ACTIVE

DIRECTORY
Objetivos del día
◦ Entender que es un Directorio Activo
◦ Entender componentes de un Directorio Activo
◦ Entender como funciona un Dominio de Active Directory

07/03/2024
 Introducción
• El directorio activo o Active Directory es el servicio de directorio de una red en la
familia Windows, este servicio de red almacena los recursos de la red tales como,
dispositivos periféricos, usuarios, archivos, bases de datos, aplicaciones, así que se
convierte en un medio para de forma centralizada organizar, controlar y administrar
eficientemente los recursos de red añadiendo que ayuda a monotorizar y localizar los
servicios que allí se encuentran.
•
• Al instalar un Directorio Activo en un sistema Windows Server en la red, convertimos
a dichos equipos en Servidores de dominio o en los controladores de dominio (Domain
Controllers), los demás equipos de la red se convierten en los servidores miembro del
Directorio Activo para así recibir toda la información almacenada accesible siempre y
cuando se autentique correctamente en los controladores de dominio.
07/03/2024
¿Que es Active Directory?

Active Directory o también llamado AD

o Directorio Activo, es una
herramienta perteneciente a la empresa
de Microsoft que proporciona servicios de
directorio normalmente en una red LAN.

07/03/2024
¿Qué es un Dominio?
• Los dominios determinan los limites de replicación y el uso de nombres jerárquicos.
– Todos los controladores de dominio dentro de un dominio pueden recibir cambios y replicarlos a otros controladores en el
dominio.
• Los dominios proporcionan algunos beneficios:
– Organización de objetos.
– Publicación de recursos e información acerca de los objetos del dominio.
– Aplicación de un objeto de Política de Grupo a la administración consolidada del dominio.
– La delegación de autoridad reduce la necesidad de una cantidad de administradores.
– Las políticas de seguridad y configuración no cruzan dominios.
– Cada dominio almacena sólo la información acerca de los objetos ubicados en ese dominio.
Maestros de operaciones
• Los cinco roles maestros de operaciones se asignan automáticamente cuando el primer controlado de
dominio, en un dominio dado es creado.
– Dos roles de nivel de bosque son asignados al primer controlador de dominio creado en un bosque.
– Tres roles de nivel de dominio son asignados al primer controlador de dominio creado en un dominio.
Los cinco maestros de operación
• Esquema maestro.- Es el responsable de desempeñar actualizaciones al esquema.
• Maestro de nombre de dominio.- Administra la adición y la eliminación de todas las particiones de directorio y
dominio, sin importar el dominio en la jerarquía del bosque.
• Maestro RID.- El maestro de operaciones de identificación relativa (RID) asigna bloques de RIDs a cada
controlador de dominio en el dominio.
• Emulador PDC.- Recibe replicación preferencial de cambios de contraseña desempeñados por otros
controladores en el dominio.
• Maestro de infraestructura.- Responsable de actualizar las referencias de objetos en su dominio que apunta al
objeto en otro dominio.
Dominio de Active Directory
Es un contenedor lógico utilizado para administrar diferentes objetos:

Usuarios

Grupos

Computadoras
07/03/2024
Objetos
Un objeto es el nombre genérico que utilizamos para referirnos cualquier componente dentro de un
directorio. Los objetos se dividen en tres tipos distintos:

Servicio
Usuarios Recursos
s

07/03/2024
Unidad organizativa
◦ Una unidad organizativa en Active
Directory es un contenedor de objetos como
impresoras, usuarios, grupos etc.,
organizados mediante subconjuntos
estableciendo así una jerarquía.
◦ Con las unidades organizativas podremos
ver de un vistazo la jerarquía de nuestro
dominio y poder asignar permisos fácilmente
según los objetos contenidos.

07/03/2024
componentes técnicos del AD

LDAP (Lightweight Directory Access Protocol): protocolo para realizar peticiones

uniformes a los directorios del Active Directory.

Protocolo Kerberos: protocolo para la autenticación central y uniforme y los derechos de

acceso de los usuarios en los servidores AD.

SMB (Server Message Block): protocolo para los derechos de acceso, como las políticas
de grupo o los scripts de inicio de sesión, a los archivos en la red AD y en los servidores.

DNS (Domain Name System): sistema para el direccionamiento uniforme de nombres de

ordenadores y dominios en el Active Directory.

07/03/2024
Árbol de Dominio (Tree)
◦ Un árbol es un conjunto de dominios, los cuales dependen de una raíz común y están organizados en una determinada
jerarquía

[Link]

[Link] [Link] [Link]

07/03/2024
Bosque de Active Directory (Forest)
◦ En Active Directory el bosque (forest) es una colección de uno o más dominios que comparten una misma estructura lógica,
catálogo global, esquema y configuración.
◦ Todos los dominios del bosque cuentan con relaciones de confianza automáticas de 2 vías y transitivas.
◦ El bosque representa una instancia completa del directorio y una frontera de seguridad

07/03/2024
 Bosque de Active
Directory (Forest)

07/03/2024
Diagrama Resumen

07/03/2024
FSMO ROLES

FSMO roles a nivel de bosque:

• Schema Master (Maestro de Esquema):

• Domain Naming Master (Maestro de Nombres de Dominio)

FSMO roles a nivel de dominio:

• PDC Emulator (Emulador de PDC – Primary Domain Controller).

• RID Master (Relative Master ó Maestro de RID)
• Infrastructure Master (Maestro de Infraestructuras):

07/03/2024
TIPOS DE ACTIVE DIRECTORY

ACTIVE DIRECTORY CERTIFICATE SERVICES (AD CS)

ACTIVE DIRECTORY DOMAIN SERVICES (AD DS)

ACTIVE DIRECTORY FEDERATION SERVICES (AD FS)

ACTIVE DIRECTORY LIGHTWEIGHT DIRECTORY
SERVICES (AD LDS)
ACTIVE DIRECTORY RIGHTS MANAGEMENT SERVICES
(AD RMS)
07/03/2024
ACTIVE DIRECTORY CERTIFICATE
SERVICES (AD CS)
◦ De acuerdo a Microsoft, AD CS es la "Función de servidor que le permite crear una infraestructura de clave
pública (PKI) y proporcionar criptografía de clave pública, certificados digitales y capacidades de firma digital
para su organización".

◦ Beneficios
◦ Extración del Active Directory
◦ Aprovechar las políticas de grupo existente
◦ Automatizar el aprovisionamiento de certificados y la gestión del ciclo de vida
◦ Instalación silenciosa

◦ Desventajas
◦ Costos de Hardware
◦ Mantenimiento Servicios de Validacion
◦ Experiencia PKI Interna

07/03/2024
ACTIVE DIRECTORY DOMAIN SERVICES (AD DS)

◦ Active Directory almacena información acerca de los objetos de una red y facilita su búsqueda y uso por parte de
los usuarios y administradores. Active Directory usa un almacén de datos estructurado como base para una
organización jerárquica lógica de la información del directorio.

07/03/2024
ACTIVE DIRECTORY FEDERATION
SERVICES (AD FS)
◦ Como modelo de autorización y control de acceso, los servicios de federación de Active Directory (ADFS) son una solución
de inicio de sesión único (SSO) creada por Microsoft. Es un componente del sistema operativo de Windows Server y ofrece
acceso autenticado a aplicaciones web que no pueden usar la Autenticación integrada de Windows (IWA) en Active Directory
(AD).

07/03/2024
ACTIVE DIRECTORY LIGHTWEIGHT
DIRECTORY SERVICES (AD LDS)
◦ Para aquellas organizaciones que necesitan compatibilidad flexible con aplicaciones habilitadas para el uso de directorios,
Microsoft ha desarrollado Active Directory Lightweight Directory Services (AD LDS). AD LDS es un servicio de directorio del
Protocolo ligero de acceso a directorios (LDAP).
◦ AD LDS proporciona almacenamiento y recuperación de datos a aplicaciones habilitadas para el uso de directorios, sin las
dependencias necesarias para los Servicios de dominio de Active Directory (AD DS). AD LDS ofrece la mayoría de las
funciones de AD DS, aunque no exige la implementación de dominios ni de controladores de dominio. Es posible ejecutar
varias instancias de AD LDS de forma simultánea en un único equipo, siempre que haya un esquema administrado de
forma independiente para cada instancia de AD LDS.

07/03/2024
ACTIVE DIRECTORY RIGHTS MANAGEMENT
SERVICES (AD RMS)

◦ Los Servicios de gestión de derechos de Active Directory (AD RMS) es una función del servidor disponible en los
sistemas operativos Microsoft Windows Server 2008 y Microsoft Windows Server 2008 R2. Como servicio de Active
Directory, se aprovecha de la identidad y la autenticación de Active Directory para proporcionar control de nivel de
usuario acceso a la información.
◦ El término "Servicios de gestión de derechos" abarca todas las tecnologías de servidor y de cliente que se requieren
para soportar la gestión de derechos de información (IRM) en una organización.

◦ FUNCIONES
◦ Creación de contenido protegido por derechos de uso.
◦ Licenciamiento y distribución de contenido protegido por derechos de uso.
◦ Adquirir licencias para desencriptar información protegida por derechos e implantar las políticas de uso

07/03/2024