¿Qué es un Active Directory®?
Un Active Directory® es el componente conceptual integral y también el nombre de una tecnología de software creada por Microsoft®. Se puede ver como un catálogo, proporcionando una lista de referencia esencial para prácticamente cualquier cosa que se pueda administrar en una infraestructura de red informática. El directorio está estructurado jerárquicamente y puede incluir computadoras, personas e incluso redes enteras. El sistema proporciona un medio para administrar centralmente una red informática y su seguridad que es escalable, sincronizada y estandarizada en toda la red.
En el corazón de Active Directory® se encuentra un protocolo de servicio de directorio conocido como el protocolo ligero de acceso a directorios (LDAP). Este protocolo establece los medios por los cuales la estructura de directorios está organizada y leída o escrita. Por seguridad, Active Directory® utiliza el protocolo de autenticación de red Kerberos. El servicio también proporciona un sistema de nombres de dominio (DNS) para traducir direcciones de protocolo de Internet (IP) en nombres reconocibles.
Todo lo que entra en un Active Directory® se considera un objeto. Básicamente hay dos tipos de objetos, un recurso y un principio de seguridad. Cuando los recursos son típicamente construcciones físicas, como impresoras, los objetos del principio de seguridad son un poco más abstractos. A cada principio de seguridad se le asigna un identificador de seguridad (SID) en el sistema Active Directory® y luego representa cualquier cosa que el sistema pueda autenticar y que tenga permisos asociados. Dado que algunos objetos obviamente pueden ser de ambos tipos, como una computadora en la red que es tanto un recurso como un principio, pueden anidarse uno dentro del otro en ciertos casos.
Visto desde tres niveles jerárquicos diferentes, un Active Directory® consta de lo que se conoce como bosques, árboles y dominios. Esto puede reflejar la estructura real de una organización, tanto geográfica como organizativamente. Por ejemplo, el bosque de una empresa puede consistir en dos dominios principales, uno para Chicago y otro para Nueva York. Debajo de cada uno, se pueden crear dominios adicionales para administrar las actividades comerciales en cada ciudad, como el departamento de contabilidad, un equipo de ventas, investigación y desarrollo, etc. Estos dos árboles de dominio luego establecen una relación de confianza entre sí para que los usuarios de cada dominio puedan tener recursos de acceso en el otro si es necesario.
En el núcleo de un Active Directory® está lo que se llama una unidad organizativa (OU). Se puede anidar cualquier cantidad de unidades organizativas dentro de un dominio. Permiten que la estructura de Active Directory® coincida con la de la organización y proporciona un medio centralizado para la administración distribuida de los objetos en el directorio. Con una estructura organizativa establecida, la administración adicional se puede delegar a subdominios en el árbol, lo que permite diferentes niveles de privilegio para varias unidades organizativas en una organización.
Toda la información en un Active Directory® se almacena en una base de datos denominada almacén de directorio. El sistema permite que esta base de datos se replique entre las demás en el árbol de dominio y más allá en el bosque. Los dominios dentro del árbol comprueban periódicamente los cambios en el almacén de directorios en otros dominios y luego extraen los datos en caso de que haya algún cambio.