IBM Cloud Docs
Visión general de Active Directory

Visión general de Active Directory

Los servicios de dominio de Active Directory™ (AD) utilizan servicios de resolución de nombres DNS para localizar los controladores de dominio y para los controladores de dominio que alojan el servicio de directorio para comunicarse entre sí. AD tiene una estructura de contención jerárquica, en la que el contenedor de nivel superior es el bosque. Dentro de los bosques encontramos dominios y, dentro de los dominios están las unidades organizativas (OU). Este modelo lógico es independiente de los aspectos físicos del despliegue.

Terminología de Active Directory

AD utiliza la siguiente terminología:

  • Bosque: un conjunto de uno o más dominios que comparten una estructura lógica común, un esquema de directorios, una configuración de directorios y un catálogo global. Los dominios del mismo bosque se enlazan automáticamente con las relaciones de confianza transitivas bidireccionales.
  • Dominio: un dominio es una partición en un bosque. Los datos de particionamiento permiten que las organizaciones repliquen datos sólo en el lugar en el que se necesitan. De esta manera, el directorio puede escalarse globalmente a través de una red que tenga un ancho de banda disponible limitado. El área de una red está cubierta por una sola base de datos de autenticación.
  • Esquema: un conjunto de regla que define las clases de objetos y los atributos que se encuentran en el directorio, las restricciones y los límites de las instancias de estos objetos y el formato de sus nombres.
  • Controlador de dominio: los controladores de dominio proporcionan el almacenamiento físico para la base de datos de Active Directory Domain Services, además de proporcionar los servicios y los datos que permiten a las empresas gestionar de forma eficaz sus servidores, estaciones de trabajo, usuarios y aplicaciones. Asegúrese de que los controladores de dominio son seguros para evitar poner en riesgo los datos de Active Directory.
  • Dominio raíz: el dominio raíz contiene los grupos Administradores de empresa y Administradores de esquema. Estos grupos de administradores de servicio se utilizan para gestionar operaciones a nivel de bosque como, por ejemplo, la adición y la eliminación de dominios y la implementación de cambios en el esquema.
  • Dominio padre: se pueden enlazar varios dominios entre sí para formar una estructura de árbol. En la jerarquía, el dominio de más alto nivel se conoce como dominio padre, y tiene uno o más dominios hijos que están vinculados a él.
  • Dominios hijo: estos dominios enlazan con un dominio padre y heredan el espacio de direcciones del padre, por lo que el hijo es un subdominio. Un hijo a un dominio puede ser también lo que el padre es a otros dominios. Un nombre de dominio hijo siempre incluye el nombre completo del dominio padre. Los dominios hijo y padre comparten una confianza transitiva bidireccional.
  • Catálogo global: un servidor de catálogo global es un controlador de dominio que almacena copias parciales de todos los objetos de Active Directory en el bosque. Almacena una copia completa de todos los objetos en el directorio del dominio y una copia parcial de todos los objetos de todos los demás dominios del bosque. Los usuarios y los administradores pueden encontrar información de directorio independientemente del dominio en el directorio que contiene los datos. Se replica en todos los controladores de dominio que sean miembros de ese bosque.
  • Sitios de AD: en AD, un sitio representa una entidad física o lógica que se define en el controlador del dominio. Cada sitio está asociado con un dominio. Cada sitio tiene también definiciones IP de las direcciones IP o rangos que pertenecen a ese sitio. Los controladores de dominio utilizan la información del sitio para informar a los clientes de AD sobre los controladores de dominio presentes en el sitio más cercano al cliente.
  • Enlaces de sitio: los enlaces de sitio se utilizan para establecer enlaces entre los sitios de AD. Al configurar las propiedades de enlace del sitio como, por ejemplo, la planificación, los costes de réplica y el intervalo, se puede gestionar la réplica entre sitios.
  • Confianza: una relación de confianza es una relación lógica que se establece entre dominios para permitir la autenticación y la autorización de recursos compartidos. El proceso de autenticación verifica la identidad del usuario, y el proceso de autorización determina lo que al usuario le está permitido hacer en un sistema o red.
  • Directorio: AD utiliza un almacén de datos estructurados como base para la organización jerárquica y lógica de la información de directorio. Este almacén de datos, también conocido como directorio, contiene información sobre los objetos de AD. Estos objetos suelen incluir recursos compartidos como, por ejemplo, servidores, volúmenes, impresoras así como el usuario de red y las cuentas del sistema.
  • Réplica: un servicio que distribuye los datos de directorio a través de una red. Todos los controladores de dominio de un dominio participan en la réplica y contienen una copia completa de toda la información de directorio para sus dominios. Cualquier cambio a los datos de directorio se duplican en todos los controladores de dominio del dominio en cuestión.
  • Unidades organizativas: las OU se pueden utilizar para formar una jerarquía de contenedores dentro de un dominio. Las OU se utilizan para agrupar objetos con fines administrativos como, por ejemplo, la aplicación de la política de grupo o la delegación de autoridad. El control (sobre una OU y los objetos que contiene) viene determinado por las listas de control de acceso (ACL) de la OU y por los objetos de la OU. Para facilitar la gestión de grandes cantidades de objetos, Active Directory Domain Services da soporte al concepto de delegación de autoridad. Mediante la delegación, los propietarios pueden transferir todo el control administrativo, o solo una parte limitada, sobre los objetos a otros usuarios o grupos. La delegación es importante porque ayuda a distribuir la gestión de un gran número de objetos entre varias personas en las que se confía para completar las tareas de gestión.
  • Niveles funcionales: los niveles funcionales determinan las capacidades disponibles del dominio o bosque de Active Directory Domain Services y los sistemas operativos Windows® Server que se pueden ejecutar en los controladores de dominio del dominio o bosque. Sin embargo, los niveles funcionales no afectan a los sistemas operativos que se pueden ejecutar en las estaciones de trabajo y los servidores miembros que se unen al dominio o bosque.

Modelos de dominio

Revise los modelos de dominio típicos disponibles para un cliente cuando designe sus dominios en local o en IBM Cloud®.

  • Modelo de un solo bosque, un solo dominio
  • Modelo de un solo bosque, varios dominios
  • Modelo de bosques múltiples

Para obtener más información sobre los modelos de bosque y de dominio, consulte la estructura Diseño de flujos de trabajo.

Modelo de un solo bosque, un solo dominio

El modelo de un solo bosque, un solo dominio es el más fácil de administrar y mantener. El diseño consta de un bosque que contiene un solo dominio. Como es el único dominio, es el dominio raíz del bosque, y contiene todas las cuentas de usuario y de grupo del bosque y los objetos de recursos. Para algunas empresas, este modelo es todo lo que se necesita. Sin embargo, las empresas más complejas no pueden utilizar este modelo.

Modelo de un solo bosque, varios dominios

Las empresas grandes utilizan el modelo de un solo bosque, varios dominios, donde el bosque incluye muchos usuarios que están distribuidos entre diferentes ubicaciones geográficas o diferentes unidades de negocio. Si cada ubicación tiene su propio dominio, el tráfico de réplica se reduce entre ubicaciones. La facilidad de la gestión suele ser el caso de uso para los dominios que se utilizan para diferentes unidades empresariales. Este modelo de dominio consta de un dominio raíz del bosque y uno o varios dominios regionales. A menudo, el dominio raíz del bosque está restringido a los administradores de la empresa y los grupos de administradores de esquemas. Estos grupos se utilizan para gestionar operaciones a nivel de bosque, como la adición y eliminación de dominios y la implementación de cambios en el esquema.

La creación de un diseño de modelo de varios dominios implica identificar qué dominio es el dominio raíz del bosque y determinar la cantidad de dominios adicionales que son necesarios para cumplir los requisitos de réplica. Estos dominios pueden ser dominios padre o hijo, en función de cómo debe reflejar la estructura del dominio la estructura organizativa. Normalmente, es mejor tener el menor número posible de dominios que gestionar. Para reducir la complejidad, la empresa necesita equilibrar la complejidad con la separación de recursos en distintos dominios y subdominios, lo que aporta ventajas en cuanto seguridad.

Modelos de varios bosques

Si la empresa incluye grupos que requieren el aislamiento de datos o el aislamiento de servicios de otros grupos de la empresa, el modelo de varios bosques se puede utilizar para crear un bosque independiente para estos grupos. Los dominios no proporcionan la función de aislamiento de datos ni aislamiento de servicios. Los administradores del bosque tienen acceso completo a todos los recursos del bosque. Este acceso no se puede impedir, por lo que si tiene recursos a los que este grupo no debe tener acceso, estos recursos se deben colocar en otro bosque.

El modelo de varios bosques también resulta adecuado en los casos en que se han fusionado empresas y las dos empresas tienen dos estructuras de Active Directory Domain Services diferentes.

Revise los siguientes tres modelos de bosques.

  • Modelo de bosques organizativos: en este modelo, las cuentas de usuario y los recursos se hallan en ambos bosques, pero se gestionan de forma independiente. Este modelo puede proporcionar autonomía y aislamiento, si el bosque se ha configurado para evitar el acceso a cualquier persona fuera del mismo. Si los usuarios de un bosque organizativo tienen que acceder a los recursos de otros bosques, o a la inversa, se pueden establecer relaciones de confianza entre un bosque organizativo y los demás bosques.
  • Modelo de bosque de recursos: en este modelo, se utiliza un bosque independiente para gestionar los recursos y estos bosques no contienen cuentas de usuarios que no sean las de los administradores de servicios. Se establecen confianzas de los bosques para que los usuarios de otros bosques puedan acceder a los recursos que se encuentran en el bosque de recursos. Este modelo proporciona el aislamiento de servicio.
  • Modelo de bosque de acceso restringido - En este modelo, se crea un bosque independiente para contener cuentas de usuario y recursos que deben estar aislados del resto de la empresa. A los usuarios de un bosque no se les puede otorgar acceso al otro bosque, ya que no existe ninguna confianza entre los bosques. Este modelo a menudo lo adoptan los proveedores de servicios que pueden proporcionar servicios de gestión de infraestructuras, por ejemplo. En este modelo, si los usuarios necesitan acceso a recursos en ambos bosques, tienen una cuenta en un bosque y otra cuenta aparte en el otro bosque. Este modelo proporciona el aislamiento de datos. El modelo de bosque de acceso restringido se crea cuando se aprovisiona una instancia de VMware Cloud Foundation for Classic - Automated.