¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Windows Server 2016
  3. Dominio Active Directory
Extrait - Windows Server 2016 Administración avanzada
Extractos del libro
Windows Server 2016 Administración avanzada Volver a la página de compra del libro

Dominio Active Directory

Introducción

Este capítulo está dedicado al directorio de Microsoft Active Directory. El servicio de directorio de Microsoft resulta indispensable en la gestión de la información en el seno de una empresa.

En la primera parte, se presenta el servicio de directorio en Windows Server 2016. A continuación, seguiremos con explicaciones sobre los principales componentes ligados al servicio de directorio, tales como las directivas de grupo y otros servicios relacionados al propio directorio. Las infraestructuras informáticas evolucionan cada vez más hacia un alojamiento en el cloud, Microsoft ofrece Azure AD como PaaS (Platform as a Service). Este capítulo presentará la solución Azure AD, desde el punto de vista del usuario, etc.

Presentación del servicio de directorio de Microsoft: Active Directory Domain Services

Este libro se dirige a los profesionales de la informática, usted ya conocerá, sin duda alguna, el principio de funcionamiento del directorio Active Directory. Esta obra no tiene como objetivo volver a explicar lo que ya conoce, por lo que no nos vamos a detener en los detalles del funcionamiento de un directorio Active Directory (sería necesario un libro completo dedicado a esto). Por tanto, aquí nos centraremos en recordar los conceptos principales de Active Directory (también llamado Active Directory Domain Services o AD DS) para poder concentrarnos en las especificidades aportadas por Windows Server 2016.

1. Definición de un dominio de Active Directory

Active Directory es al mismo tiempo un proveedor de identidades, un servicio de directorio y una solución de gestión de acceso.

Como servicio de directorio, permite referenciar y organizar objetos tales como cuentas de usuario, nombres de recursos compartidos, autorizaciones mediante grupos de dominio, etc. La información puede, así, centralizarse en un directorio de referencia con el objetivo de facilitar la administración del sistema de información.

Desde un punto de vista tecnológico cabe tener en cuenta tres nociones:

  • El dominio es la unidad básica encargada de agrupar los objetos que comparten un mismo espacio de nombres (un dominio debe, en efecto, basarse necesariamente sobre un sistema DNS que soporte actualizaciones dinámicas y registros de tipo SRV).

  • Una arborescencia de dominios es la agrupación jerárquica de varios dominios que comparten un mismo espacio de nombres (por ejemplo, los dominios madrid.MiSociedad.Priv y barcelona.MiSociedad.Priv).

  • Un bosque trata de reagrupar varias arborescencias de dominio que tienen en común un catálogo global y que no comparten, obligatoriamente, un espacio de nombres común.

Desde un punto de vista físico, cabe tener en cuenta cuatro elementos principales:

  • Los controladores de dominio se encargan de almacenar el conjunto de los datos y de administrar las interacciones entre los usuarios y el dominio (apertura de sesión, búsquedas en el directorio, etc.). Una replicación multimaestro tiene lugar en un dominio, lo que permite a cualquier controlador poder iniciar una modificación (agregar...

Las directivas de grupo

Las directivas de grupo se utilizan en el seno de un dominio de Active Directory para definir parámetros comunes a un conjunto de equipos o usuarios.

Microsoft provee mejoras muy útiles relativas a la gestión de las directivas de grupo desde Windows Server 2012.

A continuación se presentan las principales evoluciones de las directivas de grupo.

1. Detección de enlaces lentos

La detección de enlaces lentos (también llamados, en ocasiones, "vínculos de baja velocidad", por Microsoft) permite limitar la aplicación de algunas directivas de grupo cuando el usuario se encuentra conectado mediante una red con baja tasa de transferencia.

Antes, esta detección se realizaba gracias al protocolo ICMP, con todas las limitaciones que ello conllevaba. Por este motivo, Microsoft ha desarrollado el servicio de reconocimiento de ubicación de red (también llamado NLA por Network Location Awareness) para Windows Vista y Windows Server 2008. Gracias al servicio NLA, el refresco como tarea de fondo de su directiva de grupo será mucho más fiable, puesto que ya no se basa en el protocolo ICMP sino en RPC, conocido por su fiabilidad. Si su equipo intenta refrescar las directivas de grupo (por defecto, esto se produce cada 90 minutos), mientras el controlador de dominio no está accesible en ese preciso instante (si el usuario no está conectado a la red, por ejemplo), el refresco no se realizará en el próximo ciclo (90 minutos más tarde) sino cuando el controlador de dominio vuelva a estar disponible. El servicio NLA permite, en efecto, detectar muy rápidamente la disponibilidad del controlador de dominio en este caso concreto.

Por otro lado, se ha optimizado el servicio Cliente de directiva de grupo, presente en un puesto Windows 8/2012 o versiones posteriores, y estará detenido la mayor parte del tiempo de cara a optimizar recursos de CPU. El servicio se inicia automáticamente durante 5 minutos y siempre respetando un retardo de 90 minutos, aproximadamente. Este inicio se controla, en lo sucesivo, mediante una tarea programada que se ejecuta con la cuenta SYSTEM (no puede, por tanto, visualizarla sino con la cuenta SYSTEM, utilizando el comando psexec, por ejemplo).

Es posible volver al antiguo método de funcionamiento de este servicio habilitando la opción Desactivar...

Azure AD

Cada vez es más habitual que las direcciones informáticas decidan alojar su informática en el cloud (por lo que se convierte en accesible a través de Internet), en lugar de continuar alojándola de manera centralizada (on-premises).

Hay cuatro tipos principales de servicios que se puede ofrecer en una solución Cloud como Windows Azure:

  • IaaS (Infrastructure as a Service): las máquinas virtuales como tales, redes virtuales, almacenamiento, etc.

  • PaaS (Platform as a Service): sistema operativo, bases de datos, directorio activo a través de un servicio gestionado. Es decir, que Microsoft pone a nuestra disposición un servicio y sus opciones, encargándose de la disponibilidad, etc.

  • SaaS (Software as a Service): aplicaciones como Office 365, SharePoint Online, etc.

  • El soporte de los contenedores (dockers): solución de virtualización de aplicaciones que aísla a la aplicación del sistema operativo, lo que permite transportar más fácilmente una aplicación de una máquina a otra.

Aquí hay que fijarse en Microsoft Azure Active Directory, que es un servicio PaaS que Microsoft ofrece.

Microsoft Azure Active Directory (también llamado Azure AD) es al mismo tiempo un proveedor de identidad, un servicio de directorio y una solución de administración de acceso. En otros términos, se trata de un directorio Active Directory que soporta las mismas funcionalidades que el clásico Active Directory on-premises (centralizado).

Sin embargo, como se trata de un servicio en modo PaaS, Microsoft ofrece un servicio gestionado para este último. El cliente final no gestiona el servidor, ni su configuración, actualizaciones, etc. El objetivo es utilizar la interfaz disponible para aprovechar los servicios asociados. Por lo tanto, no hay que confundir Azure AD y el hecho de instalar el rol AD DS en un servidor virtual alojado en Windows Azure.

Azure AD es muy diferente del rol AD DS. Ante todo, se trata de una solución de identidades. Se pueden crear cuentas de usuario y grupos, pero no es posible en Azure AD:

  • Crear una OU o un GPO.

  • Añadir un ordenador a un dominio Azure AD.

  • Utilizar una autenticación Kerberos.

  • Consultar Azure AD a través de LDAP (en su lugar se usa una API REST llamada AD Graph API).

Azure AD está centrado en la autenticación a través...

Las demás cuentas asociadas a un servicio de directorio

1. Active Directory Federation Services (o AD FS)

El componente Active Directory Federation Services permite a las empresas ofrecer a los usuarios la capacidad de autenticarse en sus aplicaciones, tanto en su red local como en una empresa asociada o incluso en los servicios en línea.

El uso típico de implantar un AD FS también permite a clientes fuera de su red a acceder a los recursos de su red de una forma simple y sin tener que autenticarse en su base de datos de cuentas de usuario. Por ejemplo, es el caso para una entidad asociada (caso de un B2B) o el caso de una federación entre empresas (multi-bosque).

Se crea en efecto una relación de aprobación entre la red asociada y la suya con el objetivo de proyectar la identidad de los usuarios y sus privilegios de acceso desde su red hacia los socios reconocidos. De este modo el usuario no tendrá que identificarse de nuevo (principio de autenticación único también llamado SSO por Single Sign On).

Desde Windows Server 2012 R2, AD FS soporta el protocolo OAuth 2.0. Este protocolo lo utilizan cada vez con mayor frecuencia los distintos fabricantes y proveedores de servicios en Internet, pues permite publicar e interactuar con datos autenticando al usuario de forma segura. Es, también, el caso de Azure Active Directory Authentication Library (ADAL), cuyo soporte se ha extendido a los directorios AD FS.

También es conveniente saber que esta solución está limitada únicamente al acceso a través de aplicaciones que respetan el estándar Web, aunque como estas últimas son cada vez más potentes las posibilidades abiertas son también enormes. Es el caso por ejemplo con la integración de SharePoint Server, Office 365 o AD RMS, que presentaremos más adelante.

AD FS ofrece una federación de identidades, es decir, proporciona una identificación, una autenticación y una autorización entre diferentes organizaciones.

Para establecer una federación, los socios deben crear una relación de aprobación de federación que se corresponda con un acceso «saliente ». Este es el motivo por el que una relación de aprobación de federación es diferente de una relación de aprobación de dos bosques Active Directory....

Conclusión

En este capítulo acaba de descubrir una gran parte de las soluciones de gestión de la identidad y de acceso que proporciona Windows Server 2016. De este modo, podrá abordar de la mejor forma posible las necesidades en términos de acceso a los recursos, tanto para implementar una solución de tipo SSO (Single Sign On o "identificación única") como para controlar la difusión de los archivos dentro de su empresa o en el cloud.