Active Directory: conceptos clave para oposiciones TI

Que es Active Directory y por que aparece en oposiciones

Active Directory (AD) es el servicio de directorio desarrollado por Microsoft que permite gestionar de forma centralizada usuarios, equipos, recursos y politicas de seguridad en una red Windows. Es una pieza clave en la infraestructura TI de hospitales y centros de salud del SERGAS, y por tanto un tema habitual en las oposiciones de Tecnico de Sistemas TI.

Active Directory Domain Services (AD DS)

AD DS es el rol principal de Active Directory. Almacena informacion sobre los objetos de la red (usuarios, grupos, equipos, impresoras) y permite a los administradores gestionar el acceso a los recursos. Utiliza el protocolo LDAP (Lightweight Directory Access Protocol) para las consultas y Kerberos para la autenticacion.

Estructura logica de Active Directory

Dominio

El dominio es la unidad basica de organizacion en AD. Se identifica por un nombre DNS (por ejemplo, sergas.local) y constituye un limite de:

• Administracion: Las politicas de seguridad se aplican dentro del dominio.
• Replicacion: Los datos del directorio se replican entre los controladores del mismo dominio.
• Autenticacion: Kerberos funciona dentro del ambito del dominio.

Arbol (Tree)

Un arbol es un conjunto de dominios que comparten un espacio de nombres contiguo. Por ejemplo: sergas.local, coruna.sergas.local, vigo.sergas.local. Todos los dominios de un arbol comparten un esquema comun y un catalogo global.

Bosque (Forest)

El bosque es el nivel mas alto de la estructura logica de AD. Puede contener uno o mas arboles. Todos los dominios de un bosque comparten:

• Un esquema comun (definicion de los tipos de objetos y sus atributos).
• Un catalogo global (indice parcial de todos los objetos del bosque).
• Relaciones de confianza transitivas bidireccionales entre todos los dominios del bosque.

El primer dominio creado en un bosque es el dominio raiz del bosque y contiene los grupos Enterprise Admins y Schema Admins.

Unidades Organizativas (OU)

Las Unidades Organizativas son contenedores dentro de un dominio que permiten organizar los objetos de forma jerarquica. La principal utilidad de las OUs es facilitar la aplicacion de directivas de grupo (GPO) y la delegacion de administracion.

Ejemplo de organizacion por OUs en un hospital:

• OU=Hospital_Principal
  • OU=Administracion
  • OU=Urgencias
  • OU=Laboratorio
  • OU=Radiologia

Controlador de dominio (DC)

Un controlador de dominio es un servidor Windows que ejecuta AD DS. Almacena una copia de la base de datos del directorio (archivo NTDS.dit) y autentica a usuarios y equipos. Es recomendable tener al menos dos controladores de dominio por dominio para garantizar la disponibilidad.

Roles FSMO

En cada dominio/bosque existen cinco roles unicos denominados FSMO (Flexible Single Master Operations):

• Schema Master (uno por bosque): Controla las modificaciones del esquema.
• Domain Naming Master (uno por bosque): Controla la adicion y eliminacion de dominios del bosque.
• RID Master (uno por dominio): Asigna bloques de identificadores relativos (RID) a los controladores de dominio.
• PDC Emulator (uno por dominio): Actua como controlador de dominio principal, gestiona cambios de contrasena urgentes y sincroniza la hora.
• Infrastructure Master (uno por dominio): Actualiza las referencias de objetos de otros dominios.

Directivas de grupo (GPO)

Las Group Policy Objects son conjuntos de configuraciones que se aplican automaticamente a usuarios y equipos. Se pueden vincular a sitios, dominios o unidades organizativas.

Las GPO permiten, entre otras cosas:

• Configurar politicas de contrasenas (longitud minima, caducidad, complejidad).
• Restringir el acceso a determinadas funciones del sistema operativo.
• Desplegar software de forma automatizada.
• Configurar el firewall de Windows y politicas de seguridad.
• Mapear unidades de red e impresoras.

El orden de aplicacion de las GPO es: L-S-D-OU (Local, Sitio, Dominio, OU). En caso de conflicto, la GPO aplicada en ultimo lugar tiene prioridad.

Replicacion en Active Directory

La replicacion es el proceso por el cual los controladores de dominio sincronizan los datos del directorio entre ellos. Existen dos tipos:

• Intra-sitio: Entre controladores dentro del mismo sitio AD. Es rapida, automatica y no comprimida.
• Inter-sitio: Entre controladores de diferentes sitios. Se comprime para optimizar el ancho de banda y se programa en intervalos definidos.

DNS y Active Directory

AD depende completamente de DNS para funcionar. Los clientes utilizan DNS para localizar los controladores de dominio (mediante registros SRV). Sin DNS, Active Directory no puede operar. Por este motivo, el rol DNS se instala habitualmente junto con AD DS.

Relacion con otros temas de oposiciones

Active Directory se conecta con muchos otros temas del temario:

• Linux puede integrarse con AD mediante Samba o SSSD.
• La criptografia es la base del protocolo Kerberos usado por AD.
• Las VLANs segmentan el trafico de red y afectan a la replicacion entre sitios.

Practica con tests de Active Directory y sistemas Windows en oposergas.com para afianzar estos conceptos de cara a tu oposicion del SERGAS.