Administración de Active Directory: Ediciones, Conceptos y Mejores Prácticas

Informática, , , , ,

Ediciones de Windows Server

Existen diferentes ediciones de Windows Server, cada una con características específicas:

  • Data Center: Pensada para entornos de **Cloud** y centros de datos con una gran **virtualización**. Es la edición más completa.
  • Standard: Ideal para medianas empresas, donde prima la instalación física y se hace poco uso de la virtualización.
  • Core: La principal diferencia es que **no se instala una interfaz gráfica de usuario (GUI)**, es decir, no habrá escritorio. Con Server Core se instala lo mínimo.

Ventajas y Desventajas de Server Core

  • Ventajas:
    • Menor uso de recursos hardware (CPU, RAM, disco duro y ancho de banda de red).
    • Menor superficie de ataque, por lo que es **menos sensible a vulnerabilidades de seguridad**.
  • Desventajas:
    • La administración del servidor se hace mediante la introducción de comandos o de forma remota (por ejemplo, a través de las **RSAT** o **Windows Admin Center**).
    • No todos los roles y características están disponibles, aunque los principales sí lo están.

Experiencia de escritorio: Instalación completa (con interfaz gráfica). En este caso, la administración del servidor se puede hacer a través de ventanas y botones.

Comando para preconfigurar ‘Nombre equipo’ y ‘IP estática’ en Windows Server Core: sconfig

Herramientas de Administración Remota

RSAT (Remote Server Administration Tools)

Las **RSAT** permiten administrar un servidor con Windows Server desde un equipo remoto que ejecuta la versión Professional o Enterprise de Windows 10.

Windows Admin Center

**Windows Admin Center** es una aplicación gratuita basada en navegador web para administrar, de forma remota, servidores y equipos Windows. Proporciona una interfaz web para la administración simultánea de varios servidores y equipos de forma rápida y sencilla.

Conceptos de Directorio y Active Directory

Concepto de Directorio

Un **directorio** es un listín donde cada entrada representa un recurso de la red informática de la empresa, ya sea un usuario, equipo, carpeta compartida o impresora. Las entradas están ordenadas de manera lógica y jerárquica, por límites geográficos, políticos u organizacionales.

La Base de Datos del Directorio

El directorio de una red informática usa una **base de datos** para almacenar la información. Esta base de datos es **distribuida** a través de uno o más servidores. La información y los cambios se replican al mismo tiempo entre las distintas copias de la misma base de datos, situadas en distintas localizaciones.

Servicio de Directorio

Un **servicio de directorio** es el software encargado de organizar, mantener y proveer acceso a la información del directorio.

LDAP (Lightweight Directory Access Protocol)

**LDAP** es un protocolo de nivel aplicación que sirve para acceder (a través de una red TCP/IP) a la base de datos del directorio. Estandariza el formato de los mensajes intercambiados entre los clientes y el servicio de directorio.

Active Directory

**Active Directory** es un programa que sirve para gestionar la base de datos de un directorio.

Dominios y Controladores de Dominio

Dominio

Un **dominio de red** es una agrupación administrativa de varias redes privadas de computadoras, o simplemente de varios equipos, que comparten unas mismas políticas y un nombre.

Dominio de Windows

Un **dominio de Windows** es un tipo de red de computadoras donde los recursos de la red (cuentas de usuario, equipos, impresoras, etc.) están registrados en una base de datos central, localizada en uno o más servidores de directorio llamados **controladores de dominio**.

Funciones de un Controlador de Dominio

  1. **Autenticar a los usuarios:** Verificar si la combinación de nombre de usuario/contraseña proporcionada durante un intento de conexión al dominio es correcta.
  2. **Permitir o denegar el acceso a los objetos:** Verificar si los usuarios cuentan con suficientes privilegios para acceder a los recursos de la red.

¿Qué es un Controlador de Dominio?

Un **controlador de dominio** es un servidor con Windows Server, en el que un administrador ha implementado y configurado el rol denominado «Servicios de Dominio de Active Directory».

Diferencias entre Grupo de Trabajo y Dominio

  • **Grupos de trabajo:** Se usan en redes locales pequeñas. Cada computadora mantiene su propia base de datos con la lista de recursos que administra. No hay un servidor central.
  • **Dominio:** Un usuario puede iniciar sesión en cualquier equipo unido al dominio con una única **cuenta de dominio**. El controlador de dominio mantiene una base de datos con la lista de todos los recursos presentes en la red.

Árboles y Bosques de Dominio

Árbol de Dominio

Un **árbol** representa uno o más conjuntos de dominios Windows que comparten un mismo nombre. El **dominio raíz** es el dominio de la cima del árbol.

Bosque de Dominio

Un **bosque** es una agrupación de varios dominios Active Directory que no comparten un mismo espacio de nombres. El primer dominio instalado en un bosque se llama **dominio raíz del bosque** y su nombre de dominio (por ejemplo: example.com) se asignará también como nombre al bosque.

¿Cuántos Controladores de Dominio son Necesarios?

Como mínimo, uno por dominio. Como **buenas prácticas**, se suele instalar otro controlador adicional de respaldo por dominio.

Agregar un Nuevo Dominio a un Bosque Existente

Se usa cuando se quiere crear un nuevo árbol en el bosque, o cuando se quiere agregar un nuevo dominio hijo a un árbol existente.

Agregar un Nuevo Bosque

Se usará cuando, por motivos de fiabilidad, se desee agregar un controlador de dominio adicional. Se recomienda tener funcionando dos controladores de dominio en un dominio y, al menos uno de ellos, instalado en máquina física.

Niveles Funcionales de Dominio

Por motivos de compatibilidad hacia atrás, se permite elegir el **nivel funcional** o versión con el que se instalará el nuevo dominio. Esto es importante cuando se integran controladores de dominio con versiones antiguas de Windows Server.

Controlador de Dominio de Solo Lectura (RODC)

En un **RODC** la base de datos es de solo lectura, y no se podrían crear nuevos usuarios, u otros objetos, ni modificarlos. Además, un RODC no almacena contraseñas en su base de datos (aunque puede configurarse para almacenarlas en su caché). Si un usuario solicita autentificarse en un RODC, este reenvía la petición a un controlador de dominio normal de lectura/escritura.

Relaciones de Confianza entre Dominios

Una **relación de confianza** permite a los usuarios de un dominio ser reconocidos por los controladores de dominio de otro dominio.

Tipos de Relaciones de Confianza

  • Unidireccional: Los usuarios del dominio A (de confianza) pueden utilizar los recursos del dominio B (que confía), pero no al revés.
  • Bidireccional: Ambas acciones son posibles.
  • Transitiva: Si un dominio A confía en otro B, y éste confía en un tercero C, entonces de forma automática A confía en C.
  • No transitiva: La confianza entre A y C tendría que añadirse explícitamente.

Sitios

Los **sitios** permiten dividir el dominio de una compañía en distintas localizaciones, basándose en la ubicación geográfica de sus subredes.

Cuentas de Usuario y Perfiles Móviles

Cuenta de Usuario Local

Es la típica cuenta de usuario que se crea en un equipo. Las credenciales se guardan en una base de datos dentro del propio equipo. El usuario tendrá acceso a los recursos locales del equipo.

Cuenta de Usuario de Dominio

La autentificación de las credenciales se hace por parte de un controlador del dominio. Los datos se guardan en la base de datos de Active Directory. El usuario tendrá acceso a los recursos del dominio y puede iniciar sesión con su cuenta en cualquier equipo del dominio.

Perfiles Móviles

Los **perfiles móviles** permiten a los usuarios desplazarse de un equipo a otro de la red corporativa y mantener sus archivos personales y configuración.

Listas de Control de Acceso (ACL)

Las **ACL** contienen la lista de usuarios y grupos que pueden usar un objeto, y las acciones que cada usuario o grupo puede hacer sobre el objeto. Si un usuario no está en esta lista, o no pertenece a un grupo autorizado de la lista, el sistema le impedirá el acceso al objeto.

Grupos de Seguridad

Grupos de Ámbito Global

Los **grupos de ámbito global** se usan para agrupar cuentas de usuarios o de equipos que comparten similitudes laborales o desempeñan un papel similar en la empresa.

Grupos de Ámbito Dominio Local

Los **grupos de ámbito de dominio local** se usan principalmente para gestionar los permisos de uso de un recurso. Se añaden a la ACL de un recurso y se les otorgan permisos de acceso. Después, se hacen miembros del grupo a todos los **grupos globales** que se desee que utilicen el recurso.

Grupos de Ámbito Universal

Los **grupos de ámbito universal** pueden usarse en distintos dominios de un mismo bosque. Se suelen crear para contener grupos de ámbito global, con la finalidad de que sus miembros puedan obtener acceso a los recursos de otros dominios del mismo bosque.

Directivas de Grupo (GPO)

Una **directiva de grupo** es un conjunto de reglas que permiten implementar configuraciones específicas para los objetos del directorio.

Ventajas del Uso de Directivas de Grupo

  • Administración centralizada de la configuración de equipos y usuarios.
  • Mayor seguridad y control sobre el entorno de red.
  • Automatización de tareas de configuración.

Orden y Prioridad de Procesamiento de los GPOs

De más a menos prioridad:

  1. GPO vinculados a **unidades organizativas**.
  2. GPO vinculados al **dominio**.
  3. GPO vinculados a **sitios**.
  4. Directivas establecidas localmente en el equipo cliente (**gpedit.msc**).

Herencia de los GPOs

Los GPOs vinculados a una ubicación de nivel superior se transmiten a todas las ubicaciones que están por debajo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.