El Directory Activo o Active Directory (AD) es el nombre que recibe el servicio de directorio propietario de Microsoft para la gestión de sesiones en ordenadores de una red. Este servicio de directorio está basado en un protocolo LDAP (Lightweight  Directory Access Protocolo) sobre TCP junto con DNS, Kerberos, DHCP (opcional pero muy recomendable).

Este servicio de directorio es una de las piedras angulares de la organización informática de una empresa ya que su funcionalidad se extiende desde el control de las sesiones por parte de los usuarios hasta la configuración y personalización de los comportamientos de los usuarios dependiendo de los roles que estos tengan dentro de la empresa.

Directorio Activo

En realidad un AD es una base de datos relacional ubicada en un servidor especial que recibe el nombre de controlador de dominio, la cual es accedida por multitud de clientes (tanto equipos monopuesto como en red) a través de TCP para poder realizar operaciones de diferente resultado: consultas, inserciones, borrados, modificaciones, etc… Esta base de datos por regla general debe estar replicada ya que por temas de seguridad no puede estar expuesta a un fallo y por lo tanto no dar servicio operacional. Además de esta definición técnica el servicio de directo se puede definir como un conjunto de objetos (tanto físicos como lógicos) que dan una funcionalidad completa y engloban un marco de acción o frontera lógica donde una organización puede actual. Dichos objetos tienen propiedades o atributos los cuales tienen valores concretos, con los cuales se puede caracterizar comportamientos, accesos, etc… Dentro de estos objetos podemos destacar:

  • Controlador de dominio: Se trata de un servidor donde se ha instalado el rol de servicio de directorio el cual permite crear la base de datos relacional y albergar los objetos que formarán parte de ella.
  • Dominio: Es la estructura organizativa básica de un dominio, la cual marca la frontera por la que la información puede viajar. Todos aquellos objetos que formen parte del mismo dominio compartirán un nombre o FQDN
  • Árbol – Bosque: Ya se especificará en siguientes entradas pero estas estructuras son la unión de uno o más dominio que tienen relación entre sí (tanto implícita como explicita)
  • Unidad Organizativa: Son contenedores lógicos de objetos cuya función  implantar reglas comunes  a todos aquellos integrantes de la misma. De esta forma la administración de objetos se simplifica en gran medida, facilitando el control de comportamientos
  • GPO: Se trata de las reglas que determinados objetos tienen que cumplir. Estas reglas son aplicadas a las unidades organizativas y efectivas sobre los objetos que estén dentro. Estas pueden afectar a ordenadores o a usuarios
  • Objetos: Es el término más genérico ya que todos los comentados anteriormente son objetos. Dentro de estos objetos destacaremos los usuarios y los grupos

Configuración inicial e instalación

Antes de empezar a instalar y configurar el servicio de directorio hay que tener muy claras cuales son los requisitos que la red debe cumplir para poder garantizar el correcto funcionamiento. Estas características son las siguientes:

  1. El servidor donde se vaya a instalar el servicio de directorio y por lo tanto la base de datos relacional debe tener una IP estática, de forma que todos los equipos en la red sean capaces de acceder a el de forma única
  2. Debe estar presente un servidor DNS para que se puedan hacer las traducciones de nombres de forma efectiva (IP <-> nombre de red). Esta parte ya quedó explicada en la entrada referente al servicio DNS
  3. Es muy recomendable un servidor DHCP presente en la red, de forma que todos los clientes reciban una configuración de red automática sin tener que estar modificando configuraciones equipo a equipo. Esta parte ya quedó explicada en la entrada referente al servicio DNS
  4. Además, por defecto se pide que exista un usuario administrador con una contraseña con requisitos de complejidad

Para el ejemplo que se desplegará en esta entrada los datos serán los siguientes

  • Servidor Windows Server 2016 donde se instalará el servicio de directorio y servidor DNS
    • Nombre de red: SRV-DC
    • IP: 10.0.0.10
  • Servidor Windows Server 2016 donde se instalará  DHCP
    • Nombre de red: SRV-SERV
    • IP: 10.0.0.11

El DHCP quedará configurado con un ámbito para poder repartir IPs entre la 10.0.0.15 y la 10.0.0.253, excluyendo las primeras

Una vez se tienen todas estas configuraciones se puede instalar y configurar el servicio de directorio. Lo primero que tendríamos que hacer es dentro del administrador del servidor, seleccionar agregar y quitar roles y sobre la lista el rol Servicio de dominio de Active Directory. Tras aceptar las dependencias y las herramientas administrativas que se instalan el rol estará listo para utilizarse. El siguiente paso será elevar el servidor a controlador de dominio. Para eso tendremos que completar la configuración pulsando sobre el aviso de la parte superior del administrador del servidor o bien ejecutando dcpromo.exe. Los pasos de la configuración serán los siguientes:

  • Creación de un árbol nuevo: al tratarse de una nueva implementación se creará de 0 introduciendo el nombre del dominio. Este nombre introducido será parte del FQDN que todos los objetos del dominio tendrán. Si quisiésemos crear un subdominio y/o unirnos a un dominio existente seleccionaríamos esa opción (son excluyentes)
  • Seleccionar nivel funcional del servidor y tipo de servidor: el nivel funcional marca las características que todos los servidores de la red (que sean controladores de dominio) pueden ejecutar. Además se podrán seleccionar las opciones que se desean en el controlador de dominio
  • Crear zona de delegación de dns: al ser el primer dos de la red no existe zona de delegación creada mediante la cual se tienen realizarán las traducciones de nombre.
  • Nombre netbios: será la primera parte del nombre de dominio metido en el primer paso
  • Ruta de instalaciones: en las rutas por defecto se crearán las bases de datos con los objetos por defecto y donde se guardarán los que se creen.

[ezcol_1half][/ezcol_1half] [ezcol_1half_end][/ezcol_1half_end]

Tras estas opciones se instalarán todas las dependencias y configuraciones básicas necesarias y se habrán agregado una serie de herramientas administrativas, objetos básicos así como zonas de delegación dos necesarias para que pueda funcionar el servicio de directorio. Cuando concluya la instalación el sistema se reiniciará y el servicio de directorio quedará activo teniendo que iniciar sesión con el usuario de red con formato usuario@dominio o dominio\usuario