Fundamentos de la política de grupo en Active Directory

Este artículo trata sobre la función de directiva de grupo de Microsoft® Active Directory® (AD).

Política de grupo AD

La directiva de grupo proporciona una administración centralizada de la configuración y las redes de la computadora para que no necesite seleccionar y configurar cada computadora individualmente. Puede configurar los siguientes servicios de AD como una política de grupo:

• Servicios de dominio: Los servicios de dominio le permiten administrar sus dominios de AD. Proporcionan funciones de autenticación y un marco para otros servicios similares. AD utiliza una base de datos de protocolo de acceso de directorio ligero (LDAP) que contiene objetos en red.

• Servicios de certificados: Servicios de certificados es una herramienta de Microsoft para administrar certificaciones digitales y es compatible con la infraestructura de clave pública (PKI). Los servicios de certificados pueden almacenar, validar, crear y revocar credenciales de claves públicas, en lugar de generar claves de forma externa o local.

• Servicios de federación: Los servicios de federación proporcionan una autenticación de inicio de sesión única basada en la web para su uso en varias organizaciones. Permite a los contratistas iniciar sesión en su propia red y obtener autorización para acceder a los recursos de la red del cliente en un sistema centralizado.

• Servicios de directorio ligeros: Los servicios de directorio ligeros eliminan cierta complejidad y funcionalidad avanzada para ofrecer solo la funcionalidad básica del servicio de directorio. Los servicios de directorio ligeros no necesitan usar controladores de dominio, bosques o dominios para entornos reducidos.

• Servicios de gestión de derechos: Rights Management Services desglosa la autorización más allá de los permisos de un usuario. Los derechos y restricciones se adjuntan al documento en lugar del usuario. AD comúnmente usa estos derechos para evitar imprimir, copiar o tomar una captura de pantalla de un documento.

Estructura AD

AD contiene los siguientes componentes:

• Bosque: El bosque es el nivel más alto de la jerarquía de la organización. El bosque le permite separar la autoridad de delegación dentro de un único entorno. Esta segregación otorga a un administrador acceso completo y permisos solo a un conjunto específico de recursos. AD almacena información del bosque en todos los controladores de dominio, en todos los dominios, dentro del bosque.

• Árbol: Un árbol es un grupo de dominios. Los dominios dentro de un árbol comparten el mismo espacio de nombres raíz. Si bien un árbol comparte un espacio de nombres, los árboles no son límites de seguridad o replicación.

• Dominios: Cada bosque contiene un dominio raíz. Puede usar dominios adicionales para crear más particiones dentro de un bosque. Los dominios dividen el directorio en partes más pequeñas para controlar la replicación. Un dominio limita la replicación de AD solo a los otros controladores de dominio dentro del mismo dominio.

  Cada controlador de dominio en un dominio tiene una copia idéntica de la base de datos AD de ese dominio. La replicación mantiene las copias actualizadas.

• Unidades organizativas (OU): Una unidad organizativa proporciona la agrupación de autoridad sobre un subconjunto de recursos dentro de un dominio. Una unidad organizativa proporciona un límite de seguridad en privilegios elevados y autorización y no limita la replicación de objetos AD.

  Use unidades organizativas para implementar y limitar la seguridad y los roles entre grupos, y use dominios para controlar la replicación.

• Controladores de dominio: Los controladores de dominio son servidores de Windows® que contienen la base de datos de AD y realizan funciones relacionadas con AD, incluidas la autenticación y la autorización.

  Cada controlador de dominio almacena una copia de la base de datos de AD que contiene información para objetos dentro del mismo dominio. Además, cada controlador de dominio almacena el esquema de todo el bosque, así como toda la información sobre el bosque.

  Un controlador de dominio no almacena una copia de ningún esquema o información de bosque de un bosque diferente, incluso si están en la misma red.

• Funciones de controlador de dominio especializado: Utilice funciones de controlador de dominio especializadas para realizar funciones específicas que normalmente no están disponibles en los controladores de dominio estándar. AD asigna estos roles maestros al primer controlador de dominio creado en cada bosque o dominio, pero puede reasignar los roles manualmente.

• Maestro de esquema: Solo existe un maestro de esquema por bosque. Contiene la copia maestra del esquema utilizado por todos los demás controladores de dominio. Una copia maestra garantiza que todos los objetos se definan de la misma manera.

• Maestro de nombre de dominio: Solo existe un maestro de nombre de dominio por bosque. El maestro de dominio garantiza que los nombres de todos los objetos sean únicos y que puedan hacer referencias cruzadas a objetos almacenados en otros directorios.

• Maestro de infraestructura: Hay un maestro de infraestructura por dominio. El maestro de infraestructura mantiene la lista de objetos eliminados y rastrea las referencias de objetos en otros dominios.

• Maestro de identificadores relativos: Hay un maestro de identificadores relativos por dominio. Realiza un seguimiento de la creación y asignación de identificadores de seguridad únicos (SID) en todo el dominio.

• Emulador de controlador de dominio principal: Solo hay un emulador de controlador de dominio principal (PDC) por dominio. Proporciona compatibilidad con versiones anteriores de los sistemas de dominio más antiguos basados ​​en Windows NT.

• Almacén de datos: El almacén de datos maneja el almacenamiento y la recuperación de datos en cualquier controlador de dominio. El almacén de datos tiene tres capas:la base de datos y los componentes del servicio (el agente del sistema de directorio (DSA) y el motor de almacenamiento extensible (ESE)), los servicios de almacenamiento del directorio (LDAP), la interfaz de replicación, la API de mensajería (MAPI) y el administrador de cuentas de seguridad (SAM)

Sistema de Nombres de Dominio

AD contiene información sobre la ubicación de los objetos almacenados en la base de datos. Sin embargo, AD utiliza el Sistema de nombres de dominio (DNS) para ubicar los controladores de dominio.

Dentro de AD, cada dominio tiene un nombre de dominio DNS y cada computadora unida tiene un nombre DNS dentro de ese mismo dominio.

Objetos

AD almacena todo como un objeto y contiene información de ubicación de los objetos almacenados en la base de datos. Sin embargo, AD utiliza el Sistema de nombres de dominio (DNS) para ubicar los controladores de dominio. La clase de un objeto define los atributos del objeto.

El esquema debe contener la definición del objeto antes de poder almacenar datos en el directorio. Una vez definido, AD almacena los datos como objetos individuales. Cada objeto debe ser único y representar una sola cosa, como un usuario, una computadora o un grupo único de elementos (por ejemplo, un grupo de usuarios).

Los objetos tienen los siguientes tipos principales de objetos:

• Principales de seguridad, que tienen SID

• Recursos, que no tienen SID

Replicación

AD usa múltiples controladores de dominio por muchas razones, incluido el equilibrio de carga y la tolerancia a fallas. Para que esto funcione, cada controlador de dominio debe tener una copia completa de la base de datos AD de su propio dominio. La replicación garantiza que cada controlador tenga una copia actual de la base de datos.

El dominio limita la replicación. Los controladores de dominio en diferentes dominios no se replican entre sí, ni siquiera dentro del mismo bosque. Cada controlador de dominio es igual. Aunque las versiones anteriores de Windows tenían controladores de dominio primarios y secundarios, AD no tiene tal cosa. La confusión se deriva de la continuación del nombre controlador de dominio del antiguo sistema basado en la confianza a AD.

La replicación funciona en un sistema de extracción. Esto significa que un controlador de dominio solicita o extrae la información de otro controlador de dominio en lugar de que cada controlador de dominio envíe o envíe datos a otros. De forma predeterminada, los controladores de dominio solicitan datos de replicación cada 15 segundos. Ciertos eventos de alta seguridad desencadenan un evento de replicación inmediata, como el bloqueo de una cuenta.

Solo se replican los cambios. Para garantizar la fidelidad en un sistema multimaestro, cada controlador de dominio realiza un seguimiento de los cambios y solicita solo las actualizaciones desde la última replicación. Los cambios se replican en todo el dominio mediante el uso de un mecanismo de almacenamiento y reenvío para que cualquier cambio se replique cuando se solicite, incluso si el cambio no se originó en el controlador de dominio que responde a la solicitud de replicación.

Este proceso evita el exceso de tráfico y puede configurar AD para asegurarse de que cada controlador de dominio solicite sus datos de replicación del servidor más deseable. Por ejemplo, una ubicación remota con una conexión rápida y una conexión lenta a otros sitios con controladores de dominio puede establecer un costo en cada conexión. Al hacerlo, AD realiza la solicitud de replicación a través de la conexión más rápida.

La autorización delegada y la replicación eficiente son las claves de la estructura de AD.