Voy a escribir alguna entrada sobre el directorio activo de Microsoft, así que creo que lo primero es presentarlo. No pretendo más que un acercamiento para que quién no sepa qué es esto. A quienes lo manejan a diario no les voy a enseñar nada nuevo.
El directorio activo es la herramienta que nos brinda Microsoft para la organización y gestión de los recursos de una red de ordenadores y todo lo que ello implica: usuarios, servicios, puestos, impresoras, permisos, servidores, … Será por tanto el directorio en el que almacenamos toda la información de los objetos que componen nuestra red. Esto es muy importante porque permite centralizar en un único punto la gestión de red, por ejemplo, los administradores de la red aquí definimos los usuarios, grupos para manejar a los usuarios más fácilmente por secciones, departamentos, o funciones, donde establecemos diversas propiedades de los equipos que pertenecen a esta red, etc. Para los usuarios es bueno ay que conseguimos que no tengan que decir a todos los recursos quienes son, es un buen almacén, por ejemplo, de las contraseñas, haciendo que la contraseña de cada usuario este almacenada en único punto.
La implementación práctica del directorio activo consiste en un servidor, en la actualidad Windows 2008 R2, al que le dotamos del rol de servidor de directorio activo. El único coste es la licencia del sistema operativo del servidor y la licencia que necesita cada puesto que va a acceder al servidor, la CAL. Dependiendo de la complejidad de la organización podemos hacer que la información del directorio activo se replique a otro servidor con este rol, de forma que el servicio mejora y le dotamos de seguridad ante problemas de uno de los servidores. Si la organización lo necesita también lo podemos dividir en zonas y asignar cada zona a varios servidores diferentes.
El funcionamiento se basa en los protocolos DNS y LDAP. Al instalarlo el servidor de directorio activo se convierte también en un servidor DNS. Se pueden hacer consultas de los datos almacenados a través del protocolo abierto LDAP, lo cual hace que herramientas de terceros puedan utilizar esta información.
Es evidente que contiene información muy importante, por lo que se debe tener copia de seguridad de este servidor.
Interesante y didáctico post. Una duda: cuando hablas de replicar el directorio activo en otro servidor, ¿de qué forma mejora el servicio?
Gracias
Gracias.
Con la replicación te permite distribuir la carga entre varios servidores haciendo que el funcionamiento general sea más eficiente, además de tener una copia de todos los datos que para algunas situaciones te puede salvar si se rompe el servidor principal. También mejora sustancialmente cuando hay varias sedes en la organización poner un servidor de directorio activo en cada sede, permitiendo que por ejemplo las validaciones de usuarios se hagan contra un servidor que está en el mismo segmento de red y por lo tanto con una mejor comunicación.
Saludos.
En el caso de distribuir la carga, entiendo que uno de ellos distribuye «tareas» a él mismo y al otro? Y también entiendo que el caso de un servidor activo en cada sede, implica independencia de cada uno con nula o escasa interrelación entre ambos?
Gracias
No exactamente, la vinculación de un puesto de usuario a un servidor de directorio activo u otro se hace por la configuración del DNS del puesto, así es que la distribución de carga no recae en el servidor, sino en la configuración de los puestos.
La dependencia entre servidores es total, todos los cambios se replican entre todos los servidores, de forma que si por ejemplo cambias la clave de un usuario en un servidor este cambio se replica a todos los servidores. Por eso cuando recuperas un servidor de una copia de seguridad debes detener la replicación http://www.martinezalegre.com/2011/03/recuperacion-autoritativa-de-directorio-activo-ante-desastre/
Saludos.
La explicación ha sido meridiana.
Gracias
Hola Fran, si yo tengo una aplicación web y accedo desde afuera, como haría la validación contra el directorio activo? se tendría que hacer un método que es el que se encarga de hacer esa validación con los datos por ejemplo el login, que vienen de la interfaz y darle permiso o no, se haría así?
Hola Manuel, para este tipo de validaciones yo he probado con LDAP, si buscas en google encontrarás abundate información.
La idea es que tu aplicación web valida a los usuarios comunicandose con el directorio activo uytilizando el protocolo LDAP.
Hola francisco. quisiera saber en que sistema operativo aparece el directorio activo y cual es su estructura? gracias
Windows Server