Active Directory (AD) es el servicio de administración de identidades y directorios de Microsoft para redes de dominio de Windows. Se introdujo en Windows 2000, se incluye con la mayoría de los sistemas operativos de MS Windows Server y es utilizado por una variedad de soluciones de Microsoft como Exchange Server y SharePoint Server, así como aplicaciones y servicios de terceros.
AD se compone de una serie de servicios de directorio diferentes, que incluyen:
- Servicios de dominio de Active Directory (AD DS): el servicio principal de Active Directory utilizado para administrar usuarios y recursos.
- Active Directory Lightweight Directory Services (AD LDS): una versión de bajo coste de AD DS para aplicaciones habilitadas para directorios.
- Servicios de certificados de Active Directory (AD CS): para emitir y administrar certificados de seguridad digitales.
- Servicios de federación de Active Directory (AD FS): para compartir información de administración de acceso e identidad entre organizaciones y empresas.
- Servicios de administración de derechos de Active Directory (AD RMS): para la administración de derechos de información (control de permisos de acceso a documentos, libros de trabajo, presentaciones, etc.)
Las funciones y capacidades de anuncios fundamentales incluyen:
- Esquema que define las clases de objetos y atributos contenidos en el directorio.
- Un catálogo global que contiene información detallada sobre cada objeto del directorio.
- Un mecanismo de consulta e índice que permite a los usuarios, administradores y aplicaciones encontrar información de directorio de manera eficiente.
- Un servicio de replicación que difunde datos de directorio a través de la red.
El esquema de Active Directory admite varios tipos de objetos, como Usuario, Grupo, Contacto, Equipo, Carpeta compartida, Impresora y Unidad organizativa, junto con un conjunto de atributos descriptivos para cada objeto. Por ejemplo, los atributos de objeto de usuario incluyen información como el nombre, la dirección y el número de teléfono del usuario.
Active Directory hace uso de otros protocolos de seguridad y redes, incluidos LDAP (Protocolo Ligero de Acceso a directorios), DNS (Sistema de Nombres de Dominio) y la versión de Microsoft del protocolo de autenticación Kerberos.
Descripción general de los servicios de dominio de AD
Los servicios de dominio de Active Directory son el servicio de Active Directory principal. Se utiliza para autenticar usuarios y controlar el acceso a los recursos de red. Un servidor que ejecuta AD DS se denomina controlador de dominio. La mayoría de las redes de dominio de Windows tienen dos o más controladores de dominio; un controlador de dominio principal y uno o más controladores de dominio de copia de seguridad para mayor resiliencia. Durante el inicio de sesión, los usuarios se autentican en un controlador de dominio y se les concede acceso a recursos específicos en función de políticas definidas administrativamente.
Estructuras de datos de anuncios
Active Directory almacena información sobre los usuarios de la red (nombres, números de teléfono, contraseñas, etc.).) y recursos (servidores, volúmenes de almacenamiento, impresoras, etc.) en una estructura jerárquica que consiste en dominios, árboles y bosques.
- Un dominio es una colección de objetos (por ejemplo, usuarios, dispositivos) que comparten la misma base de datos de Active Directory. Un dominio se identifica con un nombre DNS como company.com.
- Un árbol es una colección de uno o más dominios con un espacio de nombres contiguo (tienen un nombre raíz DNS común como marketing.company.com, engineering.company.com, y sales.company.com
- Un bosque es una colección de uno o más árboles que comparten un esquema, un catálogo global y una configuración de directorio comunes, pero que no forman parte de un espacio de nombres contiguo. El bosque suele servir como límite de seguridad para una red empresarial.
Los objetos de un dominio se pueden agrupar en unidades organizativas (UO) para simplificar la administración y la gestión de políticas. Los administradores pueden crear unidades organizativas arbitrarias para reflejar estructuras funcionales, geográficas o empresariales y, a continuación, aplicar directivas de grupo a las unidades organizativas para simplificar la administración. Las unidades organizativas también facilitan la delegación del control de los recursos a varios administradores.
Beneficios de anuncios
Active Directory ofrece una variedad de beneficios funcionales y empresariales, que incluyen:Seguridad
- : Active Directory ayuda a las empresas a mejorar la seguridad al controlar el acceso a los recursos de red.
- Extensibilidad: las empresas pueden organizar fácilmente los datos de Active Directory para alinearlos con su estructura organizativa y sus necesidades empresariales.
- Simplicidad: los administradores pueden administrar de forma centralizada las identidades de usuario y los privilegios de acceso en toda la empresa, lo que ayuda a las empresas a simplificar la administración y reducir los gastos de operaciones.
- Resiliencia: Active Directory admite componentes redundantes y replicación de datos para permitir la alta disponibilidad y la continuidad del negocio.
Relación con Azure Active Directory
Azure Active Directory es la solución de administración de identidades basada en la nube de próxima generación de Microsoft que se utiliza para controlar el acceso a soluciones SaaS como Microsoft 365 (Office 365), aplicaciones en la nube desarrolladas internamente que se ejecutan en Azure, así como aplicaciones empresariales tradicionales y otros recursos locales. Agrega compatibilidad con controles de acceso justo a tiempo, autenticación multifactor y tecnologías sin contraseña, administración nativa de dispositivos móviles y estándares de federación de identidades como SAML y Oauth2, entre otras capacidades.
CyberArk Identity se integra con Active Directory y Azure AD y le permite proporcionar funciones de Inicio de sesión único, Autenticación Multifactor y Administración del ciclo de vida para los usuarios almacenados en estos directorios.