Active directory. Gestión de dominios

Active directory. Gestión de dominios.

1.- ¿Qué es Active Directory?

Active Directory significa "directorio activo" (a partir de ahora, podemos referirnos a este concepto con sus siglas en inglés, AD). Es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red de ordenadores

Un servicio de directorio es una aplicación o un conjunto de aplicaciones que entre otras cosas:

• Almacena y organiza la información sobre los usuarios y usuarias de una red de ordenadores.
• Organiza los recursos de red.
• Permite a los administradores y administradoras gestionar el acceso de usuarios a los recursos sobre dicha red.

Los recursos que maneja un servicio de directorio son, principalmente:

• Impresoras.
• Carpetas
• Archivos compartidos en red.
• Equipos.

 AD maneja una base de datos que contiene información sobre todos estos elementos que hemos ido nombrando y que forman parte de la red. Estos elementos son los objetos de AD y algunos de ellos son los usuarios, los equipos y las impresoras

Cuando un usuario quiere iniciar sesión en un equipo, AD consulta su base de datos para saber si ese usuario puede iniciar sesión en ese equipo. De esta forma, manejando la información de su base de datos, AD permite que el acceso a los recursos sea el que los administradores y administradoras han configurado.

2.- ¿Qué es un dominio?

Un dominio es una agrupación lógica de objetos de Active Directory que permite la administración centralizada de dichos objetos.

En la base de datos de AD el dominio en sí también es un objeto, que estará relacionado jerárquicamente con los objetos del dominio en una relación padre-hijos. El dominio será el objeto padre de todos los objetos que contiene.

2.1.- Nombrar al dominio.

¿Cómo se nombran los dominios?
Cada dominio lleva asociado un nombre que lo identifica y que se escribe siguiendo las convenciones de los nombres DNS (Domain Name System, Sistema de Nombres de Dominio). Los nombres que utilizas cuando navegas por Internet para referirte a los sitios Web, son nombres DNS. Así no te será complicado entender los nombres de dominio. Un nombre DNS consiste en dos o más partes, llamadas etiquetas, separadas por puntos. Por ejemplo, norte.carminfosl.com.

• A la etiqueta ubicada más a la derecha se le llama dominio de nivel superior. En el ejemplo carminfosl.com sería la etiqueta ".com".
• Cada etiqueta a la izquierda especifica una subdivisión. En este caso, la etiqueta "carminfosl" es una subdivisión de ".com", y “norte” es una subdivisión de “carminfo”.

Además del nombre en formato DNS, los dominios tienen un nombre corto, llamado nombre NetBIOS (NetBIOS es un protocolo de red utilizado por Microsoft para redes locales). Es necesario que tengan este nombre para ser compatibles con sistemas anteriores a Windows Server 2000.

• Un ejemplo de nombre DNS completo sería carminfosl.com
• Un ejemplo de nombre NetBIOS sería CARMINFOSL.

2.2.- Nombrar usuarios y equipos.

 ¿Cómo se nombran las cuentas de usuario? Cuando el administrador o administradora del dominio crea un usuario, tiene que ponerle un “nombre de inicio de sesión” al usuario. Por ejemplo, se puede crear el usuario carmen en el dominio carminfosl.com.

      Para nombrar a esa cuenta de usuario, Active Directory utiliza el UPN (User Primary Name – Nombre principal de usuario) que consiste en el nombre de inicio de sesión, seguido del signo '@' y del nombre del dominio en el que se ha creado la cuenta de usuario. En el ejemplo, el UPN del usuario carmen del dominio carminfosl.com sería carmen@carminfosl.com. Como puedes ver, es muy similar a una cuenta de correo electrónico. 

¿Cómo se nombran los equipos? Todos los equipos, pertenezcan o no a un dominio, tienen un nombre. Este nombre lo puedes conocer entrando en la configuración avanzada del sistema (si estás en Windows 10 o Windows Server en la barra de búsqueda escribes Sistema). También puedes ejecutar el comando hostname (que significa "nombre de equipo") en el símbolo del sistema. Para acceder el símbolo del sistema en la barra de búsqueda escribimos cmd.

      Además, si el equipo forma parte de un dominio de Active Directory, tiene un nombre DNS completo. A este nombre DNS completo de un equipo se le llama FQDN (Fully Qualifyed Domain Name – Nombre de Dominio Completamente Cualificado). Este nombre no es más que una unión entre el nombre de equipo (el que obtienes con hostname, o mirando en la configuración del sistema) y el nombre del dominio al que está unido el equipo, separadas ambas partes por un punto (.).

3.- Instalar Active Directory y crear un dominio nuevo.

Tiene que cumplir ciertos requisitos, siendo los más importantes los siguientes:

• Debe tener como sistema operativo Windows Server: Windows 2008, Windows Server 2008 R2, 2012, 2016, 2019.
• Debe contar con al menos un volumen de almacenamiento formateado con NTFS (NT File System, Sistema de Ficheros NT).
• Hay que acceder al equipo con una cuenta de usuario con credenciales administrativas: la propia cuenta Administrador o una cuenta cualquiera que pertenezca al grupo Administradores.
• Es muy recomendable que el equipo tenga una dirección IP estática.
• Necesitaremos utilizar un servidor DNS para poder integrar equipos en el dominio. No es obligatorio para la instalación de los servicios de dominio. 

Vamos a ver un ejemplo de instalación de AD y creación de dominio. Para ello, vamos a utilizar los siguientes parámetros:

• Nombre de equipo: controlador
• Dirección IP:172.0.0.1
• Máscara de red:255.255.0.0
• Puerta de enlace: no la especificaremos porque será este mismo equipo.
• Servidor DNS: 172.0.0.1
• Nombre de dominio: carminfosl.com

El asistente realiza varias preguntas importantes. En un ejemplo como el de Laura en el caso práctico, en el apartado “elegir una configuración de implementación”, debes optar por la opción “crear un dominio nuevo en un bosque nuevo”. Puesto que el dominio que se está creando no depende de ningún otro dominio que ya exista. Un poco más adelante conocerás el significado de las otras opciones que aparecen en esta pantalla. Otra pregunta que el asistente plantea es el nivel funcional.

para que un dominio funcione, tiene que haber un servidor DNS que resuelva sus nombres. Cuando estamos creando el dominio desde cero, tal como hemos visto en el vídeo o como hizo Laura en el caso práctico, aún no existe ningún servidor DNS que conozca el nombre del dominio. Por eso, aprovechamos el asistente para añadir también el servidor DNS.

Para la realización de nuestros ejemplos, vamos a instalar el servidor DNS en la máquina que actuará como controlador de dominio. No debemos olvidar añadir esta opción durante el proceso de instalación de los servicios de AD. Eso significa que el equipo se convierte en controlador de dominio y también en servidor DNS.

4 .- Cómo incorporar un equipo al dominio.

Para que integrar un equipo en un dominio, es muy importante:

1. En el equipo que vamos a unir al dominio, hemos de establecer como servidor DNS preferido, la dirección IP del equipo que funciona como servidor DNS en el dominio. Como viste en el apartado anterior, el servidor DNS puede ser el propio controlador de dominio.
2. Hay que utilizar una cuenta perteneciente al grupo Administradores del dominio, no basta con ser Administrador del equipo local.

Como puedes observar, el proceso es similar al de cambiar el nombre del equipo, pero marcando la opción "Dominio”, y escribiendo el nombre del mismo. Los datos de configuración de la tarjeta de red de la máquina virtual que se va a integrar al dominio son:

• Dirección IP: 172.0.0.2
• Máscara de red: 255.255.0.0
• Puerta de enlace: 172.0.0.1
• Servidor DNS: 172.0.0.1
• Nombre equipo: PC-Carmen
• Dominio: carminfosl.com

5.- Configurar un controlador de dominio de respaldo.

Aparte de las copias de seguridad tradicionales, existe una forma de hacer una copia de seguridad de la base de datos de AD. Una vez que ya se tiene creado el dominio, existe la posibilidad de agregar controladores de dominio adicionales. Éstos son equipos con Windows Server, en los que también configuramos AD y que se comunican con el controlador de dominio principal para replicar la base de datos de AD. Esta replicación se realiza de forma automática.

...