Descripción general de Active Directory

    Windows Active Directory es un marco jerárquico de objetos. Esto proporciona información de los diversos objetos de Active Directory, como recursos, servicios, cuentas de usuario, grupos, etc., y establece el permiso de acceso y la seguridad de estos objetos. La estructura de los componentes de red de Active Directory son:

    • Dominios : grupo de equipos que comparten una base de datos de directorio común.
    • Árboles de dominio : uno o más dominios que comparten un espacio de nombres contiguo.
    • Bosques de dominio : uno o más árboles de dominio que comparten información de directorio común.
    • Unidades de organización : un contenedor o un subgrupo de dominios que se utiliza para organizar los objetos dentro de un dominio en un grupo administrativo lógico.
    • Objetos : los objetos representan entidades individuales, como computadoras, recursos, usuarios, aplicaciones, etc., con sus atributos.

    Grupos de Active Directory

    Los grupos son los objetos de Active Directory que pueden contener usuarios, equipos y otros grupos (grupos anidados). Hay dos tipos de grupos, a saber, grupos de seguridad y grupos de distribución. Mientras que un grupo de seguridad se usa para agrupar usuarios, equipos y otros grupos para asignar permisos a los recursos, el grupo de distribución se usa solo para crear listas de distribución de correo electrónico.  El ámbito del grupo puede ser Local, Local de dominio, Global o Universal.

    • Grupos locales : su alcance se limita solo a la máquina en la que existe. Se puede utilizar para otorgar permisos para acceder a los recursos de la máquina.
    • Grupos locales de dominio : tiene un alcance de todo el dominio, lo que significa que puede otorgar permisos de recursos en cualquiera de las máquinas de Windows en ese dominio.
    • Grupos globales: también tiene un alcance para todo el dominio, pero se le pueden otorgar permisos en cualquier dominio.
    • Grupos universales : a este grupo se le pueden otorgar permisos en cualquier dominio. incluidos los dominios de otros bosques (según la relación de confianza).

    Usuarios de Active Directory

    Un usuario, para iniciar sesión en una computadora o un dominio, requiere una cuenta de usuario en el Active Directory, que establece una identidad para él / ella. Con base en esta identidad, el sistema operativo autentica al usuario y otorga acceso a los recursos del dominio. Hay dos cuentas de usuario predefinidas, administrador e invitado, que se utilizan para iniciar sesión inicialmente para realizar las configuraciones necesarias.

    Computadoras de Active Directory

    De manera similar a las cuentas de usuario, las cuentas de computadora se utilizan para proporcionar la autorización necesaria a las computadoras para usar la red y los recursos del dominio.

    Administrar permisos de seguridad

    Los permisos de seguridad básicos admitidos por Windows, como lectura, escritura y control total, están disponibles para todos y cada uno de los objetos de Active Directory. Además de estos permisos estándar, AD también proporciona algunos permisos especiales basados ​​en la clase de objeto, como Contenido de lista, Eliminar árbol, Objeto de lista, Escritura propia, Control de acceso, Crear hijo, Eliminar hijo, Leer propiedad, Escribir propiedad, etc. .

    Estos permisos deben asignarse a los usuarios o grupos para restringir u otorgar acceso a los objetos de Active Directory. Cada asignación de permisos a usuarios o grupos se denomina Entrada de control de acceso (ACE).

    Permisos heredados

    Los permisos establecidos en un contenedor (o un objeto principal) también se pueden aplicar a sus objetos secundarios. Esto se conoce como permisos heredados. El modelo de seguridad de Active Directory le permite definir permisos explícitos o propagar permisos a sus objetos secundarios. Por ejemplo, puede  especificar las siguientes condiciones para la propagación:

    • Este objeto solamente
    • Este objeto y todos los objetos secundarios
    • Objetos informáticos
    • Objetos de grupo
    • Objetos de unidad organizativa
    • Objetos de usuario

    Los contenedores pueden ser cualquier componente de Active Directory como dominio, unidades organizativas, y solo los objetos dentro de esos contenedores pueden heredar permisos del padre.

    Algunas terminologías de Active Directory de uso común se analizan en el siguiente tema.