Directorio Activo en Windows Server: Configuración, Administración y Directivas

Directorio Activo: Conceptos Fundamentales

El Directorio Activo (DA), o Active Directory en inglés, es un servicio de directorio centralizado en entornos Windows Server. Permite la gestión de un dominio de forma centralizada a través del Controlador de Dominio (DC).

El DA proporciona:

• Almacenamiento centralizado: Guarda información sobre usuarios, equipos y otros dispositivos y servicios de la red.
• Autenticación: Verifica la identidad de usuarios y equipos.
• Control de acceso: Permite o deniega el acceso de usuarios o equipos a los recursos de la red.
• Búsqueda de recursos: Facilita a los usuarios la búsqueda de impresoras, recursos compartidos y otros usuarios.

Conceptos Clave

• DC (Controlador de Dominio): Servidor que mantiene la base de datos de usuarios del dominio.
• Dominio: Conjunto de equipos y usuarios que comparten una base de datos de directorio común y políticas de seguridad. Todos los DCs replican entre sí la base de datos del directorio. Los cambios en un objeto se realizan en cualquier DC y se replican en todo el dominio.
• Bosque: Colección de uno o más dominios que comparten una relación de confianza.
• Árbol: Estructura jerárquica de dominios que se basa en los nombres DNS.
• Nivel funcional: Determina las características y funcionalidades disponibles en un dominio o bosque, dependiendo de la versión mínima del sistema operativo de los DCs.
• Relaciones de confianza: Permiten que los usuarios de un dominio accedan a los recursos de otro dominio. La confianza entre dominios no es transitiva por defecto (si A confía en B, y B confía en C, A no confía automáticamente en C).

Instalación del Controlador de Dominio

Pasos Previos

1. Definir el nombre del dominio: Elegir el nombre del dominio, el nombre DNS y el nombre NetBIOS.
2. Establecer el nivel de funcionalidad: Decidir el nivel de funcionalidad del dominio.
3. Configurar la red: Asignar una dirección IP fija y una máscara de subred fija al servidor.
4. Disponer de un servidor DNS: Es necesario un servidor DNS para la resolución de nombres.
5. Preparar el sistema de archivos: El servidor que actuará como controlador de dominio debe tener una partición NTFS.

Proceso de Instalación

1. Desde "Administre su servidor", agregar el rol "Servicios de Dominio de Active Directory" (o mediante el comando dcpromo).
2. Durante la instalación, se presentarán las siguientes opciones:
   • Crear el dominio en un bosque existente: Permite agregar un controlador de dominio a un dominio existente o crear un nuevo dominio dentro del bosque.
   • Crear el dominio en un nuevo bosque: Se utiliza para crear un dominio principal o un dominio independiente del bosque actual.
3. Especificar el nombre de dominio completo (FQDN).
4. Especificar el nivel de funcionalidad del bosque.
5. Instalar el servicio DNS (si aún no está instalado).
6. Establecer las carpetas donde se almacenará la base de datos, el registro de Active Directory (AD) y el volumen del sistema (SYSVOL). SYSVOL almacena la copia del servidor de archivos públicos del dominio.
7. Aceptar y reiniciar el servidor.

El DA se encarga de configurar los reenviadores en el DNS para que los clientes puedan resolver cualquier dominio. En la herramienta administrativa DNS, en las propiedades del servidor, en la pestaña "Reenviadores", se pueden configurar servidores DNS públicos de confianza (por ejemplo, 8.8.8.8).

Administración del Directorio Activo

Herramientas Administrativas

Las tareas administrativas se realizan desde:

• Usuarios y equipos de Active Directory: Permite administrar usuarios, grupos, equipos y otros objetos del directorio.
• Sitios y servicios de Active Directory: Permite administrar la replicación y la topología de la red.
• Dominios y confianzas de Active Directory: Permite administrar las relaciones de confianza y los niveles funcionales del dominio y del bosque.

Para administrar el DA desde un equipo que no sea un controlador de dominio, se puede instalar Microsoft Remote Server Administration Tools (RSAT).

Administración Básica de Objetos

Se realiza desde la herramienta "Usuarios y equipos de Active Directory".

• Unidades Organizativas (UO): Son contenedores que organizan otros objetos del DA, como usuarios, grupos y equipos. Permiten aplicar políticas de grupo de forma jerárquica.
• Usuarios: Al crear usuarios, se les asigna automáticamente un identificador de seguridad (SID). Un usuario puede acceder desde cualquier equipo del dominio.
• Equipos: Los equipos clientes deben integrarse en el dominio. Esto se realiza desde las propiedades del sistema, cambiando el grupo de trabajo por el dominio. Se solicitarán las credenciales de un usuario con permisos para agregar equipos al dominio. Los equipos integrados aparecen en la sección "Computers" de "Usuarios y equipos de Active Directory". Desde aquí, se pueden ver sus propiedades o administrarlos de forma remota.

Administración de Directivas de Grupo (GPO)

Las Directivas de Grupo (GPO) permiten centralizar la configuración de equipos y usuarios en un dominio de Windows Server. Permiten definir configuraciones de seguridad, software, scripts y preferencias.

Tipos de GPO

• GPO locales: Se aplican a un equipo específico que no forma parte de un dominio.
• GPO no locales: Se crean en el dominio y se vinculan a sitios, dominios o unidades organizativas (UO). Al crear el DA, se crean dos GPO no locales por defecto:
  • Directiva predeterminada de dominio: Se vincula al dominio y afecta a todos los usuarios y equipos del dominio.
  • Directiva predeterminada de controladores de dominio: Se vincula únicamente a los controladores de dominio.

Orden de Aplicación de las GPO

Para evitar conflictos, las GPO se aplican en el siguiente orden:

1. GPO local.
2. GPO vinculadas al sitio.
3. GPO vinculadas al dominio.
4. GPO vinculadas a las UO (primero las de nivel superior, luego las de niveles inferiores).

Configuración de las GPO

Las GPO se dividen en dos categorías principales:

• Configuración del equipo: Se aplican al reiniciar el equipo. Incluyen:
  • Configuración de software.
  • Configuración de Windows.
  • Plantillas administrativas.
• Configuración de usuario: Se aplican al iniciar sesión el usuario. Incluyen:
  • Configuración de software.
  • Configuración de Windows.
  • Plantillas administrativas.
  • Preferencias (variables de entorno, accesos directos, configuración del panel de control, etc.).

Aplicación de las GPO

• Configuración del equipo: Se aplican al arrancar el equipo y, posteriormente, cada 90-120 minutos.
• Configuración de usuario: Se aplican al iniciar sesión el usuario y, posteriormente, cada 90-120 minutos.
• Forzar la aplicación: Se puede forzar la aplicación de las GPO mediante el comando gpupdate /force.

Administración de Directivas de Grupo Local

Las directivas de grupo local (Local Group Policy) permiten configurar opciones para usuarios y equipos en un sistema que no está unido a un dominio. Se configuran ejecutando gpedit.msc.

Administración de GPO en el Dominio

Para administrar las GPO del dominio, se utiliza la herramienta administrativa "Administración de directivas de grupo". Aquí se pueden ver y editar la "Default Domain Policy" (directiva predeterminada del dominio) y la "Default Domain Controller Policy" (directiva predeterminada de los controladores de dominio).

Para crear y personalizar GPO asociadas a una UO:

1. Seleccionar la UO.
2. Hacer clic con el botón derecho y seleccionar "Crear un GPO en este dominio y vincularlo aquí" o "Vincular un GPO existente".
3. Indicar el nombre de la nueva directiva o seleccionar una existente.
4. Una vez creada, hacer clic con el botón derecho sobre la directiva y seleccionar "Editar".