Uno de los productos más emblemáticos de Microsoft hasta el día de hoy, no es de menos que el 95% de las empresas hoy en día utilicen Active Directory para sus procesos de autenticación centralizada de sus aplicaciones y funciones de control de seguridad para usuarios de la red interna.
Un poco de historia…
El primer concepto de brindar servicios de autenticación centralizado y rivalizar con el aquel entonces NOVEL NETWORKS se dio en Windows NT, asi es!!! desde antes de 1996 aproximadamente, en donde durante el proceso de instalación de Windows NT debías de seleccionar el rol de dicho servidor, esos roles eran:
- Servidor Stand-Alone
- Primary Domain Controller (PDC)
- Backup Domain Controller (BDC)
El rol de PDC (Primary Domain Controller) se asignaba al servidor que se encargaría de manejar las configuraciones del DOMINIO (ojo aun no era llamado Active Directory) luego si deseabas contar con una medida de contingencia del dominio debías de instalar un BDC (Backup Domain Controller), el cual era otro servidor que se encargaba de realizar copias periódicas o réplicas de la base del dominio que poseía lo usuarios, grupos, es decir una estructura base de un protocolo y servicio llamado LDAP (Protocolo de Acceso Liviano al Directorio)
No fue hasta la versión de Windows 2000 que como parte de un proceso de evolución nace Active Directory, en donde se comenzaron a agregar múltiples servicios de directorio que se fueron agregando como:
- Domain Services (Servicios de Dominio)
- Lightweigth Directory Services
- Certificate Services (Servicios de Certificados Digitales)
- Federation Services (Servicios de Federación para exponer partes del directorio e integración con otras plataformas de autenticación)
- Rigths Management Services (Servicios para manejar esquemas de derechos de autor)
Estructura de Active Directory
Los componentes de Active Directory están basados en dos grandes segmentos, la infraestructura física, que está compuesta por los controladores de dominio junto con los procesos de replicación (IP) y la infraestructura lógica relacionado a la forma donde se configura el dominio, relaciones de confianza, unidades organizativas y otros aspectos de configuración.
Uno de los aspectos importantes en la configuración de Active Directory es el servicio de DNS (Domain Name Service), el cual proporciona el esquema de resolución de nombres en el dominio, bajo el mismo esquema de como funciona Internet para acceder a un URL, el DNS sirve para poder localizar todos los servicios que se brindan y para que los usuarios puedan encontrar al controlador de dominio más próximo para su proceso de autenticación, esto junto con muchas cosas mas!
Cuando se realiza una implementación de Active Directory para compañías multinacionales o con múltiples sucursales, el DNS también facilita la ubicación de todos los objetos que son publicados y manejados por el directorio, estos objetos que se manejan son:
- Usuarios
- Grupos de usuarios
- Computadoras
- Impresores
- Unidades Organizativas
- Políticas de Seguridad del Dominio (GPO – Group Policy Objects)
¿Por qué es importante conocer sobre Active Directory (AD)?
Uno de los aspectos claves de este tema es que muchas por no decir que casi todas las aplicaciones en la organización se integran con Active Directory para “delegar” la autentación y brindar accesos una vez el AD da el OK para esos usuarios o grupos de usuarios, por ejemplo: Cuando un Firewall aplica políticas de navegación a Internet por usuarios o departamentos se basa en la estructura de unidades organizativas y grupos del AD para permitir o denegar dichos filtros de navegación.
Básicamente todas los servicios críticos en las empresas usan el AD, por lo que se vuelve importante que el velar porque su disponibilidad se mantenga (de ahí la necesidad de utilizar siempre 2 controladores de dominio).
Sin hablar de los aspectos de seguridad de Active Directory, en donde debemos de mantener siempre al día las actualizaciones de seguridad y la ejecución de herramientas que nos permitan tanto auditar como agilizar la administración el AD, entre algunas de estas herramientas te comparto las siguientes:
- BloodHound – Herramienta gratuita para realizar auditoria del dominio, incluso brinda recomendaciones de seguridad sobre algunos aspectos de configuración. El link para que lo puedas descargar: BloodHound
- ManageEngine ADAudit o ADManager – estas herramientas son complementarias, con una auditas y con la otra se te facilita la administración de muchos aspectos de configuración que en el día a día ayuda muchísimo, los links para que las puedas descargar y evaluar:
- PingCastle – esta es una herramienta de análisis de seguridad de Active Directory, el link para que lo puedas descargar gratis: PingCastle
Si deseas ver videos adicionales, te comparto esta selección de videos que están disponibles en YouTube:
- Instalación de Active Directory – Link
- Adicionando una PC al Active Directory – Link
- Creación de plantillas de usuarios en AD – Link
- Creación de una política de grupo en AD – Link
Espero que esta información sea de utilidad! cualquier consulta o más información al respecto quedo a tus órdenes.