitivas entre los dominios
Relaciones de confianza transitivas entre los árboles de dominio
Un esquema, un catálogo global e información de configuración común

El uso de bosques y arboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Confianzas explícitas entre dominios: Son relaciones de confianza que crean los propios usuarios en vez de crearse automáticamente durante la instalación del controlador de dominio. Para crear una confianza explícita se deben conocer los nombres de dominio y una cuenta de usuario con permiso para crear confianzas en cada dominio. A cada confianza se le asigna una contraseña que debe conocer el administrador de ambos dominios de la relación.

Hay cuatro clases de confianzas explícitas:

Confianza externa: Permite a los usuarios acceder a recursos ubicados en un dominio de un bosque separado que no está unido por una confianza de bosque.

Confianza de dominio Kerberos: Permite establecer una relación de confianza entre un dominio Kerberos que no sea de Windows  (Unix por ejemplo) y un dominio de Windows Server 2008.

Confianza de bosque: Se crean entre los dominios raíz de distintos bosques. Esta relación dará lugar a una relación de confianza transitiva unidireccional o bidireccional entre los dominios que residan en cada bosque.

Confianza abreviada: En algunos casos los dominios de los recursos quedan muy alejados de los dominios de los usuarios y la autentificación se hace lenta y poco eficiente. Este tipo de relaciones optimizan el rendimiento al acortar la ruta de confianza que la seguridad de Windows Server 2008 utiliza en la autentificación. Por defecto son unidireccionales.


Estructura física de Active Directory:› Abarca la configuración de la red, los dispositivos, y el ancho de banda de la red. Si nuestra red tiene oficinas en distintos sitios y están conectados a través de Internet por ejemplo, necesitaremos replicar los datos del directorio activo: recursos, usuarios, grupos, de modo que las réplicas van a mantener la coherencia de los objetos de nuestra red en los distintos sitios.

Los elementos de la estructura física del Directorio Activo son: 

Controladores de Dominio:Realizan funciones de almacenamiento y replicación y sólo pueden contener un dominio.Para asegurar una disponibilidad continua del Directorio Activo, cada dominio debe tener más de un DC. Esto asegura que podamos seguir trabajando en caso de error en el DC principal.

Cada DC contiene las siguientes particiones:

Partición del dominio: Contiene la réplica de todos los objetos en ese dominio. Esta partición se replica solamente a otros DC del mismo dominio.

Partición de configuración: Contiene la topología del bosque. La topología (esquema de conexión de los sitios) registra todas las conexiones de los DC’s en el mismo bosque.

Partición del esquema:  contiene el esquema del bosque. Cada bosque tiene un esquema para que la definición de cada clase del objeto sea única. Las particiones de configuración y esquema se replican en cada DC del bosque.

Particiones de aplicaciones: Contienen los objetos relacionados a la seguridad y se utilizan en las aplicaciones. Se replican en DC’s específicos del bosque.

Sitios del Directorio Activo: Son grupos de equipos conectados, por ejemplo las distintas plantas o delegaciones de una empresa y pertenecen al dominio principal.

Estructura lógica:Se centra en la administración de los recursos de la red organizativa, independientemente de la ubicación física de dichos recursos, y de la topología de las redes subyacentes.

Unidades Organizativas:Son objetos contenedores que se usan para organizar otros objetos con propósitos administrativos, por ejemplo dividir la empresa en departamentos.Organizando éstos es más fácil localizar  y administrar objetos.
Podríamos delegar la autoridad para administrar estas unidades organizativas de manera que podemos tener administradores de cada una de ellas.

Dominios: Son las unidades funcionales clave de la estructura lógica de Active Directory, son colecciones de los objetos administrativos definidos, que comparten en una base de datos común del directorio, políticas de la seguridad y relaciones de confianza con otros dominios

Redes: Recursos compartidos y distribuidos

Servicio de directorio: Recursos compartidos y distribuidos con administración centralizada