Joan zuzenean edukira

3.1. Introducción a Active Directory

Objetivo: comprender el papel de Active Directory (AD) en Windows Server, su arquitectura básica y componentes.

Contenidos

  • ¿Qué es Active Directory?
  • AD DS vs otros roles (AD CS, AD FS, etc.)
  • Componentes: bosque, dominio, sitio, árbol, OU, objetos
  • Relación con DNS, tiempo (NTP) y certificados
  • Buenas prácticas de nomenclatura y diseño
  • Requisitos previos y consideraciones en AWS Academy

¿Qué es Active Directory?

Active Directory (AD) es el servicio de directorio de Microsoft que centraliza la gestión de identidades (usuarios, equipos y grupos) y recursos (impresoras, comparticiones) en una red Windows. AD proporciona autenticación, autorización y aplicación de políticas de forma segura y escalable.

Principales capacidades: - Autenticación basada en Kerberos (y compatibilidad con NTLM para escenarios heredados). - Almacén jerárquico de objetos (usuarios, equipos, grupos, impresoras, etc.). - Directivas de Grupo (GPO) para configurar sistemas y usuarios de forma centralizada. - Integración nativa con DNS para la localización de servicios y controladores de dominio.

Roles relacionados de Active Directory

  • AD DS: Active Directory Domain Services. Núcleo de identidad (dominios/bosques/OU, usuarios y equipos, GPO, DNS integrado).
  • AD CS: Servicios de certificados. Emisión/gestión de certificados X.509.
  • AD FS: Federation Services. SSO y federación con identidades externas.
  • AD LDS: Lightweight Directory Services. LDAP sin necesidad de dominio.

En este curso nos centraremos en AD DS.

Componentes clave

  • Bosque (Forest): el límite de seguridad más alto. Agrupa uno o varios dominios que confían entre sí automáticamente. Define el esquema (tipos de objetos y atributos) y el Catálogo Global.
  • Dominio (Domain): contenedor lógico que comparte una misma base de datos, políticas y límites administrativos. Suele corresponderse con un espacio de nombres DNS (p. ej., corp.local).
  • Sitio (Site): representación lógica de la topología de red física (subredes/ubicaciones). Optimiza la replicación entre controladores de dominio y la elección del DC más cercano para iniciar sesión.
  • Árbol (Tree): conjunto de dominios relacionados jerárquicamente que comparten un espacio de nombres DNS contiguo (p. ej., corp.local y ventas.corp.local).
  • Unidad Organizativa (OU): contenedor para organizar objetos y delegar administración, y donde se vinculan GPO.
  • Objetos: usuarios, equipos, grupos, impresoras, contactos, GPO, etc.

Bosque vs Dominio vs Sitio: ¿en qué se diferencian?

  • Bosque: define el alcance de confianza y el esquema. Todo lo que está en el bosque comparte el mismo catálogo y puede confiar de forma transitiva.
  • Dominio: separa límites administrativos y de políticas. Cada dominio tiene sus propios controladores de dominio y su propia base de datos.
  • Sitio: organiza la replicación y el inicio de sesión óptimo en función de la red (subredes/latencia), no de la estructura organizativa.

Ejemplo visual

graph TD
  A[Bosque: corp.local] --> B[Dominio: corp.local]
  A --> C[Dominio: ventas.corp.local]
  B --> B1[OU: TI]
  B --> B2[OU: Aulas]
  C --> C1[OU: Comercial]
  %% Sitios (lógicas de red)
  S1((Sitio: Campus))
  S2((Sitio: Remoto))
  S1 --- B
  S2 --- C

Buenas prácticas rápidas: - Mantén un único bosque salvo que exista una razón fuerte para múltiples bosques (requisitos de seguridad/esquema diferenciados). - Empieza con un solo dominio cuando sea posible; añade dominios solo si necesitas límites administrativos/políticas distintos o requisitos DNS. - Define sitios para cada ubicación/subred significativa para optimizar replicación e inicio de sesión.

Relación con DNS y tiempo (NTP)

  • AD DS requiere DNS para localizar controladores de dominio y servicios (SRV records).
  • El controlador de dominio suele hospedar también el rol DNS.
  • La sincronización horaria es crítica (Kerberos permite ±5 min por defecto). En AWS, usar el NTP de Amazon (169.254.169.123) o el DC como fuente interna.

Buenas prácticas de diseño y nomenclatura

  • Dominio ejemplo: corp.local o corp.internal para laboratorio (evitar colisiones públicas).
  • OU por departamentos/aulas: OU=Departamentos, OU=Aulas.
  • Convenciones de usuarios: nombre.apellido, equipos: AULA-PC01.
  • Separar GPO de usuarios y equipos. Usar comentarios y versionado de GPO.

Requisitos y consideraciones en AWS Academy

  • Instancia EC2 Windows Server con recursos suficientes (GUI): ≥ 4 vCPU, 8–16 GB RAM.
  • Security Group: habilitar RDP 3389 limitado a IP del aula. No exponer otros puertos a Internet.
  • Disco EBS gp3 ≥ 60 GB. Etiquetado: Project=WindowsServerLab.
  • Sin acceso a Billing: respetar cuotas; detener/terminar instancias al finalizar.

Práctica guiada: Diseñar el dominio del aula

1) Definir nombre del bosque/dominio (ej.: corp.local). 2) Dibujar la estructura de OU que usarás (Departamentos, Aulas, Servicio TI). 3) Definir 5 usuarios y 2 grupos globales por departamento. 4) Elegir la política de contraseñas y 1 GPO básica (p. ej., fondo de pantalla institucional). 5) Preparar un checklist de verificación (abajo) para cuando implementes AD DS.

Checklist de verificación

  • Nombre de dominio decidido y documentado
  • Estructura de OU definida (diagrama simple)
  • Convención de nombres de usuarios y equipos
  • Lista de usuarios y grupos iniciales
  • GPO básica definida y objetivo (usuarios/equipos)
  • Plan de NTP (fuente de tiempo) y DNS

AWS Academy

  • Usaremos instancias EC2 de Windows Server con rol AD DS
  • DNS integrado en el DC (rol DNS)
  • Límites de laboratorio: recursos y tiempos de uso

Resultados de aprendizaje

  • Identificar cuándo usar AD
  • Entender la topología básica para las prácticas posteriores

Próximos pasos

  • 3.2 Instalación de AD DS: agregar el rol y promover a DC.
  • 3.3 Administración básica: crear OU, usuarios/grupos y aplicar la primera GPO.

Práctica AWS relacionada

Diseña el dominio y planifica tu AD para el laboratorio en AWS con la guía: Diseño y planificación de AD en AWS